国外审计动态

第13期（总第270期）

审计署审计科研所 2011年5月16日

译者按：市场化、信息化、组织重组和价值理念整合及其全球化发展，加大了政府风险，从而改变了政府管理和审计的思维方式。2007年，根据世界审计组织从风险管理和内部审计两方面细化、扩充《公共部门内部控制准则指南》的决定，该组织内部控制准则委员会发布了《公共部门风险管理指南》。该指南在分析现行风险管理理论、模式的基础上，统一了风险管理与内部控制的关系，解决了在引用风险管理模式后引发的内部控制与风险管理在理论上的争议；细化了《公共部门内部控制准则指南》，在操作层面上，解决了公共部门内部控制与风险管理的联系；进一步强调了政府风险管理的重要性，提出公共部门风险管理包括政府宏观治理风险。

《公共部门风险管理指南》由两个部分组成：公共部门风险管理概念及其范围；风险管理的组成部分以及对《公共部门内部控制准则指南》扩充的亮点。全文如下：

世界审计组织治理指南9130号

公共部门风险管理指南

前言

世界审计组织（INTOSAI）1992年发布的《内部控制准则指南》是一个有生命力的文件，该文件体现了内部控制准则应当在内部控制的设计、实施和评价方面推进的洞察力，这种洞察力也包括更新指南的持续努力。

世界审计组织第17届国际大会（首尔，2001年）确认1992年发布的《内部控制准则指南》急需修订，并同意借鉴美国防虚假财务报告委员会（COSO）发布的《企业内部控制整体框架》。随后的协商进一步扩充了应对道德价值观方面的内容，进一步扩充了为相关信息处理控制活动一般准则提供更多信息方面的内容。

修订后的《内部控制准则指南》于2004年发布，该指南同样与时俱进，随着环境的变化而得到完善和发展，以包括像COSO的《企业风险控制整体框架（2004）》的发展带来的冲击。因此，像COSO《企业风险控制整体框架（2004）》一样，新修订的《内部控制准则指南》吸收了当代的风险管理思想。由于本文主要为公共部门读者而写，我们通常用词语“机构”替代特定私营部门中的“企业”。

本文阐述的扩充内容是世界审计组织内部控制准则委员会成员共同努力的结果，该修订已由部分国家（法国、匈牙利、孟加拉、立陶宛、荷兰、阿曼、乌克兰、罗马尼亚、英国、美国和比利时）最高审计机关代表委员会组成的特别工作组进行了协调。

——世界审计组织内部控制准则委员会主席，比利时审计法院院长：佛冉克.万斯塔彼勒(Franki VANSTAPEL)

引言：

COSO发布的《企业风险管理框架》的基本前提是企业存在的目的就是为利益相关者创造价值。对公共部门来说，一般期望公职人员公平地提供公众利益，合理地管理公共资源。实际上，公共部门的利益相关者就是公众及其推选的代表。

所有机构都面临不确定性，对于管理的挑战在于确定为利益相关者创造最大价值时，准备承受多少不确定性。同样至关重要的是：不确定性潜藏着对价值的破坏或增进，既代表风险，也代表机会，对公共部门而言，就是向公众提供利益的增加或减少。机构风险管理能够有效地应对不确定性以及由此带来的风险和机会，从而提高机构创造价值的能力，能够更加经济高效地提供服务，能够在考虑公平正义时对准这些目标。

在对机构进行管理以实现其目标的过程中，世界审计组织发布的《公共部门内部控制准则指南》只是把内部控制看作提供了一个总体性概念框架，而COSO的《企业风险管理整体框架》和其他类似模型指导机构，在最小化风险和最大化机遇以识别未来的风险和机遇的基础方面，向前推进了一步。

像公司治理制度中对职责定义的扩展一样，机构风险管理要求改变组织思考实现目标的方式。正是因为对有效性的强调，机构风险管理是一个动态的过程，它应用于战略的制定，有效贯穿于整个过程，并受到机构所用层级和业务部门的影响，旨在识别影响机构实现自身目标的所有事项。

