●胡兆軍

一、引言

近三十年來，全球各國各組織普遍將內(nèi)部控制的自我評估方法作為工作的重要內(nèi)容，作為一項強有力的管理工具，可以應(yīng)用在內(nèi)部審計、高層管理和其他管理職能上。國際內(nèi)部審計師協(xié)會2002年調(diào)查結(jié)果顯示，控制自我評估在“未來將愈加重要的實務(wù)”中排名第一，在“當前內(nèi)部審計最佳實務(wù)”中排名第二位。而在我國，多家企業(yè)比如最早的寶鋼到后來的中國電信和中國壽險先后啟動自我控制評估工作。2006年7月，中國內(nèi)部審計協(xié)會發(fā)布了 《內(nèi)部審計具體準則第21號——內(nèi)部審計的控制自我評估法》。我國央行積極順應(yīng)國際內(nèi)審事業(yè)發(fā)展潮流，于2010年啟動內(nèi)審轉(zhuǎn)型發(fā)展進程，此后陸續(xù)有分支機構(gòu)研討控制自我評估這一課題?？傮w上，央行已經(jīng)對控制自我評估有了理論上較為清晰的認識，但具體的實踐探索還很少。內(nèi)部控制自我評估的應(yīng)用在我國央行有著廣闊的前景。

二、現(xiàn)有文獻述評

國際內(nèi)部審計師協(xié)會（IIA）認為，內(nèi)部控制自我評估（CSA）是一套檢查和評價內(nèi)部控制的效率和效果的體系，它可以為實現(xiàn)企業(yè)目標提供合理保證。IIA于1996年在研究報告中總結(jié)了CSA的三個基本特征：關(guān)注業(yè)務(wù)的過程和控制的成效；由管理部門和職員共同進行；用結(jié)構(gòu)化的方法開展自我評估。拉里·L·貝克和史梅認為實施控制自我評估至少有5方面的意義：控制自我評估有利于內(nèi)部審計部門證明其向組織提供的價值；控制自我評估可以獲取事實真相；控制自我評估可以有效地評價那些贊助組織委員會或其他委員會及其報告中提到的各種非正式的或主管的控制模型；控制自我評估有助于將控制責任轉(zhuǎn)化給每一個職員；控制自我評估有助于內(nèi)部審計適應(yīng)變化的控制環(huán)境?！翱刂谱晕以u估之父”——保羅·馬克茲認為強有力的領(lǐng)導是成功實施控制自我評估的關(guān)鍵因素?？线_·羅伯森提供了一個較為普遍的實施控制自我評估的結(jié)構(gòu)框架。我國王光遠和嚴暉詳細解讀了《內(nèi)部審計具體準則第21號——內(nèi)部審計的控制自我評估法》，內(nèi)容包括控制自我評估與內(nèi)部控制審計的關(guān)系、內(nèi)部審計人員在控制自我評估中的責任（召集、組織、協(xié)調(diào)、記錄、督導）、控制自我評估的內(nèi)容（目標的確定、風險的識別、現(xiàn)有內(nèi)控的評估、流程的評估以及問題的改進）、控制自我評估的程序（計劃-溝通-執(zhí)行-反饋），以及控制自我評估方法（專題討論會法、問卷調(diào)查法和管理分析法）。何芹則從主體差異的角度進行了目標、內(nèi)容、程序和范圍等方面的分析，他認為內(nèi)部控制工作既可以由企業(yè)內(nèi)部完成，也可以由外部審計人員實施。具體來說，企業(yè)內(nèi)部分為報表審計中的內(nèi)部控制評價、審核，以及內(nèi)部控制人員對自身工作的評價與評估。周安提出了CSA評價標準的設(shè)計原則和一套基于COSO-ERM的三級評價指標體系示例。

關(guān)于我國央行實施控制自我評估的研究主要有：何向紅探討了我國央行引入CSA的積極影響和適用性分析；許彤提出依托信息系統(tǒng)開展控制自我評估值得重視；胡曉雁提出了基層央行實施CSA的難點以及成功實施CSA的建議；翟向祎、孫占偉分析了CSA在央行運用的可行性，并提出了應(yīng)用構(gòu)想，包括方法、程序和應(yīng)注意的事項；陳剛指出了當前央行內(nèi)部控制評價存在的問題，探討了內(nèi)部控制評價的一般標準和具體標準，提出了改進內(nèi)部控制有效性的兩個途徑——從內(nèi)部優(yōu)化評級技術(shù)方法、從外部引進制度安排。

