内部控制事关组织生存与安全，更是组织强化风险管理，推动高质量发展的根本保障。为此，近几年来，余杭农商行（以下简称该行）认真对照《企业内部控制评价指引》有关要求，紧紧围绕“全面性、重要性、客观性”即“三性”评价原则，切实强化内部控制评价工作。

一、构建评价体系，凸显全面性。全面性原则，即评价内容应基本涵盖被评价单位的业务和事项。实践中，该行对被评价单位分别从组织决策、信贷管理、票据业务、中间业务、财务及账户管理、会计出纳与科技管理、安全保卫等七个项目（内容），以及风控水平进行评价。其中，对前七个项目，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等内控五要素，分别设计《内部控制评价计分表》；对风险管控水平，量化细分为内外检查情况、问题整改能力、操作风险控制、信用风险控制和员工合规程度五个评价内容。以上七个项目和风控水平，基本涵盖该行的业务事项，并均按百分制明确评价内容及标准，最终采用加权计分的方式，对被评价单位内控情况进行综合计分。

二、突出风险导向，体现重要性。重要性原则，即重点关注高风险领域和业务流程环节等。而内部控制评价的目的就是揭示和防范风险。因此，内控评价应该以风险为导向，以增值为目标。实践中，该行按照“管人管钱管事”的原则，突出风险导向，抓住评价重点，其中“管人”重点关注部门及岗位设置、权限设置，包括内部授权及转授权、个人与决策小组授权，以及员工行为管理等；“管钱”重点关注资金进出的“大门”，特别是信贷业务、大宗物品采购和财务费用支出等等；“管事”主要关注法人治理以及“三重一大”等决策流程等。

三、坚持拿来主义，实现客观性。客观性原则，即能科学客观地对内控缺陷进行定量定性评估。以往或者传统评价，往往侧重于发现问题，却对其“隐藏”的风险较少披露分析，或者没能量化分析（判断）或者定性。由于问题与风险揭示（内控缺陷）之间搭建一座“桥梁”，这在一定程度上影响评价成果转化和质量提升。实践中，该行坚持“拿来主义”，借鉴传统中医疾病诊断方法，通过“望闻切诊”四个步骤，并按照“现场测试（望闻）→定量分析（切）→缺陷认定（诊）”的思路，深挖内控缺陷，全力打通问题与风险两者间的“堵点”，并有效摸清内控运行的风险“脉搏”，从而有力实现以风险为导向的评价目标。具体先通过“望”、“闻”，即综合采取穿行测试、实地查证、调查问卷和内控访谈等方法，对被评价单位进行现场测试；再通过“切”，结合现场测试发现的问题，并导入问题分类制和风险矩阵法等，从问题可能性、严重性两个维度出发，量化分析问题“背后”的风险，同时按内部控制五要素定量分析被评价单位的内控缺陷；最后，通过“诊”，导入波达序值法，对被评价单位的内控缺陷实施认定和排序（分类定性），并据此对内部控制设计与运行情况进行全面客观评价。

余杭区内审协会