基于主動風險控制理論的內審輔助管理系統開發與實踐

白宇

摘要：該文將主動風險控制理論與人民銀行信息安全的內部審計實際工作相結合，通過分析人民銀行基層分支機構中信息安全管理中的一些主要問題，設計開發了內控機制建設系統，有效提升了審計工作的效率和作用，提高了基層央行信息安全治理水平。

關鍵詞：主動風險控制；內審管理；系統開發

中圖分類號：TP311 文獻標識碼：A 文章編號：1009-3044（2018）03-0230-02

近年來人民銀行信息化水平的不斷深入，各類重要業務核心系統的集中度越來越高，因此，為了有效提高省會中心支行內控管理水平特別是信息安全的管理水平，太原中支積極開展了多項信息安全管控措施，從基礎設施抓起，從日常運維做起。科技處與內審、保密等相關部門合作，開發應用了《太原中支內控機制建設網》應用系統（下簡稱內控機制建設系統），將主動風險控制理論引入信息安全管理實踐，并且利用信息技術手段不斷提高內控機制建設水平。

1 主動風險控制理論概述

主動風險控制理論來源于現代風險導向審計理念，其核心思想是指審計人員在對被審單位的內部控制充分了解和評估的基礎上，分析、判斷被審單位的風險點和風險程度，針對不同風險因素、程度采取相應的審計策略，加強對高風險點的實質性測試，將剩余風險降低到最低水平。其主要特征有：一是審計重心前移，傳統審計工作側重于事后監管，對于風險評估、風險預判相對弱化，因此越來越不能滿足目前信息安全審計和管理的需要，而主動風險控制理論以風險評估作為審計工作的中心，滿足了信息安全管理現實需求；二是采用新的審計思路，通過“總體分析—環節分析—剩余風險分析”的基本思路，來決定審計程序的性質、時間和范圍，然后通過實施審計程序及取證的結果，結合重要性的判斷，并形成最終的審計意見；三是擴展審計依據內涵，主動風險控制理論將獲取審計證據的程序區分為總體程序和具體程序。總體程序包括風險評估程序、控制測試和實質性程序。具體程序包括檢查記錄和文件、檢查有形資產、觀察、詢問、函證、重新計算、重新執行和分析性程序；四是風險評估以分析測試為中心，風險評估應用了包括檢查、調查、詢問、穿行測試等多種審計取證方法，其核心是分析性測試的運用。分析性測試主要適用在風險數據分析上；現代風險評估以分析為中心，將管理方法應用到分析性程序中去，開展多元評估，多角度支撐風險評估的結果。

2 內控機制建設系統功能介紹

太原中支內控機制建設系統根據太原中支內審處的實際業務需求而進行設計和開發。本系統采用了B/S訪問模式和三層數據架構技術，系統主要有四大功能模塊分別是：信息瀏覽、制度建設、檔案管理、內控風險評價。

1） 信息瀏覽模塊，提供了最新信息的發布、瀏覽、維護等操作功能。內控機制建設系統的信息瀏覽模塊，以宣傳為主要目標。重點介紹太原中支內審工作相關新聞信息，同時發布全行各處室內控建設最新進展等內容。信息管理員通過登錄系統信息管理后臺進行新聞信息的更新和維護。信息管理操作直觀、簡潔易于操作。

2） 制度建設模塊，為太原中支各業務部門提供了相關管理制度集中存儲和查詢的功能。制度建設功能提供了全行各有關處室的工作制度的集中存儲、維護和查詢平臺。既可以為內審工作人員提供日常工作參考也方便各處室工作人員學習和了解本部門各類工作制度。制度建設模塊提供了制度關鍵詞模糊查詢以及按部門查詢等多種查詢功能。制度建設模塊為了每一個處室設置了一名制度信息管理員，制度信息管理員負責及時更新和維護本部門規章制度，并且系統中設定制度更新提醒功能，定期提示制度信息管理員更新本部門制度內容。

3） 檔案管理模塊，主要實現了歸檔內審部門對各業務部門審計過程中產生的各類檢查表格和審計報告功能，同時為進一步內控風險評價提供數據分析基礎來源。檔案管理功能主要服務于內審部門，非內審部門工作人員將無權進行相關數據查詢和訪問，從而保證了內審數據的安全性和保密性。

