基于風險導向原則構建基層央行內控評價體系的思考

王建平

隨著組織環(huán)境和管理模式的巨大變化，新的科技運用和法治理念對組織治理提出了更高要求，促使組織更加重視治理與風險管理工作。2014年1月1日起施行的《行政事業(yè)單位內部控制規(guī)范（試行）》對于提高人民銀行內部管理水平、規(guī)范內部控制、防范各類風險具有重要的指導意義。近年來，中國人民銀行撫州市中心支行結合COSO委員會2013年5月發(fā)布的新版《內部控制整合框架》，定期或不定期對內部控制運行情況進行評估，探索建立內部控制的動態(tài)調整和持續(xù)完善機制，初步建立完備的內控評價體系。

一、內控評價體系的基本模型

內控評價體系在設計時就牢牢抓住業(yè)務高風險點控制、非現(xiàn)場監(jiān)管控制、內控風險自我評估三個要點，并適時根據(jù)“要點”監(jiān)控所收集的信息進行分析判斷，有針對性地開展內部控制專項審計。業(yè)務高風險點控制側重于對會計、營業(yè)室、國庫、發(fā)行、科技、保衛(wèi)、外管、信貸等高風險部門的內控評價；非現(xiàn)場監(jiān)管控制側重于對轄內縣支行內部管理動態(tài)指標與靜態(tài)指標變化情況的內控評價；內控風險自我評估側重于對全行性各類監(jiān)督檢查結果所反映的屢查屢犯和機制管理缺陷的問題進行綜合分析。內控評價體系就是通過對一定時段內業(yè)務高風險點控制、非現(xiàn)場監(jiān)管控制、內控風險自我評估所反饋的信息進行篩選、判斷與甄別，并根據(jù)風險控制有效性的原則，有針對性地選擇判斷與甄別結果為風險控制相對較弱的單位、部門作為內控被審計對象，對其內控管理的情況進行現(xiàn)場審計，并提出相應的控制建議與對策。

1.業(yè)務高風險點控制。

以“業(yè)務高風險點管理辦法”為依據(jù)，以分級分類風險控制為核心，以高風險業(yè)務為對象的控制機制，其最高領導機構為內控領導小組（行長室），日常辦事機構為內控領導小組辦公室（設在內審部門），管控對象為八個業(yè)務高風險部門，各業(yè)務高風險部門配備一名內控檢查員。業(yè)務高風險點控制采取日常檢查評價與年度考評相結合方式實施控管及評價。一是日常檢查實行三級縱向監(jiān)督和分級分類區(qū)別性監(jiān)督方式：三級監(jiān)督由內控領導小組辦公室現(xiàn)場檢查、分管行領導及部門負責人定期檢查、部門內控檢查員自我檢查構成，自上而下，三位一體，全方位開展監(jiān)督管理工作；分級分類是將各風險點根據(jù)風險高低分為一、二級風險點。撫州市中支每年進行風險識別確定，并編制風險控制圖冊。2014度中支機關確定高風險業(yè)務36項，高風險點55個，其中一級高風險點27個，二級高風險點28個。同時，將各風險部門根據(jù)業(yè)務性質分為核算類和非核算類部門，并根據(jù)分級分類情況進行針對性、區(qū)別性檢查評價。二是年度考評由內控領導小組辦公室實行，每年對各業(yè)務高風險部門實行百分制評價方式，并將結果報內控領導小組審核。以上控制與評價的各項要素信息借助中支大監(jiān)督會議和審計例會兩個交流平臺實現(xiàn)有效傳導，作為撫州市中支內控審計立項的重要參考依據(jù)，有效提升審計項目的針對性、科學性和有效性。

2.非現(xiàn)場監(jiān)管控制。

主要通過設定監(jiān)測指標進行分析評估，監(jiān)測指標的設置和運用是整個機制的核心，實行靜態(tài)數(shù)據(jù)和動態(tài)數(shù)據(jù)相結合的監(jiān)督評價管理辦法。其中：靜態(tài)數(shù)據(jù)監(jiān)測指標4類18項，內容包括行政管理、國庫業(yè)務存量信息、外匯業(yè)務存量信息和計算機業(yè)務存量信息，表現(xiàn)為需關注但反映的信息數(shù)據(jù)基本固定不變或變化次數(shù)不多的特點，對其實行年初核查上報備案，適時根據(jù)變化情況予以上報反映的操作辦法；動態(tài)監(jiān)測數(shù)據(jù)共6類29項，內容包括財務費用管理、國庫管理流量信息、外匯管理流量信息、貨幣信貸流量信息、計算機業(yè)務流量信息和安全保衛(wèi)，主要指反映的信息數(shù)據(jù)每月頻繁變動，需時常關注和掌握的監(jiān)測指標，要求通過各類報表、登記簿等反映的相對應數(shù)據(jù)進行印證核實后實行實時上報，以確保監(jiān)測數(shù)據(jù)和反映信息的真實、準確和有效。機制運行的具體步驟為信息收集、信息分類、信息分析、風險評價、形成報告和落實整改。信息收集主要由縣支行內審人員完成；信息分析主要采用定性分析和定量分析相結合的方法，將每個月的月末數(shù)據(jù)分別與上個月、去年同期進行對比；風險評價主要依據(jù)信息分析得出的風險點，采用權重的方式，評估出個體的整體風險狀況，最終形成文字材料提交中支內審部門，內審部門負責形成綜合評價報告，報告行長。

