中国农业银行内部控制评价知识讲座

一、内部控制评价基础知识

1、内部控制、内部控制评价及内部控制评价的意义

◆内部控制。内部控制是单位为实现管理目标而建立的程序、调节和措施所形成的调整、检查、制约活动的总称。具体地说是单位经营管理者，为维护资产完整，保证会计信息正确和财务活动的合法，促进经济效益提高，经营决策贯彻和经营目标实现，而建立的程序、环节和措施等，对生产经营活动进行管理所形成的调整、检查和制约活动的总称。从内部控制概念不难看出，金融企业的内部控制实质是（笔者的理解，不一定准确）各级行的领导班子（决策层），为了保证资产的增值，效益的提升，对信贷、财务、信用卡、中间业务、人力资源调配等一切经营管理活动的合规合法性而制定的各类决策（规章制度、决议等）以及是否正确执行所采取的检查监督、奖惩以及调整等一系列管理活动。

◆内部控制评价，内部控制评价是根据内部控制的模式，对现行内部控制制度的恰当性和有效性，进行分析及价值评定的工作，其实质是评价内部控制制度的设计与执行情况。农业银行的内部控制评价是对分支机构内部控制体系建设、实施和运行结果独立开展调查、测试、分析，形成评价结论，出具评价报告的过程。内部控制评价不仅农行搞，其他行和其他企业也搞。特别是上市公司都要搞。

◆ 实施内部控制评价的意义。

◆ 内部控制和风险防范是商业银行永恒的主题。

首先，从国际上看。20世纪80年代后期，银行风险越来越多的是由银行内部控制失效造成的。美联储的研究结果证实，90年代初，在全世界破产的86家银行中，有26%是内部犯罪造成的，有61%的破产银行存在诈骗，非犯罪性违规，内部贷款损失等内部问题。英国巴林银行，法国里昂银行，日本大和银行等著名倒闭案例，主要原因就是内部控制失效造成的。美国安然公司的倒闭更是内部控制失效的典型案例。美国安然公司主要是涉嫌作假帐，受到美国证券交易委员会调查后，股价大幅下跌。标准普尔等评级机构也将其债券评级下调为垃圾债券。导致安然公司不得不递交破产申请。

其次，从国内看。各家商业银行（包括中小型股份制银行）近年来案件频发，大案要案不断，且相当大比例是由于内部管控不到位而形成的。如：2009年3月以来，公安机关立案侦查的中国工商银行上海延安西路支行离职员工尤其，以帮助企业立户，高息存款为名，将受害单位的开户资料，从银行经办员手中借出（谎称给该企业领导审核），导致受害单位的印鉴卡被偷换，资金被盗划1亿多元；中国银行上海打浦路支行员工与犯罪分子勾结诱骗客户在该行高息存款，在代办开立银行结算账户时私自开通并截留了客户的银行卡，随后盗划资金2000余万元；宁波银行上海分行也是由于内外合伙帮助企业开户，临柜人员又没有认真审核企业开户资料，导致犯罪嫌疑人调换了公司预留印鉴，盗划资金2751万元；上海银行静安支行也是用同类方式，盗划资金2亿元。

再次，从农行近几年案件频发上看。（山西分行、太原分行领导班子全军覆没），最近，鞍山分行贷款诈骗案。都说明内部控制是商业银行内部管理过程中的重中之重。近两年来，银监会和人民银行就内部控制相关问题不厌其烦地开会发文，制定规章，就是担心金融系统大案要案控制不住而引发金融混乱，导致社会不稳。

最后，通过内部控制评价可以及时发现内部控制失控点和风险点，然后有所侧重的集中力量，抽调人力，重点审计风险点和失控点，进而提高审计工作的准确性、针对性和实效性，节约审计成本，提高审计效率，防范案件发生。这次到江苏盐城集中审计发现建湖支行员工与企业频繁资金往来，具有相当隐患，得到总行的高度重视。

农业银行从2000年开始设计和建立内部控制评价机制，并采取逐级推进的方式，不断发展和完善，到目前已经形成相对完整的内控评价体系。几年来的实践表明，内部控制评价在促进基层行内控建设方面发挥了重要作用。

