机关单位内部控制风险评估指引

机关单位内部控制风险评估指引一、引言机关单位内部控制是保障单位高效规范运行、维护资金资产安全、防范舞弊和腐败、提升公共服务质量的重要手段。风险评估作为内部控制的核心环节，是识别、分析和应对单位运行过程中各类风险的基础。本指引旨在为机关单位开展内部控制风险评估工作提供系统性指导，帮助单位建立健全风险评估机制，提升风险管控能力，确保单位战略目标的实现和各项业务活动的合规有序。二、风险评估的目标与原则（一）评估目标机关单位开展风险评估，旨在全面识别单位在经济活动和业务管理中可能面临的各类风险，科学分析风险发生的可能性及其潜在影响，合理确定风险等级，为制定风险应对策略、优化内部控制措施提供依据，从而最大限度地降低风险损失，保障单位履职尽责。（二）评估原则1.全面性原则：风险评估应覆盖单位所有经济活动和业务流程，涉及单位各个层级和岗位，确保无重大遗漏。2.重要性原则：在全面评估的基础上，应重点关注高风险领域和关键控制点，合理分配评估资源。3.客观性原则：评估过程和结果应基于事实和数据，避免主观臆断，确保评估结论的真实性和可靠性。4.适应性原则：风险评估应适应单位内外部环境的变化和业务发展的需求，定期进行，并根据实际情况动态调整。5.制衡性原则：风险评估工作应建立在合理的职责分工和制衡机制基础上，确保评估过程的独立、公正。三、风险评估的范围与内容（一）评估范围风险评估的范围应包括机关单位的各项经济活动，主要涵盖：1.单位层面：包括组织架构、决策机制、议事规则、岗位职责、人力资源政策、文化建设、信息技术应用等方面可能存在的风险。2.业务层面：包括预算管理、收支管理、政府采购管理、资产管理、建设项目管理、合同管理以及其他业务管理等环节可能存在的风险。（二）评估内容1.单位层面风险评估内容：*内部控制组织领导机构是否健全，职责是否明确，运行是否有效。*决策机制是否科学民主，重大事项决策程序是否规范。*岗位职责设置是否合理，不相容岗位是否有效分离。*人员招聘、培训、考核、激励等人力资源管理制度是否完善，执行是否到位。*信息系统建设与应用是否满足内部控制要求，数据安全是否有保障。*单位文化建设是否有助于培育良好的内控氛围。2.业务层面风险评估内容：*预算管理风险：预算编制的科学性、完整性，预算执行的刚性，预算调整的规范性，以及预算分析与考核的有效性等。*收支管理风险：收入征收的合规性与完整性，支出审批的规范性与效益性，票据管理的安全性，以及资金支付的准确性等。*政府采购管理风险：采购需求的合理性，采购方式的合规性，采购过程的公平性与公正性，以及采购合同履行与验收的规范性等。*资产管理风险：资产配置的合理性，资产日常管理的规范性，资产处置的合规性，以及资产的安全完整与使用效益等。*建设项目管理风险：项目立项的合规性，概预算编制与执行的准确性，工程招投标、施工管理、监理、竣工决算与审计等环节的规范性。*合同管理风险：合同订立的必要性与合规性，合同条款的严谨性，合同履行的监控，以及合同纠纷的应对等。*其他业务管理风险：根据单位实际情况，识别其他重要业务活动中存在的风险。四、风险评估的程序与方法（一）评估程序风险评估工作一般应遵循以下程序：1.制定评估方案：明确评估目标、范围、内容、方法、时间安排、参与人员及职责分工等。评估方案应结合单位实际情况，并经过适当的审批。2.组织培训与准备：对参与评估人员进行相关知识和技能培训，收集与评估内容相关的制度文件、业务资料、历史数据等信息。3.风险识别：通过多种方式，系统梳理单位层面和业务层面的各项活动，识别潜在的风险点。可采用文件审阅、流程梳理、座谈访谈、问卷调查、穿行测试等方法。4.风险分析：对识别出的风险点，从风险发生的可能性（概率）和一旦发生可能造成的影响程度两个维度进行分析。