第一章 总 则
第一条 为及时识别和分析本单位经济活动存在的风险,按照国家有关要求和根据单位实际情况选择有效控制方法对经济活动风险进行控制并监督执行,完善内部控制体系建设,根据《行政事业单位内部控制规范》(财会〔2012〕21号),建立经济活动风险定期评估机制,对经济活动存在的风险进行全面、系统和客观评估,制定本办法。
第二条 本办法适用于信阳师范学院的风险评估管理工作。
第二章 风险评估工作组织
第三条 风险评估工作成立风险评估工作小组,由单位负责人担任组长,负责全面统筹、协调各业务部门积极配合风险评估工作。
第四条 风险评估工作主责部门为审计处,纪委、审计处、财务处负责人担任副组长,负责计划、组织和安排具体评估工作。
第五条 由审计、财务、资产管理(采购)、基本建设、合同管理、纪检监察等部门或岗位抽调关键工作人员或技术专家作为工作小组的成员,对单位层面和业务层面的经济活动风险进行评估,在梳理各类经济活动的业务流程、明确业务环节的基础上,系统分析经济活动风险,确定风险点,据此选择控制方法和措施以有效应对风险。
第六条 风险评估工作小组职责主要包括:
(一)批准风险评估工作方案;
(二)批准风险评估整改方案;
(三)决定风险管理工作中的重大事项;
(四)指导、监督风险评估各部门工作。
第七条 审计处是风险评估的主责部门,其在风险评估中的主要职责如下:
(一)收集与风险评估相关的信息、资料,并进行分析研究;
(二)负责拟订综合性风险管理制度和流程;
(三)拟定风险评估工作方案,报风险评估工作小组批准;
(四)负责具体实施本单位的风险评估工作,协调各相关部门在风险评估工作中的关系;
(五)负责指导和监督各部门开展风险评估工作;
(六)汇总整理风险评估结果,拟定整改方案,形成风险评估工作报告并向风险评估工作小组汇报。
第八条 风险评估的配合部门包括财务、资产管理(采购)、基本建设、合同管理等相关部门。在风险评估工作中,接受审计处的组织、协调、指导和监督,主要履行以下职责:
(一)按照风险评估方案要求,开展本部门的风险评估工作;
(二)研究提出针对本部门的风险评估结果的整改措施;
(三)做好本部门风险管理信息收集及传递工作。
第九条 经济活动风险评估至少每年进行一次。第一次风险评估尽可能全面、细化、特别是业务层面的风险评估完成后,形成业务流程图,确定关键风险点,剖析风险存在原因及导致损失的可能性。后续的风险评估工作,可以定期进行,主要侧重于经济活动的变化部分。如果本单位的外部环境、经济活动或管理要求等发生了重大变化,则应当及时对经济活动风险进行重新评估,以确保新的风险得到及时有效的控制。本单位对高风险经济活动开展不定期评估,建立专门的风险预警系统,以便有效地防范和管控风险。
第三章 风险评估工作内容
第十条 风险评估工作从两个不同的层面进行分别确定:一是单位层面风险评估,二是业务层面风险评估。
第十一条 单位层面风险评估重点关注的方面
单位层面风险评估是指站在本单位的整体上对内部控制工作的组织、机制建设、制度完善、关键岗位工作人员的管理、财务信息的编报等方面的风险进行的评估。单位层面的合理的制度安排和机制设计,是营造良好的内部控制氛围、使具体内部控制措施得以有效实施的重要保证。
(一)内部控制工作的组织情况
包括是否确定了内部控制职能部门或牵头部门;是否建立了各部门在内部控制中的沟通协调机制和联动机制。
(二)内部控制机制的建设情况
包括经济活动的决策、执行、监督是否实现有效分离;权责是否对等,有权力是否承担相应的责任,有责任是否享有相应的权力;是否建立健全议事决策机制、岗位责任制、内部监督等机制。
(三)内部管理制度的完善情况
建立完善内部管理制度,明确经济活动流程、岗位职责和审批权限,使单位的经济活动有据可依、有章可循。内部管理制度设计合理并得到有效执行,有利于防范和管控经济活动风险。关注内部管理制度是否健全,执行是否有效。
(四)内部控制关键岗位工作人员的管理情况
包括是否建立工作人员的培训、评价、轮岗等机制;工作人员是否具备相应的资格和能力等。
(五)财务信息的编报情况
