行政事业单位如何开展内部控制风险评估

主讲：谭艳艳

中南财经政法大学政府会计研究所

目  录

一、行政事业单位内部控制风险评估的基础知识

二、行政事业单位内部控制风险评估的实务操作

一、行政事业单位内部控制风险评估的基础知识

（一）什么是行政事业单位的内部控制？

（二）行政事业单位为什么要进行内部控制？

（三）什么是行政事业单位内部控制风险评估？

（四）行政事业单位为什么要进行内部控制风险评估？

（一）什么是行政事业单位的内部控制？

单位为实现控制目标，通过制定制度、实施措施和执行程序，对经济活动的风险进行防范和管控。

——《行政事业单位内部控制规范（试行）》

（二）行政事业单位为什么要进行内部控制？

（三）什么是行政事业单位内部控制风险评估？

风险是不确定性对目标的影响。

——GB/T23694-2013

风险评估的任务是识别和分析相关风险，评估风险概率和可能带来的负面影响，确定组织承受风险的能力，确定风险消减和控制的优先等级，推荐风险消减对策，是风险管理和内部控制的基础。

（四）行政事业单位为什么要进行内部控制风险评估？

单位应当建立经济活动风险定期评估机制，对经济活动存在的风险进行全面、系统和客观评估。

经济活动风险评估至少每年进行一次；外部环境、经济活动或管理要求等发生重大变化的，应及时对经济活动风险进行重估。

——《行政事业单位内部控制规范（试行）》

二、行政事业单位内部控制风险评估的实务操作

（一）明确目标

内部控制的总体目标

单位的风险偏好和风险承受度

案例分析：行政单位的风险承受度V.S.事业单位的风险承受度

（二）准备工作

1．组建评估小组

2．确定评估范围

3．制定评估方案

4．收集相关信息

1．组建评估小组

【案例1】

（1）成员构成

组长：　*** 党委书记、局长

副组长：***党委委员、副局长

***党委委员、副局长、机关支部书记

***党委委员、工会主席

***副调研员

成员：　***产业发展计财科科长

***监督管理科科长

***办公室主任

***组织人事科科长

***机关支部专职副书记

（2）工作机制

财政牵头、纪委监督、各部门协同的联席办公机制，领导小组下设办公室，

内控风险评估工作日常事务

内控风险评估的监督检查工作

内控风险评估情况由领导小组办公室向领导小组分管副组长进行汇报审核，再向组长汇报。

内控风险评估日常监督工作情况由领导小组监督部门向领导小组分管副组长进行汇报审核，再向组长汇报。

2．确定评估范围

业务范围：单位层面风险和业务层面风险

部门范围：主责部门、配合部门

3．制定风险评估方案

【案例2】以某高校为例

总则：方案制定依据、风险评估的界定、风险评估遵循的原则、评估的内容等

工作机制：参与部门、职能分工、评估周期、报告机制等

评估内容：单位层面、业务层面等

评估工作程序：成立工作小组、明确人员分工、通知相关单位、报送评估资料、

组织实施评估、分析内控风险、撰写评估报告、征求单位意见、修改评估报告、提交评估报告

4．收集相关信息

收集风险评估初始信息——识别单位经济活动中存在的风险事项——编制风险评估问卷——发放、填写问卷

（三）风险识别

【案例3】

某医院住院部主任石某利用担任住院处主任并负责出院结账工作的职务便利，共贪污、挪用公款1 098万余元。

该院住院部现金管理长期处于真空地带。住院部属于医院办理住院费收支结算的内部二级核算单位，现金收支活动及其结果理应受到医院财务处的管理和监督，然而每年住院部收取预交现金约几千万元，却仅将预交现金扣除出院退款后的余额缴存银行，并以取得的交款单作结算日报。财务处只掌握预收款减掉退款后的净额而不掌握预收现金、出院退款、出院收取补交款等明细项目。

