人民银行内部控制审计评价应用研究

董丽虹

摘要：《国际内部审计专业实务标准》将内部控制审计定义为：“内部审计部门必须评估控制的效果和效率，并促进控制持续改进，从而协助组织维持有效的控制”。目前，内部控制审计已经成为人民银行内审工作转型的重点和突破口，探索人民银行内部控制审计评价不仅是内审工作转型的要求和重点，也是更好发挥内审服务、咨询功能的尝试。本文从分析人民银行内部控制审计评价的目的和内容入手，结合COSO委员会创建的《内部控制整体框架》，探索设计适合人民银行内部控制审计评价体系，提出完善人民银行内部控制审计评价的建议，以提高内部控制审计的质量和效果，进一步促进人民银行内部控制规范建设和有效履职。

关键词：内部控制；审计评价；应用研究

一、内部控制审计评价的目的

内部控制审计评价是一个单位整体和管理层面的重要组织活动，中央银行内部审计实务中，内部控制审计评价的目标在于，借鉴国际内审先进理念，探索性开展风险管理审计，从全面性、合理性、遵循性、有效性四个方面对内部控制五要素进行评价，以进一步提升人民银行内控体系在组织治理中的功效。评价的目的在于，通过对内部控制构成要素的审查、分析和测试，对内部控制体系有一个全面、客观的评价，确保各项职责遵循法律法规和内部管理的要求，并适时查找薄弱环节，提出改进措施，进而优化内控环境、完善内部控制功能、提高防范风险的能力，改善业务运行的效率和效果。

一是通过评价内控机制的建立与运行情况，促进各单位、各部门建立一套较为科学、严谨、规范，而且贯穿于各项业务运行和管理活动始终，能够充分体现各司其职、各负其责、相互监督、互相制约、有效识别与控制风险以及具有培养职工积极进取、奋发向上功能的内部控制体系。

二是通过评价内部决策控制与管理控制情况，促进各单位、各部门严格遵守国家有关法律法规和各项规章制度，进一步加强对决策风险、管理风险和业务风险的控制，确保各项业务运行与管理活动安全、规范、高效运作。

三是通过评价内控制度、操作规程执行情况和达到的效果，促进各单位、各部门依法、合规、有效履行职责，进一步提升管理水平，确保各类资源有效利用、各项资产安全完整和各类业务与管理信息的真实可靠。

二、内部控制审计评价的内容

内部控制审计评价的内容包含内部控制环境、风险的识别、评估及应对、控制活动、信息与沟通和监控五个内部控制构成要素。

（一） 控制环境评价的主要内容

一是是否建立重大事项集体决策机制，明确集体决策范围、程序和权限，按规定执行集体决策程序。领导层和管理层是否明悉自身在内部控制中的引导和监控职责，带头执行有关行为规范和内控制度；是否建立并倡导员工行为规范，明确其执行内部控制的要求，引导员工树立诚信道德观念，提高职业道德。 二是各岗位设置是否明确，职责和权限是否清晰，是否符合不相容岗位分离的内控要求；岗位人员是否具备完成本职工作所需的知识和技能并知晓自身的职责和工作目标；专业岗位人员是否具备相应的从业资格；对重要岗位人员是否实行定期轮换或强制休假等控制措施，是否严格履行相关的审查、考核程序。 三是各项业务运行、管理活动是否有明确的操作规程或管理制度，内容是否完整、合规，是否能够根据情况变化及时进行修订；是否建立了适当的激励、约束机制和完备的人力资源管理制度。

（二）风险识别、分析和应对评价的主要内容

一是相关风险是否进行充分、及时、有效的识别和科学界定，并根据风险特征划分风险等级并进行赋值。

二是是否根据风险识别和分析的结果，确定风险应对策略，明确具体的应对措施，制定风险应对方案。

三是是否建立了突发事件应急管理机制，是否制定完善、合理、可操作的突发事件应急预案，并配置了相应资源适时开展应急演练；是否及时调整完善应急预案，确保预案的可操作性和有效性。

