新常态下，以促进风险管理为目的的内部控制审计已经成为人民银行内审工作转型的突破口，科学、完善的内部控制审计评价是有效发挥内审服务和咨询功能的重要渠道和手段。然而，在基层央行却明显存在着一些亟待解决的问题，影响着内控审计评价的质量和效果，导致内审监督促进组织增值的职能作用发挥不充分。

1、蓝宝的颜色是其价值的指标。一颗深色的蓝宝在香港可能只售一百港元一卡，但一颗好的矢车菊蓝的蓝宝石则售每卡数万港元。而在美国及欧洲，人们偏爱较深色的蓝宝石。在香港，消费者喜爱中等深度的蓝色，这色系的蓝宝石售价较高。将蓝宝石放在一臂之遥，细心观察它的颜色是蓝色还是黑色。若它是蓝色，那你的选择虽不中亦不远矣。

一、基层央行内部控制审计评价工作发展的瓶颈

（一）审计人员素质不尽适应内部控制审计评价工作的需要。一方面，审计人员在思想上、观念上、意识上对内控审计与评价工作未能引起足够的重视，部分审计人员认为内审工作就是查问题、写报告，内控评价及成果转化工作是内控审计工作的“副产品”、不会产生效益，存在重审计检查、轻评价，重监督、轻管理等思想，对审计评价工作重视不够。另一方面，审计人员专业知识水平结构和层次较为单一，大多查错纠弊的能力较强，但分析问题和解决问题的能力不足，不能站在机制体制建设和内部管理的角度观察分析内控审计过程中发现的问题，使内部控制审计评价的服务与咨询的职能作用难以有效发挥。

（二）内控审计质量不高直接影响评价工作的科学合理性。内控审计是内控审计评价的主要组织形式，也就是说内控审计质量是内控审计评价的根基，内控审计问题发现的深透性以及客观公正的审计结果是高质量审计评价的关键和保障。而在当前，基层央行不同程度存在的这样一些问题着实影响着内控审计工作的效率和效果。一是人民银行缺乏完整、有效的审计质量控制体系，目前尚存的审计基本准则、专业准则、操作指南等，也是定性的内容多，定量的内容少，难以对规范审计行为、强化审计执法、有效降低风险等起到保障作用。二是审计方法手段落后。目前，基层央行内控审计基本还处于账表基础审计阶段，电子化审计手段和流程测试手段运用不够，失去计算机对庞大业务数据的问题筛选技能支撑，难以得出最客观而精准的审计结论，从而直接影响审计评价的全面性、真实性和客观性。三是审计内容过于宽泛难以深入。当前，人民银行系统开展的内部控制审计均是大而全的“全面内部控制审计”，针对某个业务领域、关键环节和某个要素开展的“专项内部控制审计”少而又少，由于全面内控审计涉及的业务领域范围广、五大内控要素内容需面面俱到，而当前基层央行审计工作往往受现有审计资源配置以及审计时间安排的主客观条件影响，导致审计检查的深度和问题分析的高度必定受到限制，从而影响审计工作的质量。

据《2017年欧盟产业研发投入记分牌》[8]报告对全球研发投入排名前2 500家企业（占全球企业研发总投入90%以上）所做的调查，2016年，全球企业研发投入连续6年保持增长，总额达7 416亿欧元，同比增长5.8%，远高于其净销售额0.1%的增长幅度。

（四）内部控制审计职能定位偏离。在基层央行内部审计全面开展工作以来，对内部审计职能的定位主要体现在监督职能上，导致审计人员难以跳出传统审计的桎梏，影响了评价职能的发挥。一是在审计内容上，偏重于业务系统管理和一线要害职能部门业务，而对内部管理类和外部监管类涉及得较少。二是在审计职能上，还主要局限于审计对象的经营活动，主要是对审计对象经营活动的控制有效性检验和履行确认之职，没有从审计职能角度对所审计内部控制事项的充分性、合理性、遵循性、有效性做出专业的判断和评价，形成的审计报告只是对审计发现的问题进行简单分类、归集，表现为以成绩评价为主，简单、抽象，言之无物，难以真正引起单位决策层对内部控制风险的关注和重视。三是在审计目的上，主要是以查错纠弊的合规性审计为主，没有从体制障碍、制度缺陷和管理漏洞上查找问题和深入分析，对重大或重要内部控制缺陷没有做出专门警示和报告，不利于审计目标的实现和评价职能的有效发挥。

（三）内部控制审计评价体系缺失。人民银行内部控制审计明确内部控制评价包括充分性、合理性、遵循性、有效性四部分内容。但是现有制度均未对内部控制“四性”评价进行明确，造成审计评价标准不统一，无法按照一个完整、合理、有效的公认标准对内部控制审计中存在的问题进行定论和评价。主要表现在：一是在审计内容上，偏重于控制活动层面以业务运行和管理活动的真实性、合规性审计为主，而对内控环境建设、信息沟通、风险管理与应对等方面的内容涉及较少。二是在审计重点上，对制度的健全性和有效性方面关注较多，对评价和改进单位风险管理、实现组织目标关注较少。三是一般以定性评价为主，实际工作中内审人员往往是对照有关制度、政策的贯彻执行情况，凭个人的主观判断就事论事，难以对被检查单位的内部控制进行全面、系统的证实、测试，难以做出量化评价，内控评价具有较大的随意性和片面性。

