1、基本养老保险统筹风险防范探究基于 COSO 内部控制风险管理框架 沈贞玮 中国人民银行济南分行 摘 要: 美国 COSO 风险管理框架构建了以风险管理为导向的内部控制体系, 蕴含了较为成熟的风险评估理论, 对基本养老保险统筹风险防范具有重要的指导意义。本文在重点考察 COSO 风险管理理论的基础上, 分析了基本养老保险统筹内控风险管理工作的现实问题, 借鉴 COSO 风险管理框架对养老保险统筹业务风险进行了分类识别, 立足实际提出了风险评估手段及相应的防范措施, 以推动养老保险统筹管理目标的实现。关键词: 养老保险; 风险管理; COSO; 一、引言基本养老保险统筹是为保障职工退休后基本生活而
2、建立的一种带有强制性的保险制度, 在稳定职工队伍、增强队伍凝聚力、解除职工后顾之忧等方面发挥了重要作用。养老保险统筹管理的工作基础是养老保险数据和养老保险基金。实践中, 养老保险数据和基金的真实准确和完整安全, 体现在数据产生、管理和基金收支、运行的各个环节, 而每个环节都存在着管理风险。如何强化内部控制, 防范并有效化解养老保险统筹管理过程中的风险, 已经成为摆在养老保险经办机构面前的重大课题。本文重点考察了 COSO 风险管理框架中的风险评估理论, 分析了基本养老保险统筹内部控制风险管理工作的现实状况, 借鉴 COSO 风险管理框架对养老保险统筹内部控制风险管理体系规划思路进行了积极探索,
3、 在分类识别各类业务风险的基础上, 立足实际提出了风险评估手段及相应的防范措施, 以推动养老保险统筹管理目标的实现。二、COSO 内部控制风险管理框架的理论结构1992 年 9 月 COSO 委员会发布了内部控制整体框架报告, 建立了由控制环境、风险评估、控制活动、信息与沟通、监督组成的五要素体系。后又在内部控制整体框架的基础上对风险评估要素进行了细化, 分解为目标制定、事项识别、风险评估、风险反应, 从而扩展形成了风险管理框架八要素体系。风险评估的四项内容构成了内部控制风险管理的核心部分, 做好风险评估的研究和运用也就掌握了内部控制风险管理的精髓。(一) 目标制定风险是不能实现目标的可能性,
4、 有目标才有风险, 没有目标也就没有风险, 因此, 目标的设定是风险管理的先决条件, 是事项识别、风险评估和风险应对的前提, 为管理者提供了衡量工作的标准。目标结构层次大致如图 1 所示:图 1 目标结构层次图 下载原图(二) 事项识别事项识别也称为风险识别, 风险识别是风险管理的第一步, 也是风险管理的基础, 只有在正确识别出可能对主体产生影响的潜在事项和风险的基础上, 才能主动选择适当有效的方法进行风险处理, 从而规避风险。风险识别一方面可以通过感性认识和历史经验来判断, 另一方面也可以通过对各种客观的资料和风险事故的纪录来分析归纳总结。(三) 风险评估风险评估是对识别的风险进行分析, 以
5、便形成确定应该如何对它们进行管理的依据。风险评估的主要任务包括:评估风险发生的概率和可能带来的负面影响, 确定风险主体对风险的承受能力, 评测风险控制和应对的优先等级。风险评估一般采用定性、定量以及相结合的方法, 若可以获取充足的数据, 一般采用定量的评估方法, 若潜在的可能性及影响结果都较小, 或者无法获得数据, 则一般采取定性的评估方法。(四) 风险反应风险反应也称为风险处置, 风险反应是在对风险进行评估后, 根据各类风险的大小、等级而采取的相应的管理策略和处置措施, 风险反应的类型包括回避、降低、承受。回避是指取消会产生风险的活动。回避意味着风险等级过高, 所有的应对方案都不能将风险的影
6、响和可能性降低到一个可接收的水平, 风险超出可承受的限度, 必须消除。降低是指采取措施降低风险的可能性或影响, 或者同时降低两者。降低意味着风险存在, 但处于可控状态, 可以接受。承受是指不采取任何措施去干预风险的可能性或影响。承受意味着风险等级极低, 在风险容限之内, 可以忽略。三、基本养老保险统筹业务的内控风险管理现状1991 年, 国家制定颁布了国务院关于企业职工养老保险制度改革的决定 (国发199133 号) , 养老保险制度改革工作全面展开。经过 20 多年的发展, 基本养老保险逐步建立了单位缴费和个人缴费相结合、结余基金调剂使用、政府财政兜底的养老统筹基金管理体制。目前基本养老保险
