二、相关定义与术语
1. 内部控制:指单位为实现控制目标,通过制定制度、实施措施和执行程序,对经济活动的风险进行防范和管控。
2. 风险:指未来的不确定性对单位实现其运营目标的影响。 (1) 影响是指与预期结果的偏离(积极或消极)。
(2) 目标可以有不同的方面,例如:财务、健康和安全、以及环境目标。目标同时可以适用于不同的层面,例如,战略、组织和过程。
(3) 风险经常被标注为潜在的事件、后果或者两者的结合、以及他们对期望达成目标的影响。
(4) 风险经常被解释为一个事件及其后果的结合,或一个状态的变化以及相关的发生可能性。
3. 风险源:指任何单独或联合的、具有内在潜力引起风险的事件。 4. 事件:指发生或改变一系列情况的事物(一个特定时期内,在一个特定地点所发生的事态)。通常,事件有如下几种解读:
(1) 一般来说,事件的特性、可能性和后果不能完全可知。 (2) 事件可以是一个或多个事件,也可以有多个原因造成。 (3) 与事件相关的可能影响是可以确定的。 (4) 事件可以由一个或多个未发生的情况组成。 (5) 有后果的事件有时被称为“事故”。 (6) 一个未发生损失的事件也可称为“隐患”。
5. 风险类别:是由属性相同的多个风险源或事件组成。风险类别反映了在进行风险分析时应该考虑的主要方向。进行风险分析时,通常以风险类别为起点来辨识每一个风险类别内的风险源或事件。随着时间和内外环境的变动,单位通常面临着上千个动态的风险源或事件。但是这
7
上千个动态的风险源或事件,通常可以归纳成几十个常态的风险类别。
6. 风险识别:指查找单位各业务单元、各项重要经济活动及其重要业务流程中有无风险,有哪些风险。
7. 风险分析:指对辨识出的风险及其特征进行明确的定义描述,分析和描述风险发生可能性的高低、风险发生的条件。
8. 风险评价:指评估风险对单位实现目标的影响程度、风险的价值等。
9. 风险承受度:指单位能够承担的风险限度,包括单位层面风险承受能力和业务层面的可接受风险水平。
10. 风险规避:指单位对超出风险承受度的风险,通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。
11. 风险降低:指单位在权衡成本效益之后,准备采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度之内的策略。
12. 风险转移:指单位准备借助他人力量,采取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内的策略。
13. 风险承受:指单位对风险承受度之内的风险,在权衡成本效益之后,不准备采取控制措施降低风险或者减轻损失的策略。
14. 控制措施:包括不相容岗位分离控制、内部授权审批控制、归口管理、预算控制、财产保护控制、会计控制、单据控制、信息内部公开等。
15. 控制痕迹:控制痕迹即为“相关文档”,是指采取控制措施所留下的证据,可以是纸质书面文件、业务流转表单、会议纪要、电子文档记录等。
8
第七节 内部控制流程图说明
1.流程图纵向表示该流程的执行步骤。自上而下表示流程发展的时间或逻辑顺序。
2.流程图横向代表单位或职能部门。单位顺序从左至右按级别排序职能带中的部门顺序。
3.图例说明
序号 图例 1 2 3 4 5 6 7 8 判定 文档 进程 记录此控制点的工作内容简述 表示以文本形式存在的文件、制度、表单等,内容为文件、表单的全称 判断/决策的标志。用来表示过程中的一项判定或一个分岔点。 准备 流程的开始 连接线 分隔符 表示流程中的主要环节 用来连接两个工作步骤;表示层层步骤在顺序中的进展;连接的箭头表示一个过程的流程方向 职能带 表示职能部门 名 称 图例说明 预先定义 予流程。即:套取的其他流程 的进程 终结符 流程的结束 9 通过或 不通过 10 逻辑符号 描述流程的逻辑
9
第二章 风险评估与控制
第一节 风险评估
风险评估是单位及时识别、系统分析经营活动中与实现管理目标相关的风险,合理确定风险应对策略的过程,是风险管理的基础与核心。
在风险评估中,既要识别和分析对实现目标具有阻碍作用的风险,也要发现对实现目标具有积极影响的机遇。风险评估的基本流程包括风险初始信息收集、风险的识别、分析与评价、风险管理策略与选择等。单位在日常经营中充分、连续搜集风险管理信息,根据自身业务特点,选用具备可兼容性的风险分析技术,对风险管理信息进行辨识、计量、评估、分析,采用适当的风险控制技术方法,并形成相关记录,为应对风险提供相应控制策略依据。
一、评估部门
风险评估由内部控制主管处室负责计划、组织和安排具体工作;组织财会、资产管理、采购、基本建设、内部审计、纪检监察等处室或岗位工作人员成立风险评估小组,进行风险评估工作。评估人员在梳理各类经济活动的业务流程、明确业务环节的基础上,系统分析经济活动风险,确定风险点,并据此选择控制方法和应对措施。
二、评估周期及方法
1.评估周期:单位对内部经济活动的风险评估至少每年进行一次,在全面、系统、准确分析单位各经济业务活动风险的基础上,绘制各业务事项的流程图,确定经济活动的风险点,剖析风险存在的原因,以及导致风险发生的可能性,以确保新的风险得到及时有效的控制。同时,
10
对预算、收支等高风险经济活动业务,开展不定期评估,建立风险预警系统,有效地防范和管控风险。
2.评估方法:单位内部控制的风险分析,采用以定性、定量相结合的方式,从风险可能性、风险影响度等方面进行评估。
(1)可能性定性的测度
很可能:即在多数情况下预期可能发生。 可能:在某些时候可能发生。
不太可能:在多数情况下都不太可能发生。
表 1 风险评估的五级评分(示例)
评分 可能性 可能性定量分析 风险可能性测度 1 10%以下 2 10%~30% 3 30%~70% 可能 中等 较高 4 70%~90% 5 90%~100% 不太可能 极低 较低 很可能 极高 一般情况在极少情下不会发况下才会风险可能性测生 发生 度的描述 在之后10在之后5至年发生的10年内可可能少于1能发生1次 次 会在某些会在较多经常会发情况下发情况下发生 生 生 在之后2至在之后1年在之后1年5年内可能内可能发内至少发发生1次 生1次 生1次 (2)影响程度分析的测度
重大:对目标实现有重大影响,如发生,将造成极大的损失。 次重要:对目标实现有中等程度的影响,如发生,将造成一定的损失。
不重要:目标实现不受影响,如发生,将造成较低的损失。 单位应当基于自身的定位和特色,利用专业的评估工具对内外部风
11