電子化環境下的國庫內部控制研究

摘 要：近年來，隨著國庫電子化蓬勃發展以及國庫業務不斷創新，國庫現有內控體系已難以適應保障國庫資金安全的需要。本文從國際上先進的內控理念出發，客觀分析與評價當前國庫內部控制現狀，理性預見電子化環境下國庫內部控制發展形式與前景，以環境控制、程序控制和制度控制為基礎，從制度設計、崗位設置、業務流程、信息交流等方面綜合考慮，嘗試探索建立電子化環境下的綜合性的國庫內部控制體系。

關鍵詞：國庫；內部控制；COSO框架；電子化

Abstract：In recent years，with the exuberant development of Treasury electronic system and increased innovations in Treasury operation，it is hard for the existing internal control system to ensure the safety of Treasury funds. Taking the perspective of international advanced theories on internal control，this paper makes objective analyses and assessments on the status quo of internal control system of Treasury，and provides reasonable forecasts and prospects. Moreover，based on environment control，process control and system control，and taking into consideration the factors such as system design， position setting，operation process and information communication，this paper attempts to establish a comprehensive internal control system Treasury under an electronic background.

Key Words：treasury，internal control，COSO framework，electronization

中圖分類號：F830 文獻標識碼：B 文章編號：1674-2265（2013）11-0033-05

收稿日期：2013-10-15

課題主持人：韓媛媛

課題組成員：王向東 杜 瑜 鄒 旭 魏 瀟 高 平 李向群 翟麗瀟

課題主持人簡介：韓媛媛，女，山東萊西人，中國人民銀行濟南分行國庫處處長，高級經濟師。

近年來，國庫電子化建設進入高速發展階段，初步形成以3T為核心的國庫信息化體系框架，強化了人民銀行經理國庫的地位和作用。但是，隨著國庫電子化蓬勃發展以及國庫業務不斷創新，現有國庫內控體系在保障國庫資金安全方面呈現捉襟見肘之勢，亟需引起高度重視。本文從國庫內部控制現狀出發，結合國際主流內部控制理論，嘗試建立全方位、立體化的綜合控制體系，實現風險防控目標。

一、內部控制的理論與借鑒

1992年，美國科索委員會（COSO）發布《內部控制—整體框架》報告，即COSO報告，將內部控制定義為：內部控制是由企業董事會、管理層和其他員工實施的，為營運的效率效果、財務報告的可靠性、相關法律法規的遵循性等目標的實現而提供合理保證的過程。在COSO報告中，首次提出了內部控制五要素，即控制環境、風險評估、控制活動、信息與溝通、監控。1994年又對此報告進行了增補。2002年，COSO提出企業風險管理（Enterprise Risk Management，ERM），將構成要素擴展為八個，增加目標制定、事項識別、風險應對等三個要素。COSO框架是內部控制理論發展的具有代表性的成果，得到了各方的認可和應用，成為迄今為止最具權威的內部控制概念。

21世紀，信息技術給人類生產生活、工作學習帶來了巨大變革和深刻影響。內部控制既是信息技術發展的受益者，又是信息技術建設的推動者。目前，較具公認性的信息技術內部控制標準當屬由信息系統審計與控制協會（ISACA）制定的《信息與相關技術的控制目標》（通稱COBIT）。與COSO框架重在研究內部控制整體框架、簡要提及信息技術如何服務于這一框架不同，COBIT則主要關注信息技術。

總體來看，西方國家的內部控制管理體系具有如下特點：

第一，突出風險意識。COSO報告指出，所有組織，不論其規模、結構、性質或產業是什么，其組織的不同層級都會遭遇各種風險。各層級的管理人員必須密切注意各自面臨的風險，并采取必要的措施控制風險。

第二，內部控制的發展與業務發展相互影響促進。內部控制發展與業務發展是相輔相成、缺一不可的。做好內部控制建設可以提升內部人員整體素質、提高工作效率、提升經濟效益，并以此來推進各項業務健康持續的發展。業務發展水平的提高，反過來會促進內部控制。

第三，推進制度系統的完善是內部控制建設的重要基礎和內容。COSO框架建立和實施的一項重要配套工作是會計準則體系的完善，如果沒有制度準則的支撐，內部控制活動將變成主觀的、肆意的管理行為，內部控制評價將難以順利進行。因此，有法可依、有章可循，是內部控制發揮作用的先決條件。

第四，手段與對象并重的觀念。在信息技術內部控制中，信息技術既是控制手段，同時又是需要加以控制的對象和內容，二者不可偏廢。

第五，以人為本，正確認識人機關系。內部控制并非僅僅是政策手冊與表格，而是由具體的人來執行和實施的。在加強內部控制管理的過程中，人的因素十分的重要。一個良好的內部控制系統應確保組織內每一個員工主動實施并完善內部控制，為組織總體目標的實現履行自己的職責。