本指南为公共部门应用机构风险管理的原则提出了一个粗略的建议性框架，并提出了机构风险管理的评价原则。然而，本指南不打算代替或取代《公共部门内部控制准则指南》，而是为世界审计组织成员国使用这些规范进行风险管理额外提供的补充资料。本补充指南也不打算限制、干预与法律完善、规则制定或其他纪律政策的制定相关的适当授权。

总之，本指南相关的公司治理准则方面的补充内容将会得到清晰的阐述，本指南不提供实施良好公司治理制度的详细政策、程序及惯例，也不寄希望它适用于所有法律环境的所有机构。然而，对机构完善制度以努力促进其向利益相关者提供最好服务的宽泛框架而言，该指南提供了新的内容。

指南结构

本指南的结构与世界审计组织发布的《公共部门内部控制准则指南》的结构类似，分为两个章节。第一章定义了机构风险管理的概念并界定了其范围，第二章提出了风险管理的要件，并强调了内部控制准则的扩充内容。

第一章 机构风险管理概念

1．1 定义

1．1．1 COSO发布的《企业风险管理框架》指出，机构风险管理就是应对影响价值创造和价值保持的风险和机遇，其定义如下：

“机构风险管理是一个由决策层、管理层和其他人员共同参与的过程，用于机构战略制定和机构的各个部门及各项活动，用于确认可能影响机构的潜在事项，并在其风险偏好允许的范围内管理风险，从而为机构目标实现提供合理保证。”

1．1．2 在公共部门，价值创造和价值保持词语的含义不像在私人部门那里直截了当，坚定扩展定义的目的是使其尽可能涵盖更多的部门和组织类型。照此，用服务创造和服务保持替代定义中的价值创造和价值保持，该定义完全有可能适用于公共部门中的机构。

1．2 明确使命

1．2．1 制定机构使命或远景是机构风险管理的起点，管理当局应按照机构使命的要求确立战略目标，选择实现战略目标的策略，并在整个组织内建立与战略目标相协调的支撑目标。

1．3 设定目标

1．3．1 世界审计组织发布的《内部控制准则指南》将目标分为四类(尽管大多数目标属于一个以上)，即：

● 战略目标，指高级目标。该目标与机构使命一致并支撑机构使命。

● 运营目标，指运作的有序性、道德价值、经济性、效率性和效果性，维护资源安全以免丢失、滥用和损毁。

● 报告目标，指报告中履行职责和义务的可靠性。

● 遵循目标，指遵守相关法律、法规并使其行为能够与国家政策一致。

1．3．2 前两类目标不完全属于机构控制框架，因此，风险管理制度仅对得到良好管理的风险提供合理保证，并使管理当局能够及时发觉这两类目标的满足程度。然而，机构控制框架都有报告目标和遵循目标，有效的机构风险管理通常为管理当局提供这些目标得到满足的保证。

1．4 识别事项——风险和机遇

1．4．1 机构风险管理的目标一旦设定，机构风险管理要求组织识别那些影响目标实现的事项，这些事项可能有积极影响，也可能有消极影响，或者兼而有之。消极影响代表风险，它阻碍机构实现目标的能力，这些风险的产生既有内部因素也有外部因素。表1列出了政府机构面临的许多风险，相关的特殊机构很可能有其他风险。

表1：政府部门和机构面临的某些风险

1．4．2 有正面影响的事项可能抵消负面影响，它代表机遇。机遇就是事项发生的可能性，该事项将增强机构实现目标的能力，或者能够使机构更有效地实现目标。如同试图降低风险一样，管理当局应当制定抓住机遇的规划。

1．5 沟通与学习

确定机构风险管理“有效”与否是风险管理过程的基本组成部分，管理当局需要判断风险管理各个成分是否存在和有效运行；也就是说，风险管理不存在重大缺陷，所有发生的风险都在给定的机构风险偏好可接受的范围。机构风险管理有效的地方，管理当局掌握与使命要求一致的所有四类目标的范围及实现程度。机构内部自上而下和自下而上的有效沟通对推进这一过程必不可少。

