基层央行内部控制自我评估应用模型及实证研究
——基于国库业务的CSA实践案例

●胡兆军

一、引言

近三十年来，全球各国各组织普遍将内部控制的自我评估方法作为工作的重要内容，作为一项强有力的管理工具，可以应用在内部审计、高层管理和其他管理职能上。国际内部审计师协会2002年调查结果显示，控制自我评估在“未来将愈加重要的实务”中排名第一，在“当前内部审计最佳实务”中排名第二位。而在我国，多家企业比如最早的宝钢到后来的中国电信和中国寿险先后启动自我控制评估工作。2006年7月，中国内部审计协会发布了 《内部审计具体准则第21号——内部审计的控制自我评估法》。我国央行积极顺应国际内审事业发展潮流，于2010年启动内审转型发展进程，此后陆续有分支机构研讨控制自我评估这一课题。总体上，央行已经对控制自我评估有了理论上较为清晰的认识，但具体的实践探索还很少。内部控制自我评估的应用在我国央行有着广阔的前景。

二、现有文献述评

国际内部审计师协会（IIA）认为，内部控制自我评估（CSA）是一套检查和评价内部控制的效率和效果的体系，它可以为实现企业目标提供合理保证。IIA于1996年在研究报告中总结了CSA的三个基本特征：关注业务的过程和控制的成效；由管理部门和职员共同进行；用结构化的方法开展自我评估。拉里·L·贝克和史梅认为实施控制自我评估至少有5方面的意义：控制自我评估有利于内部审计部门证明其向组织提供的价值；控制自我评估可以获取事实真相；控制自我评估可以有效地评价那些赞助组织委员会或其他委员会及其报告中提到的各种非正式的或主管的控制模型；控制自我评估有助于将控制责任转化给每一个职员；控制自我评估有助于内部审计适应变化的控制环境。“控制自我评估之父”——保罗·马克兹认为强有力的领导是成功实施控制自我评估的关键因素。肯达·罗伯森提供了一个较为普遍的实施控制自我评估的结构框架。我国王光远和严晖详细解读了《内部审计具体准则第21号——内部审计的控制自我评估法》，内容包括控制自我评估与内部控制审计的关系、内部审计人员在控制自我评估中的责任（召集、组织、协调、记录、督导）、控制自我评估的内容（目标的确定、风险的识别、现有内控的评估、流程的评估以及问题的改进）、控制自我评估的程序（计划-沟通-执行-反馈），以及控制自我评估方法（专题讨论会法、问卷调查法和管理分析法）。何芹则从主体差异的角度进行了目标、内容、程序和范围等方面的分析，他认为内部控制工作既可以由企业内部完成，也可以由外部审计人员实施。具体来说，企业内部分为报表审计中的内部控制评价、审核，以及内部控制人员对自身工作的评价与评估。周安提出了CSA评价标准的设计原则和一套基于COSO-ERM的三级评价指标体系示例。

关于我国央行实施控制自我评估的研究主要有：何向红探讨了我国央行引入CSA的积极影响和适用性分析；许彤提出依托信息系统开展控制自我评估值得重视；胡晓雁提出了基层央行实施CSA的难点以及成功实施CSA的建议；翟向祎、孙占伟分析了CSA在央行运用的可行性，并提出了应用构想，包括方法、程序和应注意的事项；陈刚指出了当前央行内部控制评价存在的问题，探讨了内部控制评价的一般标准和具体标准，提出了改进内部控制有效性的两个途径——从内部优化评级技术方法、从外部引进制度安排。

综上所述，我国有关内部控制自我评估的研究，特别是我国央行内部控制自我评估的研究，以宏观或中观的理论阐述居多，而详实的实证研究、实践案例、经验总结还很少。这也是造成我国央行目前还未形成成熟、配套、系统的内部控制自我评估模型或制度规范的原因之一。

三、构建央行内部控制自我评估模型

图1 内部控制自我评估模型

目前，我国央行系统还没有现成的内部控制自我评估模式可供借鉴，本文参考风险管理、内部控制自我评估相关理论，构建了内部控制自我评估模型，使CSA在思路、体系上更科学、系统和完备。如图1所示，内部控制自我评估体系由主体、目标、工具箱、路径和内容五部分构成。其中CSA的主体是业务部门和内审部门，内审部门的推动对CSA相当重要①；评估目标是评价业务部门内部控制是否符合风险管理政策、是否满足管理层需求；工具箱是评估过程中运用的方式方法，一般包括交流沟通、KPIs（关键绩效指标）、风险研讨会、问卷调查、控制测试、综合分析等；路径是完成CSA、实现评估目标的基本流程，根据风险循环理论，须通过五个关键步骤：风险识别（RI）、风险评估（RA）、定义风险所有者（RO）、风险管理（RM）和行动方案（Action），行动方案是在初步评估达成统一意见后，制定的控制剩余风险的措施；评估内容是COSO框架五要素。