7、内控管理整体上还处于建章立制和“人控”阶段, 各项制度办法没有整合为有机整体, 缺乏一套综合、有效的风险管理框架体系, 尤其是没有形成定期的风险评估机制和措施, 统筹机构的控制目标重点仍然停留在基金收支平衡、业务流程的规范和财务活动的合规性控制上, 忽视了对统筹管理风险的分析和控制, 内部控制风险管理体系建设仍然任重道远。四、基本养老保险统筹业务内部控制风险管理体系的规划思路(一) 目标制定首先确定养老保险统筹业务发展的各层次目标, 结果如图 2 所示。图 2 养老保险统筹业务的各层次目标 下载原图(二) 风险识别结合基本养老保险统筹业务发展的现状, 根据操作性、信息性、合规性三大关联目标在各
8、业务环节的衍射, 大致将风险分为 5 类。1.业务风险, 指养老保险经办机构人员未按照业务流程、业务规程办理业务, 给养老保险统筹业务运行造成直接或间接风险。这类风险的特点主要为:一是风险可控, 多属于操作性失误;二是风险覆盖范围广, 涉及业务管理的方方面面。具体来说, 主要分为 2 种情况, 即因业务流程设计引发的风险 (如养老保险经办机构授权一人办理参保信息审核、信息录入和变更信息维护, 没有设置复核环节等) ;因业务规程落实不到位引发的风险 (如业务经办人员未按照法律法规和基金财务会计制度进行账务处理, 造成会计凭证及账簿要素不全等问题) 。2.人员风险, 主要指因人力资源配置、业务经办
9、人员敬业精神、业务素质和职业道德等因素, 给基本养老保险业务运行造成不利影响或造成基金损失的风险。具体来说, 主要分为 3 种情况:因人力资源配置和管理引发的风险 (如养老保险经办机构未配备专职统筹基金会计或出纳人员, 出现越岗代办、不合理兼岗等情况等) ;因业务经办人员素质引发的风险 (如业务经办人员责任心不强、政策观念淡薄, 专业水平或操作技能与岗位职责和质量标准要求不相适应等) ;因业务经办人员故意违反政策规定或职业道德引发的风险 (如损人利己、徇私舞弊、权力寻租等行为) 。3.信息风险, 主要指由于养老保险经办机构的信息系统、网络等信息化技术保障平台引发的危及业务正常运行, 最终危及基
10、金完整与安全的风险。如因硬件故障造成业务无法办理或存储数据丢失等。4.政策风险, 主要指因养老保险政策规定不完善, 或业务人员对政策精神的理解认识存在分歧、把握尺度不一致、执行标准不统一等原因, 给养老保险运行造成直接或间接风险。养老保险政策规定繁多、关联度高、连续性强, 业务操作复杂, 工作中可能会出现政策精神理解不同、认识存在分歧的情况, 如在养老保险费缴费基数核定问题上, 由于没有明确界定计算缴费基数的具体项目, 造成统筹机构对缴费基数的计算口径政策把握不一等。5.宣传风险, 主要指因对养老保险政策规定和业务办理情况的宣传解释不到位、信息沟通不畅, 引发影响统筹业务运行的风险。如对养老保
11、险费征缴、养老待遇支付的政策宣传解释不够, 造成参保职工和退休人员对养老保险待遇有异议, 引发集体上访或越级上访事件, 或形成网络舆论负面影响等。(三) 风险评估根据养老保险统筹业务管理的实际情况, 考虑到定量分析技术不成熟、部分统筹管理风险难以量化等因素, 建议现阶段对基本养老保险统筹风险评估采取定性评估的手段。具体方法如下:1. 判断风险发生的可能性。结合养老保险统筹业务实际, 可把风险发生可能性等级划分为 5 个等级:A-极可能, B-很可能, C-可能, D-不太可能, E-罕见。判断保险统筹业务管理风险发生可能性有多大, 可先将衡量风险发生可能性的每个要素分为 H、M、L (高、中、
