《事业单位W局内部控制风险评估.docx》由会员分享,可在线阅读,更多相关《事业单位W局内部控制风险评估.docx(6页珍藏版)》请在优知文库上搜索。
1、事业单位W局内部控制风险评估风险评估是单位及时识别、系统分析经营活动中与实现管理目标相关的风险,合理确定风险应对策略的过程,是风险管理的基础与核心。在风险评估中,既要识别和分析对实现目标具有阻碍作用的风险,也要发现对实现目标具有积极影响的机遇。风险评估的基本流程包括风险初始信息收集、风险的识别、分析与评价、风险管理策略与选择等。单位在日常经营中充分、连续搜集风险管理信息,根据自身业务特点,选用具备可兼容性的风险分析技术,对风险管理信息进行辨识、计量、评估、分析,采用适当的风险控制技术方法,并形成相关记录,为应对风险提供相应控制策略依据。一、评估部门风险评估由内部控制主管处室负责计划、组织和安排
2、具体工作;组织财会、资产管理、采购、基本建设、内部审计、纪检监察等处室或岗位工作人员成立风险评估小组,进行风险评估工作。评估人员在梳理各类经济活动的业务流程、明确业务环节的基础上,系统分析经济活动风险,确定风险点,并据此选择控制方法和应对措施。二、评估周期及方法L评估周期:单位对内部经济活动的风险评估至少每年进行一次,在全面、系统、准确分析单位各经济业务活动风险的基础上,绘制各业务事项的流程图,确定经济活动的风险点,剖析风险存在的原因,以及导致风险发生的可能性,以确保新的风险得到及时有效的控制。同时,对预算、收支等高风险经济活动业务,开展不定期评估,建立风险预警系统,有效地防范和管控风险。2.
3、评估方法:单位内部控制的风险分析,采用以定性、定量相结合的方式,从风险可能性、风险影响度等方面进行评估。(1)可能性定性的测度很可能:即在多数情况下预期可能发生。可能:在某些时候可能发生。不太可能:在多数情况下都不太可能发生。表1风险评估的五级评分(示例)评分可能,铲、12345可能性定量分析10%以下10%30%30%70%70%90%90%-100%风险可能性测度不太可能可能很可能风险可能性测度的描述极低较低中等较高极高-般情况下不会发生在极少情况下才会发生会在某些情况下发生会在较多情况下发生经常会发生在之后10年发生的可能少于1次在之后5至10年内可能发生1次在之后2至5年内可能发生1次
4、在之后1年内可能发生1次在之后1年内至少发生1次(2)景乡响程度分析的测度重大:对目标实现有重大影响,如发生,将造成极大的损失。次重要:对目标实现有中等程度的影响,如发生,将造成一定的损失。不重要:目标实现不受影响,如发生,将造成较低的损失。单位应当基于自身的定位和特色,利用专业的评估工具对内外部风险进行量化的分析,对风险可能发生的频率和后果赋值,计量风险的严重程度,同时设定本单位对风险的容忍限度,对诊断出的所有风险进行排序,随后建立相应的风险数据库和风险分析排序表,制定正确的风险应对策略。表2风险评估的影响程度(示例)平分响程腔、12345风险影响程度定量分析损失低于100元造成损失I(X)
5、元2000元造成损失2,000元-10,000元造成损失10,000元-1000,000元造成损失1,000,000元以上风险影响程度测度极低较低中等较高极高财务影响极低的财务损失较低的财务损失中等的财务损失重大的财务损失极大的财务损失声誉影响负面消息未使单位负面消息造成单位声誉轻微受损负面消息造成单位声誉中等受损负面消息造成单位声誉重大受损负面消息造成单位声誉灾难性受损风险影响程度测度描述不会影响单位的日常活动对单位日常活动有轻度影响,对单位日常活动有中度影响对单位日常活动造成重大影响对单位日常活动造成灾难性性影响(3)风险识别矩阵单位风险评估小组(或部门)根据风险分析的结果,结合风险承受程
