内部控制
行政事业单位如何进行内部控制?(九)
添加日期:2015年03月16日
行政事业单位的风险识别
行政事业单位的风险识别,对行政事业单位实施有效内部控制具有重要现实意义。行政事业单位不仅存在着风险,而且比企业更难以判断和控制。正如美国COSO《内部控制———整合框架》所说,由于内部或外部的因素,一个主体的业绩可能存在风险。
(一)行政事业单位风险识别的概念
从收集到的文献资料看,人们对风险识别的概念认识不完全一致,名称也不尽相同。在国外,美国COSO制定的《内部控制———整合框架》把风险识别作为风险评估的一项重要内容,认为风险识别是一个反复的过程,通常与计划过程结合在一起。美国COSO制定《企业风险管理———整合框架》称之为事件识别,认为不确定性的存在,使得企业管理者需要对这些事项进行识别,并将事件识别从风险评估要素中独立出来。我国《中央企业全面风险管理指引》称为风险辨识,认为它是指查找企业各业务单元、各项重要经营活动及其重要业务流程中有无风险,有哪些风险。《上海证券交易所上市公司内部控制指引》叫做风险确认,是指董事会和管理层确认影响公司目标实现的内部和外部风险因素。《深圳证券交易所上市公司内部控制指引》叫做事项识别,是指公司管理层对影响公司目标实现的内外事件进行识别,分清风险和机会。
本文把上述叫法统一为风险识别,行政事业单位的风险识别是对所面临的各种风险进行确认的一个动态化和连续不断的过程。行政事业单位所处的环境日益复杂,不论目标是明确的还是隐含的,由于外部或内部因素的影响,其在实现目标的过程中可能存在风险,并可能影响其目标的实现。而且随着政府环境的日趋复杂和恶化,这种可能性还在加大。行政事业单位要对风险进行有效的内部控制,首先得知道有哪些风险,风险在哪里,也就是说要把风险给识别出来,因此,风险识别是行政事业单位实施有效内部控制的重要步骤。
显然,随着客观环境的变化,行政事业单位的风险也会改变性质或者出现新的风险,有效的内部控制随着环境的变化可能变得无效了或者不那么有效了,对风险进行连续不断地识别就成为行政事业单位实施有效内部控制的必然。因此,可以说行政事业单位风险识别是一个动态和连续不断的反复过程,需要针对行政事业单位环境的变化持续进行。
(二)行政事业单位风险识别的内容
美国COSO制定的《内部控制———整合框架》认为风险识别应该全面,并把风险评估内容分为主体层次和活动层次两方面,并认为主体层次的风险可能是由外部或内部因素引起的。除了识别主体层次的风险以外,还应该识别活动层次的风险。应对这个层次的风险有助于将风险评估的焦点集中在主要的业务单元或职能上,例如销售、生产、营销、技术开发以及研究与开发。成功地评估活动层次的风险还有助于在主体层次保持可接受的风险水平。我国《企业内部控制基本规范》借鉴了美国COSO的做法,要求企业识别内部风险,应当关注下列因素:董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素;组织机构、经营方式、资产管理、业务流程等管理因素;研究开发、技术投入、信息技术运用等自主创新因素;财务状况、经营成果、现金流量等财务因素;营运安全、员工健康、环境保护等安全环保因素;其他有关内部风险因素。企业识别外部风险,应当关注下列因素:经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素;法律法规、监管要求等法律因素;安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素;技术进步、工艺改进等科学技术因素;自然灾害、环境状况等自然环境因素;其他有关外部风险因素。
行政事业单位风险识别的内容就是要识别行政事业单位所面临的风险。行政事业单位要实施有效的内部控制,既要考虑识别人们常说的危险,也要识别发展机会。放弃机会,实际是最大的风险。在内部控制规范和实践中,从主体层次和活动层次两方面识别、评估、控制风险是一种值得行政事业单位风险识别借鉴的做法。
