探討事業單位財務管理風險防范及內部控制

文/張立莘 張旭

財政部要求事業單位自2016年起在單位層面和業務層面開始實施內部控制。自此，內部控制成為事業單位財務管理的一個重要基石。事業單位在經營過程中必然面臨各種各樣的風險，而風險管理是對不確定因素的預估。兩者都注重和需要全員廣泛參與，要求要主動面對風險，控制風險，最終達到目標；但是風險管理比內部控制增加了對戰略目標的論述、對外部風險的管理，強調控制風險的自然對沖。另外，內部控制隸屬事業單位管理范疇，風險管理隸屬事業單位治理范疇。

一、事業單位內部控制的延伸、發展

我們現在所講的內部控制，是由于美國爆發了儲蓄及信貸機構財務丑聞，進一步讓大家意識到了風險，重視了內部控制。于是在1992年，美國COSO委員會提出了《內部控制—整合框架報告》；1994年的《薩奧法案》則從法律角度進一步明確相關責任，進一步彌補對內部控制進行審計的法律依據。

如果從內部控制框架角度看，其定義就是：內部控制是一個受到公司內部人員（包括管理層和實施層）影響的過程。內部控制本身的目的是為保證經營的有效性和效率、保證財務報告可靠性，并為法律法規的遵從性提供合理保證。內控的主要要素可以分為五個：控制環境、風險評估、控制活動、信息與溝通、監督。此外，加拿大、法國、日本等國家都從不同角度對內部控制進行了詮釋。

自2012年起，我國就提出了內部控制，并于2014年將其納入財政部重點工作，經過一階段的運行，于2016年把事業單位內部控制分為單位層面和業務層面，其中業務層面包括預算、收支、資產、建設項目、合同、政府采購，基本將事業單位容易出現的問題即容易有風險的部分都納入到事業單位內部控制體系中來。

二、事業單位內部控制與風險管理的相同點

（一）對實施主體的要求相同

概念上兩者都要求“共同參與”，首先明確了實施主體，同時又強調了全員參與。落到事業單位中來，就既要有領導層參與、又要有實施層的具體執行人員參與，包括業務層和行政管理層。兩者對參與實施工作的職責分工的定義也基本相同：領導層負責制定總體戰略目標，風險所有權歸領導層，剩余風險歸具體執行層面，風險的認知、評估、規避和監督歸業務層。兩者都要求事業單位所有人員要高屋建瓴、立足全局，全過程、全方位參與。

（二）兩者都強調要主動發起以應對風險

兩者都是事業單位內部的調整行為和利用本身主動解決、控制風險的行為，都需要明了、區分、分配風險管控的責任，并對風險管控的方式、方法以及需要關注的重點進行確定，都對事業單位可能造成的不好的后果或面臨的廉政風險點，提前進行控制預判，并主動依托信息化手段建立預警機制；兩者均是不間斷的、動態的、連續的管理過程，同時兩者又都需要融入事業單位日常管理過程中。這些內容都是主動發起的，不是以前被動接受，如事業單位被審計巡視后進行整改。

（三）兩者都有自己的局限性

事業單位受政策變化、環境影響、上級單位要求等限制。事業單位內部控制是純粹的針對單位內部的控制。而事業單位風險管理也對外界因素難以管理。例如，從影響事業單位目標實現的外部環境來看，兩者均不能左右大環境、外部政策、上級單位要求，不能左右客觀經濟條件的變化，也不能改變競爭對手的行為。

（四）集合多種技術和方法

兩者都需要集信息化、管理學、會計學、統計學等多門類學科于一體，在實際工作中需要取各學科之所長、依托利用多種技術方法，滿足事業單位自身的需要，賦予新的內容，與管理會計形成雙刃劍，形成全新的適應事業單位內部控制及防范風險的能力。

