袁 月，蔡俊杰

(1.广西财经学院 会计与审计学院，广西 南宁 530000；2.梧州学院 审计处，广西 梧州 543002)

“风险”的概念最早出现于美国学者海恩斯的著作中，即“损失的可能性。偶然性的因素是风险的基本性特征。假如某种行为具有不确定性，则该行为就存在风险”。

组织的风险根据其来源可分为外部环境和内部环境，其中对内部风险在业务流程和授权层面上的控制，即“内部控制”，主体通过将财务风险管控和业务活动相勾稽，防范内部管理的程序性风险，促进经营目标的实现[1]。“风险管理”虽在内容上与“内部控制”存在重合，但在实质上，它属于在“内部控制”基础上进一步的延伸和细化，涉及范围更广。根据威廉姆斯与汉斯对“风险管理”的定义，风险管理是通过对风险的识别、衡量和控制，从而以最小的成本使风险所致损失达到最低程度的管理方法，因此风险管理更重视对风险因素的识别、评估和控制，强调组织的内部控制要向全面治理与战略规划扩展，2017年COSO发布的最新企业风险管理整合框架中将“风险管理”重新定义为“组织在创造、保持和实现价值的过程中，结合战略制定和执行，赖以进行管理风险的文化、能力和实践”。

一、风险管理理论的产生和发展

上世纪30年代经济危机促使了风险管理思想的产生。为了应对巨大冲击，人们开始重视对各类活动的风险管理，从而尽可能地控制或减少损失。20世纪中叶，美国的梅尔和赫斯奇在《保险手册》上发表了《企业的风险管理》之后，关于风险管理的研究逐步趋向系统化、专门化，这才使得“风险管理”逐渐发展成为一门学科，企业进入传统风险管理阶段[2]：经营者开始重视风险管理活动，主要措施是规避和转移风险，这个阶段的代表理论有马科维兹的均值方差理论、资本资产定价模型和期权定价模型等，然而相关研究比较单一、片面，缺乏层次、系统性，更缺乏战略性高度。直到80年代，随着社会环境等因素的巨大转变，发达的资本市场及工具成为了推动现代风险管理发展阶段发展进程的重要力量，企业更加重视各部门的组合风险及其综合影响，并以此为依据进行风险管理，提高经营效率。

同期，自从我国恢复保险业务后，有关风险管理的研究与应用才涌现出来，张旭初等认为风险管理是一个大概念，其目的是抑制经济随机影响因素，保障经营活动处于有序状态，因此提议我国企业在探索国外先进经验时，要以顾全局的立场分析企业所面临的各类风险，尤其是动态风险的控制管理[3]。

21世纪初风险管理理论发展进入全面风险管理阶段，2004年COSO在《内部控制整合框架》的内容完成了升级，推出《企业风险管理——整合框架》，企业的内部控制由“财务报告导向”转为“风险管理导向”[4]，全面风险管理理论的核心就来源于报告中关于风险管理的概念、方法等内容。2017年COSO对框架内容做了进一步完善，其适用范围明确地由企业扩展到任何类型和规模的组织，王慧在此发现的基础上提出，框架可为在我国行政事业单位内部控制建立和完善过程中嵌入风险管理提供良好的契机，有利于政府内部控制与风险管理新框架的相互衔接与整合，形成后发优势[5]。

通过对风险管理理论发展历程的剖析可以发现，COSO颁布的风险管理整合框架对风险管理起到基本的指导作用，企业风险管理的研究已较为成熟。但各类风险管理主体的风险偏好、风险容量、面对的风险内容等因素不尽相同。行政事业单位是我国重要的组织之一，代表政府执行相关活动，依法履行国家治理职能，具备风险管理实施的环境基础，因此上述企业风险管理思想在我国政府部门、行政事业单位的风险管理中具有一定的应用性。

二、风险管理理论在行政事业单位的应用

周兆生曾在对COSO的框架报告进行比较的基础上，发现了风险管理和内部控制的一致性，他认为二者尽管在现实中存在一定的差距，但发展仍趋于交叉融合，直至统一[6]。然而通过分析我国目前关于行政事业单位风险管理的研究，可以发现基本都是围绕其内部控制展开。