包括是否按照国家统一的会计制度对经济业务事项进行账务处理;是否按照国家统一的会计制度编制财务会计报告;是否按照财政部门的规定编制和报送单位预决算报告和预算执行情况的报告等。
(六)其他情况
除上述五个方面外,如果在单位层面还存在与经济活动风险有关的其他制度安排和机制设计,也应予以重点关注。
第十二条 业务层面风险评估应当重点关注的方面
业务层面风险评估是指对本单位的预算管理、收支管理、政府采购管理、资产管理、建设项目管理、合同管理等各项经济活动的风险进行的评估。对业务层面进行的风险评估,从梳理各项经济活动的业务流程、确定业务环节入手,进行目标设定、风险识别、风险分析和风险应对。
(一)预算管理情况
预算业务主要包括预算编制、预算内部批复、预算执行、决算和绩效评价等环节。在预算编制环节,主要的风险是认为预算编制仅是财务部门的工作,业务部门不参与其中,导致预算编制不科学、不合理,业务活动与其财力支持相脱节。在预算内部批复环节,主要的风险是没有将按照法定程序批复的预算在单位内部进行指标分解、审批下批,单位内部预算追加调整程序不规范。在预算执行环节,主要的风险是未按规定的额度和标准执行预算,资金收支和预算追加调整随意无序,产生无预算支出、超预算支出等情形。在决算和绩效评价环节,主要的风险是决算编制和绩效评价不及时、不准确,决算结果没有得到有效运用,没有起到事后控制的效果。
对预算业务进行风险评估时,重点关注:在预算编制过程中单位内部各部门间沟通协调是否充分,预算编制与资产配置是否相结合、与具体工作是否相对应;是否按照批复的额度和开支范围执行预算,进度是否合理,是否存在无预算、超预算支出等问题;决算编报是否真实、完整、准确、及时等。
(二)收支管理情况
收入业务主要包括收费许可的审批或收入合同的签订、收款(含缴库)、会计核算等环节。收入业务主要的风险包括:未按收费许可规定的项目和标准收取,存在违规收取的风险;收入收款业务分散在各个业务部门,缺乏统一管理和监控,导致收入金额不实、私设“小金库”的情形时有发生;票据、印章管理松散,存在收入资金流失的风险。
对收入业务进行风险评估时,重点关注:收入是否实现归口管理;是否按照规定及时向财务部门提供收入的有关凭据;是否按照规定保管和使用印章和票据等。
支出业务主要包括支出事项申请、借款或报销、资金支付、会计核算等环节。支出业务主要的风险是支出事项事前审核不严格,报销时单据审核不严格,存在使用虚假票据套取资金的风险。
对支出业务进行风险评估时,重点关注:是否按照规定审核各类凭据的真实性、合法性;是否存在使用虚假票据套取资金的情形。
(三)政府采购管理情况
政府采购业务的主要环节包括政府采购预算和计划编制、政府采购需求的提出和审核、组织政府采购、合同签订、组织验收、质疑投诉答复、档案记录等环节。政府采购业务最主要的风险包括:政府采购、资产管理和预算编制部门之间缺乏沟通协调,政府采购预算和计划编制不合理,导致政府采购活动与业务活动相脱节,出现资金浪费或资产闲置等问题;政府采购需求审核不严格,需求参数不公允,验收不严格,导致政府采购的货物或服务质次价高等问题;政府采购活动不规范,不按规定选择政府采购方式、发布政府采购信息,甚至以化整为零或其他方式规避公开招标,导致被提起诉讼或受到处罚,影响正常业务活动;政府采购业务档案管理不善、信息缺失,影响财务信息的真实完整等。
对政府采购业务进行风险评估时,重点关注:是否按照预算和计划组织政府采购业务;是否按照规定组织政府采购活动和执行验收程序;是否按照规定保存政府采购业务相关档案等。
(四)资产管理情况
资产主要包括货币资金、实物资产、无形资产以及对外投资。资产的取得环节与收入业务和采购业务密切相关,资产控制主要涉及日常管理、清查盘点、处置等环节。资产管理的风险主要包括:缺少有效的资产管理制度和信息系统,对资产保管不善引发资产流失,或资产使用效率低下、资源闲置浪费严重;缺少定期或不定期清查盘点的机制,存在账外资产,账实不符的现象严重;对资产处置等没有执行严格的审核审批程序,处置程序不合规,处置收入流失等。
对资产管理情况进行风险评估时,重点关注:是否实现资产归口管理并明确使用责任;是否定期对资产进行清查盘点,对账实不符的情况及时进行处理;是否按照规定处置资产。
