■/王学莲

基于COSO新框架的人民银行内部控制体系构建

■/王学莲

在COSO委员会发布了2013《内部控制——整合框架》更新版和我国《行政事业单位内部控制规范》开始实施的大背景下，对人民银行现行内部控制模式进行再设计具有一定的现实指导意义。本文借鉴COSO新框架和我国《行政事业单位内部控制规范》的新理念、新方法，对人民银行现行内部控制进行了再设计、再完善，从单位层面和业务层面分别探索构建了更加符合新要求、新形势的人民银行内部控制体系，进一步推动和完善人民银行内部控制体系的发展。

COSO新框架 人民银行 内部控制

内部控制全球公认权威机构COSO委员会于2013年5月发布了《内部控制——整合框架》的更新版（简称新框架），于2014年12月正式使用，取代已实施20年的1992年发布的《内部控制——整合框架》（简称旧框架）。COSO委员会主席何逸夫认为：COSO新框架将开启内部控制新时代。无独有偶，我国财政部于2012年11月29日颁发了《行政事业单位内部控制规范（试行）》（简称规范），自2014年1月1日起施行，正式启动了我国行政事业单位内部控制建设与实施的系统工程。本文将深入解读COSO新框架和我国《行政事业单位内部控制规范》对人民银行内部控制发展的新启示，改进现行内部控制模式，构建更加符合新要求、新形势的人民银行内部控制体系，进一步推动和完善人民银行内部控制体系不断发展。

一、内部控制发展前沿理论动态

（一）COSO委员会和COSO新框架

COSO是美国反虚假财务报告委员会下属的发起组织委员会(The Committee of Sponsoring Organiza⁃ tions of the Treadway Commission)的英文缩写。1985年，美国注册会计师协会(the American Institute of Certified Public Accountants,AICPA)、美国会计协会(American Accounting Association,AAA)、美国财务经理人协会(the Financial Executives Institute,FEI)、国际内部审计师协会(the Institute of Internal Auditor, IIA)、美国管理会计师协会(the National Association of Accountants,NAA)五个组织联合创建了反虚假财务报告委员会(National Commission on Fraudulent Fi⁃nancial Reporting,亦称Treadway Commission)，旨在探讨财务报告中舞弊产生的原因，并寻找解决之道。1987年，基于该委员会的建议，赞助成立了COSO委员会，目的是建立内部控制、企业风险管理及舞弊防范的综合性、指导性理论框架，为组织开展相关工作提供领先知识，帮助组织提升绩效和管理以及有效降低组织内部舞弊行为的产生。

为实现这一目标，1992年9月COSO委员会发布了《内部控制——整体框架》（Internal Control——Integrated Framework，简称旧框架）。COSO是推崇理念的机构，没有任何权威性去强制其他组织实施，但是这套规则在过去的20多年里获得了全球范围内的普遍认可和广泛应用，至今仍被视为能够就内部控制的设计和评估提供指引的前沿文件。由于过去20多年来的环境变化、大规模的治理和内控失效事件破坏性影响以及企业对内部控制框架的能力和责任的预期不断提高等因素，COSO委员会对已发布20多年之久的框架做出了首次修订，于2013年5月发布了《内部控制——整合框架》的更新版（简称新框架）。

COSO委员会认为，旧框架中关于内部控制的基本原则和核心内容在现有环境下仍然有效，所以新框架在内部控制的定义、五要素（控制环境、风险评估、控制活动、信息与沟通、内部监督）、评估内控系统有效性的标准、以及职业判断的运用等方面与旧框架保持了一致。新框架主要从以下七个方面进行了调整。

1.新框架明确列示了用以支持内部控制五大要素的原则。COSO新框架明确提出了与五大要素相关联的17个原则，以及用于支持原则的82个关注点，这些关注点旨在为管理层提供有用的指引，协助其设计、实施和执行内部控制，以及评估相关原则是否存在和发挥效用。

