風險導向下人民銀行信息技術審計模型構建

樊良，孫登昕

（人民銀行菏澤市中支巨野縣支行，山東菏澤274000）

風險導向下人民銀行信息技術審計模型構建

樊良，孫登昕

（人民銀行菏澤市中支巨野縣支行，山東菏澤274000）

中央銀行的業務工作對信息技術的依賴程度不斷提高，信息安全和技術風險問題也日益受到關注，在人民銀行系統全面開展信息技術審計應得到各部門的高度重視。信息技術審計是面對計算機信息系統的審計，其目標是通過對計算機信息系統資產所面臨的威脅、脆弱性識別以及管理和環境風險水平計算，來評估審計對象科技信息安全狀態和存在的不足的流程，探索建立人民銀行信息科技審計模型，發現和識別在科技信息系統的風險點和控制薄弱環節，提出有針對性的意見和建議，促進和維護計算機系統的合規性、安全性、可靠性及有效性。

人民銀行；信息技術；風險導向審計

一、人民銀行信息技術審計中風險導向內審模式的構建思路

隨著信息化的迅猛發展，信息技術已經滲透到各個金融管理和服務領域。中央銀行的業務工作對信息技術的依賴程度不斷提高，信息安全和技術風險問題也日益受到關注，在人民銀行系統全面開展信息技術審計應得到各部門的高度重視。信息技術審計是面對計算機信息系統的審計，其目標是通過對計算機信息系統資產所面臨的威脅、脆弱性識別，以及管理和環境風險水平計算，來評估審計對象科技信息安全狀態和存在的不足的流程，探索建立人民銀行信息科技審計模型，發現和識別在科技信息系統的風險點和控制薄弱環節，提出有針對性的意見和建議，促進和維護計算機系統的合規性、安全性、可靠性及有效性。

二、人民銀行信息技術審計風險評估指標體系構建

（一）資產重要性識別

資產是具有價值的信息或資源，是安全策略保護的對象。它能夠以多種形式存在，有無形的、有形的，有硬件、軟件，有文檔、代碼，也有服務、形象等。機密性、完整性和可用性是評價資產的三個安全屬性。信息科技審計中資產的價值不僅僅以資產的賬面價格來衡量，而是由資產在這三個安全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的。安全屬性達成程度的不同將使資產具有不同的價值，而資產面臨的威脅、存在的脆弱性、以及已采取的安全措施都將對資產安全屬性的達成程度產生影響。根據資產的表現形式，可將資產分為數據、軟件、硬件、文檔、服務、人員等類。

通過對資產的機密性、完整性和可用性綜合分析評定，可以對被審計資產的重要性給出一個評估結論。筆者將資產重要性劃分為五級，級別越高表示資產重要性程度越高。具體見表1。

（二）資產威脅識別

表1 資產重要性等級劃分

威脅是一種對組織及其資產構成潛在破壞的可能性因素，是客觀存在的。造成威脅的因素可分為人為因素和環境因素。根據威脅的動機，人為因素又可分為惡意和無意兩種。環境因素包括自然界不可抗的因素和其它物理因素。威脅作用形式可以是對信息系統直接或間接的攻擊，例如非授權的泄露、篡改、刪除等，在機密性、完整性或可用性等方面造成損害；也可能是偶發的、或蓄意的事件。根據人民銀行科技信息工作實際，根據表現形式，威脅主要分為以下幾類。見表2。

表2 一種基于表現形式的威脅分類

判斷威脅出現的頻率是威脅識別的重要工作，審計人

員應根據經驗和（或）科技部門提供的有關的統計數據來進行判斷。根據人民銀行工作實踐，判斷依據主要包括以下三個方面。

1.以往安全事件報告中出現過的威脅及其頻率的統計。

2.實際環境中通過檢測工具以及各種日志發現的威脅及其頻率的統計。

3.近一兩年來國際組織發布的對于整個社會或特定行業的威脅及其頻率統計，以及發布的威脅預警。

威脅頻率等級劃分為五級，分別代表威脅出現的頻率的高低。等級數值越大，威脅出現的頻率越高。表3提供了威脅出現頻率的一種賦值方法。

表3 威脅賦值表

（三）資產脆弱性識別

脆弱性是對一個或多個資產弱點的總稱。脆弱性識別也稱為弱點識別，弱點是資產本身存在的，如果沒有相應的威脅發生，單純的弱點本身不會對資產造成損害。而且如果系統足夠強健，再嚴重的威脅也不會導致安全事件，并造成損失。即，威脅總是要利用資產的弱點才可能造成危害。

