盧 米

隨著信息化技術(shù)的飛速發(fā)展，基層人民銀行目前各類公用、專用信息系統(tǒng)近220個(gè)，涵蓋了金融機(jī)構(gòu)風(fēng)險(xiǎn)監(jiān)測(cè)、金融統(tǒng)計(jì)監(jiān)測(cè)、支付結(jié)算、會(huì)計(jì)核算、經(jīng)理國(guó)庫(kù)、貨幣發(fā)行、征信管理、外匯管理等業(yè)務(wù)[1]，雖然部分系統(tǒng)具備一定的內(nèi)控自我約束機(jī)制和風(fēng)險(xiǎn)監(jiān)測(cè)功能，但由于沒有統(tǒng)一的內(nèi)控風(fēng)險(xiǎn)管理框架和信息管理平臺(tái)，內(nèi)控風(fēng)險(xiǎn)管理不具備系統(tǒng)性、及時(shí)性和全面性，難以應(yīng)對(duì)信息化環(huán)境下基層人民銀行面臨的新風(fēng)險(xiǎn)和問題。本文積極借鑒國(guó)內(nèi)外先進(jìn)的內(nèi)部控制標(biāo)準(zhǔn)，提出建立內(nèi)部控制信息管理平臺(tái)、優(yōu)化內(nèi)部控制框架、加強(qiáng)內(nèi)部控制審計(jì)等建議，促進(jìn)完善基層人民銀行內(nèi)部控制體系。

一、基層人民銀行內(nèi)部控制面臨的新問題

（一）控制環(huán)境復(fù)雜化

當(dāng)前，隨著網(wǎng)絡(luò)和數(shù)據(jù)庫(kù)的迅速發(fā)展，基層人民銀行各項(xiàng)業(yè)務(wù)的操作方式和管理模式都發(fā)生了巨大的變化，相比傳統(tǒng)模式下的內(nèi)部控制環(huán)境，當(dāng)前人民銀行的業(yè)務(wù)運(yùn)行更多地依賴信息管理系統(tǒng)，內(nèi)部控制形成了“利用計(jì)算機(jī)系統(tǒng)進(jìn)行內(nèi)部控制”和“對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行控制”兩部分[2]。計(jì)算機(jī)系統(tǒng)既是內(nèi)部控制的技術(shù)和手段，同時(shí)也是內(nèi)部控制的主要對(duì)象和內(nèi)容；信息技術(shù)在提高內(nèi)部控制效率的同時(shí)，其帶來(lái)的新風(fēng)險(xiǎn)又會(huì)考驗(yàn)原有內(nèi)控措施的有效性。

（二）風(fēng)險(xiǎn)識(shí)別不到位

在信息化環(huán)境下，人民銀行的內(nèi)外部環(huán)境動(dòng)態(tài)實(shí)時(shí)變化，使得基于信息化的內(nèi)部控制在防范風(fēng)險(xiǎn)的同時(shí)又內(nèi)生出相應(yīng)的特殊風(fēng)險(xiǎn)。諸如信息系統(tǒng)規(guī)劃建設(shè)的治理風(fēng)險(xiǎn)、系統(tǒng)運(yùn)轉(zhuǎn)的不穩(wěn)定性風(fēng)險(xiǎn)、系統(tǒng)操作的人為風(fēng)險(xiǎn)等。這些風(fēng)險(xiǎn)都是信息化內(nèi)控環(huán)境中我們可能面臨的特殊風(fēng)險(xiǎn)，它是傳統(tǒng)內(nèi)控環(huán)境中難以預(yù)測(cè)的，需要高度重視和認(rèn)真審視，需要重新進(jìn)行全面系統(tǒng)的識(shí)別和控制。如果在這個(gè)層面失控將就會(huì)導(dǎo)致一系列的IT 治理風(fēng)險(xiǎn)，后果將是災(zāi)難性的。