(五)建设项目管理情况
建设项目通常是指固定资产的新建、改建、扩建工程,或者技术改造、设备更新和大型修缮工程。建设项目主要包括立项、设计与概算编制、项目建设、竣工验收等环节,其中最主要的风险包括:前期研究论证不充分,审核管理流于形式,可能导致决策失误或影响项目进度,造成资产损失或资源浪费;施工设计和项目投资缺乏有效管控,工程变更频繁随意,超概算现象严重;工程招投标存在“暗箱操作”或商业贿赂等舞弊行为,导致国有资产流失;虚列建设成本,套取建设资金;竣工验收不规范,档案和资产移交不及时,影响财务信息的真实完整等。
对建设项目管理进行风险评估时,重点关注:是否按照概算投资;是否严格履行审核审批程序;是否建立有效的招投标控制机制;是否存在截留、挤占、挪用、套取建设项目资金的情形;是否按照规定保存建设项目相关档案并及时办理移交手续。
(六)合同管理情况
合同管理主要包括合同订立、合同履行、合同登记、纠纷处理等环节。合同管理的主要风险包括:未明确合同签署权限和妥善保管合同专用章,对合同缺乏统一管理和监控,导致擅自以单位名义签订合同或违规签订合同的情况时有发生,造成合同收入流失或产生法律纠纷;未能恰当地履行合同约定的义务,或者发生合同纠纷时处理不善,造成经济损失并影响单位的声誉。
对合同管理进行风险评估时,重点关注:是否实现合同归口管理;是否明确应签订合同的经济活动范围和条件;是否有效监控合同履行情况;是否建立合同纠纷协调机制。
(七)其他情况
除上述六个方面外,如果在业务层面还存在与经济活动风险有关的其他制度安排和机制设计,也应予以重点关注。
第四章 风险评估工作程序和方法
第十三条 在进行风险评估时,按照目标设定、风险识别、风险分析和风险应对四个步骤具体开展。
第十四条 目标设定
各项经济活动各有特点,各项经济活动的控制目标也有所侧重。
风险评估工作小组根据各项经济活动的自身特点和相互联系,采取恰当的程序去设定控制目标,确保所选定的目标支持和切合本单位的实际情况。
第十五条 风险识别
风险识别是对本单位面临的各种不确定因素进行梳理、汇总,形成风险点清单(详见附表)。风险识别对本单位的经济活动的管理现状进行全面摸底,是一个动态的、连续的过程。本单位综合考虑自身的内外部环境,结合自身的经济活动特点,设计和选择适当的风险识别方法,全面地识别所面临的风险。
单位层面风险识别主要从组织、机制、制度、岗位和信息系统入手,主要内容包括:内部控制工作的组织情况,内部管理制度和制衡机制的建立、执行情况,内部控制关键岗位人员的管理情况,财务信息的编报情况以及信息技术的运用情况等。例如,如果单位没有建立起集体研究、专家论证和技术咨询相结合的议事决策机制,对于建设项目和大宗资产采购等复杂的经济事项,就可能存在事前论证不充分,导致后续损失或浪费的风险。
业务层面风险识别从梳理业务流程、明确业务环节入手,主要内容包括:各项经济活动的业务流程是否清晰合理,流程中的相关岗位的职责权限是否明确,不相容岗位是否相互分离;每个环节的授权审批是否科学完整,相关信息是否得到全面记录;各项管理要求是否在内部管理制度中予以明确,各项制度的执行是否有效,关键控制措施是否得到落实等。例如,支出业务中,如果支付审批和支付执行由同一人完成,不相容岗位就没有实现相互分离,则存在资金被贪污挪用的风险。
第十六条 风险分析
风险分析是在风险识别的基础之上,运用定量和定性方法进一步分析风险发生的可能性和对本单位目标实现的影响程度,为制定风险应对策略、选择应对措施提供依据。风险分析具体包括风险的可能性分析和影响程度分析。具体内容参考内部控制手册中风险评估的部分。
(一)对风险发生可能性分析可以根据风险的具体情况,采用定性及定量评估方法,定性方法主要从日常管理中可能发生的潜在风险、大型灾难或事故的风险两个层面进行分析并确定不同的可能性尺度;定量方法主要是以通过历史数据统计出一定时期内风险发生的概率作为标准进行评估。
