基層央行內部控制自我評估應用模型及實證研究
——基于國庫業務的CSA實踐案例

●胡兆軍

一、引言

近三十年來，全球各國各組織普遍將內部控制的自我評估方法作為工作的重要內容，作為一項強有力的管理工具，可以應用在內部審計、高層管理和其他管理職能上。國際內部審計師協會2002年調查結果顯示，控制自我評估在“未來將愈加重要的實務”中排名第一，在“當前內部審計最佳實務”中排名第二位。而在我國，多家企業比如最早的寶鋼到后來的中國電信和中國壽險先后啟動自我控制評估工作。2006年7月，中國內部審計協會發布了 《內部審計具體準則第21號——內部審計的控制自我評估法》。我國央行積極順應國際內審事業發展潮流，于2010年啟動內審轉型發展進程，此后陸續有分支機構研討控制自我評估這一課題。總體上，央行已經對控制自我評估有了理論上較為清晰的認識，但具體的實踐探索還很少。內部控制自我評估的應用在我國央行有著廣闊的前景。

二、現有文獻述評

國際內部審計師協會（IIA）認為，內部控制自我評估（CSA）是一套檢查和評價內部控制的效率和效果的體系，它可以為實現企業目標提供合理保證。IIA于1996年在研究報告中總結了CSA的三個基本特征：關注業務的過程和控制的成效；由管理部門和職員共同進行；用結構化的方法開展自我評估。拉里·L·貝克和史梅認為實施控制自我評估至少有5方面的意義：控制自我評估有利于內部審計部門證明其向組織提供的價值；控制自我評估可以獲取事實真相；控制自我評估可以有效地評價那些贊助組織委員會或其他委員會及其報告中提到的各種非正式的或主管的控制模型；控制自我評估有助于將控制責任轉化給每一個職員；控制自我評估有助于內部審計適應變化的控制環境?！翱刂谱晕以u估之父”——保羅·馬克茲認為強有力的領導是成功實施控制自我評估的關鍵因素?？线_·羅伯森提供了一個較為普遍的實施控制自我評估的結構框架。我國王光遠和嚴暉詳細解讀了《內部審計具體準則第21號——內部審計的控制自我評估法》，內容包括控制自我評估與內部控制審計的關系、內部審計人員在控制自我評估中的責任（召集、組織、協調、記錄、督導）、控制自我評估的內容（目標的確定、風險的識別、現有內控的評估、流程的評估以及問題的改進）、控制自我評估的程序（計劃-溝通-執行-反饋），以及控制自我評估方法（專題討論會法、問卷調查法和管理分析法）。何芹則從主體差異的角度進行了目標、內容、程序和范圍等方面的分析，他認為內部控制工作既可以由企業內部完成，也可以由外部審計人員實施。具體來說，企業內部分為報表審計中的內部控制評價、審核，以及內部控制人員對自身工作的評價與評估。周安提出了CSA評價標準的設計原則和一套基于COSO-ERM的三級評價指標體系示例。

關于我國央行實施控制自我評估的研究主要有：何向紅探討了我國央行引入CSA的積極影響和適用性分析；許彤提出依托信息系統開展控制自我評估值得重視；胡曉雁提出了基層央行實施CSA的難點以及成功實施CSA的建議；翟向祎、孫占偉分析了CSA在央行運用的可行性，并提出了應用構想，包括方法、程序和應注意的事項；陳剛指出了當前央行內部控制評價存在的問題，探討了內部控制評價的一般標準和具體標準，提出了改進內部控制有效性的兩個途徑——從內部優化評級技術方法、從外部引進制度安排。

綜上所述，我國有關內部控制自我評估的研究，特別是我國央行內部控制自我評估的研究，以宏觀或中觀的理論闡述居多，而詳實的實證研究、實踐案例、經驗總結還很少。這也是造成我國央行目前還未形成成熟、配套、系統的內部控制自我評估模型或制度規范的原因之一。

三、構建央行內部控制自我評估模型

圖1 內部控制自我評估模型

目前，我國央行系統還沒有現成的內部控制自我評估模式可供借鑒，本文參考風險管理、內部控制自我評估相關理論，構建了內部控制自我評估模型，使CSA在思路、體系上更科學、系統和完備。如圖1所示，內部控制自我評估體系由主體、目標、工具箱、路徑和內容五部分構成。其中CSA的主體是業務部門和內審部門，內審部門的推動對CSA相當重要①；評估目標是評價業務部門內部控制是否符合風險管理政策、是否滿足管理層需求；工具箱是評估過程中運用的方式方法，一般包括交流溝通、KPIs（關鍵績效指標）、風險研討會、問卷調查、控制測試、綜合分析等；路徑是完成CSA、實現評估目標的基本流程，根據風險循環理論，須通過五個關鍵步驟：風險識別（RI）、風險評估（RA）、定義風險所有者（RO）、風險管理（RM）和行動方案（Action），行動方案是在初步評估達成統一意見后，制定的控制剩余風險的措施；評估內容是COSO框架五要素。