（三）控制活動(dòng)存在漏洞

一是業(yè)務(wù)流程更新之后造成內(nèi)控盲點(diǎn)。傳統(tǒng)內(nèi)部控制的本質(zhì)是“人控制人”的問題，更關(guān)注組織的權(quán)力配置和控制的流程標(biāo)準(zhǔn)[3]。信息技術(shù)的介入將“人控制人”的問題轉(zhuǎn)化為內(nèi)部控制規(guī)則和管理信息平臺(tái)集成的問題，控制的重點(diǎn)由對(duì)人的控制轉(zhuǎn)變?yōu)閷?duì)人、機(jī)的共同控制[4]。當(dāng)前，基層人民銀行各項(xiàng)業(yè)務(wù)信息化、網(wǎng)絡(luò)化、數(shù)據(jù)集中存儲(chǔ)后，主要問題是控制載體不可見化、控制指令虛擬化，造成信息系統(tǒng)與業(yè)務(wù)流程、財(cái)務(wù)流程之間存在沖突，形成新的控制盲點(diǎn)。二是信息安全訪問終端控制不嚴(yán)引發(fā)安全隱患。一些重要業(yè)務(wù)系統(tǒng)（如ACS、TCBS系統(tǒng)）的終端，未安裝防火墻、防木馬、殺毒軟件，或用戶及證書控制管理不嚴(yán)等，極容易造成資金損失或安全問題。三是具體業(yè)務(wù)控制不當(dāng)引發(fā)的風(fēng)險(xiǎn)。信息化雖有效提高了員工的工作效率，但卻在無(wú)形中助長(zhǎng)了員工的惰性。如一些操作復(fù)核人員在履行審核職責(zé)時(shí)為了減輕工作負(fù)擔(dān)，利用系統(tǒng)中的“批量審核”功能，一鍵完成審核工作。這實(shí)則是另外一種形式的“未審核”，將形成新的控制風(fēng)險(xiǎn)。

（四）數(shù)據(jù)保密性與安全性差

信息化就像是一把雙刃劍，在提高工作效率的同時(shí)，也勢(shì)必面臨著數(shù)據(jù)的保密性和安全性問題，這也成為了當(dāng)前基層人民銀行內(nèi)部控制最具風(fēng)險(xiǎn)因素的環(huán)節(jié)[5]，具體表現(xiàn)為以下幾個(gè)方面： 一是業(yè)務(wù)數(shù)據(jù)管理的安全問題。當(dāng)前，人民銀行業(yè)務(wù)數(shù)據(jù)的產(chǎn)生、存儲(chǔ)和傳遞方式呈現(xiàn)出了自動(dòng)化、網(wǎng)絡(luò)化和集中化的特征，數(shù)據(jù)信息極容易被人為復(fù)制、盜用，甚至惡意篡改，且難以發(fā)現(xiàn)。二是數(shù)據(jù)的集中存儲(chǔ)和管理加大了控制風(fēng)險(xiǎn)。數(shù)據(jù)的大集中增加了網(wǎng)絡(luò)黑客攻擊、數(shù)據(jù)泄露和人為操作的可能性，以及地震、火災(zāi)等自然災(zāi)害造成的數(shù)據(jù)被毀風(fēng)險(xiǎn)。三是程序化的控制風(fēng)險(xiǎn)。業(yè)務(wù)應(yīng)用系統(tǒng)需要不斷地升級(jí)維護(hù)和更新，一旦在某一處理環(huán)節(jié)出現(xiàn)差錯(cuò)，極可能造成全部數(shù)據(jù)出現(xiàn)較大錯(cuò)誤，從而產(chǎn)生對(duì)人民銀行難以估計(jì)的損失。