1．风险识别方法

2．风险识别举例——外部风险

3．风险识别举例——单位层面风险

3．风险识别举例——单位层面风险

（1）组织结构风险

单位内设机构设置风险

单位内设机构职责权限风险

单位内设机构人员编制风险

单位内设机构风险

主要风险：

单位内部监督机构受控于决策机构——舞弊

管理层级过多——影响服务效率

机构设置、调整、撤销未按规定程序进行——不合规

单位内设机构的设计和运行不能满足信息沟通的需求——影响服务效率

单位内设机构职责权限风险

权责分配不清——舞弊、影响服务效率和效果

分工后缺乏明确说明——影响服务效率

对内设机构权限的设置和履行未进行监督——舞弊

某行政单位财务处机构职责说明书（示例）

机构定位

岗位数量

机构负责人

分管领导

组织结构

工作职责

管理权限

业务流程

协作关系

……

单位内设机构人员编制风险

超编安排人员——不合规

虚报编制——不合规

编制安排和使用不合理——影响服务效率和效果

未定期开展机构编制管理监督检查工作——影响服务效率和效果

发现编制管理中的问题未进行及时整改——影响服务效率和效果

【案例4】单位内设机构人员编制风险案例分析

Y县为我国中部经济不发达的县。2018年6月9日，经该县县长、编委副主任J某授权，常务副县长、县编委副主任L某主持召开编委会，研究讨论了部分事业单位长期借调人员的调动、专业技术人员补充和退伍军人政策性安置等事宜。会议认为，县里部分副处级、正科级干部为县里的经济社会发展作出了重要贡献，可以不经考试为这些干部每人安排一名子女或亲属进入县党政机关或财政全额拨款事业单位。会议研究决定了25人的调动和安置。这25人中，其中有15人超编安置进了县直事业单位。安置的25人中，有8人为县、科级领导干部子女。此事被举报到H省委组织部，H省委组织部会同省编办进行了查处。

（2）议事决策内部控制风险

决策人员组成

决策事项范围

议事决策程序

议事决策问责

主要风险

决策人员缺乏相关专业知识——影响服务效率和效果

决策机构权限不明确——影响服务效率和效果

决策程序不符合国家政策文件、法律等——不合规

决策程序设置不当——舞弊、腐败

决策过程中缺乏专家论证等——影响服务效率和效果

未建立经济活动决策问责机制——舞弊、腐败、影响服务效率和效果

（3）关键岗位风险

关键岗位识别

关键岗位责权分配

关键岗位任职管理

关键岗位岗位分离

关键岗位轮岗

关键岗位绩效奖惩

主要风险

未对单位经济活动关键岗位进行识别——舞弊、腐败、影响服务效率和效果

未恰当描述单位经济活动的关键岗位职责——影响服务效率和效果

未对关键岗位的不相容岗位进行分离——舞弊、腐败

关键岗位考核奖惩机制设计不合理——影响服务效率和效果

识别关键岗位的维度：

目标贡献度、岗位工作的重要性、岗位工作的复杂性、认知条件的独特性

关键岗位说明书（示例）

岗位名称

岗位类别

所在部门

汇报对象

岗位级别

岗位职责

岗位要求

任职资格

……

（4）关键人员风险

关键人员资格控制

关键人员培训控制

关键人员奖励控制

关键人员惩戒机制

主要风险

选择不具有岗位胜任能力或综合道德素质不高的人员承担关键岗位工作——影响服务效率和效果、腐败、舞弊

未根据关键岗位的任职要求选择岗位人员——不合规、影响服务效率和效果

未对关键人员开展专门培训或者培训不当——影响服务效率和效果

未针对关键人员设定具体的奖励措施或者措施不当——影响服务效率和效果、腐败

未对关键人员设定惩戒标准或措施——舞弊、腐败

（5）会计信息系统风险

会计机构设置

会计政策选择

会计业务操作

主要风险

单位会计机构和岗位设置不健全、会计专业人员素质不高——资产不安全、舞弊

单位会计制度不健全——影响财务信息的真实性和完整性

会计业务处理程序不当——不合规

财务部门和其他部门协调沟通不足——影响服务效率和效果

（6）信息系统内部控制风险

信息系统组织层级过多，内部角色和职责定义不清——影响服务效率和效果

信息系统规划与方案不合理——影响服务效率和效果

没有建立规范的信息系统日常运行管理规范——影响服务效率和效果

业务部门信息安全意识薄弱——舞弊、影响服务效率和效果

信息系统处理不正确——资产不安全、舞弊、影响服务效率和效果

4．风险识别举例——业务层面风险

（1）预算管理中的风险

预算管理相关制度不完善——影响服务效率和效果

预算编制不科学——影响服务效率和效果

预算新增需求不真实——腐败

没有进行预算执行分析——腐败、影响服务效率和效果

决算与预算存在脱节、口径不一——财务信息的真实性和完整性、影响服务效率和效果

【案例5】某事业单位预算业务制度方面的风险案例

①项目支出项目库管理尚待落实

风险描述：当前，针对项目支出，单位尚未进行项目库管理。单位制定了《**单位预算管理办法（征求意见稿）》，但尚未对项目支出纳入项目库管理作出明确规定。项目立项、入库、申报等管理环节，编制、审核、评审等管理活动缺乏制度约束，业务活动与预算管理的整合衔接难以有效实现。