2.新框架明确目标设定在内部控制中的角色。COSO旧框架指出，目标设定是一种管理过程，而且是内部控制的先决条件。新框架虽然保留了这一概念性观点，但它将相关讨论内容从风险评估章节移到了第二章节，以强调目标设定并不是内部控制的一部分。

3.新框架反映了科技日益深入的相关性。这一点非常重要，过去20年来，不仅使用或依赖技术的企业数量大幅增多，而且应用的程度和范围亦突飞猛进。日益先进的技术会影响所有内部控制要素的实施方式。

4.新框架更深入地讨论了治理的理念。这些理念主要关乎董事会以及董事会的下属委员会，包括审计委员会、薪酬委员会和治理委员会。这里主要传达的信息是，董事会监督对有效的内部控制十分重要。

5.新框架扩大了报告目标类别。新框架将财务报告以外的其他外部报告类型都纳入到了考虑范围。如此一来，就产生了四类报告：内部财务报告、内部非财务报告、外部财务报告和外部非财务报告。

6.新框架加强了反舞弊预期的考虑。新框架包含了更多的关于舞弊的讨论，并且考虑和探讨了将舞弊单独作为内部控制的一项原则的潜在因素。

7.新框架更加关注非财务目标。新框架对于运营、合规和非财务报告目标的关注点的扩展，直接带来了有关这些领域更全面的指引，旨在希望更多的使用者能够将新框架应用到财务报告以外的领域。

（二）我国行政事业单位内部控制规范

2008年5月，我国由财政部等五部委联合颁布了《企业内部控制基本规范》，要求我国境内设立的大中型企业自2009年7月1日起执行，行政事业单位可参考执行，这是我国颁布的第一部企业内部控制概念框架公告。但是由于行政事业单位的特殊性，2011年11月10日，财政部开始对《行政事业单位内部控制规范（征求意见稿）》广泛征求意见，于2012年11月29日印发了《行政事业单位内部控制规范（试行）》，要求各级党的机关、人大机关、行政机关、人民团体和事业单位自2014年1月1日起执行，正式启动了我国行政事业单位内部控制建设与实施的系统工程。与COSO框架、企业内部控制基本规范相比，行政事业单位内部控制规范主要有以下几个特点。

1.以有效防范舞弊和预防腐败的目标替代了发展战略。王光远(2009)认为内部控制是保护资产安全、防范舞弊的第一道防线。对于掌握了大量社会公共资源和公共资金的行政事业单位而言，内部控制更应该关注受托责任的履行情况，而不能片面追求业务发展规划的政绩考核，内部控制目标设计应将防范舞弊和预防腐败提升到新的高度，充分运用内部控制的制衡原理，建立由事先防治和事后惩治构成的反腐倡廉机制。

2.更加关注公共服务的效率和效果而不是经营方面。行政事业单位职能是对社会公众提供服务，其业务活动主要以实现社会效益为目的而不是经营效益，强调公共服务的覆盖面和满意度，应通过公共服务效率的高低来评价行政事业单位业务活动的绩效，促进不断提高公共服务的效率和效果。

3.更加关注风险评估以及结果的应用。将COSO五要素之一——风险评估作为《规范》的第二大章节进行了详细的讨论，认为风险评估是建立健全内部控制的前提，至少每年应进行一次，并要求将风险评估结果形成书面报告提交单位领导班子，作为完善内部控制的重要依据。

4.更加关注单位层面的内部控制建设。《规范》将内部控制分为单位和业务两个层面，强调从单位整体层面设计内部控制，关注控制环境、决策机制，发挥内部控制对领导层的制衡作用，从源头上有效预防腐败。

COSO新框架代表了内部控制发展最新和最前沿的理论动态，为各类组织提供了更加清晰、容易理解及应用的内部控制设计和评估指引。我国行政事业单位内部控制规范显然是在吸收借鉴COSO框架精髓的基础上，结合我国国情和行政事业单位特色，使其符合中国特色，对建立符合我国国情和实际情况的人民银行内部控制体系具有一定现实指导意义。

