江建明 北方材料科学与工程研究院有限公司 杨赟赟 山东非金属材料研究所

张宣洪 北方材料科学与工程研究院有限公司 冀方 山东非金属材料研究所

在改革历史的发展潮流中，科研事业单位的经营管理理念和风险控制观念也在不断变化。整体而言，科研事业单位的属性决定了其管理的复杂性，兼顾着科研、生产试制等活动，产品的特点是多种类、小批量，提升了管理的难度。科研事业单位固有的特殊性、固有的管控模式，对科研事业单位构建内部控制体系和完善内控管理提出了更高挑战。随着改革开放的深入，科研事业单位的改革发展已经迫在眉睫，同时随着各种监督考核体制的推进和落实，内控和风险管理显得尤为重要。

一、科研事业单位风险导向内控管理现状

科研事业单位实施以风险为导向的内控管理，目前还面临着一系列问题，表现较为突出的问题有以下几个方面：

（一）固有体制的弊端和思想观念的固化

科研事业单位经过多年沉淀和积累，已经形成具有自己特色的管控模式、科研体系、生产管理体系以及单位文化。但是伴随着单位规模的扩大以及市场竞争压力的提升，科研事业单位的经营风险也不断增大。因此单位需要注重风险与内控管理体系的建设，重新构建风险管理理念，以期推动单位健康的发展，这也是当前社会环境下单位发展的必要手段。同时内部控制是单位发展中的重要组成部分，基于风险为导向的内部控制体系，能够从风险预防的角度对单位内部进行管理，有利于单位管理的全面化、科学化、规范化，提升单位的市场竞争力，促进单位的可持续和高质量发展，实现单位的发展战略目标。

（二）风险管理理念认识不足，依然是“温室里的花朵”

在当前国家改革转型及事业单位改革的背景下，各项改革不断深入和深化，“大锅饭”“温室里的花朵”已经一去不复返。受单位性质、业务性质等行业因素影响，与具有市场化、现代化经营管理理念的企业相比，科研事业单位经营及管理观念较为保守，市场竞争意识薄弱，应对风险管理的意识相对较弱，对潜在风险的发生缺乏足够的敏感度。风险管理理念陈旧，甚至缺乏统一的风险管理意识，风险管理组织机构不完善。伴着各种改革模式的深入，宏观环境的复杂性、多变性，之前的管理模式和思想已经不能适应未来单位高质量发展的内在需要。

（三）各部门职责界限不清、业务流程不畅

科研事业单位固有的管理职能和模式，以及组织架构不适应改革发展的步伐，各部门之间存在部分职责界限不清、制度缺失、业务流程不畅的问题，存在各种风险点，甚至有各种不同层次的漏洞，内部控制存在薄弱环节。因此需要优化管理模式、优化组织架构和完善管控模式、创新管理机制，从而全面提升全面风险管理和内控管理水平。

（四）信息化水平较低，存在信息孤岛

科研事业单位整体信息化水平较低，一方面，各部门分管了单位的各项业务，无形之中分割了单位内原本统一的信息数据，相关业务流程之间同样也存在信息不通畅、信息不共享互换、信息与业务流程及应用脱节，存在较为严重的信息孤岛。另一方面，各业务流程之间的信息传递仍然采用基本的excel电子表格、word及基础的办公软件设备及OA系统。大量的基础数据需要人工输入和操作，业务流、信息流和数据流均存在不畅通、不连贯的特点，单位内部控制管理存在一定的人为操作出差错的风险。

（五）监督评价、改进落实不到位

科研事业单位监督评价和改进落实不到位，缺乏有效的闭环管理，缺少回头看、查落实、查整改不到位。内部控制管理是一个动态、连续的管理体系，是一项系统工程，优越的内控制度体系建设能做到事前防范、事中控制、事后监督，实现整个过程的闭环管理和有效完善。构建自我评价的有效体系，并对自评价结果和改进情况及时跟进和落实，是最终实现内控管理有效落地的重要步骤，是检验监督评价内控是否取得成效的必需步骤。

