基層人民銀行內(nèi)部控制面臨的新問題及對策

盧 米

隨著信息化技術(shù)的飛速發(fā)展，基層人民銀行目前各類公用、專用信息系統(tǒng)近220個，涵蓋了金融機構(gòu)風(fēng)險監(jiān)測、金融統(tǒng)計監(jiān)測、支付結(jié)算、會計核算、經(jīng)理國庫、貨幣發(fā)行、征信管理、外匯管理等業(yè)務(wù)[1]，雖然部分系統(tǒng)具備一定的內(nèi)控自我約束機制和風(fēng)險監(jiān)測功能，但由于沒有統(tǒng)一的內(nèi)控風(fēng)險管理框架和信息管理平臺，內(nèi)控風(fēng)險管理不具備系統(tǒng)性、及時性和全面性，難以應(yīng)對信息化環(huán)境下基層人民銀行面臨的新風(fēng)險和問題。本文積極借鑒國內(nèi)外先進的內(nèi)部控制標準，提出建立內(nèi)部控制信息管理平臺、優(yōu)化內(nèi)部控制框架、加強內(nèi)部控制審計等建議，促進完善基層人民銀行內(nèi)部控制體系。

一、基層人民銀行內(nèi)部控制面臨的新問題

（一）控制環(huán)境復(fù)雜化

當前，隨著網(wǎng)絡(luò)和數(shù)據(jù)庫的迅速發(fā)展，基層人民銀行各項業(yè)務(wù)的操作方式和管理模式都發(fā)生了巨大的變化，相比傳統(tǒng)模式下的內(nèi)部控制環(huán)境，當前人民銀行的業(yè)務(wù)運行更多地依賴信息管理系統(tǒng)，內(nèi)部控制形成了“利用計算機系統(tǒng)進行內(nèi)部控制”和“對計算機系統(tǒng)進行控制”兩部分[2]。計算機系統(tǒng)既是內(nèi)部控制的技術(shù)和手段，同時也是內(nèi)部控制的主要對象和內(nèi)容；信息技術(shù)在提高內(nèi)部控制效率的同時，其帶來的新風(fēng)險又會考驗原有內(nèi)控措施的有效性。

（二）風(fēng)險識別不到位

在信息化環(huán)境下，人民銀行的內(nèi)外部環(huán)境動態(tài)實時變化，使得基于信息化的內(nèi)部控制在防范風(fēng)險的同時又內(nèi)生出相應(yīng)的特殊風(fēng)險。諸如信息系統(tǒng)規(guī)劃建設(shè)的治理風(fēng)險、系統(tǒng)運轉(zhuǎn)的不穩(wěn)定性風(fēng)險、系統(tǒng)操作的人為風(fēng)險等。這些風(fēng)險都是信息化內(nèi)控環(huán)境中我們可能面臨的特殊風(fēng)險，它是傳統(tǒng)內(nèi)控環(huán)境中難以預(yù)測的，需要高度重視和認真審視，需要重新進行全面系統(tǒng)的識別和控制。如果在這個層面失控將就會導(dǎo)致一系列的IT 治理風(fēng)險，后果將是災(zāi)難性的。

（三）控制活動存在漏洞

一是業(yè)務(wù)流程更新之后造成內(nèi)控盲點。傳統(tǒng)內(nèi)部控制的本質(zhì)是“人控制人”的問題，更關(guān)注組織的權(quán)力配置和控制的流程標準[3]。信息技術(shù)的介入將“人控制人”的問題轉(zhuǎn)化為內(nèi)部控制規(guī)則和管理信息平臺集成的問題，控制的重點由對人的控制轉(zhuǎn)變?yōu)閷θ?、機的共同控制[4]。當前，基層人民銀行各項業(yè)務(wù)信息化、網(wǎng)絡(luò)化、數(shù)據(jù)集中存儲后，主要問題是控制載體不可見化、控制指令虛擬化，造成信息系統(tǒng)與業(yè)務(wù)流程、財務(wù)流程之間存在沖突，形成新的控制盲點。二是信息安全訪問終端控制不嚴引發(fā)安全隱患。一些重要業(yè)務(wù)系統(tǒng)（如ACS、TCBS系統(tǒng)）的終端，未安裝防火墻、防木馬、殺毒軟件，或用戶及證書控制管理不嚴等，極容易造成資金損失或安全問題。三是具體業(yè)務(wù)控制不當引發(fā)的風(fēng)險。信息化雖有效提高了員工的工作效率，但卻在無形中助長了員工的惰性。如一些操作復(fù)核人員在履行審核職責時為了減輕工作負擔，利用系統(tǒng)中的“批量審核”功能，一鍵完成審核工作。這實則是另外一種形式的“未審核”，將形成新的控制風(fēng)險。