二、人民银行内部控制发展现状

（一）发展历程

从我国内部控制规范建设发展的历程来看，人民银行内部控制建设一直走在全国的前列，发挥着重要的主导作用。

1.颁布了我国第一个有关内部控制的行政规定。1997年5月，人民银行制定并颁布了《加强金融机构内部控制的指导原则》，要求各金融机构必须建立科学完善的内部控制制度，以有效防范金融风险，保证金融业安全稳健运行，这也是我国第一个关于内部控制的行政规定，标志着我国金融行业内部控制机制建设工作的全面推行。2002年10月，又发布了《商业银行内部控制指引》，要求商业银行建立良好的公司治理以及风险监控体系，明确内部控制的要素包括内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈、监督评价与纠正五个部分，内部控制的内容涵盖组织机构、岗位分工、授权分责、稽核监控、会计控制、计算机控制等各个方面，在吸收借鉴COSO特色的基础上，体现了中国特色和行业特点，标志着我国金融行业内部控制和风险监管的进一步完善和加强。

2.制定了人民银行自身的内部控制基本框架。1997年7月，人民银行从会计工作着手，重申和制定了《关于进一步加强人民银行会计内部控制和管理的若干规定》，要求各级人民银行必须把增强会计风险防范意识，加强内部控制作为一项长期任务来抓，提出了建立会计内部控制和风险防范责任制、严格执行会计业务操作规程、实行会计业务事后监督、会计制度执行情况检查报告制度和会计工作奖惩制等十二项措施，构建了人民银行会计内部控制机制。2006年4月，制定了《中国人民银行分支机构内部控制指引》（以下简称《内控指引》），该指引充分借鉴了COSO报告的五要素，涵盖制度规程、计划管理和督办、会计控制、财务和基建控制、实物资产管理、计算机信息系统控制、法律事务管理和应急预警机制等方面，为人民银行分支机构内部控制建设提出了框架性意见和方向性指导。

（二）存在的问题

目前，人民银行内部控制管理模式属于“分散控制与集中监督”相结合的模式，“分散控制”主要是指内部控制分散于各个相关部门；“集中监督”是指人民银行多个监管部门中，内部控制相对集中于内部审计部门。经过多年实践，人民银行现行内部控制模式在促进其有效履行职责和保持央行本身的稳健运行方面发挥了重要作用，同时也存在一些问题。

1.内部控制体系建设缺乏系统性。按照《内控指引》，人民银行各分支机构均成立了内部控制领导小组和办公室，负责本行内部控制机制建设和运行。但从现行状况来看，内部控制体系建设缺乏战略考虑和统筹安排，处于业务部门各自为政的局面，缺乏一个集中统一的风险管理部门，目前该工作更多的是由内部审计部门来实施。内部控制建设更多的停留在制度建设层面，仅仅是从形式上搭建了内部控制建设的框架，没有真正将各项控制措施与业务管理活动结合在一起，也没有使决策者、执行者和监督者真正成为内部控制系统中一个相互牵制的整体。

2.内部控制思想尚未深入人心。内部控制体系的建设对于人民银行有效地履行职责起着关键性的作用。根据COSO报告的基本理念，内部控制应是一个组织全员参与的过程。目前，部分人民银行部门和员工，特别是基层央行对内部控制的认识不足，缺乏现代内部控制理论知识，使得内部控制过多的表现在口头上、形式上和书面上，而内部控制思想却并未真正有效地融入到管理活动过程中。并且，大多数员工并不知晓自身在内部控制中的职责和角色。

3.内部控制执行效果不尽人意。人民银行各分支机构根据《内控指引》均制定了自己的内部控制实施细则，但是由于从事内部控制工作的人员大多数都没有受过相关的教育或培训，混淆了内部控制基本框架与具体操作规范的区别，制定的实施细则过多的只是对《内控指引》的照抄照搬，没有结合本行的实际制定可行的、便于操作的内部控制具体规范，导致内部控制实际上执行的少，或者说没有很好地执行，严重制约了基层人民银行内部控制的进一步发展。