（三）控制活动评价的主要内容

一是授权与审批控制。是否明确授权活动的范围、期限、程序，授权是否符合规定；是否严格执行有关业务审批、事务决定等权限管理制度。

二是复核与确认控制。是否严格履行业务复核或资金、资产对账等职责。对需要确认的事项，是否按规定及时确认。

三是计划和预算控制。是否根据工作目标按时制定年度工作计划和财务预算，将工作落实到每个部门和岗位、预算分解到各个会计科目。是否对计划执行情况进行督办，确保工作计划按时完成，财务预算得到切实执行。

四是记录控制。登记簿或台账是否按规定设置。有关重要业务处理、工作交接和监督检查记录是否及时、规范和完整。

五是实物保护控制。重要场所是否实行封闭管理，是否按要求实施监控，门禁控制是否有效。场所内是否具有防火、防光、防尘、防污染、防鼠、防潮、防盗等必要设施；是否严格执行枪弹存放、领取、使用、交接等规定，责任是否到人。现金、有价证券、重要空白凭证、印章、密押卡等重要物品是否专人入库（柜）管理。

六是信息系统控制。信息系统的运行环境是否符合有关技术标准和要求。信息系统是否严格按照有关规定开展系统运行管理和系统维护工作，是否限制和监督对设备、程序和数据的接触，规范系统操作、访问控制和应用变更。是否健全信息系统安全功能设置和管理，加强对有关数据备份及存储介质的管理；是否建立并严格执行安全巡检制度，确保系统和各类数据信息的安全。

（四）信息与沟通评价的主要内容

一是是否及时转发上级行文件，并将本单位意见及时准确向下级行传达，各类业务情况、建议和重大事项是否及时向上级行反映或报告。领导层、管理层和员工及各部门之间交流沟通渠道是否顺畅。

二是信息采集是否符合法律法规规定，是否合法、准确、及时、便捷地公开披露有关政务信息，是否严格信息保密管理，确保涉密信息传递、披露安全。

（五）监控评价的主要内容

一是主管行领导是否定期对职能部门进行检查；部门负责人是否定期对本部门进行检查或评估；有关职能部门是否定期对本单位和下级行开展相关检查；负有监督检查职责的部门是否定期或不定期开展专项监督检查和评价。监督检查和评价结果是否报告单位决策层或相应管理层。

二是是否对业务操作、网络系统使用及其它高风险领域及剩余风险进行实时监测，发现的问题是否得到及时整改。

三、内部控制审计评价的原则

（一）全面性原则。内部控制应当贯穿各单位、各部门经济活动的决策、执行和监督全过程，涵盖人民银行的业务运行和管理活动，渗透于各项工作的各个环节，贯穿于各项工作的始终。内部控制审计评价必须覆盖重要业务运行和管理活动的各部门、各岗位，不得留有死角和真空。

（二）重要性原则。在全面控制的基础上，审计评价应依据业务运行和管理活动的风险部位与控制环节的重要性确定考核评价的主要内容，重点放在人、财、物、权限及信息系统等重点区域和重点业务的管理与控制方面。

（三）制衡性原则。重点评价各单位、各部门的内部管理、职责分工、业务流程等方面是否形成相互制约和相互监督的模式，从业人员是否熟练掌握本岗位的管理规定和操作规程，并以此规范自身的业务行为。

