董麗虹

摘要：《國際內(nèi)部審計專業(yè)實務標準》將內(nèi)部控制審計定義為：“內(nèi)部審計部門必須評估控制的效果和效率，并促進控制持續(xù)改進，從而協(xié)助組織維持有效的控制”。目前，內(nèi)部控制審計已經(jīng)成為人民銀行內(nèi)審工作轉(zhuǎn)型的重點和突破口，探索人民銀行內(nèi)部控制審計評價不僅是內(nèi)審工作轉(zhuǎn)型的要求和重點，也是更好發(fā)揮內(nèi)審服務、咨詢功能的嘗試。本文從分析人民銀行內(nèi)部控制審計評價的目的和內(nèi)容入手，結(jié)合COSO委員會創(chuàng)建的《內(nèi)部控制整體框架》，探索設計適合人民銀行內(nèi)部控制審計評價體系，提出完善人民銀行內(nèi)部控制審計評價的建議，以提高內(nèi)部控制審計的質(zhì)量和效果，進一步促進人民銀行內(nèi)部控制規(guī)范建設和有效履職。

關鍵詞：內(nèi)部控制；審計評價；應用研究

一、內(nèi)部控制審計評價的目的

內(nèi)部控制審計評價是一個單位整體和管理層面的重要組織活動，中央銀行內(nèi)部審計實務中，內(nèi)部控制審計評價的目標在于，借鑒國際內(nèi)審先進理念，探索性開展風險管理審計，從全面性、合理性、遵循性、有效性四個方面對內(nèi)部控制五要素進行評價，以進一步提升人民銀行內(nèi)控體系在組織治理中的功效。評價的目的在于，通過對內(nèi)部控制構成要素的審查、分析和測試，對內(nèi)部控制體系有一個全面、客觀的評價，確保各項職責遵循法律法規(guī)和內(nèi)部管理的要求，并適時查找薄弱環(huán)節(jié)，提出改進措施，進而優(yōu)化內(nèi)控環(huán)境、完善內(nèi)部控制功能、提高防范風險的能力，改善業(yè)務運行的效率和效果。

一是通過評價內(nèi)控機制的建立與運行情況，促進各單位、各部門建立一套較為科學、嚴謹、規(guī)范，而且貫穿于各項業(yè)務運行和管理活動始終，能夠充分體現(xiàn)各司其職、各負其責、相互監(jiān)督、互相制約、有效識別與控制風險以及具有培養(yǎng)職工積極進取、奮發(fā)向上功能的內(nèi)部控制體系。

二是通過評價內(nèi)部決策控制與管理控制情況，促進各單位、各部門嚴格遵守國家有關法律法規(guī)和各項規(guī)章制度，進一步加強對決策風險、管理風險和業(yè)務風險的控制，確保各項業(yè)務運行與管理活動安全、規(guī)范、高效運作。

三是通過評價內(nèi)控制度、操作規(guī)程執(zhí)行情況和達到的效果，促進各單位、各部門依法、合規(guī)、有效履行職責，進一步提升管理水平，確保各類資源有效利用、各項資產(chǎn)安全完整和各類業(yè)務與管理信息的真實可靠。

二、內(nèi)部控制審計評價的內(nèi)容

內(nèi)部控制審計評價的內(nèi)容包含內(nèi)部控制環(huán)境、風險的識別、評估及應對、控制活動、信息與溝通和監(jiān)控五個內(nèi)部控制構成要素。

（一） 控制環(huán)境評價的主要內(nèi)容

一是是否建立重大事項集體決策機制，明確集體決策范圍、程序和權限，按規(guī)定執(zhí)行集體決策程序。領導層和管理層是否明悉自身在內(nèi)部控制中的引導和監(jiān)控職責，帶頭執(zhí)行有關行為規(guī)范和內(nèi)控制度；是否建立并倡導員工行為規(guī)范，明確其執(zhí)行內(nèi)部控制的要求，引導員工樹立誠信道德觀念，提高職業(yè)道德。 二是各崗位設置是否明確，職責和權限是否清晰，是否符合不相容崗位分離的內(nèi)控要求；崗位人員是否具備完成本職工作所需的知識和技能并知曉自身的職責和工作目標；專業(yè)崗位人員是否具備相應的從業(yè)資格；對重要崗位人員是否實行定期輪換或強制休假等控制措施，是否嚴格履行相關的審查、考核程序。 三是各項業(yè)務運行、管理活動是否有明確的操作規(guī)程或管理制度，內(nèi)容是否完整、合規(guī)，是否能夠根據(jù)情況變化及時進行修訂；是否建立了適當?shù)募睢⒓s束機制和完備的人力資源管理制度。