脆弱性識別將針對每一項需要保護的資產，找出可能被威脅利用的弱點，并對脆弱性的嚴重程度進行評估。脆弱性識別時的數據應來自于資產的所有者、使用者，以及相關業務領域的專家和軟硬件方面的專業等人員。脆弱性識別所采用的方法主要有：問卷調查、工具檢測、人工核查、文檔查閱、滲透性測試等。

脆弱性識別主要從技術和管理兩個方面進行，技術脆弱性涉及物理層、網絡層、系統層、應用層等各個層面的安全問題。管理脆弱性又可分為技術管理和組織管理兩方面，前者與具體技術活動相關，后者與管理環境相關。具體識別內容見表4。

可以根據對資產損害程度、技術實現的難易程度、弱點流行程度，采用等級方式對已識別的脆弱性的嚴重程度進行賦值。脆弱性由于很多弱點反映的是同一方面的問題，應綜合考慮這些弱點，最終確定這一方面的脆弱性嚴重程度。對某個資產，其技術脆弱性的嚴重程度受到組織的管理脆弱性的影響。因此，資產的脆弱性賦值還應參考技術管理和組織管理脆弱性的嚴重程度。

脆弱性嚴重程度的等級劃分為五級，分別代表資產脆弱性嚴重程度的高低。等級數值越大，脆弱性嚴重程度越高。見表5。

（四）風險分析

審計人員在完成了資產識別、威脅識別、脆弱性識別，將采用適當的方法與工具確定威脅利用脆弱性導致安全事件發生的可能性，考慮安全事件一旦發生其所作用的資產的重要性及脆弱性的嚴重程度判斷安全事件造成的損失對組織的影響，即安全風險。風險計算以下面的范式形式化加以說明：

表4 脆弱性識別內容

表5 脆弱性嚴重程度賦值表

風險值=R（A，T，V）=R(L(T，V)，F(Ia，Va))

其中，R表示安全風險計算函數；A表示資產；T表示威脅；V表示脆弱性；Ia表示安全事件所作用的資產重要程度；Va表示脆弱性嚴重程度；L表示威脅利用資產的脆弱性導致安全事件發生的可能性；F表示安全事件發生后產生的損失。有以下三個關鍵計算環節。

1.計算安全事件發生的可能性

根據威脅出現頻率及脆弱性狀況，計算威脅利用脆弱性導致安全事件發生的可能性，即：

安全事件發生的可能性=L(威脅出現頻率，脆弱性)＝L (T，V)

在具體評估中，應綜合攻擊者技術能力（專業技術程度、攻擊設備等）、脆弱性被利用的難易程度（可訪問時間、設計和操作知識公開程度等）以及資產吸引力等因素來判斷安全事件發生的可能性。

2.計算安全事件發生后的損失

根據資產重要程度及脆弱性嚴重程度，計算安全事件一旦發生后的損失，即：

安全事件的影響=F(資產重要程度，脆弱性嚴重程度)＝F(Ia，Va)

部分安全事件的發生造成的影響不僅僅是針對該資產本身，還可能影響業務的連續性；不同安全事件的發生對組織造成的影響也是不一樣的。在計算某個安全事件的損失時，應將對組織的影響也考慮在內。

3.計算風險值

根據計算出的安全事件發生的可能性以及安全事件的

損失，計算風險值，即：

風險值=R(安全事件發生的可能性，安全事件的損失)＝R(L(T，V)，F(Ia，Va))

具體計算方法可以采用風險矩陣測量法。

這種方法的特點是根據以上過程事先估算的資產價值、威脅等級和脆弱性等級賦值建立一個對應矩陣，預先將風險等級進行了確定。然后根據不同資產的賦值從矩陣中確定不同的風險。資產風險判別矩陣如表6所示。

表6 資產風險判別矩陣

對于每一資產的風險，都將考慮資產價值、威脅等級和脆弱性等級。例如，如果資產值為3，威脅等級為“高”，脆弱性為“低”。查表可知風險值為5。如果資產值為2，威脅為“低”，脆弱性為“高”，則風險值為4。由上表可以推知，風險矩陣會隨著資產值的增加、威脅等級的增加和脆弱性等級的增加而擴大。

