基于风险导向原则构建基层央行内控评价体系的建设方法

第第页基于风险导向原则构建基层央行内控评价体系的建设方法一、内控评价体系的基本模型

内控评价体系在设计时就牢牢抓住业务高风险点掌握、非现场监管掌握、内控风险自我评估三个要点，并适时依据“要点”监控所收集的信息进行分析推断，有针对性地开展内部掌握专项审计。业务高风险点掌握侧重于对会计、营业室、国库、发行、科技、保卫、外管、信贷等高风险部门的内控评价；非现场监管掌握侧重于对辖内县支行内部管理动态指标与静态指标改变状况的内控评价；内控风险自我评估侧重于对全行性各类监督检查结果所反映的屡查屡犯和机制管理缺陷的问题进行综合分析。内控评价体系就是通过对肯定时段内业务高风险点掌握、非现场监管掌握、内控风险自我评估所反馈的信息进行筛选、推断与甄别，并依据风险掌握有效性的原则，有针对性地选择推断与甄别结果为风险掌握相对较弱的单位、部门作为内控被审计对象，对其内控管理的状况进行现场审计，并提出相应的掌握建议与对策。

1.业务高风险点掌握。

以“业务高风险点管理方法”为根据，以分级分类风险掌握为核心，以高风险业务为对象的掌握机制，其最高领导机构为内控领导小组〔行长室〕，日常办事机构为内控领导小组办公室〔设在内审部门〕，管控对象为八个业务高风险部门，各业务高风险部门配备一名内控检查员。业务高风险点掌握实行日常检查评价与年度考评相结合方式实施控管及评价。一是日常检查实行三级纵向监督和分级分类区分性监督方式：三级监督由内控领导小组办公室现场检查、分管行领导及部门负责人定期检查、部门内控检查员自我检查构成，自上而下，三位一体，全方位开展监督管理工作；分级分类是将各风险点依据风险凹凸分为一、二级风险点。抚州市中支每年进行风险识别确定，并编制风险掌握图册。2022度中支机关确定高风险业务36项，高风险点55个，其中一级高风险点27个，二级高风险点28个。同时，将各风险部门依据业务性质分为核算类和非核算类部门，并依据分级分类状况进行针对性、区分性检查评价。二是年度考评由内控领导小组办公室实行，每年对各业务高风险部门实行百分制评价方式，并将结果报内控领导小组审核。以上掌握与评价的各项要素信息借助中支大监督会议和审计例会两个沟通平台实现有效传导，作为抚州市中支内控审计立项的重要参考根据，有效提升审计项目的针对性、科学性和有效性。

2.非现场监管掌握。

主要通过设定监测指标进行分析评估，监测指标的.设置和运用是整个机制的核心，实行静态数据和动态数据相结合的监督评价管理方法。其中：静态数据监测指标4类18项，内容包括行政管理、国库业务存量信息、外汇业务存量信息和计算机业务存量信息，表现为需关注但反映的信息数据基本固定不变或改变次数不多的特点，对其实行年初核查上报备案，适时依据改变状况予以上报反映的操作方法；动态监测数据共6类29项，内容包括财务费用管理、国库管理流量信息、外汇管理流量信息、货币信贷流量信息、计算机业务流量信息和平安保卫，主要指反映的信息数据每月频繁变动，需时常关注和把握的监测指标，要求通过各类报表、登记簿等反映的相对应数据进行印证核实后实行实时上报，以确保监测数据和反映信息的真实、精确和有效。机制运行的详细步骤为信息收集、信息分类、信息分析、风险评价、形成报告和落实整改。信息收集主要由县支行内审人员完成；信息分析主要采纳定性分析和定量分析相结合的方法，将每个月的月末数据分别与上个月、去年同期进行对比；风险评价主要根据信息分析得出的风险点，采纳权重的方式，评估出个体的整体风险状况，最终形成文字材料提交中支内审部门，内审部门负责形成综合评价报告，报告行长。

3.内控风险自我评估。

近年来，抚州市中支内审部门在武汉分行的指导下，主动探究内控自我评估的新方法、新途径，在开展“内部掌握自我评估”活动基础上，要求机关各部门上报上一年内外部监督检查与被监督检查的数据信息，由内审部门进行汇总、分类、提炼，整理出上一年中支机关接受或开展的各类监督检查状况，重点描述发觉主要问题和对应整改措施，并经相关部门核对签字确认无误后，将这些基础数据作为风险评估的根据。在此基础上，探究建立内控风险评估的数学模型，设立问题评估和掌握评估为子模型的分层评估方法，借助矩阵评级法，将发觉问题的性质和数量、整改状况、监督状况等均纳入评估因素，明确评估标准，划分评估等级，实施风险评估。同时，将收集整理好的基础数据信息导入数学评估模型，按评估发觉问题的严峻程度和整改掌握措施的有效性，评出内控风险等级，提出审计关注建议。通过“自评”，既强化了员工的内控风险意识，促进了业务高风险特色控管工作水平的提升，又为武汉分行在辖内开展内控审计供应了有价值的审计建议，到达了“风险引导审计，审计关注风险”目的。

二、深化内控评价体系建设的思索

1.内控评价数据采集的全面性有待提升。

抚州市中支内控评价数据的采集主要来自于三个方面：一是特色内控管理的监督信息；二是内外部各类监督检查信息；三是内审监督审计信息。虽然这三方面的信息涵盖了一个单位，或一个部门高风险领域规范化信息的基本状况，是内控评价信息来源的基础。但由于设计者在风险评价信息采集的内容上，只考虑了重要性原则，未充分考虑全面性的要求，因此，内控评价数据采集的全面性有待提升。如对一些非高风险领域的评价，或与人财物关联度不高的部门和业务往往重视不够