四、基于A市中支国库业务的CSA实践案例

（一）主要实施步骤

一是组建CSA工作组。内审科与国库科签订《管理咨询项目约定书》，吸收两个部门4名业务骨干，组成CSA工作组，约定双方合作目标、各自职责和权利义务。二是编写实施方案。构建《内控自我评估指标体系》，包含了47个评估指标；参考近三年来内外部检查所识别出的64个国库业务风险事件，形成《国库业务风险清单》作为评估线索。三是召开内控自我评估培训会议。CSA工作组向国库科人员讲解评估流程、方法，引导国库人员充分认识内控自我评估的意义，调动其参与评估的积极性。四是召开审计推动型风险研讨会。工作组双方负责人共同主持会议，其中内审负责人担当推动者，先采取“一对一”交流方式，引导每名国库人员充分认识自身岗位职责、内控目标，启发其说出尚未被识别或控制的岗位风险，后采取“头脑风暴法”，鼓励大家提出剩余风险控制措施。五是开展问卷调查。从控制五要素角度设计题目19个，以无记名、开放式展开问卷调查，多角度了解内控建设、执行情况。六是进行内控知识测试。设计选择、判断题50道，以无记名、封闭式测试国库人员基本制度、内控措施掌握情况。七是开展控制测试。采取查阅资料、实地查验、上机查看、面对面对账等方式，对国库业务关键控制环节进行符合性测试。八是综合分析。对照《内控自我评估指标体系》和《国库业务风险清单》，运用COSO框架，对内部控制情况进行统计分析，填写《风险登记簿》，确定剩余风险和行动方案，得出评估结论，详见图2。

（二）风险研讨会分析

召开风险研讨会4次，中支机关和三家县支行国库人员参加会议。会议中，CSA工作组内审负责人依照计划和研讨提纲有序引导议题，鼓励参会人员畅所欲言。与会人员逐一阐发了对部门内控和岗位内控的认识，共识别控制缺陷4个，商定改进措施4条。

图2 审计推动型内部控制自我评估流程图

1、县支行人员数量不能完全满足岗位需求。座谈中，参会人员普遍反映部门人员少，不能实现休假时的顺利交接。如，为满足岗位交接、强制休假等要求，一般县支行国库部门至少应配备5人，但从实际情况看，三家县支行国库人员平均为4.3人，导致自2015年以来8人未进行强制休假。CSA工作组认为，在县支行人员少、任务多的情况下，有可能出现不合理兼岗的风险，建议县支行国库部门积极向党组反映适当增加人员，可通过招聘合同制用工或服务外包等方式补充“新鲜血液”。

2、国库事后监督面窄、时效性差、业务量大。国库事后监督尚处于手工核打发生额、核对纸质凭证及附件的阶段，监督内容仅限于会计凭证、月度对账、年度报表，尚不能实现对账簿、日志、系统控制、实物管理等的监督。按照当前国库业务事后监督体制，T（核算日）+2日会计凭证才能传递到中心支行，最快当日完成对县支行的监督，监督的时效性较差。事后监督中心撤销后，原由4人监督的工作现由2人完成，其中1人负责辖区6家县支行业务，业务量过大，影响监督成效。CSA工作组认为，鉴于目前不能实现监督工作信息化，应适当增加事后监督人员，并且增加县支行业务现场检查频率。

3、会计资料交接控制存在风险。中支机关一名新上岗不久的国库人员反映，财政、税务等部门的会计资料交接人员时常变更，不能有效识别外单位人员的真实身份。CSA工作组认为，会计资料交接人员不能相对固定，存在双方互不相识的可能，一旦被冒充交接了不真实的会计凭证，可能造成库款安全风险。建议国库部门采取外单位交接人员登记备案制，要求指定专人负责与人民银行交接业务资料。