二、提升基层央行内部控制审计评价质效的建议

（二）规范内控审计评价报告工作。审计人员在撰写审计评价报告时，要加强审计分析，明确评价重点。一是要重点评价包括行领导和部门负责人等管理层在内部控制中的作用。内部控制的政策制定、程序运转和组织实施主要依赖于管理层的履职，职位越高，控制的责任也越大。二是要重点评价高等级风险的控制状况。对高等级风险的控制既是内部控制的重点，也是决策层和管理层最为关注的问题。因此，应重点评价可能引起重大风险的重要业务环节的内部控制状况，如货币发行、国库、财务、支付结算以及重要业务系统控制状况等。三是引入重大或重要缺陷警示报告制度。内部审计要通过专业的审计判断，将内部控制存在的问题划分为一般性内部控制缺陷以及重大或重要内部控制缺陷分别进行描述，并进行特别报告。只有当管理决策层通过审计报告认识到相关问题对整个组织产生的不利影响时，审计监督和审计评价才会发挥应有的作用。

（一）健全内部控制审计评价体系。一是内部控制审计作业应当标准化。建议人民银行总行尽快出台一套适用于分支机构内部控制评审的标准和办法，以内部控制五要素为基本框架，按现有的业务管理活动进行分类，细化内部控制指标，制定统一、量化的内部控制评价标准。只有统一标准和尺度后，审计人员才能更好地把握内部控制审计的重点，才能采取流程化和标准化的作业方式实施现场检查和符合性测试，才能确保内部控制描述的有效性，最终得出量化和科学化的审计结论和审计评价。二是完善内控审计评价方法。实施现场评价与非现场审计评价相结合的方法，从风险管理入手，科学分析关键环节的业务目标、业务活动和相关信息，掌握关键环节的风险点和控制中的不足，把握部门之间、业务流程之间的风险接口，实现事前部门自我评价、事中现场监督评价、事后测试评定有机结合的评价模式。

（三）加强内控审计与评价的信息化管理。基层央行要重视借助信息技术手段提高内控审计与评价效率。审计人员一定要打破传统审计模式的固有框架，积极运用计算机采集和检测评价各项业务信息，提高内部审计评价效率和效果。一是积极研发、运用各类小型业务信息系统辅助审计工具，将计算机审计技术引入内部控制审计与评价中，快速、准确、有效地完成对各类电子数据的抽样、统计、核对、分析，解决检查过程以及认知的局限性和偏差，减少现场作业时间。二是加强联网实时评价，在中央银行会计集中核算、大额支付和货币发行管理等各子系统业务中，增设同步监督路径，研发、创立与之相匹配和独立的 “内控监督管理信息系统”，将各专业部门的业务纳入动态监督，使内审部门能够对被审单位运行程序和数据文件实施联机实时、动态审计，对要害部门的风险进行动态检查与监测，做到充分识别和揭示风险，从根本上实现内部控制关口的前移。

2018年中兴通讯危机催生了关于“中国芯”的全民焦虑，引起了国人的深刻反省，深感“核心技术”对于国家发展的重要性，而要避免“受制于人”则要有自己的核心技术。这一事件暴露了我国在某些关键科技领域存在的不足，同时也更加坚定了我国要大力发展科学技术，形成自己核心竞争力的信念。科技创新政策在促进科技进步，推动科技创新方面发挥着重要的激励与引导作用。这就需要我国在科技创新政策方面加大支持力度，构建协调顺畅的科技创新激励机制，从而促进我国的科学技术快速进步。

(四)强化内部控制审计质量控制。面对内审工作发展新常态，坚持“以人为本”、努力提升全员素质和强化内控审计质量控制是提升内控审计评价水平的必要前提和重要途径。一是要与风险评估工作紧密结合，坚持风险导向，有的放矢的规划和实施内控审计工作。要针对不同的审计对象、不同的风险评估和风险分析结果，确定审计范围、审计重点和审计报告内容，从而提高内控审计的针对性、前瞻性和实效性。二是基层行内审部门要高度重视并充分发挥其在内部控制机制中“监控”角色的职能作用，要按照内审工作转型的目标思路，强化内部控制审计职能，实现由合规性监督向风险性评价为主转变，由以控制活动的有效性为主向以内部控制环境和内部控制机制建设为主转变，由业务规范性评价向内控“四性”评价转变，从“警察型”向“参谋型”转变。三是实行内部控制审计评价主体的转变，提升内部控制审计现场实施效果。内审部门要本着“监督与服务并重”的思路，不断强化审计判断、成果提炼与综合分析能力的培养，在现场实施阶段中，积极指导各专业职能部门开展内部控制自我评估。使内部审计人员不仅是内部控制问题的“发现者”，而且是内控机制建设有力的“推动者”，从而改变由单一内部审计部门评价的内控审计评价方式向部门自我评价与内部审计部门评价相结合的方式转变。

（五）完善评价成果转化运用工作机制。内部控制审计评价最终是要通过被审计单位内部管理发挥作用。也就是说，有效促进评价结果的转化和运用是内部控制审计评价的目标。一是要实施内部控制评价专项考核制度，将内部控制审计与评价成果的转化运用作为单独的 “考核管理”模块纳入对被审计单位的年度绩效考核之中，将内部控制审计发现的问题及审计评价落实情况与内控责任人的利益挂钩，突出对内控管理的主体责任，从而促进风险管理和组织治理的完善。二是构建全行“一盘棋”的内部控制综合分析评价工作机制。一方面，建立内控评价监督成果信息库，实现内控监督信息交流与共享，搭建管理层与监督主体多边联动的内控分析与评价平台，实现内部控制实时动态评价。另一方面，实行“内部控制管理委员会”集中磋商和综合评价工作机制，通过给不同的评价主体科学设置内控与风险关注事件、评价权重和分值等，实现管理层领导监督、审计监察监督、单位（部门）自控评估、职能部门条线管理等全方位、多角度的“大监督”评价工作机制，在确保客观公正和科学合理的基础上，促进内部控制评价成果运用水平的提升。