1．6 风险管理的局限性

1．6．1 不论机构如何合理地制定和有效地实施风险管理制度，风险管理都不能为总目标的实现提供绝对保证。换言之，本补充指南认为风险管理只能为机构实现目标提供合理保证。

1．6．2 合理保证相当于实现目标所需要的满意置信水平（可靠程度），或者说，如果目标出现不能实现的征兆，管理当局能够及时察觉。确定多大满意的置信水平属于判断问题，在进行实际判断时，管理当局必须考虑机构的风险偏好及对目标实现有影响的事项。

1．6．3 合理保证体现了不确定性及其未来风险的理念，这些风险没有人能进行确定预测。另外，机构内部控制以外的因素或其影响，如政治因素，能够对机构完成目标的能力产生影响。在公共部门中，机构内部控制的外部因素甚至能迅速改变核心目标。局限性产生于如下几种情况：人类决策判断的固有缺陷；由于人类低级错误而发生的偶然事件；与应对风险和设置控制制度决策相关的成本和收益；逃避内部控制的两人及其以上人的串通，管理当局滥用内部控制制度。这些局限性妨碍管理当局有实现目标的绝对保证。

1．7 内部控制与机构风险管理的联系

在许多方面机构风险管理可以看作内部控制模式的自然演变，许多组织在运用机构风险管理特有理念之前，都对内部控制模式的应用进行了全面的探索。内部控制是机构风险管理必不可少的部分，机构风险管理框架除了包括内部控制外，还形成了一个十分健康的理念：机构的业务性决策如何从其核心使命及相关目标中独立出来，如何向管理者提供手段或工具以帮助他们对特定事项做出正确的应对。

与世界审计组织的《公共部门内部控制指南》相比，企业风险管理模式在某些领域中得到了进一步的发展，尤其在如下几个方面：拓宽了目标种类，包括更完善的报告目标、非财务信息和战略目标；扩充了风险评估要素，引进了不同的风险概念，如风险偏好、风险容忍度和风险回应等；强调了独立董事的重要性，并细化了独立董事的角色和职责。

第二章 机构风险管理要素

机构风险管理由八个紧密相关的要素构成，他们源于管理者的经营方式，并与管理过程融为一体。这些要素包括：

● 内部环境；

● 确立目标；

● 识别事项；

● 评估风险；

● 应对风险；

● 控制活动；

● 信息和沟通；

● 监督。

在运用风险管理要素时，机构应当考虑组织所有层面的全部活动范围，管理当局还应考虑机构风险管理框架使用的新创新和新措施。

实施机构风险管理。要求管理当局具有风险组合的观念。实际上，所有层次的管理者都必须考虑其活动范围内可能产生冲击的事项，并向最高级管理人员提供这些事项。评估可以采取质量的方式或者数量的方式。最高级管理人员应利用各级管理部门和各业务部门风险评估结果，提出机构层面的风险组合。

人在风险管理中的重要作用。机构风险管理的实施和有效运转依赖机构管理当局和其他人员。风险管理通过组织中个人的行为和说明实现，机构风险管理也对个人行为产生影响。每个职员都有不同的知识水平和理解能力，机构风险管理当局设法提供一种机制，使每一个职员能够理解机构目标背景下的风险。

职员应当知道自己的责任和权限，相应地，个人职责与行为方式之间必须存在简单、明确的联系。最高管理层主要进行监督，他们还要指明方向，批准战略，审批某些交易和政策，从而在提高组织文化方面发挥不可替代作用。

2．1 风险环境（背景）

2．1．1 风险环境（背景）包括组织风格、影响全体人员的风险意识、规定的组织纪律和组织结构，风险环境是机构风险管理所有其他要素的基础。内部风险环境要素包括风险管理理念、风险偏好、管理委员会的监督、诚信和道德观、职员能力，以及管理当局配置权力及责任、组织与开发人力资源的方式等。

2．1．2 机构的风险管理理念是一组共享的信念和态度，这种信念和态度是机构打算怎样考虑从战略制定到日常工作所有工作的风险。理念对文化和业务方式产生影响，包括如何确认风险、承担哪类风险、如何管理风险。机构风险管理理念应当在政策陈述、利益相关者及职员的口头和书面沟通、制定政策中得到贯彻。无论沟通方式如何，高级管理人员通过日常行为而不是通过沟通政策强化风险管理理念至关重要。