四、基于A市中支國庫業務的CSA實踐案例

（一）主要實施步驟

一是組建CSA工作組。內審科與國庫科簽訂《管理咨詢項目約定書》，吸收兩個部門4名業務骨干，組成CSA工作組，約定雙方合作目標、各自職責和權利義務。二是編寫實施方案。構建《內控自我評估指標體系》，包含了47個評估指標；參考近三年來內外部檢查所識別出的64個國庫業務風險事件，形成《國庫業務風險清單》作為評估線索。三是召開內控自我評估培訓會議。CSA工作組向國庫科人員講解評估流程、方法，引導國庫人員充分認識內控自我評估的意義，調動其參與評估的積極性。四是召開審計推動型風險研討會。工作組雙方負責人共同主持會議，其中內審負責人擔當推動者，先采取“一對一”交流方式，引導每名國庫人員充分認識自身崗位職責、內控目標，啟發其說出尚未被識別或控制的崗位風險，后采取“頭腦風暴法”，鼓勵大家提出剩余風險控制措施。五是開展問卷調查。從控制五要素角度設計題目19個，以無記名、開放式展開問卷調查，多角度了解內控建設、執行情況。六是進行內控知識測試。設計選擇、判斷題50道，以無記名、封閉式測試國庫人員基本制度、內控措施掌握情況。七是開展控制測試。采取查閱資料、實地查驗、上機查看、面對面對賬等方式，對國庫業務關鍵控制環節進行符合性測試。八是綜合分析。對照《內控自我評估指標體系》和《國庫業務風險清單》，運用COSO框架，對內部控制情況進行統計分析，填寫《風險登記簿》，確定剩余風險和行動方案，得出評估結論，詳見圖2。

（二）風險研討會分析

召開風險研討會4次，中支機關和三家縣支行國庫人員參加會議。會議中，CSA工作組內審負責人依照計劃和研討提綱有序引導議題，鼓勵參會人員暢所欲言。與會人員逐一闡發了對部門內控和崗位內控的認識，共識別控制缺陷4個，商定改進措施4條。

圖2 審計推動型內部控制自我評估流程圖

1、縣支行人員數量不能完全滿足崗位需求。座談中，參會人員普遍反映部門人員少，不能實現休假時的順利交接。如，為滿足崗位交接、強制休假等要求，一般縣支行國庫部門至少應配備5人，但從實際情況看，三家縣支行國庫人員平均為4.3人，導致自2015年以來8人未進行強制休假。CSA工作組認為，在縣支行人員少、任務多的情況下，有可能出現不合理兼崗的風險，建議縣支行國庫部門積極向黨組反映適當增加人員，可通過招聘合同制用工或服務外包等方式補充“新鮮血液”。

2、國庫事后監督面窄、時效性差、業務量大。國庫事后監督尚處于手工核打發生額、核對紙質憑證及附件的階段，監督內容僅限于會計憑證、月度對賬、年度報表，尚不能實現對賬簿、日志、系統控制、實物管理等的監督。按照當前國庫業務事后監督體制，T（核算日）+2日會計憑證才能傳遞到中心支行，最快當日完成對縣支行的監督，監督的時效性較差。事后監督中心撤銷后，原由4人監督的工作現由2人完成，其中1人負責轄區6家縣支行業務，業務量過大，影響監督成效。CSA工作組認為，鑒于目前不能實現監督工作信息化，應適當增加事后監督人員，并且增加縣支行業務現場檢查頻率。

3、會計資料交接控制存在風險。中支機關一名新上崗不久的國庫人員反映，財政、稅務等部門的會計資料交接人員時常變更，不能有效識別外單位人員的真實身份。CSA工作組認為，會計資料交接人員不能相對固定，存在雙方互不相識的可能，一旦被冒充交接了不真實的會計憑證，可能造成庫款安全風險。建議國庫部門采取外單位交接人員登記備案制，要求指定專人負責與人民銀行交接業務資料。