二、科研事业单位风险导向内控管理体系建设

单位以发展战略为目标、以风险为导向、以制度为基础、以流程为主线、以管理与业务流程管控为方法、以检查与考核为抓手，将风险管理与内部控制的理念和实施嵌入单位经营管理的全过程，并落实到日常合法、合规内部控制管理工作中，做到单位以风险为导向的内部控制文化的闭环控制体系。具体做法如下：

（一）建立健全以风险为导向的内部控制体系

1.加强内控体系建设，落实主体责任

成立内控与风险管理组织机构，落实单位最高领导组织，落实相关主体责任，完善内控风险治理结构，明确内控风险组织工作机构，划清内控风险管理工作权力与责任，明确各部门的职责，科学设置管理流程，确立各岗位权限，分离不相容的岗位。以内部控制手册建设为抓手，寻找内部控制与风险管理的重点业务活动，五大风险管理框架，二级风险管理库，三级流程关键控制点和风险点等重要事项，完善业务流程归口管理和专人负责的基础工作，确保内控和风险管理工作履职到位。成立内部控制评价工作机构，完善相关工作领导小组，具体实施内部控制评价工作。

2.健全风险评估管理体系

风险评估是单位及时识别、系统分析经营活动中与实现内部控制目标相关的内外部风险，确定与单位相应的风险承受度，从而合理确定风险应对策略，包括目标设定、风险识别、风险分析与评价、风险应对。

风险评估是个动态过程，随着单位经营活动的因素，包括国内环境、国际环境、市场因素以及单位内部的控制环境因素等不断变化，因此需要对单位的风险进行动态评估，以重点识别和处理与变化因素相关的风险；风险评估是贯穿整个单位经营活动的始末，单位每个经营环节都有面临风险的可能；风险评估需要单位全员的参与，每个部门、相关机构和分支机构都是风险评估控制活动的重要组成。单位需要构建适合本单位的动态风险评估体系，实现风险的动态管理。

3.以COSO框架为标准，建立单位内部控制体系

从风险管理视角确定单位内部控制的关键点，根据单位经营管理的特点，从战略、运营、市场、财务、法律及其他角度分别进行风险识别，建立单位统一的风险识别模型，统一风险的概念和类别。

根据风险识别模型，对各类风险进行分类和细化，找出各风险的关键影响因素，揭示影响风险发生的内外部因素、风险承担的程度，明确牵头责任部门，找出风险相关的有关制度和关键业务流程。

针对辨识出的典型风险因素，从风险发生的可能性和风险发生对单位经营目标的影响程度两个纬度进行风险评估，确定其风险水平，评估单位面临的风险等级，确定对各项风险的重要性排序和管理重点，绘制单位的风险坐标图。

制定内部控制自评价模板，定期或者不定期开展内部控制活动评价及改善落地活动。设置关键控制活动及相关要素，包括但不限于组织架构、发展战略、人力资源、社会责任、单位文化、资金活动、采购业务、资产管理、销售业务、研究与开发业务、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递、信息系统、内部监督等要素，确立评价的内容、发生的频次、实施的证据、缺陷分析和缺陷情况，并提出缺陷整改措施等。

（二）加强内部培训，增强员工风险意识

内部培训同样是确保单位内部控制规范有效实施的关键环节，尤其在推动单位新的管理方法和管理理念之前，培训和宣贯能有效地转变墨守成规的处事态度和方法，有效地减少在执行内控管理过程中的阻力。单位内部控制工作涵盖了单位全体员工、各业务流程、涉及面广泛、错综复杂，是一项系统工程，需要综合素质较高的员工参与。一方面，利用网络培训平台、单位培训宣贯等各种方式加强对全体员工的培训，增强全体员工的风险管控意识，更新管理理念、掌握内部控制管理方法。另一方面，构建本单位内控风险管理专家库建设，解决员工风险内控管理意识淡薄、观念意识不强的问题，统一风险意识，促进内控风险管理水平整体提高。

（三）整合业务流程，持续梳理和完善内控制度

以风险评估结果为导向，绘制风险矩阵，打通信息渠道，以业务流程为单位梳理内控制度，寻找关键环节和风险控制的关键点，实现流程再造、信息畅通，优化原有的业务流程、优化制度体系建设、优化评价管理，实现内控的闭环管理，进而推动单位高效和可持续发展。