考虑风险发生的条件、现有控制措施的有效性等因素。5.风险评价：在风险分析的基础上，结合单位风险承受能力和风险偏好，确定风险等级。通常将风险划分为高、中、低三个等级。对高等级风险应重点关注。（二）评估方法风险评估可采用定性与定量相结合的方法。机关单位在实际操作中，可根据自身特点和评估对象的复杂性选择适宜的方法：1.定性方法：主要依靠专业判断和经验，对风险进行描述和分析。常见方法包括：*文件审阅法：查阅单位内部管理制度、业务流程文件、会议纪要、审计报告等，识别潜在风险。*访谈法：与单位领导、部门负责人、业务骨干及关键岗位人员进行访谈，了解实际工作中存在的问题和风险。*流程图法：绘制业务流程图，直观展示业务环节和控制点，从中识别流程断点、控制缺失或冗余等风险。*头脑风暴法：组织相关人员围绕特定主题，自由发表意见，共同识别潜在风险。*德尔菲法：通过匿名方式征求多位专家意见，逐步达成共识，对风险进行评估。2.定量方法：运用数据和模型对风险进行量化分析。在数据可得和条件允许的情况下可适当采用，如：*风险矩阵法：将风险发生的可能性和影响程度分别量化评分，构建矩阵，根据得分确定风险等级。*敏感性分析法：分析不确定因素对目标指标的影响程度，识别关键风险因素。*（注：定量方法在机关单位应用中可能受到数据质量和专业能力的限制，应审慎选择和使用。）在实际评估中，通常以定性方法为主，定量方法为辅，两者相互补充，以提高评估结果的准确性。五、风险评估报告与结果运用（一）风险评估报告风险评估工作完成后，应形成书面的风险评估报告。报告应客观、准确、清晰地反映评估过程和结果，主要内容包括：1.评估工作的基本情况（评估目的、范围、方法、时间等）。2.风险识别的总体情况，主要风险点的描述。3.风险分析与评价的过程及结果，包括风险等级的划分标准和各风险点的等级评定。4.针对不同等级风险提出的风险应对策略和改进建议。5.评估过程中发现的主要问题和薄弱环节。6.其他需要说明的事项。风险评估报告应提交单位领导班子或内部控制领导小组审议。（二）结果运用风险评估结果是改进和优化内部控制的重要依据，应得到充分运用：1.完善内控制度：根据风险评估结果，针对高风险领域和薄弱环节，及时修订或制定相关内部控制制度和业务流程，堵塞管理漏洞。2.优化控制措施：对现有控制措施的有效性进行评估，对于不足以控制风险的，应及时调整或增加控制措施，提高控制的针对性和有效性。3.纳入绩效考核：将风险评估结果及内部控制改进情况作为评价部门和相关人员履职尽责的重要参考，纳入绩效考核体系。4.指导资源配置：单位在资源分配、项目安排等方面，应优先考虑高风险领域的管控需求，确保资源投入的有效性。5.支持决策制定：风险评估结果可为单位重大决策提供风险层面的参考，提高决策的科学性和审慎性。6.持续动态更新：风险评估不是一次性工作，应根据单位内外部环境变化、业务发展以及风险应对效果等情况，定期或不定期开展，动态更新风险评估结果，并据此持续优化内部控制体系。六、风险评估的保障机制为确保风险评估工作的有效开展和持续推进，机关单位应建立健全相应的保障机制：1.加强组织领导：单位主要负责人对本单位内部控制风险评估工作负总责。应成立由单位领导牵头的内部控制领导小组，明确财务、审计、纪检监察及各业务部门在风险评估中的职责分工，协调解决评估工作中的重大问题。2.健全工作机制：制定风险评估工作的常态化机制，明确评估周期（如每年至少开展一次全面风险评估，或根据实际情况开展专项风险评估），规范评估流程，确保评估工作有序进行。3.提升人员素质：加强对风险评估相关知识和技能的培训，提高内部评估人员的专业能力和风险意识。可根据需要聘请外部专家提供咨询或协助开展评估工作。4.强化监督检查：单位内部审计部门或指定的监督机构应定期对风险评估工作的开展情况、评估结果的运用情况以及内部控制改进措