4、國庫印鑒管理、核對存在風險。國庫科一名印鑒保管人員講述自己保管全部外單位印鑒，各崗位使用印鑒時需向其借閱使用。CSA工作組分析，目前印鑒管理存在保管、使用相分離的情況，印鑒借閱頻繁且沒有交接記錄，存在交接使用風險。特殊情況下，個別人員會因為借閱印鑒費時麻煩，而忽略印鑒核對，可能引發核算風險。建議國庫部門探索印鑒電子化管理，實現按需隨時調用，為國庫資金加裝“電子門鎖”；在電子化管理不能實現的情況下，可以要求外單位提供多套印鑒，分別由不同崗位各自保管，以明晰責任。

（三）調查問卷、內控知識測試分析

1、調查問卷分析。調查共發出并收回問卷18份，被調查對象涵蓋所有國庫崗位。轄區國庫部門內部控制總體滿意度為90.9%，“基本滿意”為9.1%。一是控制環境方面。重視程度高，但需優化風險培訓結構。轄區國庫部門負責人內控重視度達100%，但縣支行接受風險知識培訓相對偏少。如，問卷顯示中支機關認為風險知識培訓能夠適應內控需要的占比100%，而縣支行認為能夠適應內控需要的占比僅為81.8%。二是風險評估方面。風險點掌握度較高，風險評估頻率相對較低?？h支行認為能夠全面掌握崗位風險點的占比90.9%。近一年以來風險評估開展2次以上的占比44.4%，開展1次的占比50%，沒有開展風險評估但在其他工作中涉及的占比5.6%。按照《濟南分行國庫會計內部控制指引》規定，各級國庫應按季度進行風險識別和分析，相比制度要求而言，轄區國庫部門開展風險評估的頻率偏低，有的支行甚至沒有開展過專門的風險評估。三是控制活動方面。控制措施有效率較高?？h支行認為本崗位控制措施有效的占比94.4%，認為基本有效的占比5.6%。四是信息與溝通方面。溝通總體順暢，方式多樣，但縣支行有待加強。溝通方式運用頻度由高到低占比依次是科務會94.4%、個別談話66.7%、非正式場合交流61.1%、監督檢查反饋22.2%。中支機關認為溝通順暢的占比100%，縣支行認為溝通順暢的占比81.8%，表明縣支行溝通有待加強。五是內部監督方面。監督檢查執行率高，但監督效果有待提升。選擇能夠堅持內部監督檢查制度的占比100%，但是認為監督檢查有顯著作用的，中支機關占比85.7%、縣支行占比54.6%，表明內部監督效果有待提升。

2、內控知識測試分析。從答題情況看，內部監督檢查、重要物品管理、檔案管理、會計重要事項審批等方面內控知識掌握較為薄弱。內部監督檢查方面題目答錯率為18.1%，其中中支機關錯題率10.7%、縣支行錯題率22.7%，從側面反映出縣支行內部監督檢查執行不到位，亟需加強。印押證管理方面題目答錯率為13%，其中中支機關錯題率11.9%、縣支行錯題率13.6%，反映出國庫印鑒管理、核對工作仍有缺陷，需要降低風險。檔案管理方面題目答錯率為22.2%，表明國庫人員對檔案管理知識掌握不足。重大會計事項管理方面題目答錯率為9.26%，其中中支機關錯題率9.52%、縣支行錯題率9.1%，反映出有關人員對會計重要事項不清楚，對相關控制制度不了解。

（四）控制測試分析

為全面深入了解轄區國庫內部控制情況，CSA工作組對中支機關和三家縣支行國庫部門進行了關鍵控制活動實地測試，發現了以下控制缺陷。

1、重要物品保管存在重大缺陷。CSA工作組突擊檢查Z縣支行國庫重要物品保管情況，發現同城資金清算貸方補充報單不在國庫崗位人員的保險柜內，而是仍由早已調離國庫崗位的S同志保管。CSA工作組分析，重要空白憑證管理屬于關鍵控制環節，保管人已調離國庫崗位，會計主管卻未督促辦理重要物品交接，且不清楚同城資金清算貸方補充報單具體去處，屬于重大控制缺陷。同時，反映出分管行領導和國庫部門負責人監督檢查流于形式，在多次季度檢查中均沒有發現這一問題。工作組及時向單位負責人報告了這一重大缺陷，建議其立即辦理交接手續，加強國庫部門例行檢查和不定期突擊檢查，切實防范風險。

2、會計重要事項審批、登記存在重要缺陷。查閱《重要會計事項登記簿》，核對TCBS系統日志后，工作組發現三家縣支行8次節假日加班未登記《會計重要事項登記簿》，一家縣支行漏登加班內容、加班人姓名等。CSA工作組認為，該問題反映出國庫會計主管風險意識淡薄，管理思想松懈，未有效履行會計主管審批職責。工作組及時向中支國庫部門負責人反映了這一問題，建議其強化業務條線內風險教育，進一步嚴格管理轄區國庫會計主管。