2、内部控制评价的原则和重点。分支机构内部控制评价应遵循以下原则：

一是风险导向原则。评价应当以风险评估为基础，根据风险发生的可能性和对控制目标造成的影响程度来确定需要评价的重点业务、重要的业务领域或环节。

二是一致性原则。评价应当采用统一的方法和标准，保证评价结果的可比性。

三是公正性原则。评价结果应有相应的证据支持，应以事实为基础，以法律法规、监管要求和规章制度为准则，做到客观公正，实事求是。

内部控制评价重点是对风险控制力和政策制度执行力的评价。

3、内部控制评价的组织实施和工作方式。分支机构内部控制评价由总行统一安排，总行内控合规部门直接组织实施一级分行内部控制评价，一级分行内控合规部门负责组织实施二级分行和县级支行内部控制评价。内部控制评价每年开展一次。为提高评价准确度和工作效率，一般采取现场评价与非现场评价相结合的工作方式。

二、内部控制评价的体系和内容。

◆内部控制评价的体系和内容包括管理行评价和经营行评价

　分支机构内部控制评价设置管理行和经营行两套评价操作规程。管理行评价操作规程适用于一级分行和二级分行等，经营行评价操作规程适用于一级分行直管的支行和县级支行等。

（一）管理行内控评价。包括管理行本部评价（占管理行总体权重的50%）；所辖分支机构评价（占管理行总体权重的20%）；内部控制结果评价（占管理行总体权重的30%）。

1、管理行本部评价。包括内部环境、风险评估、控制活动、信息与沟通、内部监督5个内部控制要素评价系统。

（1）内部环境评价系统（占管理行本部评价权重的15%）。评价是否为内部控制的有效实施营造了良好的控制环境，主要内容包括：组织结构、经营理念与风格、授权与分责管理、人力资源和企业文化等。

（2）、风险评估评价系统（占管理行本部评价权重的10%）。评价是否有完善的风险管理组织，能否准确识别、评估和应对所面临的各种风险，主要内容包括：风险管理组织架构的健全、风险管理目标的设定与落实、风险识别和评估、风险分析与报告，风险防范与应对等。

（3）控制活动评价系统（占管理行本部评价权重的55%）。评价是否能结合风险评估结果，运用适宜的控制方法和措施，将风险控制在可承受度之内，主要内容包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、运行分析控制、绩效考核控制等控制措施是否贯穿业务运作的全过程；重点领域和重点环节的控制措施是否存在并得到有效的执行等。

控制活动评价系统包括12个评价子系统，其中：

①信贷业务内部控制评价（占控制活动评价权重的15%）；

② “三农”业务内部控制评价（占控制活动评价权重的15%）；

③委托资产处置业务内部控制评价(占控制活动评价权重的5%)；

④财务会计业务内部控制评价（占控制活动评价权重的15%）；

⑤资金营运业务内部控制评价（占控制活动评价权重的5%）；

⑥银行卡业务内部控制评价（占控制活动评价权重的6%）；

⑦国际业务内部控制评价（占控制活动评价权重的6%）；

⑧中间业务内部控制评价（占控制活动评价权重的10%）；

⑨电子银行业务内部控制评价（占控制活动评价权重的6%）；

⑩计算机系统应用与管理内部控制评价（占控制活动评价权重的6%）；

安全保卫内部控制评价（占控制活动评价权重的6%）；

直管经营机构内部控制评价（占控制活动评价权重的5%）。

（4）信息与沟通评价系统（占管理行本部评价权重的10%）。评价是否建立和保持及时畅通的信息交流与反馈程序，主要内容包括：建立健全信息沟通的程序，明确信息资源管理部门职责和岗位职责，信息的收集、处理、传递和存储管理等。

（5）内部监督评价系统（占管理行本部评价权重的10%）。评价内部监督各项职能的运作是否规范和有效，主要内容包括内控合规管理控制评价、监察监督控制评价和问题整改控制评价3个方面。