1.打破部门局限，以流程为单位梳理业务

局限于部门职能的条块式管理模式，而内控的关键环节是要实现业务流程整体适合和实现单位战略管理的目标，也就是要打破部门间的壁垒，向跨部门联动管控模式转变。而当下部门职能化条块式的管理，极易造成管控与业务流程目标相背离，部门职能管理过强或过弱均会对业务流程造成一定程度的损害。单位打破部门局限，以流程为单位梳理业务，使各部门间协同配合，各管理体系、管理工具之间的相互融合，提高效率。

从横向看，内部控制涵盖单位内部的各个部门、各项业务；从纵向看，涉及各个部门的各个岗位、每个员工及业务的每个环节。通过梳理业务流程，识别流程中的风险和控制活动，并通过流程描述、风险控制矩阵等文档对控制活动和控制点进行记录；执行穿行测试和控制测试，实施控制评价活动，获取关于控制设计有效性和执行有效性的证据；对发现的问题及时向领导层报告和提出改进建议。层层压实责任，实现左右协调、上下贯通、横向到边、纵向到底的风险防范体系和内部控制制度。

2.健全规章制度体系，完善流程再造

建立健全的规章制度对单位的防风险能力至关重要，健全的规章制度能有效避免由于员工的能力差异及个人特点的差异，导致单位管理经营的风险。让每个员工做到有章可循、统一工作标准。以风险为导向的内部控制体系建设，需要建立健全单位规章制度体系，堵塞制度漏洞，堵塞管理漏洞，细化业务流程，梳理管理流程，规范经济活动和管理活动行为。通过单位规章制度体系的建设，实现各项工作目标明确、责任到位、流程规范、管理有序。确保每个岗位、关键业务环节均有章可徇、有规可依，不相容岗位相分离，实现自身建设严实化。

（四）实施内控自评价与检查机制，加强重点风险防控

1.强化过程管理，抓住重点业务风险控制点

强化以单位发展战略为管理目标和指引，以市场和顾客为导向的经营管理理念，以防范和化解重大风险为导向，着力开展关键流程和重点业务的内部控制，查找本单位关键业务的关键风险控制点，形成关键业务控制流程图。聚焦重点业务，细化管理控制措施，强化风险管理识别，完善风险管理预警机制，最大强度降低单位的各项风险，实现风险可控。

2.建立日常检查改进工作长效机制

围绕单位管理的重点业务，及时发现业务薄弱环节并采取相应的改进措施，发挥管控效用，将一般风险管理纳入日常的管理过程当中，将流程层面的内部控制评价穿行测试与管理紧密结合，将审计、督导检查与内控管理工作结合起来，对于审计、督导发现的问题进行通报，限期整改，并对整改事项进行核查，实现闭环管理。对于制度执行不到位的情况，属于内部控制的运行缺陷；对于反复出现的问题，视为内部控制的设计缺陷，需要修订、完善制度和流程，并纳入新的检查标准中，对已发现的问题进行跟踪，并将相关问题进行固化，以备后续监督检查，建立常态化管理长效机制持续改进，促进管理效益的逐步提升。

3.优化评价体系机制

将内部控制评价工作融入日常的管理过程当中，定期或者不定期组织开展检查、考核、评价工作，完善考核评价标准，使其更具时效性和可操作性。实施以风险控制为导向的内控评价机制，根据风险评估结果，确定评价重点，优化资源配置，抓住关注重点业务和关键控制环节，提高内控工作的效率和效果。全面评价内控和风险管理体系的设计与运行情况，准确查找各类控制缺陷，揭示和防范各类风险，及时落实整改，弥补缺陷，丰富内控管理方法与工作方式，促进内控与风险体系的有效运行。

（五）推动信息化建设，打通信息渠道

建立有效的信息与沟通渠道，打通信息壁垒，梳理单位的信息流、数据流、业务流，实现对财务流、业务流、物质流、客户关系管理及供应链管理等各个环节的科学管理。打通各职能部门在内部控制与风险评估方面进行内部信息交流、沟通和传递的通道，为以风险为导向的内控管理的有效运行，提供了可靠的信息渠道和保障。通过推动信息化建设，将各项业务融入信息化系统中，实现各项业务流程、审批流程的规范化、细致化，减少人为错误操作的风险。

