徐伟建 莫珊珊

　　为进一步提升风险控制管理水平，切实发挥内审增加组织价值的作用，中国人民银行衢州市中心支行内审部门组织开展了一次内控风险自评估工作，全面排查内控风险隐患，评估内控风险等级，给出内控关注建议。

一、领导重视，迅速构建工作机制

一是迅速成立“内部控制自评估”领导小组，由中支纪委书记任组长，内审科负责人任副组长，机关各部门负责人为成员，统筹管理、有序推进风险评估工作；二是专门制定《中国人民银行衢州市中心支行内部控制自评估方案》、《中国人民银行衢州市中心支行“内控风险排查月”专项活动方案》等，经中支行长审核批准后正式行文下发执行，明确具体工作，落实责任分工。

二、全员参与，深刻排查薄弱环节

在中支机关范围开展“内控风险排查月”专项活动，系统全面查找存在问题及薄弱环节，客观真实反映中支内控情况。一是以中支“三衢讲坛”为平台，做好内控风险评估动员辅导工作，帮助全行干部职工树立正确的工作理念，找到正确的工作方式；二是组织机关各部门紧密围绕机制建设和业务操作两个层面对部门内控风险进行自查自评，查找薄弱环节的同时注重提炼内控工作的亮点；三是全面采集机关各部门近3年来外部监督、上级监督、同级监督等各类监督检查信息，汇总存在问题的同时注重确认整改措施的及时性和有效性；四是以专项活动为契机，各部门对岗位（廉政）风险防范流程图、业务高风险控管流程图进行一次梳理，对各项制度中不适用、不完善的条款进行废止或修改，优化流程控制，完善内控制度。

三、内审牵头，系统评估内控风险

内审部门以《中国人民银行内审部门风险评估工作试行办法》（银内审发[2013]18号）为制度依据，以中支2011年至2013年期间接受或开展的各类监督检查情况为基本信息，开展内控风险评估。

（一）分析基础信息。根据《中国人民银行内审部门风险评估工作试行办法》附件一“风险评估对象基本清单”内容，将中支机关办公室、人事科、货币信贷管理科、调查统计科、科技科、货币金银科、国库科、外汇管理科、保卫科、营业室、后勤服务中心等12个职能部门列为具体风险评估对象。据各部门提供的相关资料统计，2011年至2013年期间，中支接受或开展各类监督检查128次，其中外部检查0次、上级检查33次、同级检查95次，发现问题45个方面。

（二）建立评估模型。建立以风险评估为主模型，问题评估和控制评估为子模型的分层评估体系，通过发现问题严重程度和整改控制措施有效性两个因素对内控风险进行度量评估。

1.建立问题评估模型

（1）确定问题严重程度评级标准。将各部门（业务）发现问题按照性质和数量分别划分为1-4级。具体等级划分及评级标准见下表：




等级划分


1级


2级


3级


4级




评级

标准


性质


未发现或发现轻微问题


发现一般问题


发现重要问题


发现重大问题




数量


未发现或发现个别问题


发现少数问题


发现较多问题


发现普遍问题




（2）建立问题严重程度评级矩阵。以发现问题的性质和数量为基本因素建立问题评级矩阵，将发现问题的性质和数量分别标注在矩阵的横轴和纵轴上，在矩阵中确定各部门（业务）发现问题的严重程度等级。问题矩阵见下图：




数量



















4级


2


3


4


4







3级


2


3


3


4







2级


1


2


3


4







1级


1


1


2


3










1级


2级


3级


4级


性质


2.建立控制评估模型

（1）确定控制有效性评级标准。将各部门（业务）控制情况按照整改措施和监督检查情况分别划分为1-4级。具体等级划分及评级标准见下表：




等级划分


1级


2级


3级


4级




评级

标准


整改措施


整改到位并采取有效后续措施


整改到位但未采取后续措施或措施缺乏有效性


由于客观原因暂时无法完全整改到位


未整改




监督检查


1年内开展检查且内容全面


1年内开展检查但内容不全或 2年内开展检查且内容全面


2年内开展检查但内容不全或3年内开展检查且内容全面


3年内开展检查但内容不全或超过3年未开展检查




（2）建立控制有效性评级矩阵。以整改措施和监督检查情况为基本因素建立控制评级矩阵，将整改措施和监督检查情况分别标注在矩阵的横轴和纵轴上，在矩阵中确定各部门（业务）控制措施有效性等级。控制矩阵见下图：




监督检查



















4级


2


3


4


4







3级


2


3


3


4







2级


1


2


3


4







1级


1


1


2


3










1级


2级


3级


4级


整改措施




3.建立风险评估模型

（1）建立内控风险评级矩阵。以问题严重程度和控制有效性为基本因素建立内控风险评级矩阵，将问题严重程度和控制有效性分别标注在矩阵的横轴和纵轴上，在矩阵中确定各部门（业务）内控风险等级，其中问题严重程度来自于问题矩阵评级结果，控制有效性来自于控制矩阵评级结果。风险矩阵见下图：




控制

有效性



















4级


2


3


4


4







3级


2


3


3


4







2级


1


2


3


4







1级


1


1


2


3










1级


2级


3级


4级


问题

严重程度




　　　　

（2）根据风险矩阵将各部门（业务）内控风险划分为1-4级，对应内控风险等级得出内控关注等级，同样划分为1-4级。具体等级划分见下表：




等级划分


1级


2级


3级


4级




风险等级


低


较低


较高


高




关注等级


正常关注


次级关注


重点关注


密切关注


（三）实施风险评估。

1.将发现问题的性质和数量导入问题矩阵，将整改措施和监督检查情况导入控制矩阵，分别得出各部门（业务）问题严重程度等级和控制有效性等级。

2.将上一步骤得出的问题严重程度等级和控制有效性等级导入风险矩阵，得出各部门（业务）内控风险等级，并给出相应的内控关注建议。

四、总体评价

审计发现，衢州市中支内控管理工作组织构架系统合理，规章制度建立健全，监督检查有重点、有层次，内控机制整体运行良好，内控风险整体控制有效，没有发生重大风险事件，但在个别发展较快、专业性较强业务领域存在一定的控管不足，需加强关注。具体评估结果如下表：

衢州市中支内控风险评估一览表




科室


关键风险隐患


内控风险等级


内控关注等级




办公室


监督检查内容仅涉及法律事务


较低


次级关注




人事科


近3年仅开展一次离任审计


低


正常关注




货币信贷管理科


货币信贷


监督检查内容仅涉及支农再贷款业务


较低


次级关注




两管理

两综合


执法检查程序的合规性


较高


重点关注




调查统计科


调查统计


近3年仅开展一次经济监测检查


较低


次级关注




征信管理


近3年仅开展一次征信管理跟踪监察


低


正常关注




会计财务科


会计财务


财务制度的执行情况


较低


次级关注




支付结算


监督检查内容偏重于营业室会计核算


低


正常关注




反洗钱


近3年未开展监督检查


较低


次级关注




科技科


信息安全基线的控制


较高


重点关注




货币金银科


流通人民币的管理


较低


次级关注




国库科


业务操作的合规性


较低


次级关注




外汇管理科


检查内容不全面且政策变化较大


较高


重点关注




保卫科


技防设施的运维情况


较高


重点关注




营业室


会计核算


业务操作的合规性


低


正常关注




行政许可


行政许可程序的合规性


较低


次级关注




后勤服务

中心


业务开展程序的合规性


较低


次级关注