风险评估与内控评价相互印证持续推动内部控制完善

赵萍

[摘要]本文以某单位财务部门和内审部门的风险评估报告和内部控制评价报告差异为切入点，通过具体分析两份报告存在的不同及其原因，提出风险评估与内部控制评价相互印证的方法，并明确完善内部控制的具体路径。

[关键词]内部控制   风险管理   评估

一、引言

2021年底，某单位财务部按照本单位内部控制管理办法的规定开展风险评估并形成风险评估报告，而该单位审计部同期聘请了某会计师事务所，协助开展内部控制评价并形成内部控制评价报告。该单位领导在审阅两份报告时发现，财务部提供的风险评估报告提示，单位2022年的重大风险分别是设备进口风险、安全管理风险、科研成果转化风险和工程项目管理风险;审计部提供的内部控制评价报告提示，该单位存在的重大和重要缺陷主要涉及财务管理、人力资源管理、工程项目管理、资产管理等方面，而设备进口管理、安全管理和科研成果转化等方面基本没有发现缺陷。对此，该单位领导认为，两份报告相互矛盾，责成财务部和审计部分析原因，加以改进。

本文结合该单位案例，提出风险评估与内部控制评价结果相互印证的理论方法，分析如何运用该方法以发现风险评估报告与内部控制評价报告中存在的问题及其原因，并据此提升风险评估与内部控制评价的质量，推动各单位持续完善内部控制。

二、案例分析

该单位财务部和审计部分析发现，造成风险评估与内部控制评价结论相互矛盾的原因主要包括两个方面：

一是内部控制设计存在缺陷。公司已有的内部控制手册中没有涉及进口设备管理和科研成果转化管理的内容，因而审计部在内部控制评价时没有设定这方面的评价内容，自然也没有发现这方面的缺陷。

二是风险评估本身存在问题。在风险评估中，没有明确是剩余风险评估，单位领导更多的是站在固有风险的角度来评估的。比如，从固有风险角度看，该单位的某实验室因为涉及危化品确实存在安全生产风险，但近些年来单位加大安全管理方面的投入，建立并严格执行相关的安全管理规范，基本上实现了本质安全，实际剩余风险不大。

三、风险评估与内部控制评价的相互印证

风险评估主要是从风险发生的可能性和风险发生后可能造成的影响严重程度等维度，对单位存在的风险进行评价，以确定未来（一般指下一年度）单位面临的各项风险及等级（一般分为重大风险、重要风险或称中等风险、一般风险），并在此基础上对风险进行分类管理，加强对重大风险和中等风险的管控。

内部控制评价则是单位从内部控制的设计健全性、合理性和运行有效性等方面，对内部控制进行评价，以发现内部控制在设计和执行方面存在的缺陷，并通过对这些缺陷的整改，完善内部控制。内部控制缺陷按照其可能带来的损失大小或者造成的负面影响程度可以区分为重大缺陷、重要缺陷和一般缺陷。

内控缺陷与风险总是相互关联的。从逻辑上讲，如果某领域风险较大，表明该领域存在较大的内控缺陷;反之，如果某领域存在较大的内控缺陷，则表明该领域风险也必然比较大。通过两者之间的这种关联关系，风险评估与内控评价的结果可以相互印证。如果通过风险评估确认该风险为重大风险，而内控评价也发现相关控制存在重大缺陷或者重要缺陷;或者风险评估确认该风险为一般风险，内控评价也未发现相关控制存在重大缺陷或者中等缺陷，那么风险评估和内控评价的结果是值得信赖的。如果风险评估确认该风险为重大风险，而内控评价未发现重大缺陷或者重要缺陷;或者内控评价发现相关控制存在重大缺陷或者重要缺陷而风险评估将此风险确认为一般风险，则风险评估或者内控评价的结果值得怀疑。

风险评估与内控评价作为单位内部控制管理的两项“规定动作”，不管是放在一个部门还是分属不同部门，也不管是单位相关职能部门自行操作还是委托中介机构实施，两者都可以相互印证，并据此完善内部控制。

四、运用风险评估和内部控制评价相互印证完善内部控制的实施路径

第一，在风险评估时应当明确开展的是剩余风险评估，而不是固有风险评估。所谓固有风险是指在没有控制的前提下，该事项的风险有多大;而剩余风险是指在现有控制有效的前提下，风险还有多大。对行政事业单位来说，大部分业务事项都是有控制的，区别只是控制的程度不同而已。在评估开展前，应当向所有参与评估的人员说明，这是剩余风险评估，以免评估人员以固有风险的视角进行评估，导致评估结果失真。