2．1．3 风险偏好是指机构在实现目标过程中愿意接受的宽泛层次的风险量，它反映了风险管理理念，并进而影响机构文化和运行方式，风险偏好可以从数量或者从质量方面考虑。在制定战略时，应考虑愿意接受或忍受的风险，战略要求的回报应当与风险偏好保持一致。

2．1.4 此外，在识别风险环境和选择适当的风险偏好时，公共部门必须考虑“宽泛机构”。赞助与被赞助组织（其它政府部门或立法机构）的意见和偏好、合作组织的意见有助于指出针对恰当风险管理理念和风险偏好的明确方向。

2．1．5 机构高级管理层是内部环境的关键组成部分，并对其要素产生重要影响。不言而喻，“最高管理层的风格”能够建设或者根本瓦解组织文化，高级管理人员独立于行政管理的状况、管理经验和思想境界、参与及检查程度、行为的适当性等，都起着重要作用。高级管理人员可以包括部分最高行政管理人员，除内部环境的有效性以外，高级管理团队包括一些外部独立人士是可取的。这是因为高级管理人员为通过咨询和详查行为承担行政管理责任做好准备，为提出其他观点做好准备。

2．1．6 管理人员的诚信和道德观影响战略和目标的实施方式，因为机构的良好声誉价值极大，行为准则必须高于应遵守的基本法律标准。道德行为和管理人员诚信是社团文化的副产品，社团文化包括道德、行为准则及沟通交流和实施的方式，最高管理者在确立社团文化方面发挥着关键作用。以对抗实现根本使命的方式，过分强调短期结果可能营造不健康的内部环境。

2．1．7 正式行为规章非常重要，它是健康道德格调提升的基础。职员没有担忧地向管理委员会提供有关信息的向上沟通渠道（或正式举报程序）也非常重要。然而，书面行为规章自身不能保证程序得到遵守，即使所有人员必须证明他们意识到了其预期行为，与执行规定同样重要的是对违反规定人员的惩处。高层管理人员传递的信息迅速形成社团文化，当碰到难处理的业务决策时，“做正确的事”迅速成为整个机构的共识。

2．1．8 能力反映了履行指定任务必备的知识和技能，它需要由人力资源实践（这些实践包括个人晋升、录用、培养和处分低下绩效）来支撑。管理者为特定工作规定特定能力水平，并将其转化为特定岗位的恰当说明。认识到能力和成本之间存在平衡也非常重要。

2．1．9 机构的组织结构为计划、执行、控制和监督活动提供框架，采纳的组织结构应当适合业务需要，有的采取集权模式，有的采取分权模式；有的按地域设置，有的按功能设置。不论组织结构如何，机构组织都应能够有效地进行风险管理，开展有关活动，实现其目标。

2．1．10 权力和责任的配置包括授权和促进个人及团队发挥提出问题和解决问题的主动性的范围，以及对权力的限制。其主要挑战在于确保全体人员理解机构目标，理解其行为如何贡献于这些目标的实现，理解实现目标需要的授权范围。确定责任与授权同样重要，个人认识到他们承担责任的程度极大地影响着内部环境，这对最高首长完全使用。

2．2 制定目标

2．2．1 制定战略目标，为较低层次的运营、报告和遵循性目标奠定基础。每个机构都面临着来自内部和外部的各种风险，面临有效识别事项的前提，风险评估和风险应对就是制定目标。在管理者确定和评估实现目标的风险和采取必要的降低风险措施之前，必须制定目标。目标与机构的风险偏好保持一致，并驱动机构的风险承受水平。

2．2．2 机构使命按照机构所渴望的获得确定，管理当局制定战略目标，系统阐述战略，确定相关操作。战略目标与最高层次目标一致并支撑机构使命，履行使命所采取的战略及相关目标比使命本身更有活力，使命调整要考虑正在变化的环境或条件。