（二）風險識別、分析和應對評價的主要內(nèi)容

一是相關風險是否進行充分、及時、有效的識別和科學界定，并根據(jù)風險特征劃分風險等級并進行賦值。

二是是否根據(jù)風險識別和分析的結(jié)果，確定風險應對策略，明確具體的應對措施，制定風險應對方案。

三是是否建立了突發(fā)事件應急管理機制，是否制定完善、合理、可操作的突發(fā)事件應急預案，并配置了相應資源適時開展應急演練；是否及時調(diào)整完善應急預案，確保預案的可操作性和有效性。

（三）控制活動評價的主要內(nèi)容

一是授權與審批控制。是否明確授權活動的范圍、期限、程序，授權是否符合規(guī)定；是否嚴格執(zhí)行有關業(yè)務審批、事務決定等權限管理制度。

二是復核與確認控制。是否嚴格履行業(yè)務復核或資金、資產(chǎn)對賬等職責。對需要確認的事項，是否按規(guī)定及時確認。

三是計劃和預算控制。是否根據(jù)工作目標按時制定年度工作計劃和財務預算，將工作落實到每個部門和崗位、預算分解到各個會計科目。是否對計劃執(zhí)行情況進行督辦，確保工作計劃按時完成，財務預算得到切實執(zhí)行。

四是記錄控制。登記簿或臺賬是否按規(guī)定設置。有關重要業(yè)務處理、工作交接和監(jiān)督檢查記錄是否及時、規(guī)范和完整。

五是實物保護控制。重要場所是否實行封閉管理，是否按要求實施監(jiān)控，門禁控制是否有效。場所內(nèi)是否具有防火、防光、防塵、防污染、防鼠、防潮、防盜等必要設施；是否嚴格執(zhí)行槍彈存放、領取、使用、交接等規(guī)定，責任是否到人?，F(xiàn)金、有價證券、重要空白憑證、印章、密押卡等重要物品是否專人入庫（柜）管理。

六是信息系統(tǒng)控制。信息系統(tǒng)的運行環(huán)境是否符合有關技術標準和要求。信息系統(tǒng)是否嚴格按照有關規(guī)定開展系統(tǒng)運行管理和系統(tǒng)維護工作，是否限制和監(jiān)督對設備、程序和數(shù)據(jù)的接觸，規(guī)范系統(tǒng)操作、訪問控制和應用變更。是否健全信息系統(tǒng)安全功能設置和管理，加強對有關數(shù)據(jù)備份及存儲介質(zhì)的管理；是否建立并嚴格執(zhí)行安全巡檢制度，確保系統(tǒng)和各類數(shù)據(jù)信息的安全。

（四）信息與溝通評價的主要內(nèi)容

一是是否及時轉(zhuǎn)發(fā)上級行文件，并將本單位意見及時準確向下級行傳達，各類業(yè)務情況、建議和重大事項是否及時向上級行反映或報告。領導層、管理層和員工及各部門之間交流溝通渠道是否順暢。

二是信息采集是否符合法律法規(guī)規(guī)定，是否合法、準確、及時、便捷地公開披露有關政務信息，是否嚴格信息保密管理，確保涉密信息傳遞、披露安全。

（五）監(jiān)控評價的主要內(nèi)容

一是主管行領導是否定期對職能部門進行檢查；部門負責人是否定期對本部門進行檢查或評估；有關職能部門是否定期對本單位和下級行開展相關檢查；負有監(jiān)督檢查職責的部門是否定期或不定期開展專項監(jiān)督檢查和評價。監(jiān)督檢查和評價結(jié)果是否報告單位決策層或相應管理層。