风险提示：《加强和改进中央部门项目支出预算管理工作实施方案》中明确要求，从编制2016年部门预算起，项目支出按新的管理方式运行，力争用3年的时间构建起以三年滚动规划为牵引，以宏观政策目标为导向，以规范的项目库管理为基础，以预算评审和绩效管理为支撑，以资源合理配置和高效利用为目的，以有效的激励约束机制为保障，规模适度、结构合理、重点突出、管理规范、运转高效的中央部门项目支出预算管理新模式，充分发挥预算的资源配置功能和政策工具作用。

方案规定了要全面落实加强和改进项目支出预算管理各项工作。完善项目设置规则，改进项目管理方式，加强项目库建设和管理，推进预算评审和绩效管理，强化项目执行管理，实行中期财政规划管理。项目全部纳入项目库管理，做实项目库，充实项目储备，列入预算安排的项目必须从项目库中选取。入库项目必须有充分的立项依据、明确的实施期限、合理的预算需求和绩效目标等。纳入项目库的项目实行全周期滚动管理，建立中央部门项目库与财政部项目库的信息交流机制。

②预算编审审核审批程序有待加强

风险描述：基于单位现有财务制度，发现针对预算编制的审核审批程序没有明确的规定。缺乏预算事项归口管理部门归口审核、协调平衡，财务处综合平衡单位年度预算、内部复核，预算管理委员会、单位党委常委会等学校预算决策机构审核审批的制度约束，尚未明确各岗位职责权限和权利运行规程，没有切实做到分事行权、分岗设权、分级授权、定期轮岗。

风险提示：……

③预算批复程序尚未落实到制度

④预算执行申请审核程序有待加强

⑤预算执行分析环节有待加强，预算执行分析反馈和整改机制尚未落实

⑥决算管理流程尚未落实到制度

⑦绩效考评工作有待落实

（2）收支管理中的风险

虚编收入或收费标准——舞弊

入登记混乱——财务信息失真

收入、支出核算不按规章制度执行——不合规、财务信息失真

截留、坐支、挪用非税收入——舞弊、腐败、财务信息失真

支出范围和开支标准不符合规定——不合规、腐败

资金支付不符合国库集中支付、政府采购、公务卡结算等政策规定——不合规、腐败

改变资金用途——腐败

支出事项缺乏事后监控——腐败、影响服务效率和效果

【案例6】某高校收支管理风险案例分析

一是、非税收入票据管理制度未细化

风险描述：当前学校现有的财务制度，发现针对非税收入的票据制度尚未落实。学校制定了《**大学收费票据管理办法》，但针对非税收入票据没有专门的细化的制度管制，难以保证运行的有效性。

二是、缺少创收收入分配流程

风险描述：当前，学校缺乏针对收入相应的分配流程，资金使用情况不明晰。学校制定了《**大学部门创收收入管理办法》，但尚未对创收收入的分配去向作出明确规定。资金使用情况难以合理有效控制。

三是、制度中未明确收入审核审批流程

风险描述：当前学校现有制度仅对各项经费的签批负责人作出了规定，并未明确支出的审批流程及责任，难以保证审批的高效性及责任归属。

四是、支出审核审批流程不明确

风险描述：**大学现有针对各项支出的制度，多数仅停留在原则层面，费用支出标准多参考国家及省级法律，未针对学校实际情况进行细化。在审核审批方面，仅对各项经费的签批负责人作出了规定，并未明确支出的全部审核审批流程及责任。

（3）政府采购业务中的主要风险

政府采购管理内部控制活动流程图（示例）

主要风险

政府采购活动与业务活动相脱节，出现资金浪费或者资产闲置——影响服务效率

超预算指标和内容编制采购计划——影响服务效率

对政府采购需求审核和审批不严——影响服务效率和效果

未按政府采购预算进行采购——影响服务效率和效果

未按规定发布采购信息——舞弊、腐败

采购验收不严格——腐败、影响服务效率和效果

政府采购档案管理不善、信息缺失——影响政府采购信息和财务信息的真实性和完整性

【案例7】某环保局政府采购业务中的风险案例分析

政府采购预算编制与审批不充分

M环保局在2016年和2017年的政府采购预算存在大额调整的现象，环保局财务处负责人解释说主要原因是年度内追加的支出预算有属于政府采购项目的部分，市财政局在年中加大了对“环保五大行动”专项资金的投入。

