人民銀行內部控制審計評價應用研究

董麗虹

摘要：《國際內部審計專業實務標準》將內部控制審計定義為：“內部審計部門必須評估控制的效果和效率，并促進控制持續改進，從而協助組織維持有效的控制”。目前，內部控制審計已經成為人民銀行內審工作轉型的重點和突破口，探索人民銀行內部控制審計評價不僅是內審工作轉型的要求和重點，也是更好發揮內審服務、咨詢功能的嘗試。本文從分析人民銀行內部控制審計評價的目的和內容入手，結合COSO委員會創建的《內部控制整體框架》，探索設計適合人民銀行內部控制審計評價體系，提出完善人民銀行內部控制審計評價的建議，以提高內部控制審計的質量和效果，進一步促進人民銀行內部控制規范建設和有效履職。

關鍵詞：內部控制；審計評價；應用研究

一、內部控制審計評價的目的

內部控制審計評價是一個單位整體和管理層面的重要組織活動，中央銀行內部審計實務中，內部控制審計評價的目標在于，借鑒國際內審先進理念，探索性開展風險管理審計，從全面性、合理性、遵循性、有效性四個方面對內部控制五要素進行評價，以進一步提升人民銀行內控體系在組織治理中的功效。評價的目的在于，通過對內部控制構成要素的審查、分析和測試，對內部控制體系有一個全面、客觀的評價，確保各項職責遵循法律法規和內部管理的要求，并適時查找薄弱環節，提出改進措施，進而優化內控環境、完善內部控制功能、提高防范風險的能力，改善業務運行的效率和效果。

一是通過評價內控機制的建立與運行情況，促進各單位、各部門建立一套較為科學、嚴謹、規范，而且貫穿于各項業務運行和管理活動始終，能夠充分體現各司其職、各負其責、相互監督、互相制約、有效識別與控制風險以及具有培養職工積極進取、奮發向上功能的內部控制體系。

二是通過評價內部決策控制與管理控制情況，促進各單位、各部門嚴格遵守國家有關法律法規和各項規章制度，進一步加強對決策風險、管理風險和業務風險的控制，確保各項業務運行與管理活動安全、規范、高效運作。

三是通過評價內控制度、操作規程執行情況和達到的效果，促進各單位、各部門依法、合規、有效履行職責，進一步提升管理水平，確保各類資源有效利用、各項資產安全完整和各類業務與管理信息的真實可靠。

二、內部控制審計評價的內容

內部控制審計評價的內容包含內部控制環境、風險的識別、評估及應對、控制活動、信息與溝通和監控五個內部控制構成要素。

（一） 控制環境評價的主要內容

一是是否建立重大事項集體決策機制，明確集體決策范圍、程序和權限，按規定執行集體決策程序。領導層和管理層是否明悉自身在內部控制中的引導和監控職責，帶頭執行有關行為規范和內控制度；是否建立并倡導員工行為規范，明確其執行內部控制的要求，引導員工樹立誠信道德觀念，提高職業道德。 二是各崗位設置是否明確，職責和權限是否清晰，是否符合不相容崗位分離的內控要求；崗位人員是否具備完成本職工作所需的知識和技能并知曉自身的職責和工作目標；專業崗位人員是否具備相應的從業資格；對重要崗位人員是否實行定期輪換或強制休假等控制措施，是否嚴格履行相關的審查、考核程序。 三是各項業務運行、管理活動是否有明確的操作規程或管理制度，內容是否完整、合規，是否能夠根據情況變化及時進行修訂；是否建立了適當的激勵、約束機制和完備的人力資源管理制度。

（二）風險識別、分析和應對評價的主要內容

一是相關風險是否進行充分、及時、有效的識別和科學界定，并根據風險特征劃分風險等級并進行賦值。

二是是否根據風險識別和分析的結果，確定風險應對策略，明確具體的應對措施，制定風險應對方案。

三是是否建立了突發事件應急管理機制，是否制定完善、合理、可操作的突發事件應急預案，并配置了相應資源適時開展應急演練；是否及時調整完善應急預案，確保預案的可操作性和有效性。