4.尚未形成完善的内部控制评价标准。人民银行还尚未建立一套能合理评价内部控制有效性的标准体系。目前内部控制评价方法比较单一，风险识别和评估的技术性手段比较缺乏，使内部控制评价大多流于形式，缺乏自我纠正与自我完善机制。同时相关风险的信息数据库也正在建立中，评估方法处于较为落后阶段。

三、人民银行内部控制体系构建

有效的内部控制对于人民银行本身的安全运行具有决定性的意义，人民银行也始终将内部控制和风险管理作为组织治理的核心，调整其内部控制体系以适应不断变化的经济金融形势以及越来越依赖的信息技术环境是保证内部控制有效运行的必要条件。本文借鉴吸收COSO《新框架》和我国《行政事业单位内部控制规范》的新理念、新观点，对目前现行的“分散控制与集中监督”内部控制模式存在的缺陷进行再设计、再修正和再完善具有重大的现实指导意义。

（一）单位层面内部控制体系建设

COSO新框架的内部控制定义为：内部控制是一个组织的董事会和管理层，它的设计旨在为实现组织运营、报告和合规等目标提供合理保证。强调内部控制是一个持续不断的互动过程，它不仅指的是一套制度和流程，而且包括组织中各个层级的各类人员所承担和参与的各种任务和活动。因此，设计并实施一套有效的内部控制体系，首先要解决的问题是理解组织目标以及为实现这些目标相关部门在内部控制中所扮演的角色。

结合人民银行实际，我们认为，会计财务部门为预算管理和财务收支内部控制牵头部门，负责组织协调内部控制工作。相关业务部门要对本业务系统内部控制机制的建立和运行负责；内审部门要认真履行内部控制监督职责，按照《规范》及其他有关制度要求，继续深入开展内部控制审计，其他各类审计也要将内部控制作为重要的审计内容。纪检监察、组织人事、行政后勤等部门根据各自职责，发挥在内部控制中的相关作用。具体来说，根据人民银行当前的内部控制现状，内部控制单位层面组织体系可由以下几部分组成（详见图1）。一是设立内部控制委员会。内部控制委员会作为人民银行内部控制的执行机构，由行长或一名副行长担任委员会负责人，成员应包括行领导、内部控制办公室、财务、内审、纪检监察和人事等部门的负责人；二是内部控制委员会下设办公室。办公室作为内部控制委员会的办事机构，负责内部控制的组织和信息沟通工作；三是成立专业风险评估小组。由人民银行内部具有丰富管理经验的人员和相关专家学者组成；四是在各业务部门设立内部控制管理岗；五是设立监督部门，由内审和纪检监察等部门的相关人员组成，负责对内部控制的运行有效性进行监督和检查。各机构的具体职责可做如下安排。

1.内部控制委员会。一是研究并确定人民银行要实现的内部控制目标；二是确定内部控制管理措施和技术手段。

2.内部控制办公室。一是组织风险评估小组开展风险的识别和评估工作，定期向内部控制委员会报告风险监测分析报告；二是负责收集、整理和分析各类风险管理信息；三是遵循重要性原则，向内部控制委员会提出各类风险应对措施及建议，负责建立健全单位层面的内部控制，并督促各业务部门建立健全具体的业务层面内部控制；四是根据内部控制委员会要求在全行内开展内部控制理念培养活动。

3.专业风险评估小组。一是根据内部控制委员会的要求，对各业务部门及其下属机构开展风险识别和评估工作；二是根据风险识别和评估情况，向内部控制办公室及被评估对象通报情况并提出具体应对和改进措施；三是为内部控制委员会和各业务部门提供风险管理咨询服务。

4.业务部门。一是根据内部控制要求树立正确的风险管理和内部控制理念；二是制定部门内的具体风险管理和内部控制措施；三是落实内部控制以及风险应对措施；四是及时向内部控制办公室报告风险管理和内部控制中存在的问题。