由于我国政府传统的计划制度高度集中，各预算单位执行内部控制、风险管理的积极性不高，没有良好的风险管理环境，风险管理发展相对滞后。尽管一些单位在部分业务、财务层次已设计并实施了相应的风险防控方案，但总体上从组织层次来看，内部控制仍被当作主要的风险管理手段。

基于我国行政事业单位特殊的组织性质，其风险偏好和风险承受度水平不如企业那样乐观，这也决定了风险控制要求较高。沈烈曾建议我国行政事业单位应从“传统的内部控制”向“全面风险管理”转化[7]。同时，随着社会主义市场经济体制的发展，种种资源条件不如以往乐观、预算支出压力不断上升，我国政府管理体制逐步转向以业绩和结果为导向，以实现公共资源的经济性、效率性和效果性为指标，进一步加强国家治理。鉴于此，2012年，财政部等相关部门联合印发了《行政事业单位内部控制规范》，为我国各行政事业单位的内部控制建设提供理论指导。

唐大鹏等从内部控制的理论基础出发，借鉴企业内部控制评价的相关内容，同时结合我国行政事业单位自身的特点，深入分析其内部控制评价要素、指标构建、模式选择等重要内容，并进行相关路径的探讨，旨在为完善行政事业单位的治理结构、提升其治理水平提供思路，从而建立有效的风险防控机制[8]。

另外，行政事业单位的风险管理应遵循坚持成本效益原则，在实施风险评估的过程中，首先应对其组织活动进行流程梳理，重点把握关键环节。其次将其落实到具体到分工的岗位，明确职责。接着根据业务环节分析组织活动中面临的各种风险，包括内部环境和外部环境引起的风险，确定风险点，并进行风险定性、定量分析并加以排序，同时关于已识别而未评估的风险，组织也应尽可能地准备相关的评估与应对措施，以减少单位受损的可能性。2016年财政部发布的内部控制要点中也肯定了这一方面的内容，提出行政事业单位中业务流程的风险管理应值得重视，单位应更加充分发挥内部控制作为预防机制的作用，这一点也突出了风险管理在其组织管理活动中的重要角色。

财政部会计司在分析了2017年我国行政事业单位的内部控制建设情况后，在总结中提出，全面梳理组织业务并编制流程图是各单位加强内部流程控制和风险管理的重要途径之一，另外将制度建设与流程控制覆盖到全部主要业务或管理环节和关键节点，这将有利于加强对业务风险和舞弊风险的防控，提高内部管理工作效率。

我国行政事业单位内部控制建设具有高度的概括性，侧重于上层设计，在实际应用层面存在欠缺，对具体单位和业务层面的研究较少。另外，行政事业单位应将风险管理的目标定位于支持组织使命、愿景和核心价值的实现，满足更高层次的诉求，而不是仅仅局限于满足监管和合规的要求。

三、社会保险经办机构风险管理的探索和实践

社会保险经办机构是我国一类行政事业单位，负责提供社会保险服务和管理社会保险基金等公共活动，旨在维护社会保险基金的安全运行，保障社会稳定。

克里斯托弗将社会保险经办机构的风险分为营运风险、资产流通风险、债务风险、经济风险、投资风险、灾难风险和政治风险7个领域，其中“运营风险”对社会保障安全的威胁最大。我国劳社部在2007年颁布《社会保险经办机构内部控制暂行办法》，这一办法为社会保险经办机构内部控制体系的规范，以及实施内部风险管理提供了基础性的指导。