綜上所述，我國有關(guān)內(nèi)部控制自我評估的研究，特別是我國央行內(nèi)部控制自我評估的研究，以宏觀或中觀的理論闡述居多，而詳實的實證研究、實踐案例、經(jīng)驗總結(jié)還很少。這也是造成我國央行目前還未形成成熟、配套、系統(tǒng)的內(nèi)部控制自我評估模型或制度規(guī)范的原因之一。

三、構(gòu)建央行內(nèi)部控制自我評估模型

圖1 內(nèi)部控制自我評估模型

目前，我國央行系統(tǒng)還沒有現(xiàn)成的內(nèi)部控制自我評估模式可供借鑒，本文參考風險管理、內(nèi)部控制自我評估相關(guān)理論，構(gòu)建了內(nèi)部控制自我評估模型，使CSA在思路、體系上更科學、系統(tǒng)和完備。如圖1所示，內(nèi)部控制自我評估體系由主體、目標、工具箱、路徑和內(nèi)容五部分構(gòu)成。其中CSA的主體是業(yè)務(wù)部門和內(nèi)審部門，內(nèi)審部門的推動對CSA相當重要①；評估目標是評價業(yè)務(wù)部門內(nèi)部控制是否符合風險管理政策、是否滿足管理層需求；工具箱是評估過程中運用的方式方法，一般包括交流溝通、KPIs（關(guān)鍵績效指標）、風險研討會、問卷調(diào)查、控制測試、綜合分析等；路徑是完成CSA、實現(xiàn)評估目標的基本流程，根據(jù)風險循環(huán)理論，須通過五個關(guān)鍵步驟：風險識別（RI）、風險評估（RA）、定義風險所有者（RO）、風險管理（RM）和行動方案（Action），行動方案是在初步評估達成統(tǒng)一意見后，制定的控制剩余風險的措施；評估內(nèi)容是COSO框架五要素。

四、基于A市中支國庫業(yè)務(wù)的CSA實踐案例

（一）主要實施步驟

一是組建CSA工作組。內(nèi)審科與國庫科簽訂《管理咨詢項目約定書》，吸收兩個部門4名業(yè)務(wù)骨干，組成CSA工作組，約定雙方合作目標、各自職責和權(quán)利義務(wù)。二是編寫實施方案。構(gòu)建《內(nèi)控自我評估指標體系》，包含了47個評估指標；參考近三年來內(nèi)外部檢查所識別出的64個國庫業(yè)務(wù)風險事件，形成《國庫業(yè)務(wù)風險清單》作為評估線索。三是召開內(nèi)控自我評估培訓會議。CSA工作組向國庫科人員講解評估流程、方法，引導國庫人員充分認識內(nèi)控自我評估的意義，調(diào)動其參與評估的積極性。四是召開審計推動型風險研討會。工作組雙方負責人共同主持會議，其中內(nèi)審負責人擔當推動者，先采取“一對一”交流方式，引導每名國庫人員充分認識自身崗位職責、內(nèi)控目標，啟發(fā)其說出尚未被識別或控制的崗位風險，后采取“頭腦風暴法”，鼓勵大家提出剩余風險控制措施。五是開展問卷調(diào)查。從控制五要素角度設(shè)計題目19個，以無記名、開放式展開問卷調(diào)查，多角度了解內(nèi)控建設(shè)、執(zhí)行情況。六是進行內(nèi)控知識測試。設(shè)計選擇、判斷題50道，以無記名、封閉式測試國庫人員基本制度、內(nèi)控措施掌握情況。七是開展控制測試。采取查閱資料、實地查驗、上機查看、面對面對賬等方式，對國庫業(yè)務(wù)關(guān)鍵控制環(huán)節(jié)進行符合性測試。八是綜合分析。對照《內(nèi)控自我評估指標體系》和《國庫業(yè)務(wù)風險清單》，運用COSO框架，對內(nèi)部控制情況進行統(tǒng)計分析，填寫《風險登記簿》，確定剩余風險和行動方案，得出評估結(jié)論，詳見圖2。

（二）風險研討會分析

召開風險研討會4次，中支機關(guān)和三家縣支行國庫人員參加會議。會議中，CSA工作組內(nèi)審負責人依照計劃和研討提綱有序引導議題，鼓勵參會人員暢所欲言。與會人員逐一闡發(fā)了對部門內(nèi)控和崗位內(nèi)控的認識，共識別控制缺陷4個，商定改進措施4條。