(二)风险影响程度是指风险事件的发生对本单位所造成的影响的广度与深度,对于风险影响程度也可划分为五个级次,分别为极低、低、中等、高、极高,依次对应1至5分。对风险事件所造成的影响主要从财务收支、日常管理、法律法规的遵循三个方面考虑。考虑财务损失时采用定量的方法,以造成的损失金额大小为参照指标,确定风险影响程度的级别;考虑日常管理与法律法规的遵循时采用定性的方法,确定风险影响程度的级别。
第十七条 风险应对
风险应对是指在风险分析的基础之上,针对本单位所存在的风险,选定应对策略,制定风险应对方案。
(一)风险应对的策略一般有四种:风险规避、风险降低、风险分担和风险承受。选定应对策略以后,还应当有针对性地选择控制方法。
(二)制定风险应对方案
根据风险分析结果,审计处按照部门职责分工,明确中等及以上风险的责任部门和配合部门。有关部门结合业务活动管理实际情况,研究提出相关风险的管理策略、风险承受度和解决方案。
各部门研究确定风险应对方案,遵循以下基本要求:
1.结合本单位整体风险承受度,权衡风险与收益,确定业务层面的风险承受度。其中,本单位整体风险承受度由风险评估工作小组研究提出,报主任办公会审批确定。
2.综合运用风险承担、风险降低、风险分担、风险规避等风险应对策略,实现对风险的有效控制。
3.综合分析现有制度和流程,准确掌握有关领导人员和关键岗位人员的风险偏好,采取适当的控制措施,避免因个人风险偏好给本单位带来重大损失。
4.对风险进行分级控制。低风险一般不增加额外控制,中等风险着重从制度和流程层面进行防控,重要和重大风险根据需要从本单位整体层面上加以应对,由相关部门研究提出专门应对方案。
5.针对重大和重要风险确定量化的监控预警指标。对可能发生的重大风险和突发事件,制订应急预案,明确责任部门和人员,规范处置程序。一旦风险水平达到预警线,启动相应的应急机制。
第五章 风险评估工作报告
第十八条 审计处根据风险评估结果编制风险评估报告,并及时提交风险评估工作小组,以提请单位领导关注重要风险,及时采取针对性的应对策略和控制措施。根据本单位实际情况,经济活动风险评估报告至少应包括以下内容:
(一)风险评估组织情况:包括风险评估活动的工作机制、范围、程序和方法,以及资料和证据收集等情况。
(二)发现的主要风险事件:包括组织机构、议事决策、关键岗位、关键人员、会计系统以及信息技术等单位层面的风险事件,以及预算管理、收支管理、采购管理、建设项目、资产管理、合同管理等业务层面的风险事件。
(三)风险分析:从风险发生的可能性和影响程度两方面对风险发生因素进行分析并排序,确定需重点关注的风险因素,并进行分析,提醒单位领导重点关注。
(四)风险应对措施建议:提出风险应对措施的建议,确保建议的针对性、具体性和可行性,并落实到责任部门和责任人。
根据上述程序开展风险评估工作,并建立有效的风险评估保障机制,如制定风险评估管理制度,明确单位领导在风险评估中的责任,组建风险评估工作小组,制定风险评估方案,明确风险评估方法等,确保单位经济活动风险评估工作有效开展,为单位层面和业务层面内部控制建设奠定基础。
第六章 风险评估工作结果运用
第十九条 落实风险应对方案
风险应对方案经审定后,有关责任部门和配合部门负责执行落实。有关部门结合日常工作对风险解决方案的实施情况进行动态检查监督,结合经济活动分析等工作定期分析重大和重要风险的实际发生情况,评估风险解决方案的实施效果,研究制定改进措施。
对于风险防控工作中好的经验和做法,有关部门及时进行认真总结,从确保风险应对策略有效执行的角度,将其中可以常态化的工作内容和要求以制度和流程的形式固定下来,不断对制度、流程等进行补充、完善。
第二十条 跟踪检查和考核风险管理工作
审计处结合年度风险评估和全面风险管理报告编制工作,定期系统总结单位系统风险管理工作情况及成效,通盘考虑整体的风险组合和风险水平,分析各职能部门、所属单位风险管理工作总体情况,研究提出风险管理工作持续改进意见。有关内容纳入年度风险管理报告,报风险评估工作小组审议、决策会议审定后印发执行。
在年度绩效考核中纳入风险管理工作的有关内容,通过对各项绩效目标进行过程监控动态跟踪风险防控情况,促进风险管理各项工作的落实。
第七章 附 则
第二十一条 本办法由信阳师范学院内部控制办公室负责解释。
第二十二条 本办法自发布之日起施行。
附表:风险评估风险清单
