ACS模式下内部控制研究

    杨雁

    

    

    

    【摘要】 ?为适应经济金融和信息技术的发展，更好地为金融机构提供安全高效便捷的资金清算服务，中央银行会计核算数据集中系统（以下简称ACS）于2014年在全国推广上线。ACS扁平化、集中化、信息化的业务处理模式，在精简岗位、实现业务标准化处理、提高会计核算质量的同时，也使得业务风险集中、系统风险层级提高等问题凸显。相应地，对风险管理的手段和防范措施也必将随之产生一系列的变革。在此背景下，文章以2017年9月最新颁布的COSO《企业风险管理框架》对ACS模式下内部控制机制进行梳理，分析ACS模式下会计核算的风险环节，找出管理中的关键和薄弱环节，从而不断完善和加强内控管理，有效防范和化解会计核算风险。

    【关键词】 ??ACS;集中核算;内部控制

    【中图分类号】 ?F233 ?【文献标识码】 ?A ?【文章编号】 ?1002-5812（2019）14-0040-04

    一、ACS模式下内部控制研究现状

    ACS系统于2014年在全国上线运行，会计核算形式和管理方式都有所变化，如何在新的核算环境下，实施有效的控制，全面防范风险亟待解决。为此，总行支付司先后下发了《中国人民银行会计集中核算管理规定》《中央银行会计核算数据集中系统业务处理办法》《中央银行会计核算数据集中系统业务操作规范》等文件。这些文件和操作规范从岗位设置、业务流程、信息管理、凭证填写方面为各分支机构在ACS模式下如何进行业务操作和内部管理提供了有针对性的指导，各分支机构围绕这方面也开展了调研工作。中国人民银行郑州中心支行课题组（2015），以河南省营业部为例，分析了ACS核算模式下对风险管理带来的影响，并提出合理化建议。邓建军、朱桔花等（2016）从人民银行会计工作现状出发，分析了数据大集中下掣肘会计管理的因素，提出了优化会计管理的方案。尹月丽（2016）阐述了ACS上线后的风险变化，分析了ACS上线对事后监督工作的影响，对事后监督工作的改革提出了合理化建议。

    总的来看，目前，对ACS集中核算下的风险和控制研究大都从特定的某个角度出发，还没有从整体框架来研究。本文试图根据COSO最新理论，分析ACS集中核算下内部控制制度的构建，从而有效防范集中核算下的各类风险，做好金融核算工作，维护金融稳定，保障货币政策的有效实施。

    二、COSO最新理论介绍

    美国COSO委员会于1985年成立，多年来致力于研究内部控制理论，COSO 报告为内部控制的建立和实施提供了可行性整体框架，目前一些西方中央银行也吸收COSO框架的内容建立内控体系。

    我国财政部2008年发布的《企业内部控制基本规范》和人民银行2006年发布的《中国人民银行分支机构内部控制指引》采用了1992年发布的COSO内部控制框架中的要素和内容。但在内部控制框架运行的几十年中，一些组织虽然已经建立了完善的内部控制体系，仍然出现了舞弊、破产、倒闭等问题，因此，COSO组织从更高的视角来考虑组织的管理活动以及当前内部控制体系存在的局限性，即从风险整合的角度出发为组织创造价值并为组织实现战略目标提供合理的保障。

    2017年9月COSO《企业风险管理框架》正式发布，其核心内容是将风险管理框架划分为五大要素20项原则（如图1所示）。COSO委员会在发布《企业风险管理框架》时承诺发布《配套案例》，将首次针对高等教育、政府机构、金融服务业等9个不同领域的应用进行展示。2017年的COSO最新框架理论在内控管理方面的应用更为实际和全面，且更具针对性。

    （图略）

    三、ACS模式下面临的主要风险及内部控制现状

    （一）面临的主要风险

    1.操作风险。从各分支机构来看，ACS系统对于受理单证的初始审核、初始信息录入、参数调整和开销户等业务还需要由营业部柜面人员完成，依然存在因工作疏忽或能力不足导致的操作风险。

    2.道德风险。ACS系统下，会计核算更加依赖于网络和信息化处理，除了面临传统的会计道德风险，网络信息化下的财务舞弊具有很大的隐蔽性。

    3.制度风险。ACS系统下，流程化的核算方式需要与之配套的内部控制制度加以约束，如制度订立的可操作性不强，缺乏时效性、一致性和有效监督就可能造成工作中的管理偏差。