2．2．3 不管各个层次的机构目标如何不同，都有特定宽泛的分类能够使用。所有目标属于下列分类中的一个或一个以上：

运营目标：该目标与机构运作的效率和效果相配，包括绩效目标和保护资源免受损失的目标。当与公共报告结合使用时，使用广义的“资源或资产保护”概念：预防、检查和纠正公共资金的滥用。运营目标必须反映机构运行的具体环境，尽管运营目标是指导配置资源的焦点，如果他们不明确或没有很好构思，资源将会被误导。

报告目标：该目标与机构报告的可靠性相关，包括财务数据和非财务数据。尽管报告目标也涉及外部组织准备的信息，但可靠报告的关键目标是为管理当局的预期目的提供正确、完整的信息。没有正确、完整的信息，管理当局很难做出好的决策。

遵循目标：该目标与相关法律和法规有关，其必要性与市场、环境、职工福利等有关。有些机构还要遵守国际遵循目标。

2．2．4 有效的风险管理为机构实现其业务目标、报告目标和遵循目标提供合理保证。

2．2．5 由管理当局和委员会确定的风险偏好，对制定战略和评估目标的相对重要性具有指导作用。实际上，风险偏好就是机构在向利益相关者提供价值（以公共服务的形式）时打算承受的风险水平。通常，许多不同战略的任何一种都可以实现期望使命，每种组合面临不同的风险。管理当局应当选择那些最适合风险偏好的战略及相关目标。

2．2．6 风险容忍度是与目标实现相关变量的可接受程度，他们通过行为指标度量。通常，行为指标最好用与相关指标相同的计量单位度量。在风险容忍度范围内运营，可以为管理者提供机构风险偏好范围内的极大保证，并实现机构目标。

2．3 识别事项

2．3．1 管理当局对那些如果发生就对机构产生影响的潜在事项进行识别，这些事项必须按照他们是否代表机遇，或者他们是否可能对机构成功实施战略和实现目标的能力产生不利影响（风险）进行分类。在识别风险事项时，管理当局在机构的整个范围内考虑来自机构内部和外部、可能增加风险和机会的各种因素。

2．3．2 事项指来自机构内部或者外部影响战略实施或目标实现的事件或事故，事项可能有积极影响或者有消极影响，或者两者兼而有之。事项的性质从显性到隐形，事项的影响从微不足道到非常巨大。因此，为避免漏看事项，除了对发生的事项及其影响的可能性进行评估外，最好进行事项识别。

2．3．3 管理当局必须理解驱动事项的内部和外部主要因素的类别，外部因素可能包括但不限于政治环境、社会环境、技术环境改变，以及影响机构自身或者供应商的经济问题。内部因素源于管理当局选择的作用方式，这可能包括机构的基本制度、多少运营场所、职工技能、业务信息系统怎样运行等。

2．3．4 面向过去和未来事项的识别技术。针对过去事项的技术可以考虑年度报告和账目、延期款项事件、内部报告等，针对未来事项的技术可以考虑人口迁移特征、新市场的状况、政治环境预期变化。事项确认技术依其复杂程度和自动化程度呈现出很大的不同，他们可以针对事项从上至下或由下而上进行检查。

2．3．5 事项通常不单独发生，一件事可以导致另外一件事发生，并可能同时发生。管理当局应当理解一个事项如何与另一个事项相关，通过评估事项的相关性，有可能确定风险管理成效最直接的地方。

2．3．6 将潜在事项按组分类也可能有用。通过在整个机构内事项的进行水平合并和在运行单位内事项的垂直合并，管理当局能够增进对事件间关系的理解，事项分组也能对最有效率的应对方式提供指导。尽管各个机构将开发适合自身特点的事项分类的方式，《ＰＥＳＴ市场分析》（ＰＥＳＴ是政治、经济、社会和技术因素英文首字母的缩写）可以作为基础的标准工具使用。

2．4 评估风险

2．4．1 评估风险允许机构考虑对完成目标有影响的潜在事项的程度。管理部门应当从影响和可能性两种视角、综合运用定量和定性方法评估事项。事项的正面影响和负面影响可以个别评估，或者按类评估。评估风险应以固有风险和剩余风险为基础。