6、度,对各层面的分析进行排序分析,形成风险识别排序表和风险识别矩阵。风险识别排序表根据风险评分自高到低排序。风险识别矩阵对各类风险进行区分(如表3),其中讽险影响度列为“重大L可能性为“很可能”的风险列为一级风险,风险影响度列为“重大或次重要”、可能性为“可能”或“很可能的风险列为二级风险,风险影响度列为“不重要”或“次重要”、可能性为“可能”或不太可能”的风险列为三级风险。单位根据上述风险分析方法,分别确定各管理业务层面的风险点,并确定相应的后续应对策略。表3风险分析的识别矩阵(示例)可能性影响程度低中高极低较低中等较高极高O-I12233445IrJ极高45二级二级一级一级一级较高34三级二
7、级二级一级_级中中等23三级三级二级二级_级低较低12三级三级三级二级二级极低(M三级三级三级三级二级三、评估步骤1 .风险初始信息收集(1)内部控制主管处室负责对单位内、外部环境的相关信息进行系统收集、更新及维护。外部环境包括社会、政治、法律、经济环境,以及对组织目标有影响的关键驱动因素和发展趋势等;内部环境包括组织架构、角色和责任、组织文化、管理特色、财务因素、信息系统、信息流和决策过程等。(2)各有关职能处室负责收集与其职能相关的风险管理初始信息,并对收集到的风险管理初始信息进行更新和维护,由内部控制主管处室进行指导和监督。(3)单位通过内部讨论、数据收集、外部沟通等方式对信息进行收集。
8、由于信息的多样性与广泛性,单位通过建立的相应规范流程与标准模板,对信息进行系统筛选、提炼、对比、分类和组合。同时,单位通过风险信息收集的汇报与监督机制,确保风险初始信息的收集充分、有效。2 .风险的识别、分析与评价(1)风险评估小组针对风险分类、风险评估标准、风险模板、应对策略制定原则等内容,对各相关处室开展培训,并组织各处室的风险评估人员进行风险信息的收集以及风险事项的识别,分析风险的原因和后果,评价风险的重要性水平。由风险评估工作小组负责汇总、整理、排序各处室提交的风险评估结果根据评估分值确定风险等级,汇总、整理出风险评估初步结果。(2)单位采用定性与定量相结合的方法对风险进行识别、分析、
9、评价。定性方法包括问卷调查、集体讨论、管理层访谈、专家咨询、情景分析、政策分析、调查研究等。定量方法包括采用统计推论(如集中趋势法X计算机模拟(如蒙特卡罗分析法失效模式与影响分析、事件树分析等。3 .风险管理策略与选择(1)单位根据自身情况确定风险偏好和风险容忍度,通过正确认识和把握风险与收益的平衡,明确各项风险的管理策略,包括:风险规避、风险承受、风险转移、风险降低。(2)单位在确定优选顺序时,遵循风险与收益相平衡的原则。在风险评估结果的基础上,全面考虑风险与收益,首先解决“颠覆性的”风险问题,保证单位的持续发展。根据风险与收益平衡的原则,单位通过以下因素确定风险管理的优选顺序:风险事件发生
10、的可能性和影响、风险管理的难度、风险的价值,或管理可能带来的收益、合法合规的需要、对单位人力、资金等的需求以及利益相关者的要求。(3)单位基本风险管理策略的制定遵循合规性、全面性、审慎性、适时性原则,以制度为基础、以流程为依托,将风险管理覆盖到单位经营管理的各个环节和岗位中,并形成“事前防范、事中控制、事后评价”的风险管理机制。(4)风险评估小组负责风险应对的总体指导和协调,各处室完成应对策略及应对方案后,汇总报风险评估工作小组。(5)单位对已制定的风险管理策略的有效性和合理性进行定期总结和分析,随着单位经营状况的变化,经营战略、规划的变化,外部环境风险的变化,定期对风险管理策略进行调整,不断修订和完善。