基于主動(dòng)風(fēng)險(xiǎn)控制理論的內(nèi)審輔助管理系統(tǒng)開(kāi)發(fā)與實(shí)踐

白宇

摘要：該文將主動(dòng)風(fēng)險(xiǎn)控制理論與人民銀行信息安全的內(nèi)部審計(jì)實(shí)際工作相結(jié)合，通過(guò)分析人民銀行基層分支機(jī)構(gòu)中信息安全管理中的一些主要問(wèn)題，設(shè)計(jì)開(kāi)發(fā)了內(nèi)控機(jī)制建設(shè)系統(tǒng)，有效提升了審計(jì)工作的效率和作用，提高了基層央行信息安全治理水平。

關(guān)鍵詞：主動(dòng)風(fēng)險(xiǎn)控制；內(nèi)審管理；系統(tǒng)開(kāi)發(fā)

中圖分類(lèi)號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2018）03-0230-02

近年來(lái)人民銀行信息化水平的不斷深入，各類(lèi)重要業(yè)務(wù)核心系統(tǒng)的集中度越來(lái)越高，因此，為了有效提高省會(huì)中心支行內(nèi)控管理水平特別是信息安全的管理水平，太原中支積極開(kāi)展了多項(xiàng)信息安全管控措施，從基礎(chǔ)設(shè)施抓起，從日常運(yùn)維做起。科技處與內(nèi)審、保密等相關(guān)部門(mén)合作，開(kāi)發(fā)應(yīng)用了《太原中支內(nèi)控機(jī)制建設(shè)網(wǎng)》應(yīng)用系統(tǒng)（下簡(jiǎn)稱內(nèi)控機(jī)制建設(shè)系統(tǒng)），將主動(dòng)風(fēng)險(xiǎn)控制理論引入信息安全管理實(shí)踐，并且利用信息技術(shù)手段不斷提高內(nèi)控機(jī)制建設(shè)水平。

1 主動(dòng)風(fēng)險(xiǎn)控制理論概述

主動(dòng)風(fēng)險(xiǎn)控制理論來(lái)源于現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)理念，其核心思想是指審計(jì)人員在對(duì)被審單位的內(nèi)部控制充分了解和評(píng)估的基礎(chǔ)上，分析、判斷被審單位的風(fēng)險(xiǎn)點(diǎn)和風(fēng)險(xiǎn)程度，針對(duì)不同風(fēng)險(xiǎn)因素、程度采取相應(yīng)的審計(jì)策略，加強(qiáng)對(duì)高風(fēng)險(xiǎn)點(diǎn)的實(shí)質(zhì)性測(cè)試，將剩余風(fēng)險(xiǎn)降低到最低水平。其主要特征有：一是審計(jì)重心前移，傳統(tǒng)審計(jì)工作側(cè)重于事后監(jiān)管，對(duì)于風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)預(yù)判相對(duì)弱化，因此越來(lái)越不能滿足目前信息安全審計(jì)和管理的需要，而主動(dòng)風(fēng)險(xiǎn)控制理論以風(fēng)險(xiǎn)評(píng)估作為審計(jì)工作的中心，滿足了信息安全管理現(xiàn)實(shí)需求；二是采用新的審計(jì)思路，通過(guò)“總體分析—環(huán)節(jié)分析—剩余風(fēng)險(xiǎn)分析”的基本思路，來(lái)決定審計(jì)程序的性質(zhì)、時(shí)間和范圍，然后通過(guò)實(shí)施審計(jì)程序及取證的結(jié)果，結(jié)合重要性的判斷，并形成最終的審計(jì)意見(jiàn)；三是擴(kuò)展審計(jì)依據(jù)內(nèi)涵，主動(dòng)風(fēng)險(xiǎn)控制理論將獲取審計(jì)證據(jù)的程序區(qū)分為總體程序和具體程序。總體程序包括風(fēng)險(xiǎn)評(píng)估程序、控制測(cè)試和實(shí)質(zhì)性程序。具體程序包括檢查記錄和文件、檢查有形資產(chǎn)、觀察、詢問(wèn)、函證、重新計(jì)算、重新執(zhí)行和分析性程序；四是風(fēng)險(xiǎn)評(píng)估以分析測(cè)試為中心，風(fēng)險(xiǎn)評(píng)估應(yīng)用了包括檢查、調(diào)查、詢問(wèn)、穿行測(cè)試等多種審計(jì)取證方法，其核心是分析性測(cè)試的運(yùn)用。分析性測(cè)試主要適用在風(fēng)險(xiǎn)數(shù)據(jù)分析上；現(xiàn)代風(fēng)險(xiǎn)評(píng)估以分析為中心，將管理方法應(yīng)用到分析性程序中去，開(kāi)展多元評(píng)估，多角度支撐風(fēng)險(xiǎn)評(píng)估的結(jié)果。