4、国库印鉴管理、核对存在风险。国库科一名印鉴保管人员讲述自己保管全部外单位印鉴，各岗位使用印鉴时需向其借阅使用。CSA工作组分析，目前印鉴管理存在保管、使用相分离的情况，印鉴借阅频繁且没有交接记录，存在交接使用风险。特殊情况下，个别人员会因为借阅印鉴费时麻烦，而忽略印鉴核对，可能引发核算风险。建议国库部门探索印鉴电子化管理，实现按需随时调用，为国库资金加装“电子门锁”；在电子化管理不能实现的情况下，可以要求外单位提供多套印鉴，分别由不同岗位各自保管，以明晰责任。

（三）调查问卷、内控知识测试分析

1、调查问卷分析。调查共发出并收回问卷18份，被调查对象涵盖所有国库岗位。辖区国库部门内部控制总体满意度为90.9%，“基本满意”为9.1%。一是控制环境方面。重视程度高，但需优化风险培训结构。辖区国库部门负责人内控重视度达100%，但县支行接受风险知识培训相对偏少。如，问卷显示中支机关认为风险知识培训能够适应内控需要的占比100%，而县支行认为能够适应内控需要的占比仅为81.8%。二是风险评估方面。风险点掌握度较高，风险评估频率相对较低。县支行认为能够全面掌握岗位风险点的占比90.9%。近一年以来风险评估开展2次以上的占比44.4%，开展1次的占比50%，没有开展风险评估但在其他工作中涉及的占比5.6%。按照《济南分行国库会计内部控制指引》规定，各级国库应按季度进行风险识别和分析，相比制度要求而言，辖区国库部门开展风险评估的频率偏低，有的支行甚至没有开展过专门的风险评估。三是控制活动方面。控制措施有效率较高。县支行认为本岗位控制措施有效的占比94.4%，认为基本有效的占比5.6%。四是信息与沟通方面。沟通总体顺畅，方式多样，但县支行有待加强。沟通方式运用频度由高到低占比依次是科务会94.4%、个别谈话66.7%、非正式场合交流61.1%、监督检查反馈22.2%。中支机关认为沟通顺畅的占比100%，县支行认为沟通顺畅的占比81.8%，表明县支行沟通有待加强。五是内部监督方面。监督检查执行率高，但监督效果有待提升。选择能够坚持内部监督检查制度的占比100%，但是认为监督检查有显著作用的，中支机关占比85.7%、县支行占比54.6%，表明内部监督效果有待提升。

2、内控知识测试分析。从答题情况看，内部监督检查、重要物品管理、档案管理、会计重要事项审批等方面内控知识掌握较为薄弱。内部监督检查方面题目答错率为18.1%，其中中支机关错题率10.7%、县支行错题率22.7%，从侧面反映出县支行内部监督检查执行不到位，亟需加强。印押证管理方面题目答错率为13%，其中中支机关错题率11.9%、县支行错题率13.6%，反映出国库印鉴管理、核对工作仍有缺陷，需要降低风险。档案管理方面题目答错率为22.2%，表明国库人员对档案管理知识掌握不足。重大会计事项管理方面题目答错率为9.26%，其中中支机关错题率9.52%、县支行错题率9.1%，反映出有关人员对会计重要事项不清楚，对相关控制制度不了解。

（四）控制测试分析

为全面深入了解辖区国库内部控制情况，CSA工作组对中支机关和三家县支行国库部门进行了关键控制活动实地测试，发现了以下控制缺陷。

1、重要物品保管存在重大缺陷。CSA工作组突击检查Z县支行国库重要物品保管情况，发现同城资金清算贷方补充报单不在国库岗位人员的保险柜内，而是仍由早已调离国库岗位的S同志保管。CSA工作组分析，重要空白凭证管理属于关键控制环节，保管人已调离国库岗位，会计主管却未督促办理重要物品交接，且不清楚同城资金清算贷方补充报单具体去处，属于重大控制缺陷。同时，反映出分管行领导和国库部门负责人监督检查流于形式，在多次季度检查中均没有发现这一问题。工作组及时向单位负责人报告了这一重大缺陷，建议其立即办理交接手续，加强国库部门例行检查和不定期突击检查，切实防范风险。

2、会计重要事项审批、登记存在重要缺陷。查阅《重要会计事项登记簿》，核对TCBS系统日志后，工作组发现三家县支行8次节假日加班未登记《会计重要事项登记簿》，一家县支行漏登加班内容、加班人姓名等。CSA工作组认为，该问题反映出国库会计主管风险意识淡薄，管理思想松懈，未有效履行会计主管审批职责。工作组及时向中支国库部门负责人反映了这一问题，建议其强化业务条线内风险教育，进一步严格管理辖区国库会计主管。

