李攀勤

（作者单位：云南省农业科学院国际农业研究所）

目前我国的内控框架借鉴的是COSO内控整体框架，基于COSO内控整体框架，风险评估是内部控制活动的起点，也是内控管理的关键环节。随着我国经济发展迈入新阶段，作为管理和无偿使用着国家大量资金与资产的事业单位，其在经济运行中会面临更多不确定性风险，因此，探讨建立风险评估工作机制，有效防范、化解风险很有必要。

一、事业单位风险评估工作现状

多数事业单位作为不以营利为目的的社会公益性服务组织，中心工作会单纯放在完成国家赋予的特定职责使命上，如科研单位做科研、教育单位搞教学等，很容易忽视对经济活动的管控，建立健全内控制度的主动性不足。目前内控工作推进的有效方式是依赖内控报告的编报。虽然按照《行政事业单位内部控制规范（试行）》（以下简称《规范》）规定，单位应当建立定期的经济活动风险评估机制。但风险评估是否开展并没有作为事业单位内部控制报告定性分析是否合格的核心评价指标，再加上多数事业单位领导及职工不清楚风险评估的关键作用，缺乏相关专业知识，因此从近几年的内控管理上看，普遍未开展一年一次的风险评估，重大决策程序缺少风险评估环节，评估频次不符合《规范》规定。总体来看，多数事业单位的风险评估工作要么停滞不前，要么流程不规范，要么评估方法运用不适当，风险评估未实现常态化的动态管理，风险评估工作机制普遍未建立。

二、事业单位风险评估的重要作用

风险评估是单位自我内控管理的动态化管理过程，是内部控制活动的起点和重要环节。事业单位资金的主要来源是财政拨款及完成特定任务的无偿性资金。虽然事业单位不是为了营利，但要履行好国家赋予的职能职责，服务好社会，确保事业可持续健康发展，风险评估在防范廉政风险和业务风险方面起着非常关键的作用。

一方面，被曝光出来的贪污挪用公款、私设“小金库”、超标超范围报销费用、侵吞滥用国有资产等违纪违法现象屡见不鲜，也暴露出事业单位正面临着公信力丧失、权力失控、行为不当、贪污舞弊等风险。事业单位通过风险评估，对关键业务的关键风险点采取有效措施进行事前防范，确保每一个关键环节处于有效的控制和监督之下，极大有助于防范舞弊和预防腐败，是保证干部清正、单位清廉、政治清明的有效手段。

另一方面，风险管理目标与内部控制目标一致。风险评估不单纯在规避舞弊、腐败等“负面”风险上起作用，同时也在防止工作效率和资金使用效益低下、经济活动不注重绩效、影响单位战略目标实现等方面发挥着积极的作用。

三、事业单位风险评估工作机制构建思路

（一）风险评估工作组的设立

从独立性、专业性和内控管理经验上考虑，优先选择借助第三方社会中介力量开展风险评估，其次选择不直接接触经济业务的纪检监察审计部门兼任。但多数事业单位机构设置较为简单，无独立的纪检监察审计部门，又因预算资金有限，常年委托社会中介力量介入不太现实，因此，风险评估工作组可以由关键业务归口部门的关键人员及纪检监察人员等组成。但这些成员来自平级部门，难免相互“放水”、绕道而行，为确保风险评估质量，单位负责人应作为风险评估领导小组组长主持全面工作，亲自主抓建立工作联动机制，上级主管部门应当加强对下级部门风险评估工作的指导及监督检查。

（二）风险管控目标的设立

单位是按照“自上而下”的过程设定控制目标的。首先根据单位自身的职能定位，合理设置事业发展规划和年度计划，通过与内控总体目标紧密结合，从单位层面和业务层面对总体目标进行具体化设置。通过目标设定，单位就可以识别出关键因素进行控制，使之按既定目标运行。