(未完待续)
行政事业单位的风险识别,对行政事业单位实施有效内部控制具有重要现实意义。行政事业单位不仅存在着风险,而且比企业更难以判断和控制。正如美国COSO《内部控制———整合框架》所说,由于内部或外部的因素,一个主体的业绩可能存在风险。
(一)行政事业单位风险识别的概念
从收集到的文献资料看,人们对风险识别的概念认识不完全一致,名称也不尽相同。在国外,美国COSO制定的《内部控制———整合框架》把风险识别作为风险评估的一项重要内容,认为风险识别是一个反复的过程,通常与计划过程结合在一起。美国COSO制定《企业风险管理———整合框架》称之为事件识别,认为不确定性的存在,使得企业管理者需要对这些事项进行识别,并将事件识别从风险评估要素中独立出来。我国《中央企业全面风险管理指引》称为风险辨识,认为它是指查找企业各业务单元、各项重要经营活动及其重要业务流程中有无风险,有哪些风险。《上海证券交易所上市公司内部控制指引》叫做风险确认,是指董事会和管理层确认影响公司目标实现的内部和外部风险因素。《深圳证券交易所上市公司内部控制指引》叫做事项识别,是指公司管理层对影响公司目标实现的内外事件进行识别,分清风险和机会。
本文把上述叫法统一为风险识别,行政事业单位的风险识别是对所面临的各种风险进行确认的一个动态化和连续不断的过程。行政事业单位所处的环境日益复杂,不论目标是明确的还是隐含的,由于外部或内部因素的影响,其在实现目标的过程中可能存在风险,并可能影响其目标的实现。而且随着政府环境的日趋复杂和恶化,这种可能性还在加大。行政事业单位要对风险进行有效的内部控制,首先得知道有哪些风险,风险在哪里,也就是说要把风险给识别出来,因此,风险识别是行政事业单位实施有效内部控制的重要步骤。
显然,随着客观环境的变化,行政事业单位的风险也会改变性质或者出现新的风险,有效的内部控制随着环境的变化可能变得无效了或者不那么有效了,对风险进行连续不断地识别就成为行政事业单位实施有效内部控制的必然。因此,可以说行政事业单位风险识别是一个动态和连续不断的反复过程,需要针对行政事业单位环境的变化持续进行。
(二)行政事业单位风险识别的内容
美国COSO制定的《内部控制———整合框架》认为风险识别应该全面,并把风险评估内容分为主体层次和活动层次两方面,并认为主体层次的风险可能是由外部或内部因素引起的。除了识别主体层次的风险以外,还应该识别活动层次的风险。应对这个层次的风险有助于将风险评估的焦点集中在主要的业务单元或职能上,例如销售、生产、营销、技术开发以及研究与开发。成功地评估活动层次的风险还有助于在主体层次保持可接受的风险水平。我国《企业内部控制基本规范》借鉴了美国COSO的做法,要求企业识别内部风险,应当关注下列因素:董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素;组织机构、经营方式、资产管理、业务流程等管理因素;研究开发、技术投入、信息技术运用等自主创新因素;财务状况、经营成果、现金流量等财务因素;营运安全、员工健康、环境保护等安全环保因素;其他有关内部风险因素。企业识别外部风险,应当关注下列因素:经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素;法律法规、监管要求等法律因素;安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素;技术进步、工艺改进等科学技术因素;自然灾害、环境状况等自然环境因素;其他有关外部风险因素。
行政事业单位风险识别的内容就是要识别行政事业单位所面临的风险。行政事业单位要实施有效的内部控制,既要考虑识别人们常说的危险,也要识别发展机会。放弃机会,实际是最大的风险。在内部控制规范和实践中,从主体层次和活动层次两方面识别、评估、控制风险是一种值得行政事业单位风险识别借鉴的做法。
(未完待续)
关注东审公众微信号"bjds4006505616"及时获取最有价值的信息微信二微码