二、國庫內部控制現狀與評價

現階段，隨著國庫部門對風險防控的高度重視和國庫內控管理制度體系的不斷完備，已經形成一套層層布防、多位一體的國庫風險控制體系，較好地防范了國庫風險。然而，隨著新業務的不斷出現和新技術的不斷應用，國庫內部控制建設方面表現出一定的滯后性。鑒于國庫自身內部控制標準尚不存在，本文難以對國庫內部控制整體狀況做出定量判斷和技術評估，僅能采用整體框架理論的思想對其做出初步的定性評估。

（一）內部控制環境

1. 內部控制文化基礎薄弱。目前，國庫內部控制文化建設仍處于初級階段，主要表現在：一是部分管理人員將規章制度與內部控制混為一談，把內部控制體系理解為各種規章制度的匯總，認為抓內部控制就是頒布制定各項規章制度；二是部分員工認為加強內部控制是內審部門或者領導的事，對內部控制缺乏全面系統的了解，主動參與意識不強，不能完全融入到內部控制的整體目標中。

2. 績效考核困境。目前國庫專業普遍出現約束過度和激勵不足并存，缺乏科學考核和激勵機制。基層央行現行的國庫內控制度中，大多都規定各崗位各環節的責任，“負激勵”條款構成了絕大部分內控制度的內容，內控制度建設呈現出責權明顯不對稱狀態，使業務人員的積極性受到影響。

（二）風險評估

1. 缺乏專業化的評價指引框架和實用工具。由于國庫內部控制機制評價工作還處在探索階段，對于內部控制制度的完整性、合理性、有效性以及制度執行的可操作性也一直沒有科學、合理、公正的評價指標體系予以衡量，內部控制評價仍缺乏專業化的評價指引框架，評價活動缺乏系統性和整體性，這在一定程度上影響了監督評價工作的有效性。

2. 評價內容不全面、缺乏系統性。在實際工作中，內部控制評價往往側重于崗位分工、記錄與控制等“硬控制”要素，而忽視或沒有對更為重要的職業道德、專業勝任能力等“軟控制”要素進行評價，從而影響了內部控制評價的完整性和有效性。

（三）內部控制活動

1. 內控制度出臺滯后于業務發展和創新。近幾年來對國庫規章制度的修訂和補充，基本上只是局部的、零散的，被動適應業務發展的要求，在執行中缺乏操作性，靈活性有余，嚴肅性、連續性、系統性不足。例如，隨著金融電子化、信息化的不斷進步，憑證的傳遞方式逐步向電子方式過渡，現有制度對網上傳遞的額度通知單、支付憑證的安全性如何進行認證等問題缺乏有效、準確、全面的規范，導致信息技術運用的風險加大。

2. 靜態防控手段為主，難以達到風險預警的效果。現階段，我國國庫風險控制體系中，無論是通過制度約束、監督檢查的人控還是系統監控的機控，都是一種靜態防控，無法達到事前預警的動態防控效果。發現問題后整改和糾正需要一定的時限，容易貽誤風險排除的有利時機。

（四）信息與溝通

缺乏信息溝通與反饋的快捷渠道。在內部，國庫、事后、內審等內部控制職能相關部門之間，各自業務信息系統自成體系，獨立運行，相關系統之間沒有接口，缺乏信息溝通與整合，導致潛在風險無法及時發現和預警。從外部看，國庫部門的信息披露和報告制度不健全，國庫報表主要限于內部使用，眾多與地方財政經濟相關的重要信息無法及時為地方政府及相關部門獲知，同時限制了社會公眾對國庫的了解和認識。

（五）監督

監督控制手段落后，監督效率與業務電子化水平不匹配。主要表現在：偏重臨柜審核、定期現場檢查等傳統方法，對通過技術手段實現非現場、實時監督等方法研究、應用較少；偏重于零星的、隨機的監督信息的獲取，缺乏完整、連續的監督信息的收集分析；缺少規范流程、科學評價體系的運用，追根溯源、連續跟蹤的深度監督不夠。

三、電子化對國庫內部控制的影響

在電子化環境下，盡管國庫內部控制的實質并未發生改變，但基本要素的內部構成卻呈現出新的內容，表現出新的特征，也隨之帶來了內部控制中的新問題。

（一）內部控制環境

1. 電子化使國庫內部控制的業務操作發生了改變。各種電子化設備代替人工操作，實現了記賬、復核、查詢、報表等功能的自動化，使廣大的業務人員從繁重的手工操作中解放出來，提高了業務處理的準確性。