2、管理行所辖分支机构评价（占管理行总体权重的20%）。

计算所辖分支机构的平均分，应将内部控制结果评价得分和扣分项目予以剔除，求和后，取平均值，然后换算为百分制的得分。

对二级分行评价时，直接以所辖县级支行的平均分，作为二级分行分支机构评价的得分。

3、管理行内部控制结果评价（占管理行总体权重的30%）。评价管理行内部控制主要目标的实现程度，评价效益管理指标、大额风险集中度指标、资产质量指标、风险抵补指标、案件控制指标和违规行为积分控制指标等商业银行风险控制的主要指标是否控制在规定的范围内。

4、案件和责任事故评价。被评价行在评价期内发生案件和责任事故，依据其性质、涉及金额、损失金额以及造成影响程度，属情节轻微的，在相应评价点和案件控制指标里计分，属情节严重的，直接在评价总分中扣分。（扣分评价，如发生案件，内外部监管部门给予的责任罚款事件，如铁岭税务罚款、银监局、人民银行等罚款均在总分中扣除10-20-30分。）在这一点上一定要引起高度重视。

（二） 经营行评价。经营行评价是指对一级分行直管的支行和县级支行的评价。包括对经营行的经营管理过程评价和内部控制结果评价两部分。

（1）经营管理过程评价（占经营行评价权重的70%）。包括5个内部控制要素评价，分别是：内部环境（占过程评价权重的10%）、风险评估（占过程评价权重的10%）、控制活动（占过程评价权重的60%）、信息与沟通（占过程评价权重的10%）、内部监督（占过程评价权重的10%）。其中，控制活动评价系统包括8个评价子系统（信贷业务和“三农”信贷业务两个子系统，可根据经营行的实际情况进行二选一）：

①信贷业务内部控制评价或“三农”信贷业务内部控制评价（占控制活动评价权重的25%）；

②财务会计内部控制评价（占控制活动评价权重的10%）；

③柜台业务内部控制评价（占控制活动评价权重的20%）；

④国际业务内部控制评价（占控制活动评价权重的10%）；

⑤中间业务内部控制评价（占控制活动评价权重的12%）；

⑥其他业务内部控制评价（占控制活动评价权重的15%）；

⑦安全保卫内部控制评价（占控制活动评价权重的8%）。

（2）内部控制结果评价（占经营行评价权重的30%），评价经营行内部控制主要目标的实现程度，包括效益管理指标、资产质量指标、风险抵补指标、案件控制指标和违规行为积分控制指标等是否控制在规定的范围内。

三、内部控制评价的程序

内部控制评价程序包括评价准备、非现场评价、实施现场评价、总结报告、评价等级认定、评价结果利用等步骤。

（一）、评价准备。包括收集评价资料、制定评价方案、组成评价组，以及发出《内部控制评价通知书》、查阅资料清单、内部控制评价问卷等。

1收集评价资料。收集整理被评价行评价期内的相关资料，主要包括：授权的文件、规章制度、经营指标及风险控制指标完成情况、案件和责任事故情况、内外部监管检查材料等。

2、制定评价方案。内控合规部门根据整体控制目标，制定评价方案，明确评价目的、范围、组织、标准、方法、进度安排和评价资源配置等内容，评价方案报有权部门审批后实施。

3、组成评价小组。评价行统一抽调评价人员组成评价组，评价人员需经过培训，掌握评价方法和标准，具备专业胜任能力。评价人员应签订评价责任书，明确评价职责。

4、发出《内部控制评价通知书》和《内部控制评价问卷》。评价行实施现场评价前，统一向被评价行发出《内部控制评价通知书》，在评价组进点前五个工作日发送《内部控制评价问卷》，要求被评价行如实回答，召开进点会议时交评价组收回。

（二）非现场评价。为拓宽评价渠道和提高评价效率，充分利用非现场监督手段和已有的监管成果，在现场评价开展前实施非现场评价，作为现场评价的重要补充。

非现场评价由评价行内控合规部门组织，在现场评价前完成，主要分为总体筹划、资料收集和整理、审核和评价模式确定、集中评价和材料汇总等工作步骤。

非现场评价的依据是已有的内外部监管成果和相关数据资料，以及利用计算机辅助审计系统等非现场手段从各项业务数据中提取的风险线索。

非现场评价的成果是制定现场评价方案的基础。

一般情况下，非现场评价的成果利用采取风险线索提示模式，经分析整理后的监管成果和非现场手段提取的风险线索作为确定现场评价工作重点的依据。

若某项监管成果经评价人员复核评估后，认为能够直接利用的，由评价人员申请、合规部门负责人批准，可直接利用于相关评价章节或环节的评分。采取直接利用模式后，已评分章节或环节的相关内容不再进行现场评价。

