| 标题 | 基于主动风险控制理论的内审辅助管理系统开发与实践 |
| 范文 | 白宇 摘要:该文将主动风险控制理论与人民银行信息安全的内部审计实际工作相结合,通过分析人民银行基层分支机构中信息安全管理中的一些主要问题,设计开发了内控机制建设系统,有效提升了审计工作的效率和作用,提高了基层央行信息安全治理水平。 关键词:主动风险控制;内审管理;系统开发 中图分类号:TP311 文献标识码:A 文章编号:1009-3044(2018)03-0230-02 近年来人民银行信息化水平的不断深入,各类重要业务核心系统的集中度越来越高,因此,为了有效提高省会中心支行内控管理水平特别是信息安全的管理水平,太原中支积极开展了多项信息安全管控措施,从基础设施抓起,从日常运维做起。科技处与内审、保密等相关部门合作,开发应用了《太原中支内控机制建设网》应用系统(下简称内控机制建设系统),将主动风险控制理论引入信息安全管理实践,并且利用信息技术手段不断提高内控机制建设水平。 1 主动风险控制理论概述 主动风险控制理论来源于现代风险导向审计理念,其核心思想是指审计人员在对被审单位的内部控制充分了解和评估的基础上,分析、判断被审单位的风险点和风险程度,针对不同风险因素、程度采取相应的审计策略,加强对高风险点的实质性测试,将剩余风险降低到最低水平。其主要特征有:一是审计重心前移,传统审计工作侧重于事后监管,对于风险评估、风险预判相对弱化,因此越来越不能满足目前信息安全审计和管理的需要,而主动风险控制理论以风险评估作为审计工作的中心,满足了信息安全管理现实需求;二是采用新的审计思路,通过“总体分析—环节分析—剩余风险分析”的基本思路,来决定审计程序的性质、时间和范围,然后通过实施审计程序及取证的结果,结合重要性的判断,并形成最终的审计意见;三是扩展审计依据内涵,主动风险控制理论将获取审计证据的程序区分为总体程序和具体程序。总体程序包括风险评估程序、控制测试和实质性程序。具体程序包括检查记录和文件、检查有形资产、观察、询问、函证、重新计算、重新执行和分析性程序;四是风险评估以分析测试为中心,风险评估应用了包括检查、调查、询问、穿行测试等多种审计取证方法,其核心是分析性测试的运用。分析性测试主要适用在风险数据分析上;现代风险评估以分析为中心,将管理方法应用到分析性程序中去,开展多元评估,多角度支撑风险评估的结果。 2 内控机制建设系统功能介绍 太原中支内控机制建设系统根据太原中支内审处的实际业务需求而进行设计和开发。本系统采用了B/S访问模式和三层数据架构技术,系统主要有四大功能模块分别是:信息浏览、制度建设、档案管理、内控风险评价。 1) 信息浏览模块,提供了最新信息的发布、浏览、维护等操作功能。内控机制建设系统的信息浏览模块,以宣传为主要目标。重点介绍太原中支内审工作相关新闻信息,同时发布全行各处室内控建设最新进展等内容。信息管理员通过登录系统信息管理后台进行新闻信息的更新和维护。信息管理操作直观、简洁易于操作。 2) 制度建设模块,为太原中支各业务部门提供了相关管理制度集中存储和查询的功能。制度建设功能提供了全行各有关处室的工作制度的集中存储、维护和查询平台。既可以为内审工作人员提供日常工作参考也方便各处室工作人员学习和了解本部门各类工作制度。制度建设模块提供了制度关键词模糊查询以及按部门查询等多种查询功能。制度建设模块为了每一个处室设置了一名制度信息管理员,制度信息管理员负责及时更新和维护本部门规章制度,并且系统中设定制度更新提醒功能,定期提示制度信息管理员更新本部门制度内容。 3) 档案管理模块,主要实现了归档内审部门对各业务部门审计过程中产生的各类检查表格和审计报告功能,同时为进一步内控风险评价提供数据分析基础来源。档案管理功能主要服务于内审部门,非内审部门工作人员将无权进行相关数据查询和访问,从而保证了内审数据的安全性和保密性。 4) 内控风险管理模块,此模块实现了内控风险管理的一系列功能,主要涉及内控风险评价报告功能、内控风险评价功能、历史审计问题报告、重大事项报告、业务自查等五大部分。其中内控风险评价报告功能主要完成内审部门对于各业务处室的风险评价分析报告的上传、浏览和维护等操作。