    4.运行效率风险。包括：账务数据处理速度产生的系统运行风险;系统异常风险;系统功能不完善和遗留问题;系统运行过程中出现网点断电、网络中断的风险。

    5.信息技术风险。ACS上线运行，实现了会计核算和数据的集中，同时通过综合前置子系统，ACS系统又与各金融机构系统相连，各系统风险集中于ACS，容易爆发网络安全问题，对交易连续性、完整性、安全性产生威胁。

    6.数据保管风险。ACS下所有业务数据集中在业务处理中心，如果发生数据的丢失和错误，将造成整个ACS系统链条的瘫痪，使得人民银行账务无法正常处理;大量数据可通过微型存储载体或者远程进行传输，如出现未经授权人员登录系统接触数据进行拷贝和传输，将导致大量数据丢失或泄露。

    （二）内部控制现状

    自ACS上线以来，不论总行层面还是各分支机构均采用科学的程序和方法对会计核算进行了控制和监督，形成了ACS模式下内部控制机制。

    1.机构和职责划分控制。

    （1）合理设置组织机构。ACS模式下，分别设立运管中心、业务处理中心、营业网点和业务监督中心。从业务处理上看，这种网点负责原始凭证的审核及影像上传，由业务处理中心进行會计处理，再由事后监督部门进行审验的方式，形成了岗位监督机制，使得各分支机构的部分操作性风险得到了系统控制。从管理上看，运管中心、业务处理中心、营业网点的职权设置形成了参数设置维护与审批相分离，用户、机构的设置维护与审批的相分离，有效防范了各类越权和舞弊事件。

    （2）不相容职务相分离。在ACS模式下，对职权进行了详细的划分，业务趋于同质化，并制定了详细的办理业务和事项的权限范围、审批程序和相应责任，同时总行制定了详细的不相容岗位不得兼任的情况，职责的有效划分和执行，形成了相互制约、协调配合的内控机制，具体如图2所示。（图略）

    （3）授权审批控制。ACS模式下对开销户、参数维护、账务调整、查询查复业务、同城票据科目挂账和销账等重点业务和风险点环节采取了授权审批控制，有效防范了风险。

    2.会计系统控制。ACS环境下，人总行通过《中国人民银行会计基本制度》《中国人民银行会计集中核算管理规定》《中央银行会计核算数据集中系统业务处理办法》等制度，明确了会计人员岗位责任、会计标准、科目设置、会计凭证、会计账簿、账务处理、会计签章和财务会计报告的处理程序以及会计档案管理。《中央银行会计核算数据集中系统业务操作规范》从具体业务层面，详细说明每项业务的办理流程。这些制度的建立和有效实施保障了ACS环境下会计核算工作的实施以及会计资料的真实、准确、完整。

    3.人力资源控制。根据《中国人民银行会计基本制度》中关于“会计人员”的相关规定，一是把好人员准入关，要求人员上岗需具备会计从业资格并接受岗位培训。二是通过岗位轮换、重要人员强制休假等制度，严防舞弊案件。三是通过离岗审计严防各类风险。四是在人员后续培训方面，总行ACS业务处理中心每年组织培训，不断提高人员素质。

    4.内部监督控制。ACS模式下，营业部自身形成内部控制的自我监督第一防线。纪检部门、内审部门、事后监督部门、会计部门和支付结算部门各司其职形成监督合力。

    5.信息系统控制。信息系统控制一方面是要加强对ACS系统本身控制，另一方面是要利用现代化信息系统进行内部控制。

    （1）对ACS系统的控制。包括：對ACS系统终端采取加固、防病毒和漏洞侦测措施;通过限定操作人员进入ACS系统的方式保障网络安全;制定应急处置预案，进行应急演练，提高应对突发事件的处置能力。严格会计核算信息用户管理，制定查阅手续和信息存放介质的安全管理办法。

    （2）利用系统自身控制。ACS模式下实现了交易驱动型账务处理，同时系统提供了更多的自动校验功能，无需人工干预。综合前置子系统的上线减少了凭证传递环节，防范了部分操作风险。业务监督子系统、会计数据信息管理子系统、档案管理子系统的同步使用，提高了会计工作的电子化和自动化水平。业务监督子系统对开销户、系统参数维护、核算部门在非工作时间处理业务及时推送事后监督进行事中监督。

