事业单位建立风险管理与内部控制标准体系的实践研究[1]
——以上海市检测中心为例

文/朱 明 黄 芳

当前我国经济正处于增速换挡、结构优化和动力转换的关键时期，事业单位发展面临新机遇与新挑战，深化改革与创新发展已成为主旋律。管理创新是事业单位的永恒课题，探索管理模式创新必须与时俱进。

上海市检测中心（以下简称中心）作为检测检验公共服务平台建设主体，历来重视标准化工作，为实现“将上海市检测中心建成具有国际先进水平的综合性检测检验基地”的总体目标，2016年初，开始研究建立风险管理与内部控制体系标准，希望通过标准体系的运行，进一步夯实事业单位法人治理基础，推动廉洁高效机构建设，构建机构管理的最佳秩序。

事业单位建立风险管理与内部控制标准体系的重要意义

1. 有助于夯实事业单位法人治理基础

建立风险管理与内部控制标准体系（以下简称“风控标准体系”），有助于以标准化的方法管控各类风险，规范事业单位管理，夯实法人治理基础。在事业单位法人治理结构视角下，完善风控标准体系，可以使规范的治理结构、有效的治理机制、相应的治理规则三者有机结合，避免出现权力制约的缺失和决策过程的虚化等问题。通过制定制度、实施措施和执行程序，对经济活动进行风险防范和管控，不仅为事业单位完善规范运行的配套制度建设提供有力的支撑，也是完善事业单位法人治理结构、提高机构自治能力的重要途径。

2. 有助于推动高效廉洁机构的建设

随着中央八项规定精神的落实，规范机构运行的不断深入，对提高行政事业单位内部管理水平、规范内部控制、加强廉政风险防控机制建设提出了更高的要求。2012年底，财政部发布了《行政事业单位内部控制规范（试行）》，为行政事业单位内部控制建设提供了一个内容全面、针对性强的指导文件。由于风险管理与内部控制在管理方向、思路、内容、方法上与廉政风险防控机制建设有着较强的关联性，因此体系建设应该成为廉政风险防控的有效组成部分。

3. 有助于建立机构管理的良性秩序

组织管理在一个综合框架内采用一致性过程，有助于确保在组织内有效控制风险。事业单位若能将风险管理与内部控制融入到组织文化、整体治理、战略规划中，引入标准体系建设，形成一套工作体系、工作标准和工作模式，统一语言、评价标准和风控流程，将大大提升单位管理的能力和水平，构建起良性的管理秩序。

图1 风险管理与内部控制标准体系框架图

事业单位建立风控标准体系的路径方法

中心风控标准体系建设是目前上海市第一个以标准形式构建事业单位风险管理与内部控制的实践项目，构建原则坚持先进性、系统性和适用性。先进性是指纳入体系的标准要在体系文件构建上实现自主创新；系统性是指既要关注顶层策划，按系统工程管理思路，整体推进体系建设，也要符合实际情况，急用先行、成模块开发，形成一套具有一定开放性、实现与具体管理要求实时接轨的风控标准体系；适用性是指体系应根据组织的规模、所采用的管理模式和活动领域，实现合理配置，以期达到实用管用的目的。

1. 建立风控标准体系的总体框架

事业单位建立风控标准体系，必须根据本单位的业务事项、运作特点和管理需要，按标准体系的规范要求，规划出体系框架。为此，事业单位应策划建立风控标准体系框架（见图1）。

2. 选择风控标准体系的适用依据

事业单位应根据风控标准体系要求，广泛收集并筛选相关标准作为体系建设的依据。中心根据自身的体系建设需要，选择《行政事业单位内部控制规范》（财会 〔2012〕21号）、ISO 31000-2012《风险管理标准》，GB/T 24353-2009《风险管理原则与实施指南》、GB/T 1.1-2000《标准化工作导则 第1部分：标准的结构和编写》、GB/T 13016-2009《标准体系表编制原则和要求》、GB/T 20000.2-2009《标准化工作指南 第2部分：采用国际标准》、GB/T 20000.3-2009《标准化工作指南第3部分：引用文件》、GB/T 24421.2-2009《服务业组织标准化工作指南 第2部分：标准体系》、GB/T 19001-2016《质量管理体系 要求》等标准作为依据，为体系建设奠定了坚实的基础。

3. 确定风控标准体系的推进程序

中心根据所涉及的职能与业务范围，按照重要、紧急双维度分类，结合先易后难的方法，提出了“三年三步走”计划，即第一年以风险较高、涉及面广的采购、预算、合同管理为标准化试点范围，建立风险识别、分类、评价、对应措施制定、内控制度和流程，为中心更大范围地建设风控标准体系探索出科学的方法。第二年将标准体系建设的范围扩展到收支、资产等领域，按体系建设目标综合考虑权责分配、内部审计、人力资源政策对内部控制的影响。第三年则重点完成建设项目标准体系建设，完成整个标准体系建设工作，并着手完善内部控制信息系统。在各标准子体系建设过程中，基本遵循以下路径：风险调研、风险识别、风险评估、风控策略选择、风控措施制定、内控标准建立、培训和改进、纠偏（见图2）。

事业单位建立风控标准体系的实践效果

由于事业单位风控标准体系建设没有可供参考的范例，为保证效果，中心科学制定了三年工作计划，并进一步统一思想，采取系列保障措施，力求体系建设和执行有力。中心风控标准体系于2016年获批为上海市标准化试点项目，在全市率先开展基于行政事业单位内部控制规范要求的标准化规范化研究和建设。

