单位内部控制建设以风险管理为基础,那什么是风险呢?(内部风险控制制度)
在财政部门发布的文件中我们经常看到这样的描述:单位内部控制“以预算为主线,以资金管控为核心”,那么,内部控制就是控资金的吗?这个说法还不是很准确,准确的说,内部控制是控制资金使用过程中的风险。额度大的资金支出项目不一定必须要重点控制,比如人员工资;额度不大、但使用过程中风险较高的业务,反而要重点控制,比如公务接待费支出。
一、什么是风险
“风险”一词由来己久,相传在远古时期,以打鱼捕捞为生的渔民们,每次出海前都要祈祷,祈求神灵保佑自己能够平安归来,其中祈祷的主要内容就是让神灵保佑自己在出海时能风平浪静、满载而归。但是,一旦出现大风兴起大浪,就有可能造成船毁人亡。捕涝活动使他们深刻认识到“风”会给他们带来的无法预测、无法确定的灾难性危险,有“风”就意味着有 “危险”。这就是“风险”一词的由来。可见,“风险”是一个与不确定性密切相关对实现目标不“吉利”的事件。
关于风险的定义有多种解释,我们比较认可这个说法:风险是未来的不确定性对单位实现目标的影响。
这个定义有四个关键词:未来、不确定性、目标、影响。风险是针对未来的还没有发生的问题,这就要求单位领导看问题要有格局,有长远的眼光,能做到未雨绸缪;风险的本质是不确定性,未来的某种情况可能会发生,也可能一直不会发生;目标是指《内控规范》提出的五个目标:合理保证单位经济活动合法合规、资产安全和使用有效、财务信息真实完整,有效防范舞弊和预防腐败,提高公共服务的效率和效果;影响是经济活动的实际结果与内部控制目标之间的差异程度。
风险会使单位的经济活动偏离其既定目标,建立内部控制就是为了纠正脱离目标的偏差,确保目标实现。
会计和出纳岗位没有实现相互分离,这是很多单位现实中存在的一个风险,我们在风险描述中,一般采用这种方式:如果财务科会计和出纳岗位未分离,这两个岗位为同一个人,可能会导致舞弊、贪污等情况的发生,对单位资金安全造成严重影响。
二、风险的类别
风险类别反映了风险分析的主要方向,我们在《内控手册》中将经济业务活动的风险划分为规划风险、监管风险、管理风险、财务风险、法律风险五大类,当然也可以继续往下细分,比如财务风险分为收支管理风险、财务核算风险、资金管理风险、财务信息失真风险等。确定风险类别的目的,一是为了更好的进行风险分析和评估,再就是为明确风险控制的主责部门,应该由哪个部门承担或者牵头负责。
比如上面的例子中,会计和出纳岗位由一人担任的风险属于财务管理风险吗?我们认为应该属于监管风险,是由于没有严格实行不相容岗位相互分离原则要求导致的风险,这个风险的主责部门是财务科,配合部门是人事科。
三、风险分析和评估
风险分析和评估是为了明确风险的等级,我们在《内控手册》中一般按照风险发生的可能性和影响程度两个维度把风险分为五个等级:极小级、一般级、重要级、重大级、极大级。根据内部控制重要性原则的要求,并不是所有的风险都要采取控制措施,,一般来说,重要级、重大级和极大级风险属于关键风险,需要制定风险应对策略和风险管控措施。
会计和出纳岗位未实施分离的风险,属于重大或者极大级风险。看似是个低级错误,但一旦发生,给单位造成的资金损失和声誉影响都是非常大的,这样的案例经常在媒体报道。
四、风险应对策略
同样的风险,在不同的单位,划分的风险等级可能是不一样的,采取的应对策略也可能会不同,这取决于单位的岗位设置、岗位人员工作技能、预算资金状况等实际情况。所以,内控建设有一个很重要的原则,就是结合单位实际。
风险应对策略是对已经识别的风险进行定性、定量分析和风险排查,确定风险等级,制定的解决策略的过程。风险应对策略主要包括风险规避、风险降低、风险分担、风险承受。在实际工作中,我们应用最多的是风险降低。
如果单位中存在会计和出纳岗位未实现有效分离的风险,应该采用什么应对措施呢?风险规避肯定是不行的,每个独立核算的单位都必须有收支业务,有收支业务就需要会计和出纳岗位;风险分担也不可取,《会计法》规定,单位会计行为的第一责任人是单位一把手,这个风险没法分担;风险承受这种策略更不可取,风险承受就是对这种风险“认了”,不管不问,由他去吧。所以,风险降低是最积极、最主要的风险应对策略。
五、风险控制活动
风险控制活动是根据风险评估结果,采用相应的风险应对策略,将风险控制在可承受度之内所采取的活动。单位结合风险评估的结果,通过预防性控制与发现性控制、手工控制与自动控制相结合的方法,运用相应的控制措施,将风险控制在可承诺范围之内。
按控制作用分类,可以分别为预防性控制和发现性控制。预防性控制是指为防止经济活动出现失误和不合法、不合规行为的发生,尽量减少其发生机会所进行的控制,是一种事前控制,是未雨绸缪。发现性控制是指为及时查明已发生失误和行为,或为增强发现失误和行为的能力进行的控制,是亡羊补牢。实际工作中,我们一般采取的都是预防性控制。
按控制手段分类,可以分为人工控制和自动控制。其中,人工控制是以人工方式执行,比如在十字路口,交警打手势指挥车辆通行就是人工控制。自动控制是由计算机程序执行的控制,交通路口的红绿灯和电子眼就是自动控制。单位内控建设自动控制的工具就是内控信息化系统。
再回到前面的例子,会计和出纳这两个岗位不能由同一人担任,这个道理我们都明白,可现实中有些小单位因为受编制的限制,还真的没办法在财务科配置两个人,一个负责会计,一个负责出纳,实现会计和出纳不相容岗位分离,在这种情况下,是不是就没有风险降低的办法了?不是的,《内控规范》提供了替代解决办法,比如内部专项审计、岗位交叉互审和强制休假等措施。
有“风”就有“险”,“风”是单位的经济业务活动,“风”背后的“险”才是控制的内容。