险进行量化的分析,对风险可能发生的频率和后果赋值,计量风险的严重程度,同时设定本单位对风险的容忍限度,对诊断出的所有风险进行排序,随后建立相应的风险数据库和风险分析排序表,制定正确的风险应对策略。
表 2 风险评估的影响程度(示例)
评分 影响程度 风险影响程度定量分析 风险影响程度测度 财务影响 1 损失低于100元 极低 2 造成损失100元~2000元 较低 3 造成损失2,000元~10,000元 中等 4 造成损失10,000元~1000,000元 较高 5 造成损失1,000,000元以上 极高 极低的财较低的财中等的财务重大的财务极大的财务务损失 务损失 损失 损失 损失 负面消息负面消息负面消息造负面消息造负面消息造未使单位造成单位成单位声誉成单位声誉成单位声誉声誉受损 声誉轻微中等受损 重大受损 灾难性受损 受损 声誉影响 风险影响程度不会影响对单位日对单位日常对单位日常对单位日常单位的日常活动有活动有中度活动造成重活动造成灾测度描述 常活动 轻度影响, 影响 大影响 难性性影响 (3)风险识别矩阵
单位风险评估小组(或部门)根据风险分析的结果,结合风险承受程度,对各层面的分析进行排序分析,形成风险识别排序表和风险识别矩阵。风险识别排序表根据风险评分自高到低排序。风险识别矩阵对各类风险进行区分(如表 3),其中:风险影响度列为“重大”、可能性为“很可能”的风险列为一级风险,风险影响度列为“重大”或“次重要”、可能性为“可能”或“很可能”的风险列为二级风险,风险影响度列为“不重要”或“次重要”、可能性为“可能”或“不太可能”的风险列为三级风险。单位根据上述风险分析方法,分别确定各管理业务层面的风险点,并确定相应
12
的后续应对策略。
表 3 风险分析的识别矩阵(示例)
低 可能性 影响程度 极高 高 较高 中 低 极低 0~1 三级 三级 三级 三级 二级 中等 较低 3~4 2~3 1~2 三级 三级 三级 二级 三级 三级 二级 二级 三级 4~5 极低 0~1 二级 较低 1~2 二级 中 中等 2~3 一级 较高 3~4 一级 一级 二级 二级 高 极高 4~5 一级 一级 一级 二级
三、评估步骤 1. 风险初始信息收集
(1)内部控制主管处室负责对单位内、外部环境的相关信息进行系统收集、更新及维护。外部环境包括社会、政治、法律、经济环境,以及对组织目标有影响的关键驱动因素和发展趋势等;内部环境包括组织架构、角色和责任、组织文化、管理特色、财务因素、信息系统、信息流和决策过程等。
(2)各有关职能处室负责收集与其职能相关的风险管理初始信息,并对收集到的风险管理初始信息进行更新和维护,由内部控制主管处室进行指导和监督。
(3)单位通过内部讨论、数据收集、外部沟通等方式对信息进行收集。由于信息的多样性与广泛性,单位通过建立的相应规范流程与标准模板,对信息进行系统筛选、提炼、对比、分类和组合。同时,单位通过风险信息收集的汇报与监督机制,确保风险初始信息的收集充分、有效。
13
2. 风险的识别、分析与评价
(1)风险评估小组针对风险分类、风险评估标准、风险模板、应对策略制定原则等内容,对各相关处室开展培训,并组织各处室的风险评估人员进行风险信息的收集以及风险事项的识别,分析风险的原因和后果,评价风险的重要性水平。由风险评估工作小组负责汇总、整理、排序各处室提交的风险评估结果,根据评估分值确定风险等级,汇总、整理出风险评估初步结果。
(2)单位采用定性与定量相结合的方法对风险进行识别、分析、评价。定性方法包括问卷调查、集体讨论、管理层访谈、专家咨询、情景分析、政策分析、调查研究等。定量方法包括采用统计推论(如集中趋势法)、计算机模拟(如蒙特卡罗分析法)、失效模式与影响分析、事件树分析等。
3. 风险管理策略与选择
(1)单位根据自身情况确定风险偏好和风险容忍度,通过正确认识和把握风险与收益的平衡,明确各项风险的管理策略,包括:风险规避、风险承受、风险转移、风险降低。
(2)单位在确定优选顺序时,遵循风险与收益相平衡的原则。在风险评估结果的基础上,全面考虑风险与收益,首先解决“颠覆性的”风险问题,保证单位的持续发展。根据风险与收益平衡的原则,单位通过以下因素确定风险管理的优选顺序:风险事件发生的可能性和影响、风险管理的难度、风险的价值,或管理可能带来的收益、合法合规的需要、对单位人力、资金等的需求以及利益相关者的要求。
(3)单位基本风险管理策略的制定遵循合规性、全面性、审慎性、适时性原则,以制度为基础、以流程为依托,将风险管理覆盖到单位经
14
营管理的各个环节和岗位中,并形成“事前防范、事中控制、事后评价”的风险管理机制。
(4)风险评估小组负责风险应对的总体指导和协调,各处室完成应对策略及应对方案后,汇总报风险评估工作小组。
(5)单位对已制定的风险管理策略的有效性和合理性进行定期总结和分析,随着单位经营状况的变化,经营战略、规划的变化,外部环境风险的变化,定期对风险管理策略进行调整,不断修订和完善。
第二节 风险控制
一、风险类别
风险类别反映了单位在进行风险分析时考虑的主要方向,根据单位的实际情况,本单位应对的常见风险分为以下几类:
1. 规划风险:因单位在规划决策的制订和实施上出现错误,或因未能随环境的改变而做出适当的调整,从而导致单位损失。
2. 监管风险:指因管理和制度上的原因,造成对单位各项活动的监督不到位,可能存在营私舞弊和腐败等方面的风险。
3. 业务管理风险:单位在业务管理过程中,由于外部环境的复杂性和变动性以及主体对环境的认知能力和适应能力的有限性,而导致的业务管理失败或使业务管理活动达不到预期的目标的可能性及其损失。
4. 财务风险:因单位财务结构不合理、资金使用不当,导致单位可能丧失偿债能力(丧失资金支付能力)而导致陷入财务困境的风险。
5. 法律风险:单位在经营过程中违反法律法规,签订合同的内容在法律上有缺陷或不完善而发生法律纠纷甚至无法履约,以及法律的不完
15
善或修订产生的不确定性等面临的风险。
二、控制环节 (一)组织控制
确立本单位内部控制的职能部门和牵头管理部门,明确此项工作的分管领导。明确本事业单位各职能处室在内部控制工作中的职能、定位。明确与业务活动有关的各业务归口部门职责。
(二)工作机制控制 1.决策
建立健全本单位内部重大经济活动议事决策机制,经济活动的决策、执行、监督相分离的工作机制。明确划分职责范围、审批程序和相关职责。
单位经济活动的决策过程为授权审批过程。在办理经济活动的业务和事项之前,应当经过适当的授权审批,重大事项还需要经过集体决策和会签(会审)制度。任何个人不得单独进行决策或擅自改变决策的意见。
2.执行
重大经济活动事项的决议经审定后由分管局领导负责实施,由会议确定的责任部门具体执行。各责任部门按照“谁主管、谁负责”的原则,对决策执行实施责任分解,将责任落实到人。
3.监督
涉及单位经济活动事项应按规定接受内外监督。内部监督包括分管局领导定期检查、办公室督办、监督处开展执行质量检查、监察室效能检查、内部审计等方面;外部监督包括接受审计监督、省监察部门监察监督、信息公开与社会监督等。
16