（三）实施现场评价。主要包括召开进点会议、现场测试、汇总分析、发出与收回评价底稿等。

评价组召开被评价行负责人及相关人员参加的进点会议，就需沟通事项做出正式安排。评价人员通过适当的方法收集相关信息和资料，按照评价方案和分工，对评价资料进行分析和测试，获取充分、相关、可靠的证据，并做出书面记录。评价组组长应对评价人员的工作进行复核，并适时召开小组会议，阶段性地总结和指导评价工作。

（四）撰写评价报告。

现场评价结束后，评价组对评价结果进行整理、分析和汇总，撰写初评报告，征求被评价行对评价结果的反馈意见。评价报告主要包括评价工作的组织实施情况、被评价行内部控制状况总体评价，内部控制存在的主要问题、原因分析和改进建议等。

评价组将初评报告、被评价行的反馈意见、评价工作日记及底稿等相关资料一并报送评价行，由评价行组织人员进行审议，形成被评价行的最终评价报告。对被评价行内部控制存在的重大缺陷，评价组应形成专题报告，填制《内部控制缺陷清单》一同报送评价行。

（五）被评价行申诉意见。

就评价发现事项和问题，被评价行与评价组沟通后意见不一致的，被评价行可在评价工作底稿中签署意见提交评价组，也可用报告的形式直接向评价行内控合规部门申诉。

被评价行应在最终评价结果形成前及时进行申诉，申诉报告要全面真实地陈述事实和理由，其他相关证据材料随同申诉报告一并呈送。

被评价行在最终评价计分定级形成后提出申诉，所提出的事实和理由经评价行内控合规部门认定成立的，由评价行内控合规部门调整问题整改意见书和处罚处理决定书，但已作出的评价得分不再调整。

（六）评价等级认定。评价等级采取集中统一评分方式，现场评价结束后各评价组将资料上报，由评价行集中组织人员或录入计算机系统进行评分，评定被评价行的内部控制等级。

（七）评价结果利用。评价行向全辖通报评价结果，依据评价结果对被评价进行考核、奖惩。评价行针对问题作出整改意见书，督促、指导被评价行加强和完善内部控制，并对违规违纪事项按规定进行处罚处理。

（八）评价抽查的机构数量。评价机构的选取，除被评价行机关本部以外，还要按规定数量对其所辖的分支机构进行业务抽查。

1、县级支行评价机构抽查数量：县级支行营业室为必查单位，此外，还要抽查所辖营业网点，所辖网点3个以下的全查，所辖网点为4至10个的至少抽查3个网点，所辖网点超过10个的抽查30%的网点。

2、二级分行评价机构抽查数量：实施“扁平化”管理的二级分行，所辖“扁平化”管理的网点，在3个以下的全查，4至10个的至少抽查3个网点，超过10个的抽查30%的网点。此外，在评价机关国际业务、委托资产处置、银行卡等业务时，可抽查主办支行或重点支行的相关业务。

（九）评价抽查的业务量。抽查的业务量，以能够满足客观全面反映被评价行内部控制真实状况为宜。在测试选样时，一是要科学确定重要性水平，二是要充分利用职业判断，结合考虑风险大小、业务发生频次等因素，使抽查的样本能够反映总体情况。当抽样检查发现问题时，可扩大抽样测试的数量。

四、内部控制评价的计分

评价计分的主要依据是对内部控制进行评估和测试所获得的证据。

在进行评价计分时，应紧扣关键的内部控制节点，可对评价发现事项、问题作适当的分类、汇总和合并后计分，以突出评价重点和精简计分工作量。

分支机构内部控制评价按百分制计分，采用加权平均方法，评价计分体系分3个计分层次：

第一计分层次：管理行由管理行本部评价、所辖分支机构评价和内部控制结果评价3个部分构成，各部分分值均是100分，分别占管理行评价总分权重的50%、20%和30%；经营行由过程评价和内部控制结果评价两个部分构成，各部分分值均是100分，分别占经营行评价总分权重的70%和30%。