广东省社会保险基金管理局课题组针对当前社保经办机构的运行风险，提出可以从企业风险管理中汲取经验，即通过构造社保经办机构内部风险指标控制体系，识别日常管理和业务操作中的风险点，并予以评估和应对设计，从而提高其风险管理能力[9]。在计划经办风险控制措施时，唐大鹏等从风险的可能性及影响两个维度出发，他提出经办机构要高度分析风险性质与其风险偏好，在设计风险应对的同时要考虑经办机构的内外部环境等因素。在风险意识建设方面，他认为要想从决策层到作业层形成完整的风险控制体系，内部控制中责任主体必须先树立良好的风险意识，这样才能自上而下传输，使风险意识贯穿并渗透到各项经营管理活动中，切实提高业务流程的效率[10]。杨雨菲从社会保险经办机构管理模式视角出发，将其内部控制和企业的内部控制进行对比，指出社保基金经办机构可以从企业内部控制理论汲取思想，以加强对社保基金的风险方法和监管，提高社保基金的管理水平[11]。Luana设计了一种风险管理(CRM)模型，该模型是一种综合管理工具，它可以帮助社保经办机构解决基金征缴和基金支付中出现的违规问题，设计利用预防、监测和威慑三种措施进行风险防控，通过有效的内部控制保障部门完成财务目标、完成任务、减少意外和风险[12]。

关于经办机构的风险监管，郑秉文、孙守纪主张“事前控制”，他们提出风险监管是风险预防的最佳途径，其优势在于提高风险甄别效率、节约监管资源、稳定心理预期、控制监管成本[13]。其中，社会监督作为外部监管的重要组成部分，但徐雪丽等在分析我国社会保险基金的外部监管现状时发现，这部分的监管更多地只是流于形式，难以发挥实际作用，因此他们认为已有的监督体制很难保障基金的安全性与稳定性[14]。施青林认为运用绩效审计能弥补目前社保基金的运行缺陷，从绩效评价的角度分析养老保险基金监管中存在的问题，提升养老保险基金的管理水平[15]。

于卉青在总结我国社会保障制度的发展历程时得出结论，不同时期的制度应随着时代的发展进行改革并优化。针对我国养老保险制度的执行现状，她提出：相关部门应当重视制度的执行环境及其风险因素，并根据其演变的情态制定具有指向性的政策，同时需配套优化相关法制系统、监督系统以及管理系统，让三者形成相互制约和影响的关系[16]。

在执行风险应对的同时，也有学者提出要对经办过程执行风险监控，华蓉晖认为这样可以评估风险控制的效果和监测组织内保留的风险状况(可容忍风险)，这也决定了社保基金经办风险控制机制应该是循环往复的，以“向管理层提交监控结果报告”为完成标志[17]。Birabwa经研究验证：社保经办机构内部控制建设和管理能力越强，社会保障基金管理效率越高，同时附加对社会保障和国家信托基金部门的监管和约束，这样更有助于保护受益人的利益[18]。

关于国外社会保险经办机构的管理经验，刘晓梅等介绍了日本年金(我国该用语为养老保险基金)做法：日本政府设立了日本年金机构的第三方监督机构即日本年金机构评价部会和运营评议会，还常设民间非常勤理事，将企业经营管理方面的经验应用到年金业务运营之中。另外，由于日本年金机构“职员”待遇需根据实际业绩来决定，因此在用人制度上，年金机构具有更大的裁量权，有助于年金经办风险的防控[19]。

我国各级社会保险经办机构管理大量民生资金，其经济管理活动的特殊性决定了该类型组织在风险管理方面有着更高的要求，但同时，它也存在我国其他类型行政事业单位在风险管理方面所存在的共性问题，如何从组织层次进行全面风险管理整合值得进一步研究。

四、结论与启示

随着人们对风险认识的变化，风险管理在组织管理活动中扮演着十分关键的角色，综合梳理分析关于风险管理研究可以看出，我国行政事业单位规范风险管理体系，尤其是公共资金管理等机构，较之国内外企业风险管理的成熟度还存在一定的差距。

不过，COSO《企业风险管理——与战略绩效整合》报告给我国行政事业单位风险管理体系规范指明了改革方向，各组织应立足于我国国情，包括经济、法律、文化制度体系等，以原则为导向，建立健全各类组织风险管理规范。同时要意识到组织文化，尤其要意识到风险管理文化建设是组织管理活动中的重要内容，是组织实施全面风险管理的基石，形成组织成员的共同意识，进一步推动组织治理。

同时，报告为我国行政事业单位内部控制与风险管理新框架整合提供了理论保障，有利于各组织进一步提高公共服务效率，履行公共职能，从而实现国家治理能力现代化。