2. 電子化使國庫內部控制的管理環境發生了變化。信息數據高度集中，網絡通訊技術得到廣泛應用，決策者和執行者之間能夠迅速溝通，管理者能夠及時、準確地獲取有關信息，內部控制的層次和流程明顯減少，使得國庫管理結構趨向扁平化，管理效率也得到明顯提高。

3. 電子化對國庫人員的素質提出了更高要求。電子化環境下獲得的信息量倍增，要求業務人員了解和掌握一定的計算機技術，有更強的利用信息、分析信息的能力，為業務管理和支持決策服務。

（二）風險評估

在電子化環境下，由于信息系統的開放性、信息的分散性、數據的共享性，極大地改變了國庫以往封閉集中狀態下的運行環境，從而改變了傳統的風險控制內容和方法。例如，隨著電子化程度的不斷深入，數據處理高度集中，存儲的數據有可能被不留痕跡地改寫和刪除，并且數據的存放形式增加了數據再現的難度，數據處理過程也無法觀測。這些新的風險點增加了國庫的潛在風險，國庫部門應采取必要的措施擴大內部控制的范圍。

（三）內部控制活動

1. 增強了控制手段的多樣性。一些內部控制活動能以計算機程序的形式嵌入系統之中，實現權限管理、授權控制、操作流程和程序控制等內部控制功能，增強了內部控制的預防與糾錯功能。

2. 提高了內部控制的效率。計算機處理代替人工操作，能夠有效避免人為差錯和舞弊行為的發生，手工環境下一些不相容職責可交由信息系統來處理完成，可以實現手工環境下不可能實現的控制，提高內部控制的效率。

（四）內部控制的信息及其溝通

信息技術的應用改變了國庫信息孤島的狀況，大量的政策信息、規章制度、業務處理、管理活動信息被集中存儲于人民銀行各種信息管理系統內，員工可以十分便捷地從計算機信息系統中查詢有關的政策法規、規章制度和業務管理活動信息，獲取與其職責相關的控制信息，管理者也可以隨時獲悉內部控制的重要信息，掌握內部控制制度的執行情況，達到協同配合與信息共享的目的。

（五）對內部控制的監控

在電子化環境下，內部控制基于人機結合的控制模式，許多控制程序、控制指標、控制方法被嵌入計算機信息系統內部，因此對內部控制監控的一項重要內容就是要及時了解信息系統內部控制程序、控制參數是否有效，并針對國庫業務和管理環境的變化情況，重新調整或更改信息系統的控制程序或控制參數。

四、國庫內部控制體系再造

鑒于國庫面臨的市場經濟環境和電子化程度都在不斷提高，國庫內部控制機制面臨著更加嚴峻的挑戰。那么國庫內部控制假設應該采用什么樣的建設思路和途徑呢？畢竟，中國正面臨著一個國際化的舞臺，在內部控制框架、標準的制定上理應與國際主流框架、標準保持一致。因此，國庫部門應該以更加明確的姿態確認并借鑒COSO整體框架理論的控制思想和理念，充分考慮電子化環境對原有內部控制機制的沖擊，以3T系統為核心，以安全高效為目標，創新管理模式和業務處理模式，嘗試建立電子化環境下的綜合性的國庫內部控制體系框架，進一步提高國庫風險防控能力，提升國庫服務能力及服務水平。

（一）優化國庫內部控制環境

1. 建立“內控先行”的國庫內部控制文化。一是構建良好內控環境，制定可供各崗位人員使用的業務政策、行為手冊和操作程序，并根據業務的發展變化，及時補充、修訂。二是增強全員內控意識，提高對內部控制的參與意識、對內控管理工作的認知度，真正做到以制度規范人的行為，以人的規范行為防范風險。三是通過培訓、教育、交流等途徑，綜合開發員工潛能，提高國庫人員綜合素質，為內部控制建設打下堅實根基。

2. 以人為本，構建人力資源管理的績效考評機制。根據內部崗位風險，設置考核指標，建立科學統一覆蓋全部工作內容的績效考評機制，將內控責任落實到每一個崗位，細化到業務流程的每個環節，同時配套與責任相對應的獎懲機制，并考慮崗位津貼和風險金，使國庫人員體會到其崗位責任的重要性和自豪感，杜絕人為因素引發的資金風險。

（二）完善國庫內部控制活動

1. 完善國庫內部控制制度體系。一是高度關注國庫業務發展中的新情況、新問題，及時完善業務操作規程，提高國庫業務制度的有效性、前瞻性和科學性。二是推進國庫業務標準化建設，將具體業務環節風險點、風險的表現、具體防范措施和操作程序詳細勾畫出來，方便各業務人員、監督人員發現并及時控制風險和實施再監督，確保國庫業務發生風險時能及時、妥善地處置。