二是是否對業(yè)務操作、網(wǎng)絡系統(tǒng)使用及其它高風險領域及剩余風險進行實時監(jiān)測，發(fā)現(xiàn)的問題是否得到及時整改。

三、內(nèi)部控制審計評價的原則

（一）全面性原則。內(nèi)部控制應當貫穿各單位、各部門經(jīng)濟活動的決策、執(zhí)行和監(jiān)督全過程，涵蓋人民銀行的業(yè)務運行和管理活動，滲透于各項工作的各個環(huán)節(jié)，貫穿于各項工作的始終。內(nèi)部控制審計評價必須覆蓋重要業(yè)務運行和管理活動的各部門、各崗位，不得留有死角和真空。

（二）重要性原則。在全面控制的基礎上，審計評價應依據(jù)業(yè)務運行和管理活動的風險部位與控制環(huán)節(jié)的重要性確定考核評價的主要內(nèi)容，重點放在人、財、物、權限及信息系統(tǒng)等重點區(qū)域和重點業(yè)務的管理與控制方面。

（三）制衡性原則。重點評價各單位、各部門的內(nèi)部管理、職責分工、業(yè)務流程等方面是否形成相互制約和相互監(jiān)督的模式，從業(yè)人員是否熟練掌握本崗位的管理規(guī)定和操作規(guī)程，并以此規(guī)范自身的業(yè)務行為。

（四）適應性原則。重點評價內(nèi)部控制是否符合國家有關規(guī)定和單位的實際情況，并隨著外部環(huán)境的變化，單位經(jīng)濟活動、業(yè)務操作的調(diào)整和管理要求的提高，不斷修訂和完善。

（五）規(guī)范性原則。審計評價工作應事先做好充分的組織和準備，要按照評價辦法及規(guī)定的程序，精心組織、周密安排，逐步實現(xiàn)內(nèi)部控制審計評價的規(guī)范化、制度化、標準化。

（六）客觀性原則。審計評價應以事實為依據(jù)，以法律法規(guī)和上級行的有關規(guī)定為準則，客觀公正、實事求是。

（七）統(tǒng)一性原則。審計評價要做到評價標準和口徑的統(tǒng)一、分值設定的科學合理，以確保各種結(jié)論、評判及信息資料的準確性與科學性。

（八）定性定量原則。審計評價要按照既定分值嚴格進行量化打分評價，同時結(jié)合綜合治理考核、日常內(nèi)控檢查、專項檢查等結(jié)果進行定性定量的評價。

四、人民銀行內(nèi)部控制審計評價的探索

（一）構建內(nèi)部控制審計評價的責任體系與組織框架

1責任體系。

《中國人民銀行分支機構內(nèi)部控制指引》（以下簡稱《指引》）為分支機構建立健全內(nèi)部控制機制提供了理論依據(jù)和現(xiàn)實指引，各分支機構內(nèi)部控制建設工作領導小組，不定期對本行內(nèi)部控制情況進行督導、檢查、評價和反饋。在此基礎上，以省為單位，逐步構筑“橫向到邊，縱向到底，一級抓一級，層層負責”的省級中心支行、地市中心支行、縣（市）支行三級內(nèi)控管理責任體系，按照“誰主管、誰負責”的基本要求，明確行長、分管行領導、部門負責人、內(nèi)控管理員及業(yè)務操作人員等不同層級人員在內(nèi)控安全管理工作中的職責，由業(yè)務主管部門承擔風險防控的主體責任，確保各級行高效安全的履行職責。

2組織框架。

各級行內(nèi)部控制領導小組辦公室（設在各級內(nèi)審部門）負責統(tǒng)一領導、組織、協(xié)調(diào)業(yè)務運行和管理活動的內(nèi)部控制評價工作，站在督導和牽頭的位置上，協(xié)調(diào)、監(jiān)督本單位及各部門進行內(nèi)部控制自評，適時開展內(nèi)部控制評價抽查工作，對檢查發(fā)現(xiàn)的問題提出處理意見、督促整改。各業(yè)務部門內(nèi)部控制聯(lián)絡員按月開展本部門的風險排查，對查出的問題及時分析總結(jié)，并依據(jù)內(nèi)部控制五要素進行評估，提出改進意見。業(yè)務主管部門每年至少開展一次對下級行業(yè)務歸口部門的內(nèi)部控制狀況的檢查和評價，形成評價結(jié)果報送內(nèi)審部門。

