基于风险导向原则构建基层央行内控评价体系的

随着组织环境和管理模式的巨大变化，新的科技运用和法治理念对组织治理提出了更高要求，促使组织更加重视治理与风险管理工作。2014年1月1日起施行的《行政事业单位内部控制规范（试行）》对于提高人民银行内部管理水平、规范内部控制、防范各类风险具有重要的指导意义。近年来，中国人民银行抚州市中心支行结合COSO委员会2013年5月发布的新版《内部控制整合框架》，定期或不定期对内部控制运行情况进行评估，探索建立内部控制的动态调整和持续完善机制，初步建立完备的内控评价体系。 
　　一、内控评价体系的基本模型 
　　内控评价体系在设计时就牢牢抓住业务高风险点控制、非现场监管控制、内控风险自我评估三个要点，并适时根据“要点”监控所收集的信息进行分析判断，有针对性地开展内部控制专项审计。业务高风险点控制侧重于对会计、营业室、国库、发行、科技、保卫、外管、信贷等高风险部门的内控评价；非现场监管控制侧重于对辖内县支行内部管理动态指标与静态指标变化情况的内控评价；内控风险自我评估侧重于对全行性各类监督检查结果所反映的屡查屡犯和机制管理缺陷的问题进行综合分析。内控评价体系就是通过对一定时段内业务高风险点控制、非现场监管控制、内控风险自我评估所反馈的信息进行筛选、判断与甄别，并根据风险控制有效性的原则，有针对性地选择判断与甄别结果为风险控制相对较弱的单位、部门作为内控被审计对象，对其内控管理的情况进行现场审计，并提出相应的控制建议与对策。 
　　1.业务高风险点控制。 
　　以“业务高风险点管理办法”为依据，以分级分类风险控制为核心，以高风险业务为对象的控制机制，其最高领导机构为内控领导小组（行长室），日常办事机构为内控领导小组办公室（设在内审部门），管控对象为八个业务高风险部门，各业务高风险部门配备一名内控检查员。业务高风险点控制采取日常检查评价与年度考评相结合方式实施控管及评价。一是日常检查实行三级纵向监督和分级分类区别性监督方式：三级监督由内控领导小组办公室现场检查、分管行领导及部门负责人定期检查、部门内控检查员自我检查构成，自上而下，三位一体，全方位开展监督管理工作；分级分类是将各风险点根据风险高低分为一、二级风险点。抚州市中支每年进行风险识别确定，并编制风险控制图册。2014度中支机关确定高风险业务36项，高风险点55个，其中一级高风险点27个，二级高风险点28个。同时，将各风险部门根据业务性质分为核算类和非核算类部门，并根据分级分类情况进行针对性、区别性检查评价。二是年度考评由内控领导小组办公室实行，每年对各业务高风险部门实行百分制评价方式，并将结果报内控领导小组审核。以上控制与评价的各项要素信息借助中支大监督会议和审计例会两个交流平台实现有效传导，作为抚州市中支内控审计立项的重要参考依据，有效提升审计项目的针对性、科学性和有效性。 
　　2.非现场监管控制。 
　　主要通过设定监测指标进行分析评估，监测指标的设置和运用是整个机制的核心，实行静态数据和动态数据相结合的监督评价管理办法。其中：静态数据监测指标4类18项，内容包括行政管理、国库业务存量信息、外汇业务存量信息和计算机业务存量信息，表现为需关注但反映的信息数据基本固定不变或变化次数不多的特点，对其实行年初核查上报备案，适时根据变化情况予以上报反映的操作办法；动态监测数据共6类29项，内容包括财务费用管理、国库管理流量信息、外汇管理流量信息、货币信贷流量信息、计算机业务流量信息和安全保卫，主要指反映的信息数据每月频繁变动，需时常关注和掌握的监测指标，要求通过各类报表、登记簿等反映的相对应数据进行印证核实后实行实时上报，以确保监测数据和反映信息的真实、准确和有效。机制运行的具体步骤为信息收集、信息分类、信息分析、风险评价、形成报告和落实整改。信息收集主要由县支行内审人员完成；信息分析主要采用定性分析和定量分析相结合的方法，将每个月的月末数据分别与上个月、去年同期进行对比；风险评价主要依据信息分析得出的风险点，采用权重的方式，评估出个体的整体风险状况，最终形成文字材料提交中支内审部门，内审部门负责形成综合评价报告，报告行长。 