圖2 審計推動型內(nèi)部控制自我評估流程圖

1、縣支行人員數(shù)量不能完全滿足崗位需求。座談中，參會人員普遍反映部門人員少，不能實現(xiàn)休假時的順利交接。如，為滿足崗位交接、強制休假等要求，一般縣支行國庫部門至少應(yīng)配備5人，但從實際情況看，三家縣支行國庫人員平均為4.3人，導致自2015年以來8人未進行強制休假。CSA工作組認為，在縣支行人員少、任務(wù)多的情況下，有可能出現(xiàn)不合理兼崗的風險，建議縣支行國庫部門積極向黨組反映適當增加人員，可通過招聘合同制用工或服務(wù)外包等方式補充“新鮮血液”。

2、國庫事后監(jiān)督面窄、時效性差、業(yè)務(wù)量大。國庫事后監(jiān)督尚處于手工核打發(fā)生額、核對紙質(zhì)憑證及附件的階段，監(jiān)督內(nèi)容僅限于會計憑證、月度對賬、年度報表，尚不能實現(xiàn)對賬簿、日志、系統(tǒng)控制、實物管理等的監(jiān)督。按照當前國庫業(yè)務(wù)事后監(jiān)督體制，T（核算日）+2日會計憑證才能傳遞到中心支行，最快當日完成對縣支行的監(jiān)督，監(jiān)督的時效性較差。事后監(jiān)督中心撤銷后，原由4人監(jiān)督的工作現(xiàn)由2人完成，其中1人負責轄區(qū)6家縣支行業(yè)務(wù)，業(yè)務(wù)量過大，影響監(jiān)督成效。CSA工作組認為，鑒于目前不能實現(xiàn)監(jiān)督工作信息化，應(yīng)適當增加事后監(jiān)督人員，并且增加縣支行業(yè)務(wù)現(xiàn)場檢查頻率。

3、會計資料交接控制存在風險。中支機關(guān)一名新上崗不久的國庫人員反映，財政、稅務(wù)等部門的會計資料交接人員時常變更，不能有效識別外單位人員的真實身份。CSA工作組認為，會計資料交接人員不能相對固定，存在雙方互不相識的可能，一旦被冒充交接了不真實的會計憑證，可能造成庫款安全風險。建議國庫部門采取外單位交接人員登記備案制，要求指定專人負責與人民銀行交接業(yè)務(wù)資料。

4、國庫印鑒管理、核對存在風險。國庫科一名印鑒保管人員講述自己保管全部外單位印鑒，各崗位使用印鑒時需向其借閱使用。CSA工作組分析，目前印鑒管理存在保管、使用相分離的情況，印鑒借閱頻繁且沒有交接記錄，存在交接使用風險。特殊情況下，個別人員會因為借閱印鑒費時麻煩，而忽略印鑒核對，可能引發(fā)核算風險。建議國庫部門探索印鑒電子化管理，實現(xiàn)按需隨時調(diào)用，為國庫資金加裝“電子門鎖”；在電子化管理不能實現(xiàn)的情況下，可以要求外單位提供多套印鑒，分別由不同崗位各自保管，以明晰責任。

（三）調(diào)查問卷、內(nèi)控知識測試分析

1、調(diào)查問卷分析。調(diào)查共發(fā)出并收回問卷18份，被調(diào)查對象涵蓋所有國庫崗位。轄區(qū)國庫部門內(nèi)部控制總體滿意度為90.9%，“基本滿意”為9.1%。一是控制環(huán)境方面。重視程度高，但需優(yōu)化風險培訓結(jié)構(gòu)。轄區(qū)國庫部門負責人內(nèi)控重視度達100%，但縣支行接受風險知識培訓相對偏少。如，問卷顯示中支機關(guān)認為風險知識培訓能夠適應(yīng)內(nèi)控需要的占比100%，而縣支行認為能夠適應(yīng)內(nèi)控需要的占比僅為81.8%。二是風險評估方面。風險點掌握度較高，風險評估頻率相對較低。縣支行認為能夠全面掌握崗位風險點的占比90.9%。近一年以來風險評估開展2次以上的占比44.4%，開展1次的占比50%，沒有開展風險評估但在其他工作中涉及的占比5.6%。按照《濟南分行國庫會計內(nèi)部控制指引》規(guī)定，各級國庫應(yīng)按季度進行風險識別和分析，相比制度要求而言，轄區(qū)國庫部門開展風險評估的頻率偏低，有的支行甚至沒有開展過專門的風險評估。三是控制活動方面?？刂拼胧┯行瘦^高?？h支行認為本崗位控制措施有效的占比94.4%，認為基本有效的占比5.6%。四是信息與溝通方面。溝通總體順暢，方式多樣，但縣支行有待加強。溝通方式運用頻度由高到低占比依次是科務(wù)會94.4%、個別談話66.7%、非正式場合交流61.1%、監(jiān)督檢查反饋22.2%。中支機關(guān)認為溝通順暢的占比100%，縣支行認為溝通順暢的占比81.8%，表明縣支行溝通有待加強。五是內(nèi)部監(jiān)督方面。監(jiān)督檢查執(zhí)行率高，但監(jiān)督效果有待提升。選擇能夠堅持內(nèi)部監(jiān)督檢查制度的占比100%，但是認為監(jiān)督檢查有顯著作用的，中支機關(guān)占比85.7%、縣支行占比54.6%，表明內(nèi)部監(jiān)督效果有待提升。