（四）數(shù)據(jù)保密性與安全性差

信息化就像是一把雙刃劍，在提高工作效率的同時，也勢必面臨著數(shù)據(jù)的保密性和安全性問題，這也成為了當前基層人民銀行內(nèi)部控制最具風(fēng)險因素的環(huán)節(jié)[5]，具體表現(xiàn)為以下幾個方面： 一是業(yè)務(wù)數(shù)據(jù)管理的安全問題。當前，人民銀行業(yè)務(wù)數(shù)據(jù)的產(chǎn)生、存儲和傳遞方式呈現(xiàn)出了自動化、網(wǎng)絡(luò)化和集中化的特征，數(shù)據(jù)信息極容易被人為復(fù)制、盜用，甚至惡意篡改，且難以發(fā)現(xiàn)。二是數(shù)據(jù)的集中存儲和管理加大了控制風(fēng)險。數(shù)據(jù)的大集中增加了網(wǎng)絡(luò)黑客攻擊、數(shù)據(jù)泄露和人為操作的可能性，以及地震、火災(zāi)等自然災(zāi)害造成的數(shù)據(jù)被毀風(fēng)險。三是程序化的控制風(fēng)險。業(yè)務(wù)應(yīng)用系統(tǒng)需要不斷地升級維護和更新，一旦在某一處理環(huán)節(jié)出現(xiàn)差錯，極可能造成全部數(shù)據(jù)出現(xiàn)較大錯誤，從而產(chǎn)生對人民銀行難以估計的損失。

（五）監(jiān)督機制落實不到位

一是缺乏完善的內(nèi)控監(jiān)督管理系統(tǒng)。目前，整個人民銀行系統(tǒng)既沒有全局性的內(nèi)控風(fēng)險管理信息系統(tǒng)，也沒有針對某個關(guān)鍵職能或業(yè)務(wù)單元的專用內(nèi)控風(fēng)險監(jiān)測或預(yù)警系統(tǒng)，內(nèi)控監(jiān)督的技術(shù)手段有待提高。二是內(nèi)控數(shù)據(jù)處理方法落后。內(nèi)審人員對各種內(nèi)控風(fēng)險數(shù)據(jù)的收集、分析和處理仍主要依靠手工操作，不夠全面又缺乏效率，內(nèi)控風(fēng)險管理數(shù)據(jù)呈現(xiàn)為零散化存儲、利用率較低、共享渠道不完善，難以實時開展風(fēng)險監(jiān)測與跟蹤預(yù)警。三是內(nèi)控監(jiān)督手段和技術(shù)水平較低。面對人民銀行大規(guī)模、結(jié)構(gòu)復(fù)雜的業(yè)務(wù)信息和數(shù)據(jù)，由于基層人民銀行內(nèi)審部門自身知識儲備不足，難以有效運用科學(xué)規(guī)范的風(fēng)險識別模型、風(fēng)險量化評估模型、風(fēng)險動態(tài)監(jiān)測模型等流程化信息驅(qū)動技術(shù)開展內(nèi)控風(fēng)險管理活動，實現(xiàn)風(fēng)險可度量、可比較和可追溯等深度風(fēng)險分析的管理需求，提高內(nèi)控監(jiān)督的效果。