4） 內控風險管理模塊，此模塊實現了內控風險管理的一系列功能，主要涉及內控風險評價報告功能、內控風險評價功能、歷史審計問題報告、重大事項報告、業務自查等五大部分。其中內控風險評價報告功能主要完成內審部門對于各業務處室的風險評價分析報告的上傳、瀏覽和維護等操作。歷史審計問題功能實現了各業務處室各時期審計問題的匯總，提供業務處室風險評價歷史依據。內控風險評價功能中設計了五維內控風險評價體系，分別從控制環境、風險識別及應對、控制活動、信息與溝通和監控這五個方面對被審計對象，進行數值指標評價及計算，通過計算各評價對象參考值與實際值偏離度，形成重點風險審計對象關注值，值越大說明此項風險越高，提示內審人員和相關業務處室工作人員重點注意。通過一系列的數據分析，量化了風險管理現狀，實現了風險管理的前瞻性提示、針對性檢查與有效性整改等目標。下圖為風險評價五維體系說明圖。

重大事項報告與業務自查功能為業務處室提供了在日常工作中的內控管理平臺，將日常的內控建設工作進行電子化留檔和保存，不僅方便業務部門自身內控工作建設，也為內審部門提供了進一步審計檢查的工作方向和審計重點。

3 內控機制建設系統的在信息技術管理中的應用及前景分析

內控機制建設系統通過將風險導向審計中的主動風險控制理論和方法應用到人民銀行信息安全內控管理和審計過程中，建立了動態風險管理模型、突出信息安全檢查過程的風險導向，使相關各類風險得到有效的識別、適當的控制，從而為提高基層央行信息技術風險管理的前瞻性、針對性與有效性，提供了一個有效的技術管理工具。

太原中支在信息安全管理工作中，通過將現有部分信息安全監控系統與風險評價功能相結合，探索了一條符合自身實際情況的信息安全管理技術流程和預警手段。太原中支于在業務網中部署了全省網絡監測系統并在監控網絡設備的基礎上，同步監控了業務網中的重要業務服務器的基礎狀態。科技部門工作人員對監測數據經過初步分析和整理后，結合內控機制建設系統中的風險評估功能，歸納總結了可能引發高風險事件的事件報警信息類型，初步形成了太原中支信息安全監測事件報警信息知識體系，為進一步開運維清單管理系統提供了基礎數據和參考依據。

隨著信息安全審計工作要求的不斷提高和信息安全檢查風險導向的理論進一步應用，內控機制建設系統將在以下幾個方面得到有效應用。

首先是將信息安全管理從監督為主轉為風險分析評估為主，將安全管理的重心前移，強調檢查的過程性，而非目的性，將風險理念貫穿信息安全管理各個環節。通過將省會中支一級的各項信息系統運維現狀進行摸底和統計，按照業務系統重要性和潛在風險級別進行了不同分類，以清單管理的方式列出風險點和相對應的日常運維操作要求，力爭將隱患消除于未燃。

其次是建立積極的風險導向檢查理念。從安全管理戰略的高度出發，在全面理解當前自身信息安全管理風險的前提下，識別出固有風險，并針對固有風險提出控制措施，得出剩余風險。并針對剩余風險提出相應的策略和措施，從而將其降至可接受水平。

第三是形成信息安全管理動態監控模式。實現安全檢查的規范化、標準化與制度化，在信息安全風險數據分析的基礎上，逐步形成“突出重點、保護重點”的信息安全等級保護理念，按照“規劃—實施—評價—改進”的信息安全工作新流程，形成動態、可持續改進的信息安全基線管理體系。才能保證全行信息系統的平穩安全的運行，才能在發生信息安全高風險事件時及時處置，快速恢復。

“防患大于救災”，面對更復雜的形勢和更繁重的工作任務，如何能存在安全隱患的新領域，應保持足夠的警惕，及時地充實和更新安全管理手段和方式，有效地防范和化解安全風險將是科技部門長期關注的一個課題。太原中支將繼續在信息安全管理中工作不斷探索和研究，以確保地方金融信息安全，提升基層央行安全管理水平。

參考文獻：

[1] 譚憲維.主動性的信息安全風險管理[J].金融電子化，2010（3）：73-75.

[2] 沃野，趙齊賢.金融機構內審部門改進風險管理評價研究——基于BP神經網絡模型[J].金融縱橫，2016（11）：36-42.

[3] 黃鋒.基層央行信息安全管理現狀及對策探討[J].金融科技時代，2016（3）：：62-63.

[4] 薛茜文.基于風險導向的企業內部審計業務流程優化研究[D].南京審計學院，2015.

[5] 韋宗玉.基于現代風險導向審計的內部審計程序[J].審計文摘，2008（8）：88-89.