2．4．2 尽管“风险评估”一词有时结合一次性活动使用，在机构风险管理背景下，风险评估则是在整个机构发生的持续、重复、相互影响的活动。风险评估的目标就是确定足够重要和足够成为管理焦点的事项。

2．4．3 潜在事项的不确定性必须从可能性和影响视角进行评估。可能性表示规定时间内事项发生的可能性，而影响表示事项对机构完成目标能力具有的影响程度。管理当局评估可能性的期间应与相关战略和目标时间范围保持一致。最重要风险是那些发生可能性高、影响大的风险，反之，最不重要风险是那些发生可能性低、影响小的风险。管理平衡点应该位于可能性大、影响大的风险上（见表2）。风险评估的最终结果将对每一风险按照可能性和影响划分等级，一些机构使用高——低等级，一些使用“信号灯”系统的红、黄、绿等级，还有一些使用数值度量（如百分数）。

2．4．4 风险评估方法可以是定量的或者定性的，使用哪种技术方法依据目标和主观判断决定。机构的确不必在所有业务领域使用相同的评估技术，然而，管理当局必须清楚地认识到人类在风险评估时的偏见，必须保证使所有相关人员关于评估风险分级术语的含义达成共识。如果不能达成共识，高级管理人员评估不同风险的重要性就比较困难。

表2：风险评估与应对的简要模式

重

要

性

风险的可能性

2．4．5 风险评估一旦完毕，机构风险的优先顺序应当显现出来。如果暴露的风险在给定的机构风险偏好范围内不可接受，该风险应当列为最优先或“关键风险”，关键风险应当在机构最高层面给予经常关注。随着时间的推移，当机构目标发生变化、风险环境发生变化、关键风险发生变化时，具体风险优先顺序也要发生变化。

2．4．6 风险评估涉及的“固有风险”，指管理部门在没有采取任何可改变风险发生的可能性或影响措施的情况下，机构所面临的风险。剩余风险指考虑了管理部门的风险应对后仍然存在的风险。这种方法的优势是允许管理部门识别那些占用了管理时间风险，而这些时间可以更好地用于其他事务。

2．5 应对风险

2．5．1 评估相关风险后，管理部门决定如何应对风险。应对风险的方式包括转移风险、处理风险、终止业务和承担风险。当考虑风险应对时，管理部门对风险发生的可能性和影响的结果进行评估，对每一风险应对方式的成本和收益进行评估，目的是选择那些剩余风险在所规定的风险容忍度范围内的风险应对方式，管理部门还应识别有利的机会并采纳宽泛的风险组合观点。

2．5．2 风险应对方式分为以下几类：

● 分担或转移风险，就是指通过转移或其它分担一部分风险的方式降低风险发生的可能性或影响，这可以通过传统保险的方式，或者向承担风险的第三方付费的其他方式来实现。这种方式在降低财务风险、资产风险和外包业务工作时特别有用。然而，大多数风险不能全部转移。特别地，即使签订了外包协议，名誉风险一般也不可能转移。

● 降低或处理风险，到目前为止，绝大多数风险以这种方式应对。采用该方式用于减少风险发生的可能性，或者减少风险的冲击，或者两者兼而有之。在应对大量的风险时，主要使用这种方式。这种方式涉及大量的日常业务决策，这些决策将在本准则第二章第六款和《内部控制整体框架》内部控制程序中详细说明。

● 规避风险或终止业务（退出产生风险的活动以规避风险），公共部门机构几乎不可能转移核心业务以规避风险，在考虑新的服务提供方式是否合理、具体项目是否继续进行时，可以采取规避方式应对风险。

● 承担或忍受风险，即不采取减少风险产生可能性或影响的措施。该方式认为，识别出这种不支出成本的应对风险方式将降低风险冲击和发生概率至可接受水平，或者使固有风险产生在风险可承受的范围。当然，如果风险已经发生，承担风险可通过意外事件计划的方式增加应对出现的冲击。