历史审计问题功能实现了各业务处室各时期审计问题的汇总,提供业务处室风险评价历史依据。内控风险评价功能中设计了五维内控风险评价体系,分别从控制环境、风险识别及应对、控制活动、信息与沟通和监控这五个方面对被审计对象,进行数值指标评价及计算,通过计算各评价对象参考值与实际值偏离度,形成重点风险审计对象关注值,值越大说明此项风险越高,提示内审人员和相关业务处室工作人员重点注意。通过一系列的数据分析,量化了风险管理现状,实现了风险管理的前瞻性提示、针对性检查与有效性整改等目标。下图为风险评价五维体系说明图。 重大事项报告与业务自查功能为业务处室提供了在日常工作中的内控管理平台,将日常的内控建设工作进行电子化留档和保存,不仅方便业务部门自身内控工作建设,也为内审部门提供了进一步审计检查的工作方向和审计重点。 3 内控机制建设系统的在信息技术管理中的应用及前景分析 内控机制建设系统通过将风险导向审计中的主动风险控制理论和方法应用到人民银行信息安全内控管理和审计过程中,建立了动态风险管理模型、突出信息安全检查过程的风险导向,使相关各类风险得到有效的识别、适当的控制,从而为提高基层央行信息技术风险管理的前瞻性、针对性与有效性,提供了一个有效的技术管理工具。 太原中支在信息安全管理工作中,通过将现有部分信息安全监控系统与风险评价功能相结合,探索了一条符合自身实际情况的信息安全管理技术流程和预警手段。太原中支于在业务网中部署了全省网络监測系统并在监控网络设备的基础上,同步监控了业务网中的重要业务服务器的基础状态。科技部门工作人员对监测数据经过初步分析和整理后,结合内控机制建设系统中的风险评估功能,归纳总结了可能引发高风险事件的事件报警信息类型,初步形成了太原中支信息安全监测事件报警信息知识体系,为进一步开运维清单管理系统提供了基础数据和参考依据。 随着信息安全审计工作要求的不断提高和信息安全检查风险导向的理论进一步应用,内控机制建设系统将在以下几个方面得到有效应用。 首先是将信息安全管理从监督为主转为风险分析评估为主,将安全管理的重心前移,强调检查的过程性,而非目的性,将风险理念贯穿信息安全管理各个环节。通过将省会中支一级的各项信息系统运维现状进行摸底和统计,按照业务系统重要性和潜在风险级别进行了不同分类,以清单管理的方式列出风险点和相对应的日常运维操作要求,力争将隐患消除于未燃。 其次是建立积极的风险导向检查理念。从安全管理战略的高度出发,在全面理解当前自身信息安全管理风险的前提下,识别出固有风险,并针对固有风险提出控制措施,得出剩余风险。并针对剩余风险提出相应的策略和措施,从而将其降至可接受水平。 第三是形成信息安全管理动态监控模式。实现安全检查的规范化、标准化与制度化,在信息安全风险数据分析的基础上,逐步形成“突出重点、保护重点”的信息安全等级保护理念,按照“规划—实施—评价—改进”的信息安全工作新流程,形成动态、可持续改进的信息安全基线管理体系。才能保证全行信息系统的平稳安全的运行,才能在发生信息安全高风险事件时及时处置,快速恢复。 “防患大于救灾”,面对更复杂的形势和更繁重的工作任务,如何能存在安全隐患的新领域,应保持足够的警惕,及时地充实和更新安全管理手段和方式,有效地防范和化解安全风险将是科技部门长期关注的一个课题。太原中支将继续在信息安全管理中工作不断探索和研究,以确保地方金融信息安全,提升基层央行安全管理水平。 参考文献: [1] 谭宪维.主动性的信息安全风险管理[J].金融电子化,2010(3):73-75. [2] 沃野,赵齐贤.金融机构内审部门改进风险管理评价研究——基于BP神经网络模型[J].金融纵横,2016(11):36-42. [3] 黄锋.基层央行信息安全管理现状及对策探讨[J].金融科技时代,2016(3)::62-63. [4] 薛茜文.基于风险导向的企业内部审计业务流程优化研究[D].南京审计学院,2015. [5] 韋宗玉.基于现代风险导向审计的内部审计程序[J].审计文摘,2008(8):88-89. |
| 随便看 |
|
科学优质学术资源、百科知识分享平台,免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。