5.监督部门。一是对内部控制办公室定期进行监督，保证其认真履行内部控制管理职责；二是对业务部门定期进行监督，对其执行内部控制运行的有效性进行检查；三是定期向内部控制委员会报告风险监控情况。

图1 人民银行单位层面内部控制组织体系

（二）业务层面内部控制体系构建

内部控制规范按内容的详尽程度可分为两类：一类是在基本框架层面上制定内部控制规范；另一类是在具体业务层面上制定内部控制标准。COSO新框架的最重大变化就是明确列示了内部控制五大要素一一对应的17项原则，即每个要素相关的基本要求，使新框架更具有原则性。COSO新框架开篇也指出任何框架和规范只是“为各个主体的内部控制评价、规范制定机构的未来行动以及教育提供一个起点”。因此，各类组织要根据各自的性质和具体进行判断和决策，以COSO新框架为指导原则，设计和实施适合自己组织特点和具体情况的内部控制。结合人民银行内部控制实践和具体业务特色，我们认为，各业务部门要结合各自业务特点和实际情况，以人民银行总体战略目标为统领，紧紧围绕各自的工作目标，负责建立健全业务层面的内部控制体系，并对其内部控制运行的有效性负责。人民银行各级分支机构业务层面内部控制体系至少应包括会计财务控制、资产控制、采购业务控制、基建项目控制、合同控制、国库业务控制、货币发行业务控制、信息技术控制、保密控制九个方面（详见图2）。

1.会计财务控制。主要分为会计核算控制、预算控制和财务收支控制三个环节。一是会计核算控制环节应包括财会管理制度，会计凭证、会计账簿和财务会计报告处理程序，会计信息的合法、真实、完整，会计人员选配，会计档案管理等；二是预算控制环节包括预算编制、审批、执行、决算与评价制度，预算编制、审批、执行、评价等不相容岗位设置，预算指标分解下达、预算执行等情况；三是财务收支控制环节包括财务收支管理制度，收款和会计核算、支出申请和审批、付款审批和执行、业务经办和会计核算等不相容岗位设置，收入会计核算、归口管理，支出标准和报销流程、支出审批权限和程序，费用支出列支、入账等。

2.资产控制。主要分为货币资金管理和实物资产控制两个控制环节。一是货币资金管理关键环节应包括货币资金管理制度，出纳、会计不相容岗位设置，库存现金盘点、银行存款余额核对；二是实物资产控制环节应包括实物资产管理制度，实物资产归口管理，资产配置、使用、租借、处置等业务的处理程序和审批权限，固定资产台账和定期清查盘点等。

3.采购业务控制。主要分为组织管理、采购预算和计划管理以及采购活动和验收管理三个控制环节。一是组织管理环节应包括采购内部管理制度，采购需求制定与审批、招标文件准备与复核、合同签订与验收等不相容岗位设置；二是采购预算和计划管理环节应包括预算编制、采购和资产管理部门或岗位之间的沟通协调机制，采购预算执行，采购审批权限等；三是采购活动和验收管理环节应包括集中采购项目、采购方式、采购程序、采购验收管理等。

4.基建项目控制。主要分为组织管理、建设项目审核控制和建设项目资金管理三个控制环节。一是组织管理环节应包括建设项目管理制度，项目建议及可行性研究与项目决策、概预算编制与审核、项目实施与价款支付、竣工决算与竣工审计等不相容岗位设置；二是建设项目审核控制环节应包括项目建议书、可行性研究报告、概预算、竣工决算报告等评审；三是建设项目资金管理环节应包括专款专用，工程价款结算、价款支付审核。

5.合同控制。主要分为组织管理、合同订立管理、合同履行情况监督三个控制环节。一是组织管理环节应包括合同管理制度，合同授权审批和签署权限，合同归口管理；二是合同订立管理环节应包括合同订立范围和条件，合同订立审核；三是合同履行情况监督控制环节应包括合同履行情况监督，合同补充、变更或解除的审查。