2．5．3 风险管理模式不仅强调预测和管理风险，而且还强调确认机会。任何情况下，管理当局都应当不仅考虑风险或负面影响的事项，而且用心考虑机会或正面影响的事项。注意两个方面：第一，降低威胁与出现正面影响的机遇无论是否同时发生；第二，无论如何考虑不产生威胁并且有正面机会环境的出现。

2．5．4 管理部门应当评估各种应对风险方式的效果，然后决定如何最好地管理风险，选择风险概率和冲击都在风险容忍范围内的应对方式或这种方式的组合。选定的应对风险方式没有必要产生最少剩余风险，但如果应对风险方式产生的剩余风险高于可容忍风险，管理部门需要重新考虑风险应对方式和风险可容忍程度。

2．5．5 评估其它应对固有风险的方式时，要求考虑应对方式可能产生的额外风险。按照这种方式，高级管理人员从风险组合的观点考虑应对方式，可以使他们对整个风险应对的轮廓有一个总的看法，使他们能够考虑保留的剩余风险性质和类型是否与总使命和风险偏好保持一致。

2．5．6 管理部门一旦采纳介绍的风险应对方式，就需要制定风险管理执行计划，执行计划的核心部分是保证风险应对方式有效实施的控制活动。

2．6 控制活动

2．6．1 控制活动是有助于保证管理部门的风险应对得到实施的政策和程序，控制活动存在于整个组织、所有层面和全部职责中。因为《公共部门内部控制准则指南》包含了设置有效内部控制的详细信息，本补充指南仅把内部控制延伸到机构风险管理的背景下，不打算做其他更多的阐述。

2．6．2 机构风险管理将控制活动作为机构努力实现业务目标过程的重要组成部分。实施控制活动不仅为了自身的缘由或看起来“做正确的事”，而是作为管理业务目标实现的机制。

2．6．3 同时，实施控制活动通常是确保风险应对得到恰当地实施，就确定的目标而言，控制活动本身也是一种风险应对。控制活动的选择或测评必须考虑风险应对及其目标的相关性和适当性。

2．6．4 因为每个机构都有自己的目标及其实现方式，那就存在着不同的风险应对方式和相关控制活动。既使两个机构有相同的目标，并对如何实现目标做出了类似的决策，控制活动也可能不同，这是因为不同的管理团队有不同的风险偏好和风险容忍度。

2．6．5 在风险管理背景下，所有控制程序可为四个大类：

● 预防性控制，设置预防性控制是为了限制风险产生的可能性和非意愿结果的出现。实现机构目标能力风险的影响越大，采取适当预防性控制措施越重要。

● 指示性控制，设置指示性控制是为了确保特定结果的出现。当非意愿事件（如安全漏洞）的规避非常关键时，指示性控制就非常重要。因此，它通常用于支撑遵循性目标的实现。

● 检查性控制，设置检查性控制是为了确认是否“事项发生后”产生了不良结果。然而，适当的检查性控制的存在，借助产生的威慑作用，也能够降低出现不良结果的风险。

● 纠错性控制，设置纠错性控制是为了改正已经产生的不良结果。纠错性控制还可以作为应急性措施,以实现资金或可靠性的恢复，预防损失或浪费。

2．7 信息及沟通

2．7．1 用于支持内部控制目标数据的质量要求与用于支持机构风险管理数据的质量要求没有什么不同。由于《公共部门内部控制准则指南》关于“信息与沟通”包含详细的资料，本补充指南不打算对风险管理背景下的信息要求做进一步的规定。

——信息

2．7．2 与实现内部控制目标相比，机构风险管理特别要求机构获取必要的大量信息。例如：战略目标要求更多的产出和结果信息。另外，对数据的使用也稍有不同。历史数据容许机构追踪与目标、计划和期望相对照的实际绩效，并能够对要求管理者关注的潜在事项提出早期预警。现行数据容许管理者对业务单元或过程中的现存风险有一个及时的看法，并识别预期的变化。这可容许机构判定其是否在风险容忍的范围内运行。

2．7．3 有关信息的识别、获取和交流应当采取员工能够履行其职责的方式和时机。有效的交流也发生在上下之间、横向之间的信息流动。所有工作人员应该从最高管理层接收到明确的信息——机构风险管理责任必须得到认真履行。他们必须理解自己在机构风险管理过程中的任务及其相关工作，工作人员都必须有相应管理层面沟通重要信息的方式，也要有与外部利益相关者的有效沟通。