3.內控風險自我評估。

近年來，撫州市中支內審部門在武漢分行的指導下，積極探索內控自我評估的新方法、新途徑，在開展“內部控制自我評估”活動基礎上，要求機關各部門上報上一年內外部監(jiān)督檢查與被監(jiān)督檢查的數(shù)據(jù)信息，由內審部門進行匯總、分類、提煉，整理出上一年中支機關接受或開展的各類監(jiān)督檢查情況，重點描述發(fā)現(xiàn)主要問題和對應整改措施，并經相關部門核對簽字確認無誤后，將這些基礎數(shù)據(jù)作為風險評估的依據(jù)。在此基礎上，探索建立內控風險評估的數(shù)學模型，設立問題評估和控制評估為子模型的分層評估方法，借助矩陣評級法，將發(fā)現(xiàn)問題的性質和數(shù)量、整改情況、監(jiān)督情況等均納入評估因素，明確評估標準，劃分評估等級，實施風險評估。同時，將收集整理好的基礎數(shù)據(jù)信息導入數(shù)學評估模型，按評估發(fā)現(xiàn)問題的嚴重程度和整改控制措施的有效性，評出內控風險等級，提出審計關注建議。通過“自評”，既強化了員工的內控風險意識，促進了業(yè)務高風險特色控管工作水平的提升，又為武漢分行在轄內開展內控審計提供了有價值的審計建議，達到了“風險引導審計，審計關注風險”目的。

二、深化內控評價體系建設的思考

1.內控評價數(shù)據(jù)采集的全面性有待提升。

撫州市中支內控評價數(shù)據(jù)的采集主要來自于三個方面：一是特色內控管理的監(jiān)督信息；二是內外部各類監(jiān)督檢查信息；三是內審監(jiān)督審計信息。雖然這三方面的信息涵蓋了一個單位，或一個部門高風險領域規(guī)范化信息的基本情況，是內控評價信息來源的基礎。但由于設計者在風險評價信息采集的內容上，只考慮了重要性原則，未充分考慮全面性的要求，因此，內控評價數(shù)據(jù)采集的全面性有待提升。如對一些非高風險領域的評價，或與人財物關聯(lián)度不高的部門和業(yè)務往往重視不夠，分析評價的信息數(shù)據(jù)采集不多。同時，內控評價除了對制度性、規(guī)范性的風險信息需要進行收集、整理外，道德風險、法律風險也是內控評價不可或缺的重要組織部分，這有待于我們在今后內控評價實踐中加以充實和完善，使之評價更為全面、結論更為客觀公正。

2.內控評價的運行模型科學性有待檢驗。

撫州市中支開展的內控評價方法孕育于“風險管理”的理念，總結歸納了撫州市中支數(shù)十年來內控管理的經驗做法，具有鮮明的地方特色，得到各級領導和相關部門的理解與支持。但是由于運行模型的設計是建立在撫州市中支內控文化的基礎上，內審部門人員的理論知識和數(shù)學論證能力相對較弱，建立起來的問題數(shù)量、問題性質、監(jiān)督檢查、整改措施四維度的分析判斷運行模型，得出的結論是否嚴謹科學，需要通過大量的審計實踐樣本進行檢驗，并在檢驗中不斷修正、改良。

3.內控評價結果運用有待深化。

內控評價的目的就是對內部控制活動各個環(huán)節(jié)的有效性予以綜合評定，并采取措施彌補堵塞內控管理工作中的漏洞和缺陷。但在實際工作中，內控評價結果運用率不高的現(xiàn)象較為突出。一些審計評價查出的問題得不到有效的糾正，或存在著屢查屢犯，整改不徹底的問題。因此，各級行領導要重視審計部門提出的審計意見，對審計合理化建議要親自督辦，落實到崗到人。同時，要通過建立審計結果公開制度，在一定范圍內公開審計結果，使審計者與被審計者共同接受群眾的監(jiān)督和評議，促進內控評價成果的轉化，提升內審服務水平。

（作者單位：中國人民銀行撫州市中心支行）