（五）監(jiān)督機(jī)制落實(shí)不到位

一是缺乏完善的內(nèi)控監(jiān)督管理系統(tǒng)。目前，整個(gè)人民銀行系統(tǒng)既沒有全局性的內(nèi)控風(fēng)險(xiǎn)管理信息系統(tǒng)，也沒有針對(duì)某個(gè)關(guān)鍵職能或業(yè)務(wù)單元的專用內(nèi)控風(fēng)險(xiǎn)監(jiān)測(cè)或預(yù)警系統(tǒng)，內(nèi)控監(jiān)督的技術(shù)手段有待提高。二是內(nèi)控?cái)?shù)據(jù)處理方法落后。內(nèi)審人員對(duì)各種內(nèi)控風(fēng)險(xiǎn)數(shù)據(jù)的收集、分析和處理仍主要依靠手工操作，不夠全面又缺乏效率，內(nèi)控風(fēng)險(xiǎn)管理數(shù)據(jù)呈現(xiàn)為零散化存儲(chǔ)、利用率較低、共享渠道不完善，難以實(shí)時(shí)開展風(fēng)險(xiǎn)監(jiān)測(cè)與跟蹤預(yù)警。三是內(nèi)控監(jiān)督手段和技術(shù)水平較低。面對(duì)人民銀行大規(guī)模、結(jié)構(gòu)復(fù)雜的業(yè)務(wù)信息和數(shù)據(jù)，由于基層人民銀行內(nèi)審部門自身知識(shí)儲(chǔ)備不足，難以有效運(yùn)用科學(xué)規(guī)范的風(fēng)險(xiǎn)識(shí)別模型、風(fēng)險(xiǎn)量化評(píng)估模型、風(fēng)險(xiǎn)動(dòng)態(tài)監(jiān)測(cè)模型等流程化信息驅(qū)動(dòng)技術(shù)開展內(nèi)控風(fēng)險(xiǎn)管理活動(dòng)，實(shí)現(xiàn)風(fēng)險(xiǎn)可度量、可比較和可追溯等深度風(fēng)險(xiǎn)分析的管理需求，提高內(nèi)控監(jiān)督的效果。

二、加強(qiáng)基層人民銀行內(nèi)部控制的對(duì)策

（一）優(yōu)化基層人民銀行內(nèi)部控制框架

基于COSO內(nèi)部控制框架五個(gè)要素，對(duì)基層人民銀行內(nèi)部控制框架進(jìn)行完善和優(yōu)化。內(nèi)控框架中針對(duì)信息化所帶來(lái)的新變化的控制是重點(diǎn)，控制環(huán)境的營(yíng)造、控制風(fēng)險(xiǎn)的評(píng)估、控制活動(dòng)的安排、信息溝通和風(fēng)險(xiǎn)數(shù)據(jù)的獲取、以及監(jiān)督與問責(zé)等五個(gè)內(nèi)控要素都要從信息化這個(gè)特征出發(fā)加以通盤考慮[5]。要做到內(nèi)部控制目標(biāo)與信息化目標(biāo)相互融合，整體戰(zhàn)略目標(biāo)和IT目標(biāo)相互融合，業(yè)務(wù)流程與信息系統(tǒng)相互融合，財(cái)務(wù)系統(tǒng)與業(yè)務(wù)系統(tǒng)相互匹配和融通，內(nèi)控主體與各業(yè)務(wù)主體信息相互融合等五個(gè)融合[7]。同時(shí)，要充分利用信息系統(tǒng)對(duì)內(nèi)部控制進(jìn)行監(jiān)督和評(píng)價(jià)，在系統(tǒng)中加入自動(dòng)控制點(diǎn)和各種自動(dòng)評(píng)價(jià)機(jī)制，對(duì)風(fēng)險(xiǎn)進(jìn)行實(shí)時(shí)預(yù)警和監(jiān)控，確保內(nèi)部控制制度得到有效實(shí)施。

（二）建立內(nèi)部控制風(fēng)險(xiǎn)管理信息平臺(tái)