政府采购实施存在招标风险

采购需求的确定以及采购方式的选择，其目的是为了编制采购文件，是采购活动开展的第一步，M环保局编制采购文件时并不完善，曾出现过同类型采购项目的招标文件不一致的情况，同时，采购实施主要是运用不同的采购方式达到采购目的，M环保局每年都存在采购流标的现象，但是单位并没有对此进行分析和管理，而是通过更换采购方式或者再次招标来继续采购，导致有一些采购项目需要采购2-3次才能成功，影响了采购的效率。

政府采购验收不规范

M环保局的政府采购验收主要是由验收小组进行，但对于人员的具体要求描述得非常模糊，也没有任何约束性条款。经访谈后勤服务中心人员发现，一般的采购验收都是由使用人直接进行了，并没有经历验收小组的环节，只有在单位进行特殊的采购，例如公开招标购买大型环保设备或者购买进口的专业设备时才会采用验收小组进行验收，且验收小组的成员多为“后勤服务人员A+采购业务部门人员B+财务处人员 C”的构成，完全违背了《暂行办法》里规定的内容。同时，验收小组的权力过大，缺乏上级的审核、审批。

政府采购档案管理效率不高

M环保局的采购档案是按年度移交档案室，也就是说年初发生的采购项目需要由部门保存整年再移交，这就会出现档案保存风险，2016年后勤服务中心因为办公室装修，需要暂时进行办公室搬动，在这过程中就出现了采购档案缺损的现象，且因为没有进行完整的电子存档，缺损的档案修复起来比较困难。

（4）资产管理中的主要风险

财政部关于进一步规范和加强行政事业单位国有资产管理的指导意见

资产管理目标

保障履职

配置科学

使用有效

处置规范

监督到位

主要风险

资产管理相关岗位不健全，不相容岗位未实现有效分离——舞弊

银行账户管理不善——舞弊、腐败

资产配置不合理——影响服务效率和效果

资产保管不当——资产不安全、财务信息失真

资产处置没有执行应有的程序——不合规、舞弊、资产安全

资产管理中的风险案例分析

【案例8】广东省某市气象局经领导班子集体研究决定，采取虚开扩大防雷工程材料发票、防雷工程施工收费，收取防雷工程款不入账等手段，先后套取资金共115万多元，违规设立“小金库”，用于发放干部职工奖金和福利补贴，先后3次共发放83.1万元。

【案例9】广东省某市交通规划勘察设计院院长张某在主持全面工作期间，指示会计谢某，采取将收取的部分工程款及外单位的图纸复印费不入账等手段，截留资金27.5万元，私设小金库。另一院领导指示会计谢某采取签订虚假工程合同的形式，先后签订7份虚假工程好能通过，套取资金74万元，放入小金库。小金库用于平时请客送礼，账目每两月核对一次，并销毁有关单据。

（5）建设项目中的主要风险

项目未经过有效的可信性研究和严格审核——资产不安全、影响服务效果

项目设计不合理——舞弊、腐败、影响服务效率和效果

项目招标中存在串通、贿赂等行为——舞弊、腐败

项目变更审核不严格——影响服务效率和效果

项目竣工验收不严格——财务信息失真、资产安全、影响服务效果

项目未及时办理资产及档案移交——财务信息失真、资产安全

【案例10】建设项目中的风险案例分析

某自治区卫生厅原副厅长李某利用职务之便，在自治区康复保健中心建设项目中通过虚增工程量和提高工程材料单价等手段贪污款物折合人民币55万元，在工程招投标、承揽项目、设备采购等方面收受和索取他人贿赂折合人民币111万元。法院以受贿罪、贪污罪判处其有期徒刑十六年。

（6）合同管理中的主要风险

调查结果与被调查单位的实际情况不符——资产不安全

与合同对方合谋——舞弊、腐败、资产不安全

合同审核不严格——资产不安全

合同纠纷处理不当——资产不安全

未按约定履行合同条款——资产不安全

未按要求对合同进行登记归档——不合规、资产不安全

合同管理中的风险案例分析

【案例11】某医院与医用耗材供应商签订了耗材采购合同，双方对供货价格已经达成协议，但是由于该耗材的价格不断下降，医院提出变更协议价格，供应商按照原合同价格的九折供货。供应商在生产耗材时，为了降低成本，简化了工序和用料，而医院由于缺少合同变更的审核和信息传递环节，财务仍按原价付款，造成了巨额的经济损失。