    6.财产保全控制。ACS模式下，主要通过内部和外部（与开户金融机构）账务核对的方式保障资产安全。在外部账务核对方面，《中央银行会计核算数据集中系统业务处理办法》分别规定了对账时间、对账要求。在内部对账方面延用了《中国人民银行会计基本制度》中定期核对的内容。

    7.内部报告控制。2017年总行下发了《关于明确中央银行会计核算数据集中系统业务运行管理工作机制的通知》，要求各省级运管中心按时报送ACS业务运行报告，同时建议报告中增加本省业务办理情况分析，增强了内部管理信息报送的时效性。

    四、基于最新COSO理论梳理ACS内部控制的问题

    （一）公司治理与企业文化方面

    （表略）

    表1对ACS模式下公司治理与企业文化要素中包括的5项原则是否健全进行了简单分析，存在的问题具体包括：

    （1）员工与内部控制文化融合性有待加强。目前主要依靠培训、宣传的形式进行文化传播，而通过经济责任制和激励机制促进个人价值和部门价值、个人履职和央行履职之间相融度的措施较少。

    （2）人力资源管理存在瓶颈。ACS模式下，由于业务上移，人员队伍普遍萎缩，高学历人员不足，出现了人员短缺和人员过剩的双重局面，这也是各分支机构营业部门普遍反映的问题。

    （二）战略与目标设定

    从表2来看，战略与目标设定方面暂不存在问题。

    （三）风险管理执行

    由表3可以看出，在风险管理执行这一要素中主要存在以下问题：

    （1）风险识别和评估手段有待提高。人民银行的内控实践偏向操作层面开展，对于决策风险、系统风险的评估比较欠缺，且对风险的识别还停留在对单个业务操作定性的简单分析。业务运行管理中没有风险自动暴露机制，某些风险的潜伏期比较长。没有建立规范的风险报告制度、风险评价制度和风险计量技术。

    （2）风险控制措施不足。现有内控管理制度相对薄弱且较为分散;缺少操作风险指引，核算工作既受到会计部门的管理又接受支付部门的指导，制度建设缺乏统一性，一定程度上影响内控执行效力。

    （3）信息系统控制水平有待提高。各分支机构业务受理人工处理程度高，易发生操作风险。如对于原始凭证审核还处于纯手工状态，例如印鉴管理、票据真伪识别、票面审核;票据授权审批方面，目前采用的纸质单据人工授权存在刚性约束差的问题;大额资金汇划和境外人民币存款准备金交存业务处于柜台手工办理阶段，综合前置系统相关功能尚未开通。

    （4）事中控制发挥不充分。目前省级运管中心设在支付结算部门，其对营业部门的管理主要提供业务指导，定期的事后检查。事后监督以次日的非现场监督为主，但是此时账务已处理完毕，起不到风险防范的作用。对开销户、系统参数维护、核算部门在非工作时间处理业务及时推送事后监督进行实时监督，但业务推送时已经办理完毕，与次日监督没有差异，起不到事中控制的作用。

    （5）应急演练缺乏模拟环境。跨地区跨核算主体之间配合的应急演练较少，缺少应急演练模拟环境，造成应急演练实战性不强。

    （四）审查和修订

    （表略）

    从表4来看，目前ACS环境下，主要由总行进行ACS系统完善、业务拓展、环境变化等方面的风险评估和绩效衡量，并进行持续改进。各分支机构的业务操作层面尚缺乏风险识别和筛查规范性程序的指引，在风险再筛查持续改进方面同样缺乏相应的风险提前暴露机制。

    （五）信息、沟通和报告

    目前，人民银行尚未建立内部控制信息交流平台，内部控制信息横向交流较差。尤其是在集中核算的大背景下，加强各分支机构营业部门之间、分支机构中国库部门、货币金银部门、营业部门、会计部门、支付部门之间的信息对接，进行内控信息的横向交流，有利于及时发现内部控制中存在的问题，及时预警。详见表5。（表略）

    五、完善ACS模式下内部控制建议

    （一）构建内部控制治理环境和文化

    1.合理调整人员结构，加强培训力度。对于要害岗位人员定期轮换，加大人员在营业部门、支付部门、会计部门的合理流动，逐步培养复合型人才。将培训安排从管理人员扩大到一般核算人员，为会计人员构建职业规划，提供差异的成长机制和晋升通道，调动其工作积极性。