（五）兩者都需要從業務底層出發

財務會計信息是對經濟業務的如實反映，而經濟業務又是事業單位業務的表層體現。一切業務是否控制住了風險最終都在財務結果中表現。想控制好財務層面的風險，最根本的還是需要控制住各個業務層面的風險。由此可以看出，兩者都要求全員參與，把控好每個底層業務的風險，以便控制風險。

三、事業單位內部控制與風險管理的不同

（一）涵蓋范圍不同

風險管理比內部控制的涵蓋范圍要廣、要大得多。風險管理包括了設定風險管理目標、設定整體戰略目標及設定經營目標，以及選擇風險評估方法、對相關管理人員的聘用、對預算和行政管理及報告程序等活動的控制。

事業單位內部控制的單位層面控制包括對管理人員的聘用、報告程序等活動的控制，業務層面控制則是把事業單位容易出現風險問題的業務活動納入進來，并不包括事業單位整體戰略目標、經營目標的具體制定和發展，而是對目標的制定過程和經營過程進行評價和評估。

（二）框架體系、報告目標不同

風險管理中含有戰略目標，事業單位內部控制中雖然提及了單位層面內部控制，但主要還是對管理過程進行控制，包括組織架構、權利分設、如何決策、如何明確關鍵崗位以及關鍵崗位是否定期進行輪換、人員的水平和能力是否與職位相匹配、信息系統是否做到了互聯互通。這表明風險管理屬于事業單位治理層面，內部控制屬于事業單位管理層面；另外，風險管理的報告目標不只是財務目標，還包括林林總總的非財務類報告；事業單位內部控制報告則包括單位層面和業務層面內部控制實施情況，并不是針對財務報告，沒有明確的財務信息。

（三）產生的效益不同

從事業單位內部控制目標來看，主要是對事業單位管理服務水平和風險防范能力的提高，促進事業單位可持續、健康發展，維護社會主義市場經濟秩序和社會公眾利益，實現行政事業單位管理服務目標所制定的政策和程序。而風險管理是從管理角度出發，首先要保護運營過程中的安全并考慮一切可能存在的威脅，還要積極利用并創造一切可能的機會為相關利益者創造價值，與事業單位內部控制角度并不相同。簡而言之，事業單位內部控制主要是保證不出問題，而事業單位風險評估是為了創造效益。

（四）管理理念不同

事業單位內部控制首先是對單位層面和業務處層面進行劃分，其次按照六大部分或者說是根據劃分的具體業務單元來控制風險點。風險管理則借用目前現代金融理論中的科學資產組合等概念，引入了一系列整體概念和方法，從風險目標和戰略的設定等方面進行闡述?？梢哉f，風險管理是在風險兩重性和風險度量基礎上來對風險進行管理。這種方法可以確保風險管理措施的設立與戰略目標相一致，而在風險管理基礎上講價值回報，有利于合理配置資源，避免造成不必要浪費，也有利于支持決策層為實現戰略目標而采取的規避風險策略。風險管理要預防兩種傾向：一是針對每個各業務單元都能承受住各自的風險，但一個企業總是由多個不同業務單元串成一個完整的鏈條，而不同業務單元各自的風險綜合起來，相互影響，相互制約，從而形成新的風險，而這些風險有可能是各個業務單元所無法承受的；反之，某個業務單元無法獨自承受風險，但因其他業務單元為承受風險采取應對策略幫助化解了自身無法承受的風險。所以風險管理要站在風險組合與整體管理的高度，通盤考慮各風險之間以及各風險應對策略之間的關系，要通盤考慮、統籌兼顧制定風險管理方案，這比事業單位內部控制的要求要廣泛且深入。

綜上所述，事業單位風險管理與內部控制是相互促進的。對于事業單位而言，風險管理的范圍要比內部控制廣得多；風險管理的決策也應是內部控制的依據，而一個強有力的內部控制也是有效實現風險管理的基礎；內部控制的動力除按照財政部要求外，也應該來自事業單位對自身風險的認識和管理；內部控制屬于管理范疇而風險管理則屬于治理范疇。