基層人民銀行內部控制面臨的新問題及對策

盧 米

隨著信息化技術的飛速發展，基層人民銀行目前各類公用、專用信息系統近220個，涵蓋了金融機構風險監測、金融統計監測、支付結算、會計核算、經理國庫、貨幣發行、征信管理、外匯管理等業務[1]，雖然部分系統具備一定的內控自我約束機制和風險監測功能，但由于沒有統一的內控風險管理框架和信息管理平臺，內控風險管理不具備系統性、及時性和全面性，難以應對信息化環境下基層人民銀行面臨的新風險和問題。本文積極借鑒國內外先進的內部控制標準，提出建立內部控制信息管理平臺、優化內部控制框架、加強內部控制審計等建議，促進完善基層人民銀行內部控制體系。

一、基層人民銀行內部控制面臨的新問題

（一）控制環境復雜化

當前，隨著網絡和數據庫的迅速發展，基層人民銀行各項業務的操作方式和管理模式都發生了巨大的變化，相比傳統模式下的內部控制環境，當前人民銀行的業務運行更多地依賴信息管理系統，內部控制形成了“利用計算機系統進行內部控制”和“對計算機系統進行控制”兩部分[2]。計算機系統既是內部控制的技術和手段，同時也是內部控制的主要對象和內容；信息技術在提高內部控制效率的同時，其帶來的新風險又會考驗原有內控措施的有效性。

（二）風險識別不到位

在信息化環境下，人民銀行的內外部環境動態實時變化，使得基于信息化的內部控制在防范風險的同時又內生出相應的特殊風險。諸如信息系統規劃建設的治理風險、系統運轉的不穩定性風險、系統操作的人為風險等。這些風險都是信息化內控環境中我們可能面臨的特殊風險，它是傳統內控環境中難以預測的，需要高度重視和認真審視，需要重新進行全面系統的識別和控制。如果在這個層面失控將就會導致一系列的IT 治理風險，后果將是災難性的。

（三）控制活動存在漏洞

一是業務流程更新之后造成內控盲點。傳統內部控制的本質是“人控制人”的問題，更關注組織的權力配置和控制的流程標準[3]。信息技術的介入將“人控制人”的問題轉化為內部控制規則和管理信息平臺集成的問題，控制的重點由對人的控制轉變為對人、機的共同控制[4]。當前，基層人民銀行各項業務信息化、網絡化、數據集中存儲后，主要問題是控制載體不可見化、控制指令虛擬化，造成信息系統與業務流程、財務流程之間存在沖突，形成新的控制盲點。二是信息安全訪問終端控制不嚴引發安全隱患。一些重要業務系統（如ACS、TCBS系統）的終端，未安裝防火墻、防木馬、殺毒軟件，或用戶及證書控制管理不嚴等，極容易造成資金損失或安全問題。三是具體業務控制不當引發的風險。信息化雖有效提高了員工的工作效率，但卻在無形中助長了員工的惰性。如一些操作復核人員在履行審核職責時為了減輕工作負擔，利用系統中的“批量審核”功能，一鍵完成審核工作。這實則是另外一種形式的“未審核”，將形成新的控制風險。

（四）數據保密性與安全性差

信息化就像是一把雙刃劍，在提高工作效率的同時，也勢必面臨著數據的保密性和安全性問題，這也成為了當前基層人民銀行內部控制最具風險因素的環節[5]，具體表現為以下幾個方面： 一是業務數據管理的安全問題。當前，人民銀行業務數據的產生、存儲和傳遞方式呈現出了自動化、網絡化和集中化的特征，數據信息極容易被人為復制、盜用，甚至惡意篡改，且難以發現。二是數據的集中存儲和管理加大了控制風險。數據的大集中增加了網絡黑客攻擊、數據泄露和人為操作的可能性，以及地震、火災等自然災害造成的數據被毀風險。三是程序化的控制風險。業務應用系統需要不斷地升級維護和更新，一旦在某一處理環節出現差錯，極可能造成全部數據出現較大錯誤，從而產生對人民銀行難以估計的損失。