1. 构建了一套系统的标准体系

中心在开展标准化工作中明确了以业务流程和经济活动控制为主要对象的工作思路，围绕内部控制要求，持续推动在岗位设置、权责分配、业务流程方面形成相互制约、相互监督的机制设计，以标准化手段促进工作效能的提升，落实经济业务活动的归口管理和监督职责，实施流程再造，将制衡机制嵌入到各项管理工作中。自标准化试点工作开展以来，中心对标ISO 31000-2012、GB/T 13016-2009等标准，陆续编制完成48项企业标准，标准涵盖中心核心业务，自有标准编制率达到64%，形成了一整套符合标准化要求、更加具体、细化、易于操作的风控标准和规范，为抓好重点环节控制和实施监控等提供了有力保障。

2016年，完成预算等模块的制度建设和标准化工作，建立分层级的预算、合同、采购风控标准体系文件，以制度和表单形式固化职责和工作流程。2017年，聚焦内控规范内涉及的收支、资产等主要相关业务层面风险，按内部控制重要性、制衡性、适应性原则，将与业务风险有关的供应商管理、人力资源（包括但不仅限于部门职责分工、不相容岗位设置）、档案管理、安全管理等相关业务内容也纳入整体建设目标，确保内部控制贯穿中心经济活动的决策、执行和监督的全过程，实现对经济活动的全面控制。同年，建立风控标准体系。2018年，结合行政事业单位内部控制自我评价和2017年标准实施监督检查结果，继续完善业务风险控制、人力资源合规性管控、档案管控等领域文件，优化业务管理和持续改进质量控制，完成对相关标准的再次修订和印发，初步实现内部控制预防过程和补救控制的闭环管理。

2. 形成了一套可复制、可推广的试点经验

图2 风险管理与内部控制标准体系建设路径

中心坚持标准引领，以顶层设计、发挥标准的可操作性和不断适应工作发展需要为要义，对标国际国内相关标准，运用标准化工具，融入已经建立的制度体系和日常形成的管理规则，扎实推行风控标准体系建设。经过2年多的努力，风控标准体系试点项目在探索运用标准化手段和体系建设理念、推动管理标准创新等方面取得了阶段性成果，获得了非常有价值的实践经验。中心地处上海自贸试验区内，该项探索作为制度创新的一项先行先试成果，在本市事业单位中为首创，具有较强的可操作性、可复制性和可推广性，可为全市相关事业单位提供有益借鉴。

3. 有效提升了风险管理与内部控制水平

通过实践，中心将事业单位各环节的活动内容、相互的衔接关系、各自承担的责任和工作程序等以标准的形式加以确定，为规范工作流程、控制工作质量提供了科学依据；通过风控标准体系运作，有效提高了事业单位的风险控制能力和管理水平，保证各项业务流程和服务活动的持续、健康发展，进一步夯实事业单位法人治理基础，推动了廉洁高效机构建设，构建了机构管理的最佳秩序。在此基础上，2018年中心着手实施以风控标准体系文件为基础的信息系统升级工作，通过信息化手段，固化管理流程，关注风险点，改变各项经济和业务活动分块管理、信息分割、信息“孤岛”的局面，将管理层的管理方式由传统的日常管理向例外管理转变，集中精力处理重大问题，进一步提高管理效能。

事业单位建立风控标准体系的工作启示

1. 关注顶层设计和底层基础建设

风控标准体系是一个立体体系，它涉及内外部环境、主体及参与者等，涵盖提供机制、评估机制、标准的量纲设置以及具体内容，需要按照标准化、体系化思路进行顶层设计和一体化构建，从系统结构、组成与实现等方面建立逻辑关系。风险管理和控制活动贯穿于整个机构内的所有工作，厘清职责权限、避免职能的交叉和缺失、完善业务流程至关重要。因此，在底层基础搭建时需结合风险评估结果，综合节点控制和自动改进，按预防性控制和发现性控制相结合的原则，综合运用各类控制措施，自下向上按业务分类逐项推进，夯实底层基础。顶层设计和底层基础相结合，可将风险评估过程中识别出的风险控制在可承受的范围之内，提高效率，便于系统联调、发现问题和及时处理。

2. 对标实现统筹兼顾和突出重点

体系建设过程中，充分借鉴ISO 31000-2012《风险管理标准》和其他可供参考的体系建设文件，通过科学的方法识别、分析和评定来管理和处置风险。在职能化管理的基础上，辅之以流程化措施，形成多维、立体的风控体系，通过总体规划、逐项推进，将风险管理与内部控制整合到事业单位的整体治理、战略和规划、管理、报告、方针、价值观和文化当中，达到内部管理的提升。综合考虑来自纪检监察部门、财政部、人社部及其他监管部门的核心要求，就日常运作中各业务领域可能产生的风险进行梳理、识别，并形成针对关键控制点的内控措施和制度，有计划、有步骤，系统地把主要业务活动按重要性顺序进行改善，及时堵塞漏洞。

3. 发挥标准的精细和通用优势

标准遵循“一事一议”的研制规则，对制度、手册编制提出了针对性和精准度保持均衡的要求，可使总体策划和进度安排更为合理。标准体系的建设具有开放性，也为后续增补标准预留接口。风控标准体系需要将末端延伸至具体操作部门和所有员工，因此不仅需要从机构实际情况入手做好顶层设计，还要考虑与业务范围、经济活动特点、风险水平以及所处内外环境等相匹配，只有实现标准体系与现有的法律和制度体系相融合，提升组织开展标准化工作的接受程度，才能取得理想的控制效果。