（二）建立內(nèi)部控制風險識別指標體系

內(nèi)部控制的核心內(nèi)容是風險管理，風險管理的基礎是風險識別。因此，風險的識別、分析、應對以及控制是內(nèi)部控制審計評價活動中的關鍵，《指引》將分支機構的相關風險定義為法律風險、聲譽風險、資產(chǎn)風險、信息技術風險、效率風險、操作風險等6類風險。通過借鑒國外中央銀行的做法，結(jié)合人民銀行實際情況，人民銀行總行下發(fā)的《中國人民銀行內(nèi)審部門風險評估工作試行辦法》將影響人民銀行目標實現(xiàn)的主要風險事件分為市場風險、信用風險、流動性風險、操作風險（包括業(yè)務流程、信息技術、人員、外部事件4類風險因素）、法律風險（對外監(jiān)督管理、內(nèi)部管理）、聲譽風險（包括

決策失誤、利益沖突、媒體和輿論等負面報導或評論3類風險因素），共39個風險事件。

按照《指引》中內(nèi)部控制五要素的要求，同時根據(jù)《中國人民銀行內(nèi)審部門風險評估工作試行辦法》風險劃分和風險來源，合理制定各業(yè)務部門配套內(nèi)部控制評價實施辦法，充分識別各業(yè)務部門風險點、風險事項，并運用風險矩陣確定風險事項等級。以某省會中心支行為例，各業(yè)務部門共識別風險事項1517個，其中I級風險事項232個，占風險事項總數(shù)的153%，II級風險事項690個，占風險事項總數(shù)的455%，III級風險事項461個，占風險事項總數(shù)的304%，IV級風險事項134個，占風險事項總數(shù)的88%。其中：Ⅰ級為重大風險，Ⅱ級為較大風險，Ⅲ級一般風險，Ⅳ級為較弱風險。風險事項呈“紡錘型”分布。將識別出的風險事項從內(nèi)部控制環(huán)境、風險識別、控制活動、信息與溝通、監(jiān)控等五個方面進行分類，對確定的Ⅰ至Ⅳ級風險事項等級進行賦值和定性定量。內(nèi)部控制審計評價體系在充分論證、研討形成統(tǒng)一思路的基礎上，以非現(xiàn)場方式收集、整理數(shù)據(jù)，采取定性分析和定量賦值相結(jié)合的手段，以查找風險點和關鍵控制點為起點，沿著風險識別、風險分析、風險分類、風險量化、風險排序、風險賦值的軌跡完成建立過程。檢查考核工作按圖索驥，對控制措施進行分類評價打分，優(yōu)劣立判。從部門組別來看，風險事項主要集中于服務保障類部門，風險事項占比352%。從內(nèi)部控制五要素來看，風險事項主要來源于控制活動，占比4608%，如下表。