    2.引導个人价值与组织目标相统一。通过合理的晋升、考核、培训机制不断提高业务人员素质，对于及时堵塞漏洞、避免风险事件的优秀核算人员给予奖励，减少失职渎职的风险，克服人为因素对内部控制运行的不利影响。

    （二）建立风险识别和评估程序

    1.不断提高风险识别手段。风险识别是针对可能影响央行履职，带来核算、资金风险的所有内外部因素加以识别，是风险评估的基础，常用的识别手段包括流程分析法、风险调查举例法、失误分析法和SWOT分析法。

    2.建立风险评价和报告制度。目前人民银行的风险评价基本是定性评价，对于定量分析的难度较大，首先要建立风险管理数据库，对历史数据进行统计，然后再引入评价方法，并建立风险评估报告制度。

    （三）进一步完善风险应对措施

    1.加强内部控制制度建设。总行层面统筹考虑，形成系统统一的、操作性强的内部控制制度。建议总行出台ACS系统业务操作、系统运行和监督检查等方面的详细统一制度，同时对系统的现有风险点进行识别，配套出台《ACS操作风险指引》，针对ACS系统易出现问题的业务进行逐项梳理，并据以制定出审核重点，优化操作流程，做到业务操作定型化。

    2.完善系统功能。针对目前系统功能的不足，在广泛征求各分支机构合理化意见和建议的基础上，及时增补完善有关功能。如完善ACS系统软硬件配套：开设电子核印功能，票据真伪自动识别和凭证OCR自动识别的辅助审核功能;将授权审批纳入系统控制;提升系统自动化、智能化水平，进一步拓展综合前置功能模块;加快系统间互联互通，一方面尽快实现ACS系统和货币金银系统的互联互通，实现系统间关联业务自动触发，另一方面加快推进ACS系统与金融机构系统对接，通过系统自动进行处理，减少人工干预。

    3.加强事前预警和事中控制。将不常发生容易产生处理失误的业务在ACS系统中设立监控条件，进行事前防控和事中实时监控。总行可针对分支机构的日常差错建立差错数据库，进行事前预警。监督部门对风险较大的业务在业务监督子系统中设置强制监督条件，实现业务监督的同步。

    4.加强应急管理。建议总行开发模拟演示平台，在仿真环境下进行业务操作试验，同时可由总行统一开展应急演练，模拟总行系统瘫痪情景，开展多地区联合演练，增强应急处置的实战能力。

    （四）完善内部信息沟通机制

    1.建立完善的ACS数据仓库，配套实现与TCBS 系统、会计综合业务系统、货币发行系统等业务系统的数据整合，使用通用接口，使信息在统计口径差异时实现可转换。

    2.建立内部控制信息管理平台。在集中核算的背景下，动态监控包括ACS、TCBS、货币金银系统，建立覆盖集中核算业务的预警机制。提供各分支机构营业部门横向交流平台，反映各分支机构岗位职责、内部检查、制度建设等方面的信息。

    3.完善数据资料和档案资料库系统，通过设置操作员权限进行共享，消除信息孤岛现象。J

    【主要参考文献】

    [1] FC Dumiter，E Enache，C Margea，Central Bank Independence，Transparency and Accountability Indexes：a Survey[J].Timisoara Journal ?of ?Economics & Business，2014，7（1）：35-54.

    [2] C Schwarz，P Karakitsos，N Merriman，W Studener， Why Accounting Matters：A Central Bank Perspective[J].Social Science Electronic Publishin，2014，5（1）：1-42.

    [3] S Eichler，HCN Littke，L Tonzer.Central Bank Transparency and Cross-Border Banking[J].Journal of International Money & Finance，2017，（74）：1-30.

    [4] 李文华.对数据集中模式下基层央行会计核算内部控制的探析[J].区域金融研究，2017，（5）：54-58.

    [5] 俞亚光，吉祖来，燕华凯.人民银行会计内部控制研究[J].金融会计，2010，（4）：34-40.

    [6] 中国人民银行郑州中心支行课题组.ACS上线后对基层营业部门会计核算风险管理的影响与思考——以河南省为例[J].金融理论与实践，2015，（11）：110-113.

    [7] 邓建军，朱桔花，洪莉.数据大集中环境下央行会计管理现状及优化方略[J].金融会计，2016，（11）：35-38.