基于“双五归零”方法的内控管理探索与实践

文| 徐海平 倪卫东

我国航天项目管理有一项值得推广的经验，它就是著名的“双五归零”方法，即技术归零、管理归零各五条要求。对此，笔者认为可以借鉴“双五归零”方法，从内控“点”（问题）和“面”（机制）着手，分别落实问题归零、技术归零各五条要求，不断提升内部控制管理的质量和水平。以下，笔者将结合余杭农商银行（以下简称该行）的实践，就此进行粗浅的探索。

实现问题归零，夯实内控基础

问题归零，就是通过实施五大机制，即问题分类制、主体分层制、运营诊断制、进度通报制和质量评价制，落实以下五条要求，确保各支行在各类内控检查（审计）发现的问题能够从源头上实现问题“清零”，有效堵塞内控“漏洞”。

1.分类准确。即问题分类制。问题能否整改到位，关键是要“对症下药”，也就是首先要从源头上剖析问题的成因与性质，并确保能立即整改的必须即时整改，不能立即整改的要有明确的整改时间（进度）要求等。为此，在实践中该行开发并运用检查问题统一管理平台，将各类检查发现的问题，从问题成因（性质）和整改时限两个要素着手，做好问题分类管理工作，具体分为即时整改类、业务管理类、机制制度类、重点关注类和历史遗留类共五大类。同时，督促各支行及时将问题信息包括项目名称、问题定性、问题类型、问题描述、处罚情况等录入问题统一管理平台，实现信息共享、充分运用。

2.主体清晰。即主体分层制。问题分类后，下一步就要有效落实整改主体，这也是整改“落地”的组织保障。一般而论，被检查单位或者被检查对象所在单位，就是整改主体。但由于检查项目实施层级不同以及问题类别不同，整改主体也应有所分层。为此，在实践中该行制定审计整改质量评价办法，将检查项目分为本单位立项、上级组织实施、领导指定牵头共三个层级，分别有效明确和落实整改主体，特别是注重发挥业务部门的专业优势和主观能动。同时，还编发领导干部履行经济责任“两张清单”，进一步明确被检查单位的“一把手”应作为整改第一责任人，切实抓好整改工作，杜绝表面化、浅源性整改。

3.措施明确。即运营诊断制。如何使拟定的整改措施（检查建议），更好地与发现的问题相呼应，更具有针对性、可行性，是有效提升整改质量的一条重要途径。为此，在实践中该行要求各检查部门在检查报告形成前，可召开由检查组人员以及被检查机构相关人员参加的运营诊断会，就检查发现的问题，双方面对面沟通，重点从源头上即问题成因着手，群策群力地剖析风险隐患，并吸收被检查机构好的观点意见，最终协商形成检查建议或整改意见(包括措施及时间要求)，确保整改措施可行，为问题“清零”奠定良好基础。

具体，通过编制《问题整改清单》，标明整改问题所属类别和整改主体，以及协商确定的整改措施等，并以明细表形式随《整改通知书》一同下发，从而有效形成内控合力。

4.跟踪有效。即进度通报制。重点对整改过程实施精细化跟踪与管理。各检查部门可以采取检查通报、公告以及专报等有效载体，在适当范围内对检查发现的问题和整改情况进行通报或公示，使整改“公开化”、“透明化”，并置于广大干部员工的监督之下。 此外，该行还依托检查问题统一管理平台，并采取整改督导制、双向约谈制等措施，拓宽沟通渠道，前移督导关口，不断形成整改工作合力。

5.评价客观。即质量评价制。实践中，该行按照审计整改质量评价办法有关规定，就检查项目的整改质量，对整改主体实施年度综合评价。具体采用百分制，设置单个问题整改标准扣分（如5分），并依据每个问题的整改情况系数及难易系数，依次计算单个问题的整改扣分，最终按年度汇总计算出被评价对象的问题整改综合得分。同时，运用多种载体，如通过专报、评价报告等方式予以披露，并将当年问题整改质量评价结果上报“三会一层”，与被评价对象管理人员年度管理目标或绩效考核挂钩等，着力正向引导，夯实内控基础。

落实技术归零，完善内控机制

技术归零，就是运用PDCA循环质量管理理论，从计划（Plan）、执行（Do）、检查（Check）和处理（Act）四个环节着手，落实以下五条要求，确保各支行内部控制薄弱或者失控等环节能够从机制上得以有效“修复” ，扎紧内控“篱笆”。

定位准确

在计划环节，首先将梳理并定位各支行内控重点风险（问题），为下一步针对性机制“修复”奠定基础。该行具体运用检查问题统一管理平台，按照“一行一策”原则，分业务领域、问题类型和问题定性三个层次，实行按机构、按类别问题查询，进行分层统计与分析提炼，较为客观、准确地反映各支行内控基本状况和风险集中程度，找出找准其重点风险。同时，在年度内部控制评价中，该行还运用穿行测试法，着重对前期定位的重点风险进行验证，以更精准地挖掘内控流程或机制缺陷。

机理清楚

在计划环节，关键对已定位的重点风险，从机制上摸清成因并予以定性分类。实践中，该行采取六何分析法，即Who-何人，谁参与控制；When-何时，控制活动频率；Where-何地，控制活动地点；What-何事，控制具体内容；Why-何因，采取措施原因；How-何法，如何进行控制，从而初步描述各支行重点风险的现有控制活动。在此基础上，依据重点风险对应的内控机制或现有防控措施强弱程度，以及历年各项检查发现同类问题（风险）的次（笔）数，从机制上着手对重点风险进行定性分类，具体划分为机制缺失、严重失控、缺陷明显、机制薄弱、基本完善共5个等级。

责任明确

在执行环节，关键是明确各支行内控机制完善的措施与责任。根据前期分析规划，该行将按支行编制《重点风险防控清单》，对清单所列的重点风险逐个明确定性分类，并配套制定防范措施或机制完善方案。同时，落实各支行主要负责人牵头，重点针对现有内部控制措施，进一步建立健全内控机制或者开展风险专项治理等。同时，探索联席会议制，强化部门协同。即可由内控合规部门牵头，定期召开由相关业务条线负责人和机构主要负责人参加的联席会议，听取重点风险防控措施或机制完善情况汇报，研究制定或落实重大内控政策等等。

监督到位

在检查环节，关键要加强跟踪监督，确保机制完善措施有效到位。实践中，该行依据《重点风险防控清单》，具体由审计部门牵头，按季对各支行重点风险实施周期性、滚动式排查。同时，构建内部协同机制，审计部门、监事会和纪律监察部门等实现监审联动，对各支行内控机制建设工作实施跟踪评估和后续督导。对采取新方法、新措施等认真开展工作，并且成效显著的，予以标准化和宣传推广；对不符合内控管理质量要求的，引进工作督办制和责任追究制，以落实责任，提升成效。

举一反三

在处理环节，关键要通过闭环管理，提升内控机制自我修复能力。实践中，该行引入“GRAI复盘法”，从目标回顾（Goal）、结果评估（Result）、过程分析（Analyse）和规律总结（Insight）四个环节着手，对各支行落实技术归零五条要求进行回顾和推演。同时，将复盘及跟踪监督发现的新问题（重点风险）或新举措，充实到《重点风险防控清单》中，对于没能及时修复的内控机制，仍纳入新一轮PDCA循环，实施闭环管理，周而复始进行运转，确保机制有效完善。