當一個資產是由若干個子資產構成時，可以先分別計算子資產所面臨的風險，然后計算總值。例如：系統S有三種資產A1，A2，A3。并存在兩種威脅：T1，T2。設資產A1的值為3，A2的值為2，A3的值為4。如果對于A1和T1，威脅發生的可能性為“低”，脆弱性帶來的損失是“中”，則頻率值為1（見表1）。則A1的風險為4。同樣，設A2的威脅可能性為“中”，脆弱性帶來損失為“高”，得風險值為6。對每種資產和相應威脅計算其總資產風險值。總系統分數ST=A1T +A2T+A3T。這樣可以比較不同系統來建立優先權，并在同一系統內區分各資產。

（五）風險結果判定

風險等級劃分為五級，等級越高，風險越高。審計人員應根據所采用的風險計算方法為每個等級設定風險值范圍，并對所有風險計算結果進行等級處理，最終給予審計對象一個審計結果。見表7。

表7 風險等級劃分表

人民銀行應當綜合考慮風險控制成本與風險造成的影響，提出一個可接受風險閾值。對某些風險，如果評估值小于或等于可接受風險閾值，是可接受風險，可保持已有的安全措施；如果評估值大于可接受風險閾值，是不可接受風險，則需要采取安全措施以降低、控制風險。安全措施的選擇應兼顧管理與技術兩個方面，可以參照信息安全的相關標準實施。

在對于不可接受風險選擇適當的安全措施后，為確保安全措施的有效性，可進行再審計，以判斷實施安全措施后的殘余風險是否已經降低到可接受的水平。

某些風險可能在選擇了適當的安全措施后仍處于不可接受的風險范圍內，應考慮是否接受此風險或進一步增加相應的安全措施。

三、人民銀行信息技術審計中應注意的問題

在信息技術審計中如何堅持風險導向審計是一個不斷摸索、不斷總結提高的過程。筆者認為，只有不斷積累風險數據信息，持之以恒的加強人才培養，新舊審計模式互為補充，才能更進一步發揮好內部審計職能。因此，應注意以下幾點。

（一）建立動態的風險信息數據庫，為運用現代風險導向審計模式提供信息基礎

由于內部審計時間資源有限，不可能對所有的監督內容和所有的環節進行全面監督，比較科學的辦法是建立一個完整的審計風險模型，對造成審計風險的多種因素進行全面分析和評估，發現被審計單位內部控制中的薄弱環節，確定審計的重點和范圍，從而制定更具有針對性的審計策略。

（二）新型審計模式的運用并不意味著舊審計模式的消亡

風險導向審計是在傳統審計模式基礎上發展起來的新型審計模式，立足于對被審計對象整體風險管理進行系統審查、分析和評價，并以此確定審計策略及審計計劃。因此，必須注重新舊審計模式的有機結合。將風險導向審計理念融入傳統審計模式，可以使傳統審計項目內容得以擴展，審計更加靈活，更好地堅持全面審計、突出重點的原則。

（三）重視信息技術審計人才的培養，為風險導向審計提供智力支持

人民銀行運用風險導向審計方法，不僅要求內部審計人員熟練掌握有關規章制度，還要求審計人員利用審計職業獨特的判斷力，在實際運用中對審計風險點加以判斷。因此，復合型人才培養與儲備是運用風險導向審計方法必不可少的前提條件。要通過各類后續教育及培訓，進一步更新內部審計人員業務知識，提升專業勝任能力，逐步建立起具有現代知識素養和職業水平的內部審計干部隊伍。

（四）加快輔助審計軟件的開發及應用，為風險導向審計提供技術支持

隨著信息技術的發展，審計技術手段日新月異。在風險導向模式下，加強審計信息化建設十分重要。通過搭建信息收集和監測平臺，開發和應用計算機輔助審計軟件，迅速有效地完成各項審計信息的審核工作，將內部審計人員從機械性檢查中解放出來，把主要精力用在對重要業務系統、重要業務環節的監控和評價上，從而減少審計成本、提升審計效率。

[1]中國人民銀行福州中心支行內審處.借鑒風險導向型審計拓展央行內審新領域[J].福建金融，2007(10).

[2]羅伯特·莫勒爾.布林克現代內部審計學[M].北京：中國時代經濟出版社，2005.

[3]孫曉，馬鵬飛.人民銀行信息技術應用的風險管理研究——基于審計角度的分析[J].金融會計，2011(12).

[4]李帆，駱鈺.風險導向審計模式在人民銀行內部審計中的運用研究[J].武漢金融，2009(9).

[5]林久榮.中央銀行風險導向審計模式探討[J].審計監督，2009(2).

［責任編輯：王鑫］

F830

A

1005-913X（2015）12-0113-03

2015-10-09

樊良(1963-)，男，山東鄆城人，經濟師，研究方向：金融審計。