行政事业单位内部风险评估手册

行政事业单位内部风险评估手册

风险评估是单位及时识别、系统分析经营活动中与实现管理目标相关的风险，合理确定风险应对策略的过程，是风险管理的基础与核心。

在风险评估中，既要识别和分析对实现目标具有阻碍作用的风险，也要发现对实现目标具有积极影响的机遇。风险评估的基本流程包括风险初始信息收集、风险的识别、分析与评价、风险管理策略与选择等。单位在日常经营中充分、连续搜集风险管理信息，根据自身业务特点，选用具备可兼容性的风险分析技术，对风险管理信息进行辨识、计量、评估、分析，采用适当的风险控制技术方法，并形成相关记录，为应对风险提供相应控制策略依据。

一、评估部门

风险评估由内部控制主管处室负责计划、组织和安排具体工作；组织财会、资产管理、采购、基本建设、内部审计、纪检监察等处室或岗位工作人员成立风险评估小组，进行风险评估工作。评估人员在梳理各类经济活动的业务流程、明确业务环节的基础上，系统分析经济活动风险，确定风险点，并据此选择控制方法和应对措施。

二、评估周期及方法

1.评估周期：单位对内部经济活动的风险评估至少每年

进行一次，在全面、系统、准确分析单位各经济业务活动风险的基础上，绘制各业务事项的流程图，确定经济活动的风险点，剖析风险存在的原因，以及导致风险发生的可能性，以确保新的风险得到及时有效的控制。同时，对预算、收支等高风险经济活动业务，开展不定期评估，建立风险预警系统，有效地防范和管控风险。

2.评估方法：单位内部控制的风险分析，采用以定性、定量相结合的方式，从风险可能性、风险影响度等方面进行评估。

（1）可能性定性的测度

很可能：即在多数情况下预期可能发生。

可能：在某些时候可能发生。

不太可能：在多数情况下都不太可能发生。

表1 风险评估的五级评分（示例）

（2）影响程度分析的测度

重大：对目标实现有重大影响，如发生，将造成极大的损失。

次重要：对目标实现有中等程度的影响，如发生，将造成一定的损失。

不重要：目标实现不受影响，如发生，将造成较低的损失。

单位应当基于自身的定位和特色，利用专业的评估工具对内外部风险进行量化的分析，对风险可能发生的频率和后

果赋值，计量风险的严重程度，同时设定本单位对风险的容忍限度，对诊断出的所有风险进行排序，随后建立相应的风险数据库和风险分析排序表，制定正确的风险应对策略。

表2 风险评估的影响程度（示例）

（3）风险识别矩阵

单位风险评估小组（或部门）根据风险分析的结果，结合风险承受程度，对各层面的分析进行排序分析，形成风险识别排序表和风险识别矩阵。风险识别排序表根据风险评分自高到低排序。风险识别矩阵对各类风险进行区分（如表3），其中：风险影响度列为“重大”、可能性为“很可能”的风险列为一级风险，风险影响度列为“重大”或“次重要”、可能

性为“可能”或“很可能”的风险列为二级风险，风险影响度列为“不重要”或“次重要”、可能性为“可能”或“不太可能”的风险列为三级风险。单位根据上述风险分析方法，分别确定各管理业务层面的风险点，并确定相应的后续应对策略。

表3 风险分析的识别矩阵（示例）

三、评估步骤

1. 风险初始信息收集

（1）内部控制主管处室负责对单位内、外部环境的相关信息进行系统收集、更新及维护。外部环境包括社会、政治、法律、经济环境，以及对组织目标有影响的关键驱动因素和发展趋势等；内部环境包括组织架构、角色和责任、组