在信息化時(shí)代，計(jì)算機(jī)應(yīng)用系統(tǒng)已經(jīng)覆蓋到基層人民銀行業(yè)務(wù)管理運(yùn)行的方方面面，在這種情形下，內(nèi)控風(fēng)險(xiǎn)管理工作的很多檢查點(diǎn)和關(guān)注點(diǎn)都必須與各類信息系統(tǒng)緊密結(jié)合，才能更加全面準(zhǔn)確，滿足人民銀行各項(xiàng)業(yè)務(wù)不斷發(fā)展變化的要求[8]。建立內(nèi)控風(fēng)險(xiǎn)管理信息化平臺(tái)不僅僅是替代傳統(tǒng)的內(nèi)控管理模式，更是要通過實(shí)施信息化達(dá)到改善內(nèi)部控制環(huán)境狀況、提升內(nèi)部控制質(zhì)量和風(fēng)險(xiǎn)管理水平的目的。加強(qiáng)信息化環(huán)境下基層人民銀行內(nèi)部控制管理，就要充分運(yùn)用現(xiàn)代信息技術(shù)手段實(shí)現(xiàn)內(nèi)控風(fēng)險(xiǎn)管理工作的預(yù)期目標(biāo)，提高內(nèi)控風(fēng)險(xiǎn)管理的準(zhǔn)確性、及時(shí)性和實(shí)用性[9]。一是構(gòu)建人民銀行內(nèi)控風(fēng)險(xiǎn)管理數(shù)據(jù)收集和集中處理平臺(tái)，實(shí)現(xiàn)內(nèi)控風(fēng)險(xiǎn)管理數(shù)據(jù)的標(biāo)準(zhǔn)化采集、集中存儲(chǔ)和分級(jí)管理。二是滿足內(nèi)控風(fēng)險(xiǎn)管理需要，構(gòu)建人民銀行內(nèi)控風(fēng)險(xiǎn)評(píng)價(jià)指標(biāo)和模型，分層級(jí)、分系統(tǒng)對(duì)內(nèi)控風(fēng)險(xiǎn)進(jìn)行準(zhǔn)確識(shí)別和量化評(píng)估。三是實(shí)現(xiàn)對(duì)人民銀行各項(xiàng)業(yè)務(wù)內(nèi)控風(fēng)險(xiǎn)管理狀況進(jìn)行全面、靈活的查詢和監(jiān)控預(yù)警，實(shí)時(shí)對(duì)內(nèi)控風(fēng)險(xiǎn)進(jìn)行動(dòng)態(tài)監(jiān)測(cè)分析和管理控制。

（三）加強(qiáng)信息化環(huán)境下內(nèi)部控制審計(jì)監(jiān)督

加強(qiáng)內(nèi)部控制審計(jì)監(jiān)督是為了使內(nèi)部控制機(jī)制能夠有效運(yùn)轉(zhuǎn)，達(dá)到高效依法履職的目標(biāo)。信息化環(huán)境下，更應(yīng)加強(qiáng)內(nèi)部控制的審計(jì)監(jiān)督[10]。一是推廣使用計(jì)算機(jī)輔助審計(jì)手段，加強(qiáng)對(duì)TCBS、ACS、貨幣金銀管理系統(tǒng)、征信管理系統(tǒng)等業(yè)務(wù)系統(tǒng)的數(shù)據(jù)審計(jì)，及時(shí)排查風(fēng)險(xiǎn)隱患。二是加強(qiáng)信息技術(shù)審計(jì)，加強(qiáng)對(duì)信息系統(tǒng)開發(fā)、采購(gòu)、實(shí)施測(cè)試、運(yùn)行維護(hù)等環(huán)節(jié)的審計(jì)，如有可能，內(nèi)部審計(jì)人員可以以專家的身份參與到系統(tǒng)開發(fā)小組，監(jiān)督系統(tǒng)開發(fā)和實(shí)施測(cè)試過程，提前發(fā)現(xiàn)系統(tǒng)中的漏洞和問題，確保信息系統(tǒng)的安全穩(wěn)定運(yùn)行。三是探索建立審計(jì)數(shù)據(jù)綜合分析平臺(tái)，構(gòu)建審計(jì)數(shù)據(jù)分析模型，完善業(yè)務(wù)系統(tǒng)數(shù)據(jù)的獲取渠道或研究建立審計(jì)數(shù)據(jù)接口，對(duì)TCBS、ACS、貨幣金銀系統(tǒng)、征信系統(tǒng)等業(yè)務(wù)系統(tǒng)的實(shí)時(shí)監(jiān)控與預(yù)警，實(shí)現(xiàn)審計(jì)監(jiān)督全覆蓋。四是突出內(nèi)部控制審計(jì)的增值點(diǎn)，提升審計(jì)價(jià)值。信息化環(huán)境下，內(nèi)部控制與業(yè)務(wù)信息系統(tǒng)將逐步進(jìn)行有效的整合。在整合的過程中，通過內(nèi)部控制審計(jì)，就能發(fā)現(xiàn)業(yè)務(wù)信息系統(tǒng)控制過程的缺失，內(nèi)部控制的缺陷，從而促使基層人民銀行進(jìn)一步完善及優(yōu)化內(nèi)部控制體系，規(guī)范管理。