第二，推进内部控制体系建设，并在此基础上开展内部控制评价。各单位内部控制体系应当以系统的风险识别为基础，针对所面临的风险设计相应的控制，形成《内部控制手册》等成果，并在此基础上开展内部控制评价。如果前期没有进行系统的风险识别和内控设计，并据此开展内控评价，很容易导致相关的设计缺陷未能被发现，导致风险评估结论与内部控制评价结论出现重大偏差。

第三，将风险评估报告确定的风险等级与内部控制评价报告揭示的内控缺陷类型进行关联性分析，以确定风险评估和内控评价的结果是否值得信赖。

第四，直接根据内控缺陷补充完善内部控制。如果通过关联性分析，确认风险评估和内控评价的结果是值得信赖的，那么根据风险评估的结果，针对重大风险和重要风险，依据内控评价发现的内控缺陷，重点进行整改。具体来说，如果存在设计缺陷，则通过补充相关措施、完善相关业务流程和制度等加以整改;如果存在执行缺陷，则通过严格流程执行、强化监督等加以整改。

第五，重新评估与补充完善。如果通过关联性分析，发现风险评估和内控评价的结果是不值得信赖的，则需要针对存在矛盾的重大和重要风险以及相关控制进行重新评估。通常做法是：首先针对相关风险，评估现有控制是否充分，是否存在设计缺陷;其次复核相关的评价底稿，评估内控执行测试是否到位。如果经过评估，现有控制是充分的且得到有效执行，风险处于受控和可控状态，则说明风险评估的结论是不准确的，就不需要补充控制;如果经过评估，发现现有控制不足以控制风险，或者设计的控制本身是充分的，只是执行存在较大偏差，则说明风险评估的结论是准确的，需要对现有控制进行补充完善。单位应当根据重新评估发现的缺陷进行整改，以补充控制，确保该风险受控、可控。

第六，在补充控制的基础上，进行再评估。即评估如果前述补充控制得到有效执行，是否足以有效控制风险，使风险等级从重大风险、中等风险降为一般风险;如果仍然无法控制风险，则需要进一步补充控制，或者加强对该风险的持续监控。

五、运用风险评估与内部控制评价相互印证完善内部控制的实际操作案例

针对风险评估和内部控制评价中存在的问题，该单位财务部和审计部经过协商，开展补充评估与评价，对风险评估报告和内部控制评价报告进行了修正。其中：风险评估报告中对重大风险进行了调整，将安全管理风险移出重大风险，并针对内部控制评价中发现的缺陷，将预算管理风险和人员晋升风险列入重大风险;在财务部的配合下，审计部对设备进口风险、科研成果转化风险的管控措施进行了梳理，开展了补充评价，发现了设备进口管理、科研成果转化管理中存在的缺陷，并据此对内部控制评价报告进行了完善。修订后的风险评估报告和内部控制评价报告报单位领导批准。

在总结经验教训的基础上，该单位财务部和审计部经过协商，明确未来将在分工负责的基础上，充分运用内部控制与风险评估结果相互印证的方法，持续推动单位内部控制的完善。

（一）财务部门应做到的事项

1.针对近两年国家相关政策和法规变化、单位业务和管理变化、内外部检查发现的本单位管理中存在的问题以及本单位和其他单位发生的风险案例等，进行补充风险识别工作，完善风险清单。

2.在风险识别的基础上，针对识别出的每一项风险明确应对策略，并在此基础上，制订风险解决方案，形成风险管理地图。

3.根据风险管理地图，对《内部控制手册》进行修订与完善，特别是对进口设备管理和科研成果转化管理相關内容进行了补充，在单位层面和业务层面上明确各项风险的控制点与控制措施，确保所有风险均处于受控和可控状态。

4.根据《内部控制手册》的修订情况，对单位的管理制度、业务流程、部门岗位职责、授权手册进行相应的修订，以保证内部控制真正落地，并得到有效的执行。其中，需要对《内部控制管理办法》进行相应的修订，特别是要明确年度风险评估是对剩余风险的评估。

5.根据2021年风险评估中存在的对风险评估理解有差异的问题，未来每年开展年度风险评估前，应当对参与评估人员进行相关的培训，以保证对风险评估的理解一致、标准一致。

（二）内部审计部门应做到的事项

1.内部控制评价不仅要关注内部控制执行，更要关注内部控制设计的健全性与合理性。要结合本单位业务和管理实际，以风险识别和应对为基础，对相关风险所应当设置的控制进行评价，以发现内部控制设计方面的缺陷。

2.与财务部建立顺畅的沟通机制，针对内部控制评价以及内部审计中发现的内控设计缺陷，特别是重大缺陷和重要缺陷，及时向财务部进行反馈，监督财务部完善内部控制设计，以保证相关风险得到有效的控制。

（作者单位：连云港急救中心财务科，邮政编码：222000，电子邮箱：2432362005@qq.com）