2. 以“3T”為核心構建國庫風險集中防控體系。一是優化國庫服務平臺，實現基層國庫業務網點化處理，即在目前3T數據集中的基礎上，調整系統業務處理角色的分配，進一步實現作業集中、授權集中、監控集中，實現基層國庫業務網點化、終端化轉型。二是優化管理要素和流程設計，建立無差異標準化管理，包括國庫業務受理、審核、處理、授權、監督、歸檔等環節中管理要素、操作流程的標準化。三是優化國庫授權模式，根據TCBS業務規則，以中支為中心，對全轄國庫網點需要授權的事項實施遠程“背靠背”集中授權。四是優化風險管控體系，健全風險監控預警機制。國庫部門、事后監督中心和內審部門要突破簡單的、表面上的賬平表對，要關注內部控制的有效性，尤其要注重國庫部門在管理環節上的問題。

3. 優化災備機制建設，完善國庫應急體系。從國庫業務發展看，建議按照“平戰結合、等級容災”的指導方針，建立以總行國庫數據中心為主，分行、中心支行為輔助的國庫業務災難備份系統，旨在逐步構建全行災難備份系統，切實保障不同層面發生災難的情況下，在較短時間內恢復重要信息系統的生產運行。在此基礎之上建議加大應急演練，在開展模擬演練的基礎上，增加實戰演練。

（三）構建科學準確的風險評估體系

構建科學準確的風險評估體系是構建現代化的國庫內部控制體系的關鍵環節。科學準確的風險評估體系應當包括風險識別、風險估測和風險評價等主要環節以及一套完善的風險評價量化指標體系。

1. 風險識別。風險識別是對國庫中潛在的各種風險進行科學系統的分類和全面準確的分析，根據國庫資金風險產生的原因，可以分為6類風險，如圖1所示。

[圖1：國庫風險形成因素圖]

2. 風險估測和風險評價。風險估測是通過分析和研究等方法，估計和預測某項指標對風險發生的概率和損失幅度的影響，風險評價是在風險估測的基礎上，對風險估值進行分類、整理、歸集和定性。根據國庫風險的成因，制定15類主要國庫風險控制指標，并采用德爾菲法（Delphi Method）①和層次分析法（簡稱AHP 法）確定各風險控制指標的權重賦值，具體見表1。

3. 國庫風險等級的確定。（1）計算單項指標得分。如表2所示，參照國庫風險控制指標目標參考值，確定5個等級，分別是“優、良、中、低、差”，每一等級都有一參數值，起步值為每一等級最低參數值，所有等級最高參數值為1，指標數值每優于參考值1%，則參數值在起步值基礎上增加0.01，將權數與相應等級參數值相乘，得出該項目得分。（2）計算綜合得分。綜合得分=單項指標得分總和。（3）劃分風險等級。根據綜合得分，將國庫風險劃分為5個評估等級，具體如表3，并根據風險大小采取相應的對策。

（四）暢通信息交流共享機制。

在滿足信息安全性和保密性的前提下，建立高效互通的信息交流共享機制。一方面對內形成國庫、會計、事后監督、支付結算、內審、紀檢監察等內設部門的合作機制，及時獲取、傳遞、交換和反饋內部控制與風險管理的相關信息；另一方面對外建立與同級人大、金融監管部門、審計、財監辦等部門的溝通協作機制，同時合理借助社會監督力量，爭取各方面的支持，形成監管合力。

（五）建立科學全面的監督與評價體系

內控監督部門要對內控管理情況進行適時、持續的監測、檢查和評價，及時掌握內控管理狀況，通過建立定性評價與定量評價相結合的評價指標體系，對各部門、各項業務和管理活動的內部控制狀況進行分析，并與內部控制標準進行比較，以確定風險控制和運轉效率，從而保證內控監督工作的全面性、有效性。

注：

①德爾菲法，又名專家意見法，是依據系統的程序，采用匿名發表意見的方式，即專家之間不得互相討論，不發生橫向聯系，通過多輪次調查專家對問卷所提問題的看法，經過反復征詢、歸納、修改，最后匯總成專家基本一致的看法，作為預測的結果。

參考文獻：

[1]周小川.銀行業內部控制與內部激勵機制改革[N].金融時報，2005-9-3.

[2]董大勝.美國內部控制理論的新發展[J].中國審計，2000，（8）.

[3]佟焱.內部審計在人民銀行內控制度建設中的作用論析[J].金融發展研究，2010，（5）.

[4]中國人民銀行會計財務司綜合處.COSO內部控制整體框架[J].金融會計，2001，（3）.

[5]臧榮芳.人民銀行內部控制評價的調查與研究[M].中國人民銀行營業管理部2004年調研報告選編，中國經濟出版社，2005.

[6]袁吉偉.銀行操作風險與內部控制自我評估：理論與實踐[J].西南金融，2011，（6）.

（責任編輯 耿 欣；校對 GX）