（三）控制活動評價的主要內容

一是授權與審批控制。是否明確授權活動的范圍、期限、程序，授權是否符合規定；是否嚴格執行有關業務審批、事務決定等權限管理制度。

二是復核與確認控制。是否嚴格履行業務復核或資金、資產對賬等職責。對需要確認的事項，是否按規定及時確認。

三是計劃和預算控制。是否根據工作目標按時制定年度工作計劃和財務預算，將工作落實到每個部門和崗位、預算分解到各個會計科目。是否對計劃執行情況進行督辦，確保工作計劃按時完成，財務預算得到切實執行。

四是記錄控制。登記簿或臺賬是否按規定設置。有關重要業務處理、工作交接和監督檢查記錄是否及時、規范和完整。

五是實物保護控制。重要場所是否實行封閉管理，是否按要求實施監控，門禁控制是否有效。場所內是否具有防火、防光、防塵、防污染、防鼠、防潮、防盜等必要設施；是否嚴格執行槍彈存放、領取、使用、交接等規定，責任是否到人?，F金、有價證券、重要空白憑證、印章、密押卡等重要物品是否專人入庫（柜）管理。

六是信息系統控制。信息系統的運行環境是否符合有關技術標準和要求。信息系統是否嚴格按照有關規定開展系統運行管理和系統維護工作，是否限制和監督對設備、程序和數據的接觸，規范系統操作、訪問控制和應用變更。是否健全信息系統安全功能設置和管理，加強對有關數據備份及存儲介質的管理；是否建立并嚴格執行安全巡檢制度，確保系統和各類數據信息的安全。

（四）信息與溝通評價的主要內容

一是是否及時轉發上級行文件，并將本單位意見及時準確向下級行傳達，各類業務情況、建議和重大事項是否及時向上級行反映或報告。領導層、管理層和員工及各部門之間交流溝通渠道是否順暢。

二是信息采集是否符合法律法規規定，是否合法、準確、及時、便捷地公開披露有關政務信息，是否嚴格信息保密管理，確保涉密信息傳遞、披露安全。

（五）監控評價的主要內容

一是主管行領導是否定期對職能部門進行檢查；部門負責人是否定期對本部門進行檢查或評估；有關職能部門是否定期對本單位和下級行開展相關檢查；負有監督檢查職責的部門是否定期或不定期開展專項監督檢查和評價。監督檢查和評價結果是否報告單位決策層或相應管理層。

二是是否對業務操作、網絡系統使用及其它高風險領域及剩余風險進行實時監測，發現的問題是否得到及時整改。

三、內部控制審計評價的原則

（一）全面性原則。內部控制應當貫穿各單位、各部門經濟活動的決策、執行和監督全過程，涵蓋人民銀行的業務運行和管理活動，滲透于各項工作的各個環節，貫穿于各項工作的始終。內部控制審計評價必須覆蓋重要業務運行和管理活動的各部門、各崗位，不得留有死角和真空。

（二）重要性原則。在全面控制的基礎上，審計評價應依據業務運行和管理活動的風險部位與控制環節的重要性確定考核評價的主要內容，重點放在人、財、物、權限及信息系統等重點區域和重點業務的管理與控制方面。

（三）制衡性原則。重點評價各單位、各部門的內部管理、職責分工、業務流程等方面是否形成相互制約和相互監督的模式，從業人員是否熟練掌握本崗位的管理規定和操作規程，并以此規范自身的業務行為。