【案例12】某机关单位将其下属的职工食堂对外承包，经过层层考核，与相关承包方签订了食堂承包合同，合同约定承包方按期上缴水电费，直到缴费机关上门催缴，该机关才得知合同没有得到执行。签订的保洁外包合同，价款中包含了国家规定的保险费用，实际上对方甚至连保险登记都未办理。可见，该机关对合同执行情况的监督不力，影响了机关相关业务的正常开展。

（四）风险分析

1．风险的可能性分析（示例）

2．风险事件的影响程度（示例）

3．风险矩阵

（五）风险评价

风险矩阵

风险评估报告

（1）风险评估的组织情况

（2）发现的主要风险

（3）对风险的详细分析情况

（4）风险评估结论

（5）风险应对措施建议

**单位风险评估报告（示例）

根据**文件要求，我单位组织开展了对单位各部门的风险评估活动，现将结果报告如下：

一、风险评估活动组织情况

（一）工作机制

      本次风险评估活动，是在单位内部控制工作领导小组的领导下，由**部门具体组织实施的。为完成工作，经单位领导同意，从**部门抽调相关工作人员组成内部控制风险评估小组，专门从事此次风险评估活动。

（二）风险评估范围

      本次风险评估所涉及的业务范围包括单位层面风险和业务活动层面风险，单位层面风险包括……，业务活动层面风险包括……

（三）风险评估的程序和方法

1．风险评估程序

        …………

2．风险评估方法

风险清单法、文件审查法、实地检查法、流程图法、财务报表分析法、小组讨论和访谈等……

二、风险评估活动发现的风险因素

（一）单位层面风险因素

单位的部分内控关键岗位没有定期轮岗（A1）

       ……

（二）业务层面风险因素

1．单位预算未分解下达至各科室及业务部门，可能导致预算权威性不足，执行力不够；（B1）

2．单位未按规定建立票据台账；（B2）

3．单位支出事项未严格按照审批权限执行；（B3）

…………

三、风险分析

1．单位总体风险水平

根据风险评估表对单位各个层面风险进行打分评价，单位总体风险水平为25.98（风险最高100分），属于偏低水平。

2．重要和重大风险因素

经对以上风险因素进行分析，以上所列风险因素根据发生可能性和影响程度列表如下：

四、关于应对风险的措施建议

1．严格落实关键岗位人员轮岗制度；

2．财务部门根据统计财政部门批复的预算和单位内部各业务部门提出的支出需求，将预算指标按照部门进行分解，并下达至各业务部门；

3．票据专管员严格按照票据管理制度建立票据台账；

4．加强对各项支出业务的审查，严格按照审批权限执行并收集相关的原始资料。

（六）风险应对

1．事中和事后的风险应对策略

（1）风险规避：不从事（不开始）产生某种高风险的经济活动，如投资等；

（2）风险降低：降低损失发生的概率或者减轻风险后果的损失程度，如完善制度等；

（3）风险转移：借助他人力量，如业务外包等；

（4）风险承受：对风险承受度之内的风险主动或者被动接受。

2．事前的内部控制方法

（1）不相容岗位分离

授权审批岗位与业务执行岗位分离；

业务执行岗位与监督检查岗位分离；

业务执行岗位与会计记录岗位分离；

财产保管与会计记录岗位分离；

授权审批与监督检查岗位分离。

（2）内部授权审批控制（示例）

（3）归口管理

集中性：将同类业务或事项交由一个机构、部门或岗位进行管理

规范性：将同类业务或事项用同一种或相似的管控方式进行控制

专业性：将同类业务或事项交由一个机构或岗位来控制

（4）预算控制

组织管理体系控制

预算编报控制

预算批复控制

预算下达控制

预算追加调整控制

预算执行控制

决算控制

考评控制

（5）资产保护控制

资产管理体系控制

货币资金控制

实物资产控制

无形资产控制

对外投资控制

（6）会计控制

依法设置会计机构，配备会计从业人员

落实岗位责任制，确保不相容岗位相互分离

加强对会计信息质量的控制

建立健全会计档案保管制度

建立部门沟通协调机制

（7）单据控制

表单控制

票据控制

单据制度化

管理和使用单据规范化

（8）信息公开控制

建立健全信息发布协调机制和责任机制

确定信息公开的内容、范围、方式和程序

拓宽信息公开渠道，创新信息公开方式

以信息化为平台，收集各方反馈意见