第二计分层次：由各控制要素评价系统和业务评价子系统构成，每个评价系统、子系统都是一个单独的评价计分体，分值均是100分，分别设定相应的计分权重。

第三计分层次，由各评价系统（子系统）所属的评价点构成。评价点是基本计分单位，每个评价点设定相应的计分权重。

扣分项目。为了使评价结果更客观反映被评价行内部控制的实际效果，案件和责任事故评价设定为倒扣项目，主要包括案件和责任事故两个方面。

评价时，根据案件、责任事故发生的危害程度、涉案金额以及造成的影响，确定倒扣分值。

评价计分按计分层次，从第3层次开始计分，逐层向上汇总计算得分。在此基础上，减去扣分项目所扣分值形成被评价行评价得分。

缺项处理。被评价行因为业务尚未开办或没有业务发生等原因，对于某个评价点没有相应的控制行为，评价时该评价点可作为缺项处理。某个评价环节所有评价点为缺项的，该评价环节作为缺项，业务评价子系统依此类推。

缺项确定后，各业务评价子系统的权重设置在整个控制活动系统中重新进行调整。

计分时，计分人员只需对评价点进行逐一定性评级，由计算机按照每个评价点的定性结果和设定的计分权重计算出评价点的评价分数，并自动按计分层次逐级汇总和计算得分。每个评价点定性评级分为“完善”、“较强”、“一般”、“较弱”和“失控”5个档次，分别对应该评价点设定分值的100%、75%、50%、25%和0。定性的基本标准是：

1、“完善”，是指内部控制充分、适宜、合规、有效，现场评价和非现场评价均没有发现问题和缺陷。

2、“较强”， 是指内部控制制度、措施比较健全、适宜、合规，并得到较好地贯彻执行，内部控制效果较好，但现场评价和非现场评价发现内部控制存在个别性质轻微的问题和缺陷。

3、“一般”，是指内部控制制度、措施基本健全、适宜、合规，并基本得到执行，内部控制效果一般，现场评价和非现场评价发现内部控制存在一些明显的问题和缺陷。

4、“较弱”，是指内部控制制度、措施不够充分、适宜或不够合规，内部控制制度和措施的执行不力，内部控制效果较差。现场评价和非现场评价发现内部控制存在的问题和缺陷较多，面临的风险较大，但未造成严重后果和损失。

5“失控”，是指内部控制缺失、不合理或不合规，内部控制制度和措施没有得到贯彻执行，现场评价和非现场评价发现内部控制存在带有普遍性、性质比较严重、已经造成风险损失的问题和缺陷。

此外，对以下情况，相关评价点应评为“失控”：以前年度评价发现的内部控制问题没有整改或重大类问题屡查屡犯的；不能按要求向评价组提供评价所需资料又无正当理由或者提供虚假资料的。

五、内部控制评价的等级评定及结果利用

按照评价的计分结果，分支机构内部控制评价的等级分为5类：

一类行，综合评分90分以上（含）。被评价行内部控制体系健全，内部控制规章制度得到有效执行，内部控制效果显著。

二类行，综合评分80（含）以上90分以下。被评价行内部控制体系比较健全，存在的个别缺陷未对业务经营的安全性和内部控制的有效性产生很大影响。内部控制规章制度得到比较有效的执行，内部控制效果较好。

三类行，综合评分70（含）以上80分以下。被评价行内部控制体系存在明显缺陷，但风险仍在可控范围内，内部控制规章制度基本得到执行，内部控制效果一般。

四类行，综合评分60（含）以上70分以下。被评价行内部控制体系存在较多缺陷，内部控制规章制度没有得到有效贯彻执行，内部控制效果较差，业务经营安全面临较大的风险。

五类行，综合评分60分以下。被评价行内部控制体系不健全，存在严重漏洞和缺陷，内部控制规章制度贯彻执行较差，已发生了数量较多或性质比较严重的案件、责任事故等。

内部控制评价结果与被评价行综合绩效考核、等级行评定、授权和转授权挂钩，并作为对被评价行领导班子考核奖惩的重要依据。

对于“一类行”，评价行适当降低内部检查和检查频率。

对于“二类行”，将督促其进一步加强内部控制建设，提高内部控制水平。

对于“三类行”，将作为内部控制关注行，督促其采取措施改进内部控制状况，并适当加大内部检查监督力度和频率。

对于“四类行”，一是评价行下发《中国农业银行内部控制警示通知书》，监督其采取措施改进内部控制状况；二是加大内部检查监督力度和频率；三是取消当年行领导班子的评先资格；四是视具体情况对领导班子进行诫免谈话。