　　3.内控风险自我评估。 
　　近年来，抚州市中支内审部门在武汉分行的指导下，积极探索内控自我评估的新方法、新途径，在开展“内部控制自我评估”活动基础上，要求机关各部门上报上一年内外部监督检查与被监督检查的数据信息，由内审部门进行汇总、分类、提炼，整理出上一年中支机关接受或开展的各类监督检查情况，重点描述发现主要问题和对应整改措施，并经相关部门核对签字确认无误后，将这些基础数据作为风险评估的依据。在此基础上，探索建立内控风险评估的数学模型，设立问题评估和控制评估为子模型的分层评估方法，借助矩阵评级法，将发现问题的性质和数量、整改情况、监督情况等均纳入评估因素，明确评估标准，划分评估等级，实施风险评估。同时，将收集整理好的基础数据信息导入数学评估模型，按评估发现问题的严重程度和整改控制措施的有效性，评出内控风险等级，提出审计关注建议。通过“自评”，既强化了员工的内控风险意识，促进了业务高风险特色控管工作水平的提升，又为武汉分行在辖内开展内控审计提供了有价值的审计建议，达到了“风险引导审计，审计关注风险”目的。 
　　二、深化内控评价体系建设的思考 
　　1.内控评价数据采集的全面性有待提升。 
　　抚州市中支内控评价数据的采集主要来自于三个方面：一是特色内控管理的监督信息；二是内外部各类监督检查信息；三是内审监督审计信息。虽然这三方面的信息涵盖了一个单位，或一个部门高风险领域规范化信息的基本情况，是内控评价信息来源的基础。但由于设计者在风险评价信息采集的内容上，只考虑了重要性原则，未充分考虑全面性的要求，因此，内控评价数据采集的全面性有待提升。如对一些非高风险领域的评价，或与人财物关联度不高的部门和业务往往重视不够，分析评价的信息数据采集不多。同时，内控评价除了对制度性、规范性的风险信息需要进行收集、整理外，道德风险、法律风险也是内控评价不可或缺的重要组织部分，这有待于我们在今后内控评价实践中加以充实和完善，使之评价更为全面、结论更为客观公正。 
　　2.内控评价的运行模型科学性有待检验。 
　　抚州市中支开展的内控评价方法孕育于“风险管理”的理念，总结归纳了抚州市中支数十年来内控管理的经验做法，具有鲜明的地方特色，得到各级领导和相关部门的理解与支持。但是由于运行模型的设计是建立在抚州市中支内控文化的基础上，内审部门人员的理论知识和数学论证能力相对较弱，建立起来的问题数量、问题性质、监督检查、整改措施四维度的分析判断运行模型，得出的结论是否严谨科学，需要通过大量的审计实践样本进行检验，并在检验中不断修正、改良。 
　　3.内控评价结果运用有待深化。 
　　内控评价的目的就是对内部控制活动各个环节的有效性予以综合评定，并采取措施弥补堵塞内控管理工作中的漏洞和缺陷。但在实际工作中，内控评价结果运用率不高的现象较为突出。一些审计评价查出的问题得不到有效的纠正，或存在着屡查屡犯，整改不彻底的问题。因此，各级行领导要重视审计部门提出的审计意见，对审计合理化建议要亲自督办，落实到岗到人。同时，要通过建立审计结果公开制度，在一定范围内公开审计结果，使审计者与被审计者共同接受群众的监督和评议，促进内控评价成果的转化，提升内审服务水平。 
　　（作者单位：中国人民银行抚州市中心支行）