3、崗位交接存在重要缺陷。2015年12月，Z縣支行國庫系統管理員W強制休假，由S接替其崗位，兩人未辦理交接手續，也未登記《業務交接登記簿》。CSA工作組認為，人員離崗未交接反映出會計主管對崗位人員控制不嚴，不能厘清交接雙方的責任，可能引發舞弊風險和道德風險。

4、系統安全控制存在重要缺陷。工作組利用計算機輔助審計系統，分析TCBS系統日志，發現三家縣支行國庫人員存在長時間（覆蓋午休時間）無業務操作但滯留核算系統的問題，且多達35次。CSA工作組認為，長時間不簽退系統增加了核算系統暴露的風險，給人以可乘之機，反映出縣支行國庫人員對信息安全不夠重視，沒有養成及時簽退系統的習慣等問題。建議縣支行國庫部門加強風險知識培訓，增強國庫人員的風險意識，會計主管及時提醒本部門人員落實風控措施。

5、國庫目標責任制落實存在一般缺陷。2015年、2016年，W縣支行的國庫副主任與國庫部門負責人 （會計主管）、會計主管與系統管理員、各業務操作員均未簽訂國庫目標管理責任書。CSA工作組分析，簽訂目標責任書是實行目標管理責任制的書面形式，是風險教育形式的一種，不簽訂責任書雖未構成實際風險，但不利于增強國庫人員的風險意識和責任意識。

6、國庫檔案管理存在一般缺陷。一是歸檔不及時。W縣支行、Z縣支行的2015年查詢查復書、系統日志、國庫與集中支付代理銀行額度對賬單、集中支付額度通知單等資料，至評估日均未歸檔。二是檔案借閱記錄不完整。Z縣支行自2014年以來所有國庫檔案借閱情況未登記《會計檔案借閱登記簿》，如內審檢查調閱資料情況等。CSA工作組分析，檔案管理是典型的記錄控制，不及時歸檔、不完整登記檔案借閱登記簿，可能造成資料遺失、泄露機密等后果。

（五）綜合分析

CSA工作組總結了上述評估發現，結合《內控自我評估指標體系》和《風險清單》，歸類填寫了《風險登記簿》，從定性、定量兩個角度進行綜合評估。中支國庫科評估結果為正常，B縣支行、W縣支行評估結果為基本正常，Z縣支行評估結果為關注。評估共發現剩余風險14處，提出改進措施26條。按照內控五要素分析，剩余風險中控制環境方面占比21%、風險評估方面占比7%、控制活動方面占比51%、信息溝通方面占比7%、監督方面占比7%；按照控制缺陷類別分析，重大風險占比7%、重要風險占比43%、一般風險占比50%。

圖3 國庫業務內部控制各要素風險分布圖和風險等級分布圖

五、CSA探索成效與經驗體會

（一）增強了業務部門的風險意識和風控能力

通過積極主動參與內部控制自我評估，業務部門體驗了一次生動的“風險教育課”，充分意識到風險管理的重要性，學習到風險評估、風險管理技能，認識到風險部位和風險點，發現了剩余風險，制定了改進風險管理的行動方案，進一步規范了業務操作，提高了履職水平。

（二）拓寬了內審成果運用渠道

審計推動型CSA為內審部門普及風險防控知識、發揮“控制專家”咨詢職能提供了廣闊的舞臺，有效拓展了內審職能。既滿足了單位管理層和業務部門的管理需求，又為內審部門開展風險導向審計提供了數據基礎，增進了內審部門與業務部門的合作關系，形成了“管理共商、風險共治”的互動格局，實現了雙方共贏目標。

（三）積累了審計推動型CSA工作經驗

通過本次“試驗”，初步構建了CSA模型，明確了內部控制自我評估流程，豐富了內部控制自我評估工具箱，掌握了一定的評估技巧。特別是認識到，對于一個成功的CSA項目，內審推動者的角色很重要，他需要掌握高超的溝通協調技巧、豐富的風險評估技術、靈敏的風險感知力，真正當好 CSA項目的“編劇”和“導演”。 ■

注釋：

①InstituteofInternalAuditors,PracticeAdvisory2120.A1-2：內部審計師對某些CSA程序的投入是相當重要的，可以是發起、設計、實施并實際上擁有該過程，從事培訓、補充促進、抄寫和報告、參與管理當局和工作團隊的策劃等。在其他CSA程序中，內部審計師只是進行最低程度的參與，即作為整個過程的利益相關方及咨詢者，并作為團隊所作評估的終極審核者。在絕大部分程序中，內部審計師對組織CSA工作的投入位于上述兩個極端之間。