6.国库业务控制。主要分为组织管理、国库收入业务管理以及国库支出和退库业务管理三个控制环节。一是组织管理环节应包括国库规章制度和岗位责任、不相容岗位设置；二是国库收入业务管理环节应包括国库收入业务操作控制、国库资金解缴入库；三是国库支出和退库业务管理环节应包括国库支出、退库业务操作控制。

7.货币发行业务控制。主要分为组织管理、发行库业务管理、钞票处理业务管理和安全保卫管理四个控制环节。一是组织管理环节应包括货币发行内部管理制度，岗位设置和权责分配；二是发行库业务管理环节应包括发行基金出入库业务操作，查库、倒库和碰库，纪念币（钞）发行、保管等；三是钞票处理业务管理环节应包括残损人民币清分、复点、抽查、再抽查、销毁等业务操作，残损人民币偷盗；四是安全保卫管理环节应包括发行库分区管理、门禁管理、安全守卫、录像监控等控制，枪支弹药管理和使用控制，接触权限和审批程序等。

8.信息技术控制。主要分为组织管理、机房及系统运维管理、网络与系统安全管理三个控制环节。一是组织管理环节应包括科技管理规章制度，设置岗位，科技人员技能；二是机房及系统运维管理环节应包括机房设备设施配备，系统参数设置，机房管理和重要业务信息系统运行维护控制，系统故障与问题处理，变更控制，应急管理；三是网络与系统安全管理环节应包括办公网、业务网和互联网物理隔离，各类移动存储设备，计算机信息系统使用管理，访问控制和防病毒管理。

9.保密控制。主要分为组织管理和涉密文件、载体、设备管理两个控制环节。一是组织管理环节应包括保密管理制度，岗位设置，涉密岗位和人员权责；二是涉密文件、载体、设备管理环节应包括密级设定，涉密文件及介质的制作、传递、复印、借阅、保管、销毁，涉密设备的使用、保管、报废等。

图2 人民银行业务层面内部控制体系

四、结束语

COSO委员会发布的2013版《内部控制——整合框架》代表了内部控制发展的最新和最前沿的理论动态，开启了内部控制新时代。我国《行政事业单位内部控制规范》的实施启动了我国行政事业单位内部控制建设与实施的系统工程。在此大背景下，对人民银行现行内部控制模式进行再设计具有一定的现实指导意义。本文研究认为人民银行各分支机构在构建内部控制体系时，应充分借鉴吸收和融入COSO新框架和我国《行政事业单位内部控制规范》的新思想、新理念和新方法，单位层面内部控制组织体系应由内部控制委员会、内部控制办公室、专业风险评估小组、相关业务部门和监督部门等组成；业务层面内部控制体系至少应包括会计财务控制、资产控制、采购业务控制、基建项目控制、合同控制、国库业务控制、货币发行业务控制、信息技术控制、保密控制九个方面，探索构建更加符合新背景、新形势的人民银行内部控制体系，以期进一步推动和完善人民银行内部控制体系不断健康、科学发展。

[1]COSO.Internal Control——Integrated Frame⁃work〔S〕.1992-90.

[2]COSO.Internal Control——Integrated Frame⁃work〔S〕.2013-5-14.

[3]COSO.Enterprise Risk Management——Inte⁃grated Framework〔S〕.2004-9-29.

[4]财政部.行政事业单位内部控制规范（试行）〔S〕.2012-11-29.

[5]郝振平.COSO委员会新版《内部控制整合框架》的主要内容和实施策略〔J〕.中国内部审计，2014（03）.

[6]樊行健,刘光众.关于构建政府部门内部控制概念框架的若干思考〔J〕.会计研究,2011（10）.

[7]刘永泽，唐大鹏.关于行政事业单位内部控制的几个问题〔J〕.会计研究,2013（01）.

◇作者信息：中国人民银行兰州中心支行内审处

◇责任编辑：罗 敏

◇责任校对：罗 敏

F239.44

A

1004-6070（2017）03-0062-07