風險事項內(nèi)部控制五要素分布表

單位：個、%

要 素

風險等級

ⅠⅡⅢⅣ

合計占比

內(nèi)部環(huán)境5613397233092037%

風險評估1010068262041345%

控制活動109338201516994608%

信息與溝通516250201831206%

監(jiān)控6574514122804%

合計232690461134151710000%

（三）制定內(nèi)部控制審計評價標準

各業(yè)務部門內(nèi)部控制評價內(nèi)容分別按照內(nèi)控環(huán)境、風險管理、控制活動、信息溝通、監(jiān)督控制等五個評價主模塊，采用頭腦風暴法對其五個模塊設定權重，權重分別為：02、01、05、005、015，五個主模塊按照分類進行子模塊的劃分，針對各項子模塊對風險事項進行了分解和賦值。內(nèi)部控制審計評價主要針對各單位和各部門內(nèi)控環(huán)境的建設、內(nèi)控機制的健全、風險識別及控制措施的有效性情況進行打分。內(nèi)部控制審計評價指標等級根據(jù)整體評價結(jié)果分為4個等級，分別為 A級（內(nèi)控良好類），綜合評分90分（含90分）以上；B級（內(nèi)控有效類），綜合評分75-89分（含75分）；C級（內(nèi)控基本有效類），綜合評分60-75分（含60分）；D級（內(nèi)控失效類），綜合評分60分以下。對于出現(xiàn)各類違法違紀案件的單位或部門實行“一票否決”，取消評定等級資格。在評價成果應用方面，采取召開管理層和相關人員研討會等方式，進行評價結(jié)果交流和反饋，特別是對高風險點和低風險頻發(fā)的內(nèi)容以及評價等級為C和D的單位采取重點、持續(xù)監(jiān)測。各單位、各部門的內(nèi)部控制評價結(jié)果作為對被評價單位或部門監(jiān)督管理情況的重要依據(jù)。對因整改不善，導致組織機構長期不健全，缺少相應的規(guī)章制度或制度執(zhí)行不力而導致主要風險不能得到有效識別和控制，內(nèi)部管理混亂，工作嚴重失誤的，將視問題性質(zhì)、情節(jié)及結(jié)果，進行相應的處理。

五、意見和建議

（一）改變內(nèi)部控制審計評價方式

內(nèi)部控制審計評價的方式應由單一內(nèi)部審計部門評價向部門自我評價與內(nèi)部審計部門評價相結(jié)合的方式轉(zhuǎn)變。這種方式的轉(zhuǎn)變不僅有利于促進各部門建立一套較為科學、嚴謹、規(guī)范，而且貫穿于各項業(yè)務運行和管理活動始終，能夠充分體現(xiàn)各司其職、各負其責、相互監(jiān)督、互相制約、有效識別與控制風險的內(nèi)部控制體系。

（二）實現(xiàn)內(nèi)部控制審計評價的重心轉(zhuǎn)變

內(nèi)部控制機制建設是構成內(nèi)部控制環(huán)境的重要組成部分，內(nèi)部控制審計評價的重點應由以控制活動的有效性為主向以內(nèi)部控制環(huán)境和內(nèi)部控制機制建設為主轉(zhuǎn)變。審計評價重心要立足人民銀行的組織體系和管理框架，以推進各項業(yè)務運行和管理活動制度化、規(guī)范化、精細化和標準化，保障本單位、本部門依法、正確、有效履行職責，保障各項工作規(guī)范、有序、高效運行，保障各類資源有效利用和各項資產(chǎn)安全完整，保障各類業(yè)務和管理信息真實可靠。

（三）實行內(nèi)部控制審計評價主體的轉(zhuǎn)變

內(nèi)部控制審計評價的主體應由各級內(nèi)審部門評價轉(zhuǎn)變?yōu)樵趦?nèi)審部門的指導、監(jiān)督、檢查和考核下的評價。改變過去單一依靠內(nèi)審部門年度整體評價加強人民銀行內(nèi)部控制管理工作，有效防范各類風險和案件的發(fā)生的作用，改變?yōu)橐詢?nèi)審工作的轉(zhuǎn)型為契機，內(nèi)審部門積極指導各部門開展內(nèi)部控制自我評估，內(nèi)部審計人員不僅是內(nèi)部控制問題的發(fā)現(xiàn)者，而且成為內(nèi)控機制建設有力推動者，為人民銀行依法高效安全履行職責提供有力保障。

（四）建立內(nèi)部控制審計評價問責制度

內(nèi)部控制審計評價工作應納入年度工作考評內(nèi)容，對履行內(nèi)部控制自我評價工作職責不力或不能按時保質(zhì)報送相關評估結(jié)果和報表資料的要進行通報并按相關規(guī)定問責，以促進內(nèi)部控制審計評價工作有效開展。

參考文獻：

[1] 《內(nèi)部控制審計操作手冊》2012年修訂版

[2] 《中國人民銀行分支機構內(nèi)部控制指引》

[3] 《行政事業(yè)單位內(nèi)部控制規(guī)范》（試行）

[4] 《中國內(nèi)部審計》，鄭煥敏，《建行轉(zhuǎn)型期內(nèi)部控制審計評價研究》，20106，總第132期