2 內(nèi)控機(jī)制建設(shè)系統(tǒng)功能介紹

太原中支內(nèi)控機(jī)制建設(shè)系統(tǒng)根據(jù)太原中支內(nèi)審處的實(shí)際業(yè)務(wù)需求而進(jìn)行設(shè)計(jì)和開(kāi)發(fā)。本系統(tǒng)采用了B/S訪問(wèn)模式和三層數(shù)據(jù)架構(gòu)技術(shù)，系統(tǒng)主要有四大功能模塊分別是：信息瀏覽、制度建設(shè)、檔案管理、內(nèi)控風(fēng)險(xiǎn)評(píng)價(jià)。

1） 信息瀏覽模塊，提供了最新信息的發(fā)布、瀏覽、維護(hù)等操作功能。內(nèi)控機(jī)制建設(shè)系統(tǒng)的信息瀏覽模塊，以宣傳為主要目標(biāo)。重點(diǎn)介紹太原中支內(nèi)審工作相關(guān)新聞信息，同時(shí)發(fā)布全行各處室內(nèi)控建設(shè)最新進(jìn)展等內(nèi)容。信息管理員通過(guò)登錄系統(tǒng)信息管理后臺(tái)進(jìn)行新聞信息的更新和維護(hù)。信息管理操作直觀、簡(jiǎn)潔易于操作。

2） 制度建設(shè)模塊，為太原中支各業(yè)務(wù)部門(mén)提供了相關(guān)管理制度集中存儲(chǔ)和查詢的功能。制度建設(shè)功能提供了全行各有關(guān)處室的工作制度的集中存儲(chǔ)、維護(hù)和查詢平臺(tái)。既可以為內(nèi)審工作人員提供日常工作參考也方便各處室工作人員學(xué)習(xí)和了解本部門(mén)各類(lèi)工作制度。制度建設(shè)模塊提供了制度關(guān)鍵詞模糊查詢以及按部門(mén)查詢等多種查詢功能。制度建設(shè)模塊為了每一個(gè)處室設(shè)置了一名制度信息管理員，制度信息管理員負(fù)責(zé)及時(shí)更新和維護(hù)本部門(mén)規(guī)章制度，并且系統(tǒng)中設(shè)定制度更新提醒功能，定期提示制度信息管理員更新本部門(mén)制度內(nèi)容。

3） 檔案管理模塊，主要實(shí)現(xiàn)了歸檔內(nèi)審部門(mén)對(duì)各業(yè)務(wù)部門(mén)審計(jì)過(guò)程中產(chǎn)生的各類(lèi)檢查表格和審計(jì)報(bào)告功能，同時(shí)為進(jìn)一步內(nèi)控風(fēng)險(xiǎn)評(píng)價(jià)提供數(shù)據(jù)分析基礎(chǔ)來(lái)源。檔案管理功能主要服務(wù)于內(nèi)審部門(mén)，非內(nèi)審部門(mén)工作人員將無(wú)權(quán)進(jìn)行相關(guān)數(shù)據(jù)查詢和訪問(wèn)，從而保證了內(nèi)審數(shù)據(jù)的安全性和保密性。