连续两年被评为“四类行”，将按照“五类行”处理。

对于“五类行”，一是加大内部检查监督力度和频率；二是降低相关业务授权或责令暂停办理相关业务；三是取消当年行领导班子的评先资格和奖励；四是视具体情况对行长和负有直接责任的班子成员采取责令停职、免职、引咎辞职的措施，并对行领导班子进行重组。

六、目前内部控制评价存在的问题和努力方向。

首先，对内部控制理论及实践认识不足，存在差距。尽管农业银行的内部控制评价工作开展得较早，但各级行的领导和员工对内部控制原理和内部控制程序、内部控制要素、内部控制方法等理论知识掌握不透，对内部控制评价的意义认识不足，导致在工作实践中，仍沿用传统的管理方式。这就给后期的内部控制评价工作带来了诸多不便。

其次，内部控制工作的实效性较弱。内控评价内容过多，有些项目与基层行的实际情况不符，缺乏实际意义，给被评价行的员工造成“无所适从”的感觉。例如“计算机管理人员未取得当地公安部门颁发的安全证书”问题。有的分支行所在地公安部门没有开展此项培训工作，也没有颁发过类似证书，但评价人员硬是给被评价行填制一张问题底稿，致使被评价行员工心理失衡，以致影响被评价行员工积极性。这种缺乏实际意义的评价条款应予取消。

第三，内控评价周期过短，缺乏严肃性，给人一种“例行公事”的感觉。多年来的内控评价实践，使笔者认为：目前制定的每年一次内控评价周期，不符合基层行的实际情况，过短的评价周期，给评价者带来的是“例行公事”的感觉，给被评价行带来的是敷衍塞责，应付了事的工作态度。要知道，被评价行每年都要参与和接待税务、银监局、人民银行、内外部审计、内外部专项检查及其它行政检查等大量的检查项目和活动，这种接待压力和经营上的压力，应该在内部控制评价上给予减轻。

第四，内部控制评价结果，在中长期目标管理工作中利用不足。每年一度的内部控制评价工作，对基层行的管理水平、目标效益及规章制度执行情况都进行了较细的测评并出具评价报告，其评价结果本应得到上级行和本级管理层的高度重视和充分利用，然而，事实并非如此，堆积如山的评价档案，在评价项目结束后，也被束之高阁。被评出的一类行和三、四类行，在员工的工资待遇上也没有什么区别，在干部提拔任用上也没有明确说法，这种评价成果利用不足，不仅挫伤评价人员工作积极性，也直接影响被评价行内控管理水平的提升。

第五，内控评价项目与其它内外部检查项目成果相互支持不足。农业银行作为一级法人企业，从根本上说是一个大家庭。各项检查、审计、评价等成果应该相互借鉴和利用。但是，多年来形成的各自为政，互不通气，协调不顺等问题，既浪费了检查成果及资源，又给基层行的日常经营管理工作带来一定的压力。内控评价工作应及时搜集其它检查部门的检查成果，充分利用日常审计监督的结果，省略不必要的重复核查，重复调阅档案等环节，以减少评价工作量，切实减轻各类频繁检查给基层行带来的负担。同时尽量利用非现场审计成果，提高内控评价工作效率。

努力方向

1每个行都要配备合规经理，经常组织相关人员认真学习内控评价操作规程。内控评价操作规程写的非常详细。有很强的操作性和实用性。

2、加强合规文化建设，创造良好的合规经营氛围。坚定不移的扭转“不违规就不能发展业务”的错误观念。

3、加强责任意识，执行力意识教育，调动全员合规经营的积极性，主动性。

中国农业银行分支机构内部控制评价知识讲座（主讲-李卓）