2、內(nèi)控知識測試分析。從答題情況看，內(nèi)部監(jiān)督檢查、重要物品管理、檔案管理、會計重要事項審批等方面內(nèi)控知識掌握較為薄弱。內(nèi)部監(jiān)督檢查方面題目答錯率為18.1%，其中中支機關(guān)錯題率10.7%、縣支行錯題率22.7%，從側(cè)面反映出縣支行內(nèi)部監(jiān)督檢查執(zhí)行不到位，亟需加強。印押證管理方面題目答錯率為13%，其中中支機關(guān)錯題率11.9%、縣支行錯題率13.6%，反映出國庫印鑒管理、核對工作仍有缺陷，需要降低風險。檔案管理方面題目答錯率為22.2%，表明國庫人員對檔案管理知識掌握不足。重大會計事項管理方面題目答錯率為9.26%，其中中支機關(guān)錯題率9.52%、縣支行錯題率9.1%，反映出有關(guān)人員對會計重要事項不清楚，對相關(guān)控制制度不了解。

（四）控制測試分析

為全面深入了解轄區(qū)國庫內(nèi)部控制情況，CSA工作組對中支機關(guān)和三家縣支行國庫部門進行了關(guān)鍵控制活動實地測試，發(fā)現(xiàn)了以下控制缺陷。

1、重要物品保管存在重大缺陷。CSA工作組突擊檢查Z縣支行國庫重要物品保管情況，發(fā)現(xiàn)同城資金清算貸方補充報單不在國庫崗位人員的保險柜內(nèi)，而是仍由早已調(diào)離國庫崗位的S同志保管。CSA工作組分析，重要空白憑證管理屬于關(guān)鍵控制環(huán)節(jié)，保管人已調(diào)離國庫崗位，會計主管卻未督促辦理重要物品交接，且不清楚同城資金清算貸方補充報單具體去處，屬于重大控制缺陷。同時，反映出分管行領(lǐng)導和國庫部門負責人監(jiān)督檢查流于形式，在多次季度檢查中均沒有發(fā)現(xiàn)這一問題。工作組及時向單位負責人報告了這一重大缺陷，建議其立即辦理交接手續(xù)，加強國庫部門例行檢查和不定期突擊檢查，切實防范風險。

2、會計重要事項審批、登記存在重要缺陷。查閱《重要會計事項登記簿》，核對TCBS系統(tǒng)日志后，工作組發(fā)現(xiàn)三家縣支行8次節(jié)假日加班未登記《會計重要事項登記簿》，一家縣支行漏登加班內(nèi)容、加班人姓名等。CSA工作組認為，該問題反映出國庫會計主管風險意識淡薄，管理思想松懈，未有效履行會計主管審批職責。工作組及時向中支國庫部門負責人反映了這一問題，建議其強化業(yè)務(wù)條線內(nèi)風險教育，進一步嚴格管理轄區(qū)國庫會計主管。

3、崗位交接存在重要缺陷。2015年12月，Z縣支行國庫系統(tǒng)管理員W強制休假，由S接替其崗位，兩人未辦理交接手續(xù)，也未登記《業(yè)務(wù)交接登記簿》。CSA工作組認為，人員離崗未交接反映出會計主管對崗位人員控制不嚴，不能厘清交接雙方的責任，可能引發(fā)舞弊風險和道德風險。

4、系統(tǒng)安全控制存在重要缺陷。工作組利用計算機輔助審計系統(tǒng)，分析TCBS系統(tǒng)日志，發(fā)現(xiàn)三家縣支行國庫人員存在長時間（覆蓋午休時間）無業(yè)務(wù)操作但滯留核算系統(tǒng)的問題，且多達35次。CSA工作組認為，長時間不簽退系統(tǒng)增加了核算系統(tǒng)暴露的風險，給人以可乘之機，反映出縣支行國庫人員對信息安全不夠重視，沒有養(yǎng)成及時簽退系統(tǒng)的習慣等問題。建議縣支行國庫部門加強風險知識培訓，增強國庫人員的風險意識，會計主管及時提醒本部門人員落實風控措施。