（四）適應性原則。重點評價內部控制是否符合國家有關規定和單位的實際情況，并隨著外部環境的變化，單位經濟活動、業務操作的調整和管理要求的提高，不斷修訂和完善。

（五）規范性原則。審計評價工作應事先做好充分的組織和準備，要按照評價辦法及規定的程序，精心組織、周密安排，逐步實現內部控制審計評價的規范化、制度化、標準化。

（六）客觀性原則。審計評價應以事實為依據，以法律法規和上級行的有關規定為準則，客觀公正、實事求是。

（七）統一性原則。審計評價要做到評價標準和口徑的統一、分值設定的科學合理，以確保各種結論、評判及信息資料的準確性與科學性。

（八）定性定量原則。審計評價要按照既定分值嚴格進行量化打分評價，同時結合綜合治理考核、日常內控檢查、專項檢查等結果進行定性定量的評價。

四、人民銀行內部控制審計評價的探索

（一）構建內部控制審計評價的責任體系與組織框架

1責任體系。

《中國人民銀行分支機構內部控制指引》（以下簡稱《指引》）為分支機構建立健全內部控制機制提供了理論依據和現實指引，各分支機構內部控制建設工作領導小組，不定期對本行內部控制情況進行督導、檢查、評價和反饋。在此基礎上，以省為單位，逐步構筑“橫向到邊，縱向到底，一級抓一級，層層負責”的省級中心支行、地市中心支行、縣（市）支行三級內控管理責任體系，按照“誰主管、誰負責”的基本要求，明確行長、分管行領導、部門負責人、內控管理員及業務操作人員等不同層級人員在內控安全管理工作中的職責，由業務主管部門承擔風險防控的主體責任，確保各級行高效安全的履行職責。

2組織框架。

各級行內部控制領導小組辦公室（設在各級內審部門）負責統一領導、組織、協調業務運行和管理活動的內部控制評價工作，站在督導和牽頭的位置上，協調、監督本單位及各部門進行內部控制自評，適時開展內部控制評價抽查工作，對檢查發現的問題提出處理意見、督促整改。各業務部門內部控制聯絡員按月開展本部門的風險排查，對查出的問題及時分析總結，并依據內部控制五要素進行評估，提出改進意見。業務主管部門每年至少開展一次對下級行業務歸口部門的內部控制狀況的檢查和評價，形成評價結果報送內審部門。

（二）建立內部控制風險識別指標體系

內部控制的核心內容是風險管理，風險管理的基礎是風險識別。因此，風險的識別、分析、應對以及控制是內部控制審計評價活動中的關鍵，《指引》將分支機構的相關風險定義為法律風險、聲譽風險、資產風險、信息技術風險、效率風險、操作風險等6類風險。通過借鑒國外中央銀行的做法，結合人民銀行實際情況，人民銀行總行下發的《中國人民銀行內審部門風險評估工作試行辦法》將影響人民銀行目標實現的主要風險事件分為市場風險、信用風險、流動性風險、操作風險（包括業務流程、信息技術、人員、外部事件4類風險因素）、法律風險（對外監督管理、內部管理）、聲譽風險（包括

決策失誤、利益沖突、媒體和輿論等負面報導或評論3類風險因素），共39個風險事件。

按照《指引》中內部控制五要素的要求，同時根據《中國人民銀行內審部門風險評估工作試行辦法》風險劃分和風險來源，合理制定各業務部門配套內部控制評價實施辦法，充分識別各業務部門風險點、風險事項，并運用風險矩陣確定風險事項等級。以某省會中心支行為例，各業務部門共識別風險事項1517個，其中I級風險事項232個，占風險事項總數的153%，II級風險事項690個，占風險事項總數的455%，III級風險事項461個，占風險事項總數的304%，IV級風險事項134個，占風險事項總數的88%。其中：Ⅰ級為重大風險，Ⅱ級為較大風險，Ⅲ級一般風險，Ⅳ級為較弱風險。風險事項呈“紡錘型”分布。將識別出的風險事項從內部控制環境、風險識別、控制活動、信息與溝通、監控等五個方面進行分類，對確定的Ⅰ至Ⅳ級風險事項等級進行賦值和定性定量。內部控制審計評價體系在充分論證、研討形成統一思路的基礎上，以非現場方式收集、整理數據，采取定性分析和定量賦值相結合的手段，以查找風險點和關鍵控制點為起點，沿著風險識別、風險分析、風險分類、風險量化、風險排序、風險賦值的軌跡完成建立過程。檢查考核工作按圖索驥，對控制措施進行分類評價打分，優劣立判。從部門組別來看，風險事項主要集中于服務保障類部門，風險事項占比352%。從內部控制五要素來看，風險事項主要來源于控制活動，占比4608%，如下表。

