(四)行政事业单位风险识别方法
关于风险识别的方法,在国外,美国COSO制定的《内部控制——整合框架》已经研发出许多工具及方法。大多数方法——尤其是内部和外部审计师开发的用来确定其活动范围的那些方法——涉及排序和识别高风险活动的定量和定性方法,包括:定期评价影响业务的经济和行业因素,高级管理层的业务计划会议以及与行业分析师的会谈。也可以结合短期和长期预测以及战略规划来识别风险。主体选择哪种方法来识别风险并不太重要,重要的是管理层应该仔细考虑可能会引发或增加风险的因素。需要考虑的一些因素包括:以前未能实现目标的经历;人员的素质;影响主体的各种变化,例如竞争者、法规、人员以及类似的变化;是否存在分布在不同地域(尤其是国外)的活动;活动对于主体的重要性;活动的复杂性。
美国COSO制定的《企业风险管理——整合框架》给出了事项识别技术的例子,如事项目录、内部分析、扩大或底限触发器(escalation or threshold triggers)、推进式研讨与访谈、过程流动分析、首要事项指标、损失事项数据方法。我国的《中央企业全面风险管理指引》认为进行风险辨识、分析、评价,应将定性与定量方法相结合。
行政事业单位风险识别方法很多,各有其优缺点和适用条件,世界上没有一个适用于全部风险识别的最好方法。实际工作当中,即使识别同一种风险也可以同时使用几种方法。总结国内外风险识别的实践经验,下面的方法或工具比较常用:问卷调查法、现场勘察法、推进式研讨法、财务分析法、流程图法、情景分析法、事件树分析法、风险数据库、风险图谱等等。
不论采用什么方法,只要确实把风险识别出来就行。不能过分强调定量分析模型。简单的就是有用的。风险数据库就是一个简单实用的工具。风险数据库不可能有统一的格式和内容,但能够把识别出来的风险按风险类别、风险描述、风险因素、管理部门、业务流程等列示出来就可以了。然后根据识别出来的风险和分布,绘制风险分布图,即风险图谱是更加直接、形象的方法。
行政事业单位的风险评估
行政事业单位风险评估是行政事业单位内部控制的主要组成要素,是行政事业单位实施有效内部控制的重要步骤,对其内部控制理论和实践建设具有重要的现实意义。美国COSO制定的《内部控制——整合框架》认为每个主体都面临着来自外部和内部的必须予以评估的一系列风险。风险评估的前提是设定不同层次的相互关联和内在一致的目标。风险评估是识别和分析影响目标实现的相关风险,为确定应该如何管理这些风险奠定基础。由于经济、行业、监管和经营条件将持续变化,因此需要建立识别和应对与变化相关的特殊风险的机制。财政部制定的《行政事业单位内部控制规范》(2010.9.12第3稿)要求单位应当建立经济业务活动定期风险评估制度。
(一)行政事业单位风险评估的概念
人们关于风险评估概念的认识有广义和狭义之分。在国外,美国COSO制定的《内部控制——整合框架》把目标设定作为风险评估的前提条件,把风险识别、风险分析、管理变化作为风险评估的重要议题,认为识别和分析风险的过程是一个持续、反复的过程,它是有效的内部控制体系的关键构成要素。管理层必须仔细关注主体内各个层次的风险,并采取必要的措施来加以管理。
美国COSO制定的《企业风险管理——整合框架》把目标设定、事件识别、风险应对从风险评估中细分出来作为独立要素。巴塞尔委员会发布的《银行组织内部控制系统框架》认为风险评估包括目标设定、风险识别与分析、风险应对。日本企业会计审议会审议发布的《关于财务报告内部控制评价与审计准则以及财务报告内部控制评价与审计实施准则的制定(意见书)》认为,风险的评估与应对是指针对对组织目标实现产生影响的事项,将阻碍组织目标实现的因素作为风险确认,并进行分析与评价,来对该风险进行适当应对的一系列程序。
(未完待续)
文 李三喜
关注读览天下微信,
100万篇深度好文,
等你来看……
