五、开展风险评估
虽然内部控制基础性评价贯穿于单位的各个层级,对单位层面和业务层面各类经济业务活动实施全面覆盖,以综合反映单位的内部控制基础水平。但是,全面并不是没有重点,它应当在全面基础性评价的基础上,重点关注重要业务事项和高风险领域,特别是涉及内部权力集中的重点领域和关键岗位,着力防范可能产生的重大风险。例如,涉及内部权力集中的财政资金分配使用、国有资产监管、政府投资、政府采购、公共资源转让、公共工程建设等重点领域和关键岗位。这项工作主要通过单位开展风险评估来完成。
一般来说,单位层面开展风险评估工作可能面临的主要风险包括:没有明确的经济活动目标以及工作计划,无法通过管理控制措施保证目标的实现;未建立风险识别机制,无法准确识别风险因素;未形成合理的风险分析方法,风险分析不到位,无法真正掌握风险发生的原因和影响;未建立有效的经济活动风险防范机制,不能及时对识别的风险采取适当应对措施。为防范这些风险点,行政事业单位应从目标设定、风险识别、风险分析及风险应对等方面,明确风险评估的控制目标,设计关键控制措施,确保单位风险评估工作有效开展。
(一)目标设定
目标设定旨在明确单位各项经济活动的控制重点和原则,也是业务风险识别和控制措施设计的主要依据。在目标设定阶段,单位应通过收集单位层面和具体业务流程层面的各类初始信息,包括预算业务、收支业务、政府采购业务、资产管理、建设项目、合同管理等主要业务,涉及从计划编制、业务执行过程以及总结评估等方面的资料信息。在初始信息收集的基础上,单位应根据业务实际需要设定经济活动相关目标,明确单位各项业务的控制目标。
(二)风险识别
在风险识别阶段,单位应根据前期内部控制基础性评价与现状调研获得的业务信息建立风险分类框架,通过风险识别矩阵(见图3-1)识别每一经济活动风险对应的风险事件,对风险事件的类别、成因、影响以及责任部门等进行描述,形成单位风险事件库。在此基础上,根据单位当前经济活动现状编制风险评估问卷,对单位面临的各类风险进行问卷调查,确定单位重大风险排序。
图3-1 行政事业单位经济活动风险识别矩阵
具体示例如表3-4所示:
表3-4 行政事业单位经济活动风险识别矩阵
(三)风险分析
在风险分析阶段,单位应根据风险评估问卷调查结果,对各经济活动风险事件发生的可能性和影响程度进行分析,确定单位经济活动风险管理的优先顺序。单位可综合采用蒙特卡罗分析、压力测试、概率分析、情景分析以及关键风险指标分析等方法,对风险发生的原因、风险发生后可能导致的损失、风险的管理难度以及与其他风险之间的关系进行分析,确定单位经济活动风险等级排序,为单位风险应对奠定基础。
一般来说,行政事业单位风险分析包括两大核心内容:①风险事项发生的可能性(频率、概率);②风险事项产生的影响。行政事业单位在具体开展风险分析时,应从单位经济活动的具体情况出发,运用适当的风险分析技术,定量或定性地评估相关事项,为风险应对提供依据。
1.风险发生的可能性分析
对风险发生的可能性进行分析可以根据风险的具体情况,采用定性及定量评估方法。定性方法主要从日常管理中可能发生的潜在风险、大型灾难或事故的风险两个层面进行分析并确定不同的可能性尺度;定量方法主要是以通过历史数据统计出一定时期内风险发生的概率作为标准进行评估。按照定性与定量的分析方法将风险发生的可能性划分为五个级别,分别是极低、低、中等、高、极高,依次对应1~5分。具体的划分标准如表3-5所示。
表3-5 风险发生的可能性评估标准
2.风险的影响程度分析
风险影响程度是指风险事件的发生对单位所造成的影响的广度与深度。对于风险影响程度也可划分为五个级次,分别为极低、低、中等、高、极高,依次对应1~5分。对风险事件所造成的影响主要从财务收支、日常管理、法律法规的遵循三个方面考虑。考虑财务损失时采用定量的方法,以造成的损失金额大小为参照指标,确定风险影响程度的级别;考虑日常管理与法律法规的遵循时采用定性的方法,确定风险影响程度的级别。具体的划分标准如表3-6所示。
表3-6 风险影响程度评估标准
3.风险坐标图
风险坐标图是指把风险发生可能性的高低、风险发生后对控制目标的影响程度作为两个维度绘制在同一个平面上(绘制成直角坐标系),如图3-2所示。
图3-2 风险的影响程度
绘制风险坐标图的目的在于对多项风险进行直观的比较,从而确定风险管理的优先顺序和策略。
风险发生的可能性与风险的影响程度两个维度,在风险坐标图可将识别的风险划分为极低、低、中、高、极高五个区域。针对相关风险在风险坐标图中的坐标,选择相应的风险应对策略。
(四)风险应对
在风险应对阶段,单位应根据自身条件和外部环境,围绕经济活动目标、风险偏好和风险可接受程度、风险发生的原因和风险重要性水平,制定风险应对策略和风险解决方案。风险应对的目的在于将剩余风险控制在风险承受度以内。单位可以综合运用风险规避、风险降低、风险转移和风险承受等策略应对经济活动风险。具体来看,针对风险评估后的大小,采取不同的策略。例如,①针对极低及低风险区域:承担该区域中的各项风险且不再增加控制措施;②针对中风险区域:严格控制该区域中的各项风险且专门补充制定各项控制措施;③针对高风险区域:确保规避和转移该区域中的各项风险且优先安排实施各项防范措施;④针对极高风险区域:积极规避和转移该风险区域中的各项风险且首要安排实施各项防范措施。
风险评估工作完成后,应根据风险评估结果编制风险评估报告,并及时提交单位领导班子,以提请单位领导关注重要风险,及时采取针对性的应对策略和控制措施。