4） 內(nèi)控風(fēng)險(xiǎn)管理模塊，此模塊實(shí)現(xiàn)了內(nèi)控風(fēng)險(xiǎn)管理的一系列功能，主要涉及內(nèi)控風(fēng)險(xiǎn)評(píng)價(jià)報(bào)告功能、內(nèi)控風(fēng)險(xiǎn)評(píng)價(jià)功能、歷史審計(jì)問(wèn)題報(bào)告、重大事項(xiàng)報(bào)告、業(yè)務(wù)自查等五大部分。其中內(nèi)控風(fēng)險(xiǎn)評(píng)價(jià)報(bào)告功能主要完成內(nèi)審部門(mén)對(duì)于各業(yè)務(wù)處室的風(fēng)險(xiǎn)評(píng)價(jià)分析報(bào)告的上傳、瀏覽和維護(hù)等操作。歷史審計(jì)問(wèn)題功能實(shí)現(xiàn)了各業(yè)務(wù)處室各時(shí)期審計(jì)問(wèn)題的匯總，提供業(yè)務(wù)處室風(fēng)險(xiǎn)評(píng)價(jià)歷史依據(jù)。內(nèi)控風(fēng)險(xiǎn)評(píng)價(jià)功能中設(shè)計(jì)了五維內(nèi)控風(fēng)險(xiǎn)評(píng)價(jià)體系，分別從控制環(huán)境、風(fēng)險(xiǎn)識(shí)別及應(yīng)對(duì)、控制活動(dòng)、信息與溝通和監(jiān)控這五個(gè)方面對(duì)被審計(jì)對(duì)象，進(jìn)行數(shù)值指標(biāo)評(píng)價(jià)及計(jì)算，通過(guò)計(jì)算各評(píng)價(jià)對(duì)象參考值與實(shí)際值偏離度，形成重點(diǎn)風(fēng)險(xiǎn)審計(jì)對(duì)象關(guān)注值，值越大說(shuō)明此項(xiàng)風(fēng)險(xiǎn)越高，提示內(nèi)審人員和相關(guān)業(yè)務(wù)處室工作人員重點(diǎn)注意。通過(guò)一系列的數(shù)據(jù)分析，量化了風(fēng)險(xiǎn)管理現(xiàn)狀，實(shí)現(xiàn)了風(fēng)險(xiǎn)管理的前瞻性提示、針對(duì)性檢查與有效性整改等目標(biāo)。下圖為風(fēng)險(xiǎn)評(píng)價(jià)五維體系說(shuō)明圖。

重大事項(xiàng)報(bào)告與業(yè)務(wù)自查功能為業(yè)務(wù)處室提供了在日常工作中的內(nèi)控管理平臺(tái)，將日常的內(nèi)控建設(shè)工作進(jìn)行電子化留檔和保存，不僅方便業(yè)務(wù)部門(mén)自身內(nèi)控工作建設(shè)，也為內(nèi)審部門(mén)提供了進(jìn)一步審計(jì)檢查的工作方向和審計(jì)重點(diǎn)。

3 內(nèi)控機(jī)制建設(shè)系統(tǒng)的在信息技術(shù)管理中的應(yīng)用及前景分析

內(nèi)控機(jī)制建設(shè)系統(tǒng)通過(guò)將風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)中的主動(dòng)風(fēng)險(xiǎn)控制理論和方法應(yīng)用到人民銀行信息安全內(nèi)控管理和審計(jì)過(guò)程中，建立了動(dòng)態(tài)風(fēng)險(xiǎn)管理模型、突出信息安全檢查過(guò)程的風(fēng)險(xiǎn)導(dǎo)向，使相關(guān)各類(lèi)風(fēng)險(xiǎn)得到有效的識(shí)別、適當(dāng)?shù)目刂疲瑥亩鵀樘岣呋鶎友胄行畔⒓夹g(shù)風(fēng)險(xiǎn)管理的前瞻性、針對(duì)性與有效性，提供了一個(gè)有效的技術(shù)管理工具。

太原中支在信息安全管理工作中，通過(guò)將現(xiàn)有部分信息安全監(jiān)控系統(tǒng)與風(fēng)險(xiǎn)評(píng)價(jià)功能相結(jié)合，探索了一條符合自身實(shí)際情況的信息安全管理技術(shù)流程和預(yù)警手段。太原中支于在業(yè)務(wù)網(wǎng)中部署了全省網(wǎng)絡(luò)監(jiān)測(cè)系統(tǒng)并在監(jiān)控網(wǎng)絡(luò)設(shè)備的基礎(chǔ)上，同步監(jiān)控了業(yè)務(wù)網(wǎng)中的重要業(yè)務(wù)服務(wù)器的基礎(chǔ)狀態(tài)。科技部門(mén)工作人員對(duì)監(jiān)測(cè)數(shù)據(jù)經(jīng)過(guò)初步分析和整理后，結(jié)合內(nèi)控機(jī)制建設(shè)系統(tǒng)中的風(fēng)險(xiǎn)評(píng)估功能，歸納總結(jié)了可能引發(fā)高風(fēng)險(xiǎn)事件的事件報(bào)警信息類(lèi)型，初步形成了太原中支信息安全監(jiān)測(cè)事件報(bào)警信息知識(shí)體系，為進(jìn)一步開(kāi)運(yùn)維清單管理系統(tǒng)提供了基礎(chǔ)數(shù)據(jù)和參考依據(jù)。