12、低) 3 个等级, 再对各个要素进行等级评定, 最后将各个要素的等级评定结果进行综合, 得出保险统筹管理风险发生可能性的评定结果。综合评定为4H1L 及以上的, 评估为 A-极可能;综合评定为 3H2L 及以下至 4H1L 以下的, 评估为 B-很可能;综合评定为 2H3L 及以下至 3H2L 以下的, 评估为 C-可能;综合评定为 1H4L 及以上至 2H3L 以下的, 评估为 D-不太可能, 综合评定为 1H4L 以下的, 评估为 E-罕见。下面, 以“缴费基数核定”相关风险发生可能性评估为例进行分析, 结果如表 1 所示。表 1 养老保险统筹风险发生可能性评估 (以缴费基数核定为例) 下
13、载原表 2. 判断风险对管理目标的影响。根据养老保险统筹管理实际, 可将风险对管理目标的影响分为 5 个等级:5-极大影响, 4-较大影响, 3-中等影响, 2-较小影响, 1-极小影响。判断风险对管理目标影响程度, 可先将衡量重要程度的每一个要素分为 H、M、L3 个等级, 再对衡量数据重要程度的各个要素进行等级评定, 最后将各个要素的等级评定结果进行综合, 得出风险对管理目标影响的评定结果。综合评定为 4H2L 及以上的, 评估为 5-极大影响;综合评定为 3H3L 及以上至 4H2L 以下的, 评估为 4-较大影响;综合评定为 2H4L 及以上至 3H3L 以下的, 评估为 3-中等影响
14、;综合评定为1H5L 及以上至 2H4L 以下的, 评估为 2-较小影响;综合评定为 1H5L 以下的, 评估为 1-极小影响。下面仍以“缴费基数核定”相关风险对管理目标的影响评估为例, 结果如表 2 所示。表 2 养老保险统筹风险对管理目标的影响评估 (以缴费基数核定为例) 下载原表 3. 综合评估养老保险统筹风险的等级。以风险等级矩阵 (见表 3) 为评估工具, 根据风险发生的可能性和对管理目标的影响程度, 对风险的等级进行综合评估。综合评估分为 E、H、M、L、I5 个等级, 其中:E (Extreme) -极大风险, 不可接受;H (High) -高风险, 不可接受;M (Medium
15、) -中等风险, 不可接受;L (Low) -低风险, 可接受;I (Ignore) -极小风险, 可接受。表 3 养老保险统筹风险等级矩阵评估表 下载原表 仍以“缴费基数核定”相关风险评估为例, 结果如表 4 所示。(四) 风险处置结合养老保险统筹业务的实际, 建议将风险处置的类型确定为消除风险、降低风险、承受风险。消除风险是指风险等级过高, 超出可承受的限度, 养老保险经办机构要采取各种方式和手段消除风险, 坚决杜绝此类风险的发生, 上级主管部门要重点关注, 加以督导, 做好风险整改的实时跟进。降低风险是指风险等级较低, 处于可控状态, 养老保险经办机构要制定切实可行的整改措施, 降低风险
16、发生的频率和密度, 并尽量避免在今后的工作中发生, 上级主管部门应适当关注, 定期抽查。承受风险是指风险等级极低, 在风险承受容限之内, 但养老保险经办机构也应当采取有效措施, 加以合理控制, 上级主管部门可视为正常风险, 可以允许风险的存在。表 4 缴费基数核定风险等级矩阵评估表 下载原表 对照风险评估从高到低的 E、H、M、L、I5 个风险等级, 相应采取以下风险处置措施 (如表 5 所示) :E、H、M 级别的风险要列入重点关注类风险行列, 采取消除风险措施应对;L 级别的风险, 列入适当关注类风险行列, 采取降低风险的措施应对;I 级别的风险, 列入正常类风险行列, 采取承受风险的措施应对。表 5 风险应对策略表 下载原表 参考文献1王海生, 沙丽华.养老保险统筹内控制度建设中存在的问题及建议以乌兰察布为例J.华北金融, 2011 (7) :64-65. 2杨有红, 李宇立.内部控制缺陷的识别、认定与报告J.会计研究, 2011 (8) :76-80. 3林克, 苏金香.内部控制缺陷的判定 基于 COSO 新内部控制框架研究J.财会通讯, 2016 (12) :111-117. 4COSO, 2004, Enterprise Risk ManagementIntegrated Framework.