（四）适应性原则。重点评价内部控制是否符合国家有关规定和单位的实际情况，并随着外部环境的变化，单位经济活动、业务操作的调整和管理要求的提高，不断修订和完善。

（五）规范性原则。审计评价工作应事先做好充分的组织和准备，要按照评价办法及规定的程序，精心组织、周密安排，逐步实现内部控制审计评价的规范化、制度化、标准化。

（六）客观性原则。审计评价应以事实为依据，以法律法规和上级行的有关规定为准则，客观公正、实事求是。

（七）统一性原则。审计评价要做到评价标准和口径的统一、分值设定的科学合理，以确保各种结论、评判及信息资料的准确性与科学性。

（八）定性定量原则。审计评价要按照既定分值严格进行量化打分评价，同时结合综合治理考核、日常内控检查、专项检查等结果进行定性定量的评价。

四、人民银行内部控制审计评价的探索

（一）构建内部控制审计评价的责任体系与组织框架

1责任体系。

《中国人民银行分支机构内部控制指引》（以下简称《指引》）为分支机构建立健全内部控制机制提供了理论依据和现实指引，各分支机构内部控制建设工作领导小组，不定期对本行内部控制情况进行督导、检查、评价和反馈。在此基础上，以省为单位，逐步构筑“横向到边，纵向到底，一级抓一级，层层负责”的省级中心支行、地市中心支行、县（市）支行三级内控管理责任体系，按照“谁主管、谁负责”的基本要求，明确行长、分管行领导、部门负责人、内控管理员及业务操作人员等不同层级人员在内控安全管理工作中的职责，由业务主管部门承担风险防控的主体责任，确保各级行高效安全的履行职责。

2组织框架。

各级行内部控制领导小组办公室（设在各级内审部门）负责统一领导、组织、协调业务运行和管理活动的内部控制评价工作，站在督导和牵头的位置上，协调、监督本单位及各部门进行内部控制自评，适时开展内部控制评价抽查工作，对检查发现的问题提出处理意见、督促整改。各业务部门内部控制联络员按月开展本部门的风险排查，对查出的问题及时分析总结，并依据内部控制五要素进行评估，提出改进意见。业务主管部门每年至少开展一次对下级行业务归口部门的内部控制状况的检查和评价，形成评价结果报送内审部门。

（二）建立内部控制风险识别指标体系

内部控制的核心内容是风险管理，风险管理的基础是风险识别。因此，风险的识别、分析、应对以及控制是内部控制审计评价活动中的关键，《指引》将分支机构的相关风险定义为法律风险、声誉风险、资产风险、信息技术风险、效率风险、操作风险等6类风险。通过借鉴国外中央银行的做法，结合人民银行实际情况，人民银行总行下发的《中国人民银行内审部门风险评估工作试行办法》将影响人民银行目标实现的主要风险事件分为市场风险、信用风险、流动性风险、操作风险（包括业务流程、信息技术、人员、外部事件4类风险因素）、法律风险（对外监督管理、内部管理）、声誉风险（包括

决策失误、利益冲突、媒体和舆论等负面报导或评论3类风险因素），共39个风险事件。

按照《指引》中内部控制五要素的要求，同时根据《中国人民银行内审部门风险评估工作试行办法》风险划分和风险来源，合理制定各业务部门配套内部控制评价实施办法，充分识别各业务部门风险点、风险事项，并运用风险矩阵确定风险事项等级。以某省会中心支行为例，各业务部门共识别风险事项1517个，其中I级风险事项232个，占风险事项总数的153%，II级风险事项690个，占风险事项总数的455%，III级风险事项461个，占风险事项总数的304%，IV级风险事项134个，占风险事项总数的88%。其中：Ⅰ级为重大风险，Ⅱ级为较大风险，Ⅲ级一般风险，Ⅳ级为较弱风险。风险事项呈“纺锤型”分布。将识别出的风险事项从内部控制环境、风险识别、控制活动、信息与沟通、监控等五个方面进行分类，对确定的Ⅰ至Ⅳ级风险事项等级进行赋值和定性定量。内部控制审计评价体系在充分论证、研讨形成统一思路的基础上，以非现场方式收集、整理数据，采取定性分析和定量赋值相结合的手段，以查找风险点和关键控制点为起点，沿着风险识别、风险分析、风险分类、风险量化、风险排序、风险赋值的轨迹完成建立过程。检查考核工作按图索骥，对控制措施进行分类评价打分，优劣立判。从部门组别来看，风险事项主要集中于服务保障类部门，风险事项占比352%。从内部控制五要素来看，风险事项主要来源于控制活动，占比4608%，如下表。