隨著信息安全審計(jì)工作要求的不斷提高和信息安全檢查風(fēng)險(xiǎn)導(dǎo)向的理論進(jìn)一步應(yīng)用，內(nèi)控機(jī)制建設(shè)系統(tǒng)將在以下幾個(gè)方面得到有效應(yīng)用。

首先是將信息安全管理從監(jiān)督為主轉(zhuǎn)為風(fēng)險(xiǎn)分析評(píng)估為主，將安全管理的重心前移，強(qiáng)調(diào)檢查的過(guò)程性，而非目的性，將風(fēng)險(xiǎn)理念貫穿信息安全管理各個(gè)環(huán)節(jié)。通過(guò)將省會(huì)中支一級(jí)的各項(xiàng)信息系統(tǒng)運(yùn)維現(xiàn)狀進(jìn)行摸底和統(tǒng)計(jì)，按照業(yè)務(wù)系統(tǒng)重要性和潛在風(fēng)險(xiǎn)級(jí)別進(jìn)行了不同分類(lèi)，以清單管理的方式列出風(fēng)險(xiǎn)點(diǎn)和相對(duì)應(yīng)的日常運(yùn)維操作要求，力爭(zhēng)將隱患消除于未燃。

其次是建立積極的風(fēng)險(xiǎn)導(dǎo)向檢查理念。從安全管理戰(zhàn)略的高度出發(fā)，在全面理解當(dāng)前自身信息安全管理風(fēng)險(xiǎn)的前提下，識(shí)別出固有風(fēng)險(xiǎn)，并針對(duì)固有風(fēng)險(xiǎn)提出控制措施，得出剩余風(fēng)險(xiǎn)。并針對(duì)剩余風(fēng)險(xiǎn)提出相應(yīng)的策略和措施，從而將其降至可接受水平。

第三是形成信息安全管理動(dòng)態(tài)監(jiān)控模式。實(shí)現(xiàn)安全檢查的規(guī)范化、標(biāo)準(zhǔn)化與制度化，在信息安全風(fēng)險(xiǎn)數(shù)據(jù)分析的基礎(chǔ)上，逐步形成“突出重點(diǎn)、保護(hù)重點(diǎn)”的信息安全等級(jí)保護(hù)理念，按照“規(guī)劃—實(shí)施—評(píng)價(jià)—改進(jìn)”的信息安全工作新流程，形成動(dòng)態(tài)、可持續(xù)改進(jìn)的信息安全基線管理體系。才能保證全行信息系統(tǒng)的平穩(wěn)安全的運(yùn)行，才能在發(fā)生信息安全高風(fēng)險(xiǎn)事件時(shí)及時(shí)處置，快速恢復(fù)。

“防患大于救災(zāi)”，面對(duì)更復(fù)雜的形勢(shì)和更繁重的工作任務(wù)，如何能存在安全隱患的新領(lǐng)域，應(yīng)保持足夠的警惕，及時(shí)地充實(shí)和更新安全管理手段和方式，有效地防范和化解安全風(fēng)險(xiǎn)將是科技部門(mén)長(zhǎng)期關(guān)注的一個(gè)課題。太原中支將繼續(xù)在信息安全管理中工作不斷探索和研究，以確保地方金融信息安全，提升基層央行安全管理水平。

參考文獻(xiàn)：

[1] 譚憲維.主動(dòng)性的信息安全風(fēng)險(xiǎn)管理[J].金融電子化，2010（3）：73-75.

[2] 沃野，趙齊賢.金融機(jī)構(gòu)內(nèi)審部門(mén)改進(jìn)風(fēng)險(xiǎn)管理評(píng)價(jià)研究——基于BP神經(jīng)網(wǎng)絡(luò)模型[J].金融縱橫，2016（11）：36-42.

[3] 黃鋒.基層央行信息安全管理現(xiàn)狀及對(duì)策探討[J].金融科技時(shí)代，2016（3）：：62-63.

[4] 薛茜文.基于風(fēng)險(xiǎn)導(dǎo)向的企業(yè)內(nèi)部審計(jì)業(yè)務(wù)流程優(yōu)化研究[D].南京審計(jì)學(xué)院，2015.

[5] 韋宗玉.基于現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的內(nèi)部審計(jì)程序[J].審計(jì)文摘，2008（8）：88-89.