（五）監督機制落實不到位

一是缺乏完善的內控監督管理系統。目前，整個人民銀行系統既沒有全局性的內控風險管理信息系統，也沒有針對某個關鍵職能或業務單元的專用內控風險監測或預警系統，內控監督的技術手段有待提高。二是內控數據處理方法落后。內審人員對各種內控風險數據的收集、分析和處理仍主要依靠手工操作，不夠全面又缺乏效率，內控風險管理數據呈現為零散化存儲、利用率較低、共享渠道不完善，難以實時開展風險監測與跟蹤預警。三是內控監督手段和技術水平較低。面對人民銀行大規模、結構復雜的業務信息和數據，由于基層人民銀行內審部門自身知識儲備不足，難以有效運用科學規范的風險識別模型、風險量化評估模型、風險動態監測模型等流程化信息驅動技術開展內控風險管理活動，實現風險可度量、可比較和可追溯等深度風險分析的管理需求，提高內控監督的效果。

二、加強基層人民銀行內部控制的對策

（一）優化基層人民銀行內部控制框架

基于COSO內部控制框架五個要素，對基層人民銀行內部控制框架進行完善和優化。內控框架中針對信息化所帶來的新變化的控制是重點，控制環境的營造、控制風險的評估、控制活動的安排、信息溝通和風險數據的獲取、以及監督與問責等五個內控要素都要從信息化這個特征出發加以通盤考慮[5]。要做到內部控制目標與信息化目標相互融合，整體戰略目標和IT目標相互融合，業務流程與信息系統相互融合，財務系統與業務系統相互匹配和融通，內控主體與各業務主體信息相互融合等五個融合[7]。同時，要充分利用信息系統對內部控制進行監督和評價，在系統中加入自動控制點和各種自動評價機制，對風險進行實時預警和監控，確保內部控制制度得到有效實施。

（二）建立內部控制風險管理信息平臺

在信息化時代，計算機應用系統已經覆蓋到基層人民銀行業務管理運行的方方面面，在這種情形下，內控風險管理工作的很多檢查點和關注點都必須與各類信息系統緊密結合，才能更加全面準確，滿足人民銀行各項業務不斷發展變化的要求[8]。建立內控風險管理信息化平臺不僅僅是替代傳統的內控管理模式，更是要通過實施信息化達到改善內部控制環境狀況、提升內部控制質量和風險管理水平的目的。加強信息化環境下基層人民銀行內部控制管理，就要充分運用現代信息技術手段實現內控風險管理工作的預期目標，提高內控風險管理的準確性、及時性和實用性[9]。一是構建人民銀行內控風險管理數據收集和集中處理平臺，實現內控風險管理數據的標準化采集、集中存儲和分級管理。二是滿足內控風險管理需要，構建人民銀行內控風險評價指標和模型，分層級、分系統對內控風險進行準確識別和量化評估。三是實現對人民銀行各項業務內控風險管理狀況進行全面、靈活的查詢和監控預警，實時對內控風險進行動態監測分析和管理控制。

（三）加強信息化環境下內部控制審計監督

加強內部控制審計監督是為了使內部控制機制能夠有效運轉，達到高效依法履職的目標。信息化環境下，更應加強內部控制的審計監督[10]。一是推廣使用計算機輔助審計手段，加強對TCBS、ACS、貨幣金銀管理系統、征信管理系統等業務系統的數據審計，及時排查風險隱患。二是加強信息技術審計，加強對信息系統開發、采購、實施測試、運行維護等環節的審計，如有可能，內部審計人員可以以專家的身份參與到系統開發小組，監督系統開發和實施測試過程，提前發現系統中的漏洞和問題，確保信息系統的安全穩定運行。三是探索建立審計數據綜合分析平臺，構建審計數據分析模型，完善業務系統數據的獲取渠道或研究建立審計數據接口，對TCBS、ACS、貨幣金銀系統、征信系統等業務系統的實時監控與預警，實現審計監督全覆蓋。四是突出內部控制審計的增值點，提升審計價值。信息化環境下，內部控制與業務信息系統將逐步進行有效的整合。在整合的過程中，通過內部控制審計，就能發現業務信息系統控制過程的缺失，內部控制的缺陷，從而促使基層人民銀行進一步完善及優化內部控制體系，規范管理。