风险事项内部控制五要素分布表

单位：个、%

要 素

风险等级

ⅠⅡⅢⅣ

合计占比

内部环境5613397233092037%

风险评估1010068262041345%

控制活动109338201516994608%

信息与沟通516250201831206%

监控6574514122804%

合计232690461134151710000%

（三）制定内部控制审计评价标准

各业务部门内部控制评价内容分别按照内控环境、风险管理、控制活动、信息沟通、监督控制等五个评价主模块，采用头脑风暴法对其五个模块设定权重，权重分别为：02、01、05、005、015，五个主模块按照分类进行子模块的划分，针对各项子模块对风险事项进行了分解和赋值。内部控制审计评价主要针对各单位和各部门内控环境的建设、内控机制的健全、风险识别及控制措施的有效性情况进行打分。内部控制审计评价指标等级根据整体评价结果分为4个等级，分别为 A级（内控良好类），综合评分90分（含90分）以上；B级（内控有效类），综合评分75-89分（含75分）；C级（内控基本有效类），综合评分60-75分（含60分）；D级（内控失效类），综合评分60分以下。对于出现各类违法违纪案件的单位或部门实行“一票否决”，取消评定等级资格。在评价成果应用方面，采取召开管理层和相关人员研讨会等方式，进行评价结果交流和反馈，特别是对高风险点和低风险频发的内容以及评价等级为C和D的单位采取重点、持续监测。各单位、各部门的内部控制评价结果作为对被评价单位或部门监督管理情况的重要依据。对因整改不善，导致组织机构长期不健全，缺少相应的规章制度或制度执行不力而导致主要风险不能得到有效识别和控制，内部管理混乱，工作严重失误的，将视问题性质、情节及结果，进行相应的处理。

五、意见和建议

（一）改变内部控制审计评价方式

内部控制审计评价的方式应由单一内部审计部门评价向部门自我评价与内部审计部门评价相结合的方式转变。这种方式的转变不仅有利于促进各部门建立一套较为科学、严谨、规范，而且贯穿于各项业务运行和管理活动始终，能够充分体现各司其职、各负其责、相互监督、互相制约、有效识别与控制风险的内部控制体系。

（二）实现内部控制审计评价的重心转变

内部控制机制建设是构成内部控制环境的重要组成部分，内部控制审计评价的重点应由以控制活动的有效性为主向以内部控制环境和内部控制机制建设为主转变。审计评价重心要立足人民银行的组织体系和管理框架，以推进各项业务运行和管理活动制度化、规范化、精细化和标准化，保障本单位、本部门依法、正确、有效履行职责，保障各项工作规范、有序、高效运行，保障各类资源有效利用和各项资产安全完整，保障各类业务和管理信息真实可靠。

（三）实行内部控制审计评价主体的转变

内部控制审计评价的主体应由各级内审部门评价转变为在内审部门的指导、监督、检查和考核下的评价。改变过去单一依靠内审部门年度整体评价加强人民银行内部控制管理工作，有效防范各类风险和案件的发生的作用，改变为以内审工作的转型为契机，内审部门积极指导各部门开展内部控制自我评估，内部审计人员不仅是内部控制问题的发现者，而且成为内控机制建设有力推动者，为人民银行依法高效安全履行职责提供有力保障。

（四）建立内部控制审计评价问责制度

内部控制审计评价工作应纳入年度工作考评内容，对履行内部控制自我评价工作职责不力或不能按时保质报送相关评估结果和报表资料的要进行通报并按相关规定问责，以促进内部控制审计评价工作有效开展。

参考文献：

[1] 《内部控制审计操作手册》2012年修订版

[2] 《中国人民银行分支机构内部控制指引》

[3] 《行政事业单位内部控制规范》（试行）

[4] 《中国内部审计》，郑焕敏，《建行转型期内部控制审计评价研究》，20106，总第132期