（三）风险识别

风险识别就是运用一定的方法，判明事业单位面临或隐含的各类风险的过程，是风险评估的重要环节。《规范》采用清单法分别列示了单位层面和预算管理、收支管理、政府采购管理、资产管理、建设项目管理及合同管理等6个主要业务层面的重要风险关注点。鉴于各个事业单位职责定位大相径庭，不同阶段业务开展各有侧重，风险识别时可根据单位风险管控实际需要，适当调整重点关注内容。在持续开展业务层面的风险识别时，还应关注业务流程图的更新、制度之间的衔接、经济业务活动管控的连贯性等。风险识别方法其实就是完成基础风险信息采集的方法。事业单位风险管理缺乏经验，在风险识别方法的运用上可借鉴企业风险评估经验，以内控风险问卷为主要载体开展内控风险的评估，这样会更直观和可靠。在问卷调查表设计上，鉴于多数事业单位在内控建设初期，编制内控手册时曾开展过风险评估，在以后的常态化管理中，设计问卷调查表时应考虑工作时间、人员精力及财力等工作成本，在风险颗粒度选择上，应适当剔除过于枝节的风险，但对于剩余风险可适当降低风险颗粒度，便于后期具体控制措施的制定。不要太关注问卷得分，主要看特殊反映出的极少选项，挖掘出苗头性问题。

（四）风险分析

风险评估工作组采用适当的定量和定性方法，进一步分析风险发生的可能性及其对实现单位目标的影响，确定内部控制需要注意的风险点和优先级，并提交各责任部门。在分析方法运用方面，定量分析主要运用在有历史财务数据、行业参考标准等可量化的分析上；定性方法主要凭个人的丰富工作经验或者较高的专业素质进行判断。但为了克服分析的主观性，无论是定性还是定量都要有客观的标准参考。在标准描述方面，定性直接用文字描述，定量用数量描述。

风险可能性和影响程度的档次设定要根据单位的需求。精准并不是评估的目的，重点是对风险水平的排序，运用风险矩阵表或风险地形图都可得到风险排序结果。风险水平排序应从风险发生的概率和带来的后果两个方面进行综合考量，重点在剩余风险上。风险影响程度和发生概率两项都是居高的风险水平排最前，其次是一高一中的，接着是两项都是中度的，再接着是一高一低的，然后是一中一低的，最后是两项都低的。风险分析出来的结果有适用期，要警惕风险趋势的变化。

（五）风险应对

通过风险分析筛出了需要关注和优先管理的风险，各风险管理负责部门应提出风险应对策略和切实有效的内控措施。单位应组织有关专家对风险防控方法进行论证，尽量少选择风险规避，多想方设法从降低风险方面考虑，因为事业单位在履职的过程难免会遇到不可回避的风险。比如，科技创新驱动经济发展是科研单位履职奋斗的方向，面对无数次科学试验失败，短期内可能表现是国家资源无效耗费，但从长远看，也许科研成果对国家的贡献不可小觑。所以，风险策略选择应从单位风险承受能力出发，结合内部控制措施有效范围综合考虑，对于选用风险降低策略的风险应进一步细化控制措施。

（六）风险评估成果输出及跟踪管理

通过定期或适时地对风险进行收集、分析及处理，“自下而上”汇总出风险评估信息结果是领导班子系统了解和改善单位风险管控现状的重要参考依据。风险评估报告主要包括结论和风险应对建议等。单位内控评价部门或评价组应将检查跟踪风险管理工作的落实情况上报领导班子，并对风险管理工作进行绩效考评。

风险评估流程是一个循环的动态化管理过程。随着事业单位外部环境的变化、战略目标的转变、业务的调整和风险承受能力的不同等，在上一轮风险评估结果得到有效运用后，还需持续开展日常风险信息的采集，不断更新风险信息，调整风险应对方案，才能提升风险信息的准确性和及时性，以便管理决策层调整内控管理。同时，为了提高风险评估工作效率，搭建信息共享平台，要善于利用数字信息化的技术优势改变传统的工作模式，逐步实现风险识别、分析及处理的内控管理信息化。

为了从容预防和化解各类风险，事业单位应从讲政治的高度的高度，加强内控建设，以勇于实践和敢于探索的精神，主动补齐风险评估工作机制建设这项短板。通过增强风险识别和预警能力，提高风险评估与控制水平，为事业单位健康快速发展保驾护航。