風險事項內部控制五要素分布表

單位：個、%

要 素

風險等級

ⅠⅡⅢⅣ

合計占比

內部環境5613397233092037%

風險評估1010068262041345%

控制活動109338201516994608%

信息與溝通516250201831206%

監控6574514122804%

合計232690461134151710000%

（三）制定內部控制審計評價標準

各業務部門內部控制評價內容分別按照內控環境、風險管理、控制活動、信息溝通、監督控制等五個評價主模塊，采用頭腦風暴法對其五個模塊設定權重，權重分別為：02、01、05、005、015，五個主模塊按照分類進行子模塊的劃分，針對各項子模塊對風險事項進行了分解和賦值。內部控制審計評價主要針對各單位和各部門內控環境的建設、內控機制的健全、風險識別及控制措施的有效性情況進行打分。內部控制審計評價指標等級根據整體評價結果分為4個等級，分別為 A級（內控良好類），綜合評分90分（含90分）以上；B級（內控有效類），綜合評分75-89分（含75分）；C級（內控基本有效類），綜合評分60-75分（含60分）；D級（內控失效類），綜合評分60分以下。對于出現各類違法違紀案件的單位或部門實行“一票否決”，取消評定等級資格。在評價成果應用方面，采取召開管理層和相關人員研討會等方式，進行評價結果交流和反饋，特別是對高風險點和低風險頻發的內容以及評價等級為C和D的單位采取重點、持續監測。各單位、各部門的內部控制評價結果作為對被評價單位或部門監督管理情況的重要依據。對因整改不善，導致組織機構長期不健全，缺少相應的規章制度或制度執行不力而導致主要風險不能得到有效識別和控制，內部管理混亂，工作嚴重失誤的，將視問題性質、情節及結果，進行相應的處理。

五、意見和建議

（一）改變內部控制審計評價方式

內部控制審計評價的方式應由單一內部審計部門評價向部門自我評價與內部審計部門評價相結合的方式轉變。這種方式的轉變不僅有利于促進各部門建立一套較為科學、嚴謹、規范，而且貫穿于各項業務運行和管理活動始終，能夠充分體現各司其職、各負其責、相互監督、互相制約、有效識別與控制風險的內部控制體系。

（二）實現內部控制審計評價的重心轉變

內部控制機制建設是構成內部控制環境的重要組成部分，內部控制審計評價的重點應由以控制活動的有效性為主向以內部控制環境和內部控制機制建設為主轉變。審計評價重心要立足人民銀行的組織體系和管理框架，以推進各項業務運行和管理活動制度化、規范化、精細化和標準化，保障本單位、本部門依法、正確、有效履行職責，保障各項工作規范、有序、高效運行，保障各類資源有效利用和各項資產安全完整，保障各類業務和管理信息真實可靠。

（三）實行內部控制審計評價主體的轉變

內部控制審計評價的主體應由各級內審部門評價轉變為在內審部門的指導、監督、檢查和考核下的評價。改變過去單一依靠內審部門年度整體評價加強人民銀行內部控制管理工作，有效防范各類風險和案件的發生的作用，改變為以內審工作的轉型為契機，內審部門積極指導各部門開展內部控制自我評估，內部審計人員不僅是內部控制問題的發現者，而且成為內控機制建設有力推動者，為人民銀行依法高效安全履行職責提供有力保障。

（四）建立內部控制審計評價問責制度

內部控制審計評價工作應納入年度工作考評內容，對履行內部控制自我評價工作職責不力或不能按時保質報送相關評估結果和報表資料的要進行通報并按相關規定問責，以促進內部控制審計評價工作有效開展。

參考文獻：

[1] 《內部控制審計操作手冊》2012年修訂版

[2] 《中國人民銀行分支機構內部控制指引》

[3] 《行政事業單位內部控制規范》（試行）

[4] 《中國內部審計》，鄭煥敏，《建行轉型期內部控制審計評價研究》，20106，總第132期