单位提出的问题

韩老师，最近几年我一直负责单位《内部控制报告》编报工作
，对内部控制建设的要求基本了解了，我认为单位内部控制建设主要内容就是更新制度和流程图，可是报告每年都要求单位开展风险评估和内部控制评价工作
，为什么还要开展这两项工作呢？

金方策观点和看法

欢迎交流探讨单位内部控制建设工作
。作为咨询服务机构
，我针对这个问题从咨询实践的角度提出以下不成熟的观点和看法，仅供参考。

首先，风险评估是风险管理的一个环节，关于风险管理和内部控制的关系
，学术界争议比较大。我认为这是两个不同的管理体系，我曾看到有家会计师事务所给单位出具的文件，标题是“内部控制风险评估报告”
，估计是想表达单位开展内部控制工作中出具的风险评估报告的意思，不过把“内部控制”和“风险评估”并列起来感觉还是有点不妥。现在我们说的内部控制
，应该是基于风险管理的内部控制，首先要通过风险评估识别出经济业务活动风险并认定等级，然后再采取相应的控制措施
。财政部《单位内部控制规范》第二章是风险评估，第三章、第四章才是单位层面和业务层面的内容，顺序是不能错的。风险等级大控制力度就大，比如“三公”经费，虽然每年的支出额度比较小

。在机关单位
，单位人员工资支出占比很大，但风险等级较小

，所以就少控制或者不控制，风险评估是内部控制建设工作的必要和前提条件。

相对于风险评估和内部控制的关系
，内部控制评价就好理解了，是对内部控制建设工作阶段性的的检查和总结，就像学生期末考试一样。最近几年单位都在开展预算绩效评价工作，预算绩效评价是预算项目实施完成以后针对预算目标实际达成情况的评价，道理跟内部控制评价是一样的，只不过实施的领域不同。所有的管理活动都是一个闭环
，无论预算管理还是内部控制
，评价都是必要的管理环节。

评价面向过去的
，评估是面向未来的。在实际工作中，结合《内部控制报告》的编报要求，内部控制评价、风险评估和更新制度流程图这三项工作可以按如下时间顺序进行

：

决算工作完成后，单位上一年度相关业务数据都出来了，单位要及时开展内部控制评价工作
，大概是在1月、2月份，尽快终结去年的内部控制建设工作。注意
：会议的时间虽然是在今年，但会议的内容还是针对上一年度内部控制建设情况的
。上一年度的工作终结了，然后就需要规划和部署今年的工作了
，所以需要开个会，就是《内部控制报告》中要求的内部控制领导小组会议，会上要审议上一年度的评价报告，同时部署和安排今年内部控制建设工作的内容，当然包括今年的风险评估工作。会议的时间点应该是在1月、2月份
，内部控制评价结束以后，风险评估之前。今年的内部控制建设工作是以风险评估活动开始的
，根据单位机构、人员、职责等变化情况，结合新政策新法规要求，看看单位有没有新的业务风险
，风险评估工作应该是在3月或4月份完成
。根据今年风险评估的情况，结合上一年度内部控制评价的结果，还有新政策新法规的要求等等，开始更新制度和流程图的工作
，这项工作要一般要从4月份开始持续到年底，然后在下一年年初又从内部控制评价开始进入新的循环。

编制流程图和拟定制度文件只是内部控制建设工作的一项内容，《单位内部控制规范》要求的制度建设与传统的制度建设还是不同的，制度应该是围绕业务活动中的风险而设计的
。目前单位基本都处于内部控制建设的初期阶段，能够按照《单位内部控制规范》的要求把单位层面
、业务层面相关的流程图和制度建立起来，就已经很不错了。