5、國庫目標責任制落實存在一般缺陷。2015年、2016年，W縣支行的國庫副主任與國庫部門負責人 （會計主管）、會計主管與系統(tǒng)管理員、各業(yè)務(wù)操作員均未簽訂國庫目標管理責任書。CSA工作組分析，簽訂目標責任書是實行目標管理責任制的書面形式，是風險教育形式的一種，不簽訂責任書雖未構(gòu)成實際風險，但不利于增強國庫人員的風險意識和責任意識。

6、國庫檔案管理存在一般缺陷。一是歸檔不及時。W縣支行、Z縣支行的2015年查詢查復書、系統(tǒng)日志、國庫與集中支付代理銀行額度對賬單、集中支付額度通知單等資料，至評估日均未歸檔。二是檔案借閱記錄不完整。Z縣支行自2014年以來所有國庫檔案借閱情況未登記《會計檔案借閱登記簿》，如內(nèi)審檢查調(diào)閱資料情況等。CSA工作組分析，檔案管理是典型的記錄控制，不及時歸檔、不完整登記檔案借閱登記簿，可能造成資料遺失、泄露機密等后果。

（五）綜合分析

CSA工作組總結(jié)了上述評估發(fā)現(xiàn)，結(jié)合《內(nèi)控自我評估指標體系》和《風險清單》，歸類填寫了《風險登記簿》，從定性、定量兩個角度進行綜合評估。中支國庫科評估結(jié)果為正常，B縣支行、W縣支行評估結(jié)果為基本正常，Z縣支行評估結(jié)果為關(guān)注。評估共發(fā)現(xiàn)剩余風險14處，提出改進措施26條。按照內(nèi)控五要素分析，剩余風險中控制環(huán)境方面占比21%、風險評估方面占比7%、控制活動方面占比51%、信息溝通方面占比7%、監(jiān)督方面占比7%；按照控制缺陷類別分析，重大風險占比7%、重要風險占比43%、一般風險占比50%。

圖3 國庫業(yè)務(wù)內(nèi)部控制各要素風險分布圖和風險等級分布圖

五、CSA探索成效與經(jīng)驗體會

（一）增強了業(yè)務(wù)部門的風險意識和風控能力

通過積極主動參與內(nèi)部控制自我評估，業(yè)務(wù)部門體驗了一次生動的“風險教育課”，充分意識到風險管理的重要性，學習到風險評估、風險管理技能，認識到風險部位和風險點，發(fā)現(xiàn)了剩余風險，制定了改進風險管理的行動方案，進一步規(guī)范了業(yè)務(wù)操作，提高了履職水平。

（二）拓寬了內(nèi)審成果運用渠道

審計推動型CSA為內(nèi)審部門普及風險防控知識、發(fā)揮“控制專家”咨詢職能提供了廣闊的舞臺，有效拓展了內(nèi)審職能。既滿足了單位管理層和業(yè)務(wù)部門的管理需求，又為內(nèi)審部門開展風險導向?qū)徲嬏峁┝藬?shù)據(jù)基礎(chǔ)，增進了內(nèi)審部門與業(yè)務(wù)部門的合作關(guān)系，形成了“管理共商、風險共治”的互動格局，實現(xiàn)了雙方共贏目標。

（三）積累了審計推動型CSA工作經(jīng)驗

通過本次“試驗”，初步構(gòu)建了CSA模型，明確了內(nèi)部控制自我評估流程，豐富了內(nèi)部控制自我評估工具箱，掌握了一定的評估技巧。特別是認識到，對于一個成功的CSA項目，內(nèi)審推動者的角色很重要，他需要掌握高超的溝通協(xié)調(diào)技巧、豐富的風險評估技術(shù)、靈敏的風險感知力，真正當好 CSA項目的“編劇”和“導演”。 ■

注釋：

①InstituteofInternalAuditors,PracticeAdvisory2120.A1-2：內(nèi)部審計師對某些CSA程序的投入是相當重要的，可以是發(fā)起、設(shè)計、實施并實際上擁有該過程，從事培訓、補充促進、抄寫和報告、參與管理當局和工作團隊的策劃等。在其他CSA程序中，內(nèi)部審計師只是進行最低程度的參與，即作為整個過程的利益相關(guān)方及咨詢者，并作為團隊所作評估的終極審核者。在絕大部分程序中，內(nèi)部審計師對組織CSA工作的投入位于上述兩個極端之間。