构建管理信息化平台，将关键环节的内控与风险管理措施嵌入到信息系统中去，通过在各信息系统中规范并固化管理模式、管理流程、风险控制节点，逐步实现对业务和事项的自动控制，打通业务流、信息流和数据流的信息孤岛，达到财务与业务过程的信息共享，使业务过程管理可操作化、可视化、可量化，促进财务业务融合发展，强化制度执行的刚性，提升内控风险管理的信息化水平。

（六）加强人才培养，实现“自我免疫”

目前，已经进入全面内控的时代，必须重视并加强风险管理与内部控制的专家及人才培养。加强人才的培养，是实现风险导向的内控管理体系建设的基本前提条件。需要铸造一支具有国际、国内视野、具备宏观战略思维、精通风险识别、风险评估、风险应对的工具和方法的人才队伍，提升单位“自我免疫力”，增强单位抗风险的能力，提高风险与内控管理工作水平，从而确保内控风险管理水平整体提高和保证单位发展的可持续性。

三、科研事业单位风险导向内控管理的关键点

科研事业单位风险导向的内控管理在实施过程中，如何有效地实施以风险为导向的内部控制体系，促进内控及各项管理有效落地，存在几个关键控制点，主要有：

（一）与日常业务与管理体系融合，全面提升内控管理

将内控风险管理嵌入日常业务管理工作中，充分利用单位日常管理的组织体系、责任体系和考核评价体系，在相互结合提高工作效率的基础上，充分借鉴专项工作和成熟管理工具的成果，对日常管控业务进行梳理与总结，将有效的管理方式、方法进行提炼与固化。全面评价内控和风险体系的设计与运行情况，准确查找各类控制缺陷，揭示和防范风险，及时采取适宜的整改和防范措施，丰富内控方法与手段，规范管理，有效地堵塞漏洞，促进内控与风险管理体系的有效运行和持续改进，提升管理水平与内控建设质量。

（二）通过完善制度与流程建设，提高防风险能力

以制度建设为抓手，借助管理流程再造，进一步梳理、优化、规范各项管理流程，通过完善制度、流程优化等方式规避风险，逐步实现制度流程化、流程表单化，不断完善有关内部控制与风险管理制度和工作流程，新制定或修订相关配套制度，有效防范风险。同时加强对制度执行情况的考核和评价，使管理水平呈阶梯形式逐步上升，持续改进、逐步完善、全面提高风险防范能力，使单位在高效、合理、低风险的状态上运行，助推单位持续健康发展。

（三）风险导向的内控动态管理，实现闭环管控

以风险为导向的内部控制，随着内外部环境的变化，风险随时都在变化，与内部控制环境、单位经营规模、业务范围、竞争状况和风险水平等相适应，与单位的战略管理相关联，并根据动态风险评估结果，及时转化内部控制的关键控制点，持续优化内部控制体系，揭示风险。开展内部控制检查评估机制，及时跟踪内部控制检查结果和落实情况，完善奖惩措施，强化内部控制机制的实效，形成闭环管控，实现过程中的再控制。

四、结论

综上所述，不同的科研事业单位可以借鉴内控与风险管理的方式、方法，以风险为导向的内部控制在不同单位会有不同的具体体现。单位需要结合本单位的战略管理目标，找到自我的薄弱环节，有针对性地实施内控管理，进而打通业务、打通信息渠道，使运营效率与运营风险得到有效平衡，为单位战略目标的实现起到保驾护航的作用，有效地控制风险。但是，有效的风险导向内控管理体系并不是故步自封，并不是不鼓励创新，恰恰相反，卓越的内部体系建设应该是保障创新活动规范发展，鼓励科研开发，促进改革创新，同时也是确保风险可测、可控、可承受、不外溢的手段。优秀的内部控制，切不可片面地强调内部控制的合规性，而忽略了推动单位的管理与创新。内部控制规范的目的不是限制创新，而是支持、推动创新走得更稳健、更快捷、更长远，进而带动单位整体的可持续、高质量发展。