二、加強基層人民銀行內(nèi)部控制的對策

（一）優(yōu)化基層人民銀行內(nèi)部控制框架

基于COSO內(nèi)部控制框架五個要素，對基層人民銀行內(nèi)部控制框架進行完善和優(yōu)化。內(nèi)控框架中針對信息化所帶來的新變化的控制是重點，控制環(huán)境的營造、控制風(fēng)險的評估、控制活動的安排、信息溝通和風(fēng)險數(shù)據(jù)的獲取、以及監(jiān)督與問責等五個內(nèi)控要素都要從信息化這個特征出發(fā)加以通盤考慮[5]。要做到內(nèi)部控制目標與信息化目標相互融合，整體戰(zhàn)略目標和IT目標相互融合，業(yè)務(wù)流程與信息系統(tǒng)相互融合，財務(wù)系統(tǒng)與業(yè)務(wù)系統(tǒng)相互匹配和融通，內(nèi)控主體與各業(yè)務(wù)主體信息相互融合等五個融合[7]。同時，要充分利用信息系統(tǒng)對內(nèi)部控制進行監(jiān)督和評價，在系統(tǒng)中加入自動控制點和各種自動評價機制，對風(fēng)險進行實時預(yù)警和監(jiān)控，確保內(nèi)部控制制度得到有效實施。

（二）建立內(nèi)部控制風(fēng)險管理信息平臺

在信息化時代，計算機應(yīng)用系統(tǒng)已經(jīng)覆蓋到基層人民銀行業(yè)務(wù)管理運行的方方面面，在這種情形下，內(nèi)控風(fēng)險管理工作的很多檢查點和關(guān)注點都必須與各類信息系統(tǒng)緊密結(jié)合，才能更加全面準確，滿足人民銀行各項業(yè)務(wù)不斷發(fā)展變化的要求[8]。建立內(nèi)控風(fēng)險管理信息化平臺不僅僅是替代傳統(tǒng)的內(nèi)控管理模式，更是要通過實施信息化達到改善內(nèi)部控制環(huán)境狀況、提升內(nèi)部控制質(zhì)量和風(fēng)險管理水平的目的。加強信息化環(huán)境下基層人民銀行內(nèi)部控制管理，就要充分運用現(xiàn)代信息技術(shù)手段實現(xiàn)內(nèi)控風(fēng)險管理工作的預(yù)期目標，提高內(nèi)控風(fēng)險管理的準確性、及時性和實用性[9]。一是構(gòu)建人民銀行內(nèi)控風(fēng)險管理數(shù)據(jù)收集和集中處理平臺，實現(xiàn)內(nèi)控風(fēng)險管理數(shù)據(jù)的標準化采集、集中存儲和分級管理。二是滿足內(nèi)控風(fēng)險管理需要，構(gòu)建人民銀行內(nèi)控風(fēng)險評價指標和模型，分層級、分系統(tǒng)對內(nèi)控風(fēng)險進行準確識別和量化評估。三是實現(xiàn)對人民銀行各項業(yè)務(wù)內(nèi)控風(fēng)險管理狀況進行全面、靈活的查詢和監(jiān)控預(yù)警，實時對內(nèi)控風(fēng)險進行動態(tài)監(jiān)測分析和管理控制。

（三）加強信息化環(huán)境下內(nèi)部控制審計監(jiān)督

加強內(nèi)部控制審計監(jiān)督是為了使內(nèi)部控制機制能夠有效運轉(zhuǎn)，達到高效依法履職的目標。信息化環(huán)境下，更應(yīng)加強內(nèi)部控制的審計監(jiān)督[10]。一是推廣使用計算機輔助審計手段，加強對TCBS、ACS、貨幣金銀管理系統(tǒng)、征信管理系統(tǒng)等業(yè)務(wù)系統(tǒng)的數(shù)據(jù)審計，及時排查風(fēng)險隱患。二是加強信息技術(shù)審計，加強對信息系統(tǒng)開發(fā)、采購、實施測試、運行維護等環(huán)節(jié)的審計，如有可能，內(nèi)部審計人員可以以專家的身份參與到系統(tǒng)開發(fā)小組，監(jiān)督系統(tǒng)開發(fā)和實施測試過程，提前發(fā)現(xiàn)系統(tǒng)中的漏洞和問題，確保信息系統(tǒng)的安全穩(wěn)定運行。三是探索建立審計數(shù)據(jù)綜合分析平臺，構(gòu)建審計數(shù)據(jù)分析模型，完善業(yè)務(wù)系統(tǒng)數(shù)據(jù)的獲取渠道或研究建立審計數(shù)據(jù)接口，對TCBS、ACS、貨幣金銀系統(tǒng)、征信系統(tǒng