2．7．4 恰当的人有恰当的信息、恰当的时间和地点，对实施有效的机构风险管理必不可少。

——沟通

2．7．5 沟通是信息系统固有的特征。正如向恰当的人员提供信息履行职责一样，沟通必须以广义的形式出现，传播集体文化，应对预期，包括个人和小组责任，及其它相关事项。

2．7．6 管理当局提供明确和直接地内部沟通，这种沟通引导个人的行为预期和责任履行，这应当包括机构风险管理文化和方式的清晰阐述。沟通的程序和步骤应当与要求的文化一致，并支持这种文化。沟通应当传递：

● 机构风险管理的重要性和相关性；

● 机构目标；

● 机构风险偏好和风险容忍度；

● 风险识别和评估的通用语言；

● 个人在支持和实施风险管理中的角色和责任。

2．7．7 还需要职工掌握向直接管理部门和通过组织沟通风险基本信息的方式，通常安排每天处理关键操作事务的一线职工识别问题的苗头。为了报告这些信息，必须有开放的沟通渠道和明确的倾听意愿。如果团体文化是一种“猎杀信息”的方式，职工将不能向上级报告存在的问题，风险也不可能被及时确认。

2．7．8 在多数情况下，正式的报告路线是向上沟通的恰当渠道。然而，在某些环境中，其它沟通渠道（如检举热线）也十分必要。因为其重要，有效的机构风险管理要求建立直通最高管理者、方便所有职工使用且无畏惧心理的其他沟通渠道。

2．7．9 不仅在机构内部必须有适当的信息沟通，而且对外也应如此。与外部利益相关者沟通机构管理风险的方式，向他们保证机构将公告所预期的信息并管理适合公告的预期，这一点非常重要，尤其对影响公共利益的有关风险和公众依靠政府管理这些风险的地方更加重要。与外部沟通的严肃性和诚实性也向他们传递了整个机构的重要信息，并对形成组织文化产生重要影响。

2．8 监督

2．8．1 应该适时监督机构风险管理，以评估风险管理各要素的作用。这可以通过持续的监督活动、专项评估或两种方式的结合来实现。机构风险管理制度的缺陷必须向相当级别的管理层报告，严重问题向最高管理层或最高领导层报告，以便机构完善风险管理程序。

2．8．2 机构目标可能随着时间的过去发生变化，面临的风险组合及其相对重要性也可能发生变化。曾经有效的风险应对方式可能变得无关紧要或没有必要实施、控制活动基本无效或总体失效。管理部门必须不断地监督机构风险管理制度的效果，以便决定其是否仍旧合理和有效。

2．8．3 风险管理有效性评估的范围和频率有很大不同，它取决于风险组合的重要性、应对方式的重要性和管理这些风险的有关控制措施。当管理当局决定接受风险管理框架的全面评估时，管理当局应当密切注意包括战略制定在内的程序的各个方面。然而，正常管理活动（例如风险登记表更新，组织或功能的“健康检查”）也要成为监督风险管理过程的要件。

参考资料：

1．澳大利亚，《风险管理准则》，2004年。

2．美国防虚假财务报告委员会，《企业风险管理框架》，2004。

3．英国财政部，《风险管理原则和概念》,2004年。

4．加拿大财政部，《风险管理整体框架》,2001年。

5．美国防虚假财务报告委员会，《内部控制框架》，1992年。

资料来源：INTOSAI PSC Subcommittee on Internal

Control Standards 2007

翻 译：审计署审计科研所 王 戍

校 对：审计署审计科研所 王长友

主题词：世界审计组织 治理指南 9130号

报：署领导。

送：各省、自治区、直辖市和计划单列市审计厅（局）及科研

所，南京审计学院，署机关各单位，各特派员办事处，各

派出审计局。

发：本所所领导、各处，存档。 共印210份

编辑：罗伟芳 签发：崔振龙

世界审计组织治理指南9130号公共部门风险管理指南