3、岗位交接存在重要缺陷。2015年12月，Z县支行国库系统管理员W强制休假，由S接替其岗位，两人未办理交接手续，也未登记《业务交接登记簿》。CSA工作组认为，人员离岗未交接反映出会计主管对岗位人员控制不严，不能厘清交接双方的责任，可能引发舞弊风险和道德风险。

4、系统安全控制存在重要缺陷。工作组利用计算机辅助审计系统，分析TCBS系统日志，发现三家县支行国库人员存在长时间（覆盖午休时间）无业务操作但滞留核算系统的问题，且多达35次。CSA工作组认为，长时间不签退系统增加了核算系统暴露的风险，给人以可乘之机，反映出县支行国库人员对信息安全不够重视，没有养成及时签退系统的习惯等问题。建议县支行国库部门加强风险知识培训，增强国库人员的风险意识，会计主管及时提醒本部门人员落实风控措施。

5、国库目标责任制落实存在一般缺陷。2015年、2016年，W县支行的国库副主任与国库部门负责人 （会计主管）、会计主管与系统管理员、各业务操作员均未签订国库目标管理责任书。CSA工作组分析，签订目标责任书是实行目标管理责任制的书面形式，是风险教育形式的一种，不签订责任书虽未构成实际风险，但不利于增强国库人员的风险意识和责任意识。

6、国库档案管理存在一般缺陷。一是归档不及时。W县支行、Z县支行的2015年查询查复书、系统日志、国库与集中支付代理银行额度对账单、集中支付额度通知单等资料，至评估日均未归档。二是档案借阅记录不完整。Z县支行自2014年以来所有国库档案借阅情况未登记《会计档案借阅登记簿》，如内审检查调阅资料情况等。CSA工作组分析，档案管理是典型的记录控制，不及时归档、不完整登记档案借阅登记簿，可能造成资料遗失、泄露机密等后果。

（五）综合分析

CSA工作组总结了上述评估发现，结合《内控自我评估指标体系》和《风险清单》，归类填写了《风险登记簿》，从定性、定量两个角度进行综合评估。中支国库科评估结果为正常，B县支行、W县支行评估结果为基本正常，Z县支行评估结果为关注。评估共发现剩余风险14处，提出改进措施26条。按照内控五要素分析，剩余风险中控制环境方面占比21%、风险评估方面占比7%、控制活动方面占比51%、信息沟通方面占比7%、监督方面占比7%；按照控制缺陷类别分析，重大风险占比7%、重要风险占比43%、一般风险占比50%。

图3 国库业务内部控制各要素风险分布图和风险等级分布图

五、CSA探索成效与经验体会

（一）增强了业务部门的风险意识和风控能力

通过积极主动参与内部控制自我评估，业务部门体验了一次生动的“风险教育课”，充分意识到风险管理的重要性，学习到风险评估、风险管理技能，认识到风险部位和风险点，发现了剩余风险，制定了改进风险管理的行动方案，进一步规范了业务操作，提高了履职水平。

（二）拓宽了内审成果运用渠道

审计推动型CSA为内审部门普及风险防控知识、发挥“控制专家”咨询职能提供了广阔的舞台，有效拓展了内审职能。既满足了单位管理层和业务部门的管理需求，又为内审部门开展风险导向审计提供了数据基础，增进了内审部门与业务部门的合作关系，形成了“管理共商、风险共治”的互动格局，实现了双方共赢目标。

（三）积累了审计推动型CSA工作经验

通过本次“试验”，初步构建了CSA模型，明确了内部控制自我评估流程，丰富了内部控制自我评估工具箱，掌握了一定的评估技巧。特别是认识到，对于一个成功的CSA项目，内审推动者的角色很重要，他需要掌握高超的沟通协调技巧、丰富的风险评估技术、灵敏的风险感知力，真正当好 CSA项目的“编剧”和“导演”。 ■

注释：

①InstituteofInternalAuditors,PracticeAdvisory2120.A1-2：内部审计师对某些CSA程序的投入是相当重要的，可以是发起、设计、实施并实际上拥有该过程，从事培训、补充促进、抄写和报告、参与管理当局和工作团队的策划等。在其他CSA程序中，内部审计师只是进行最低程度的参与，即作为整个过程的利益相关方及咨询者，并作为团队所作评估的终极审核者。在绝大部分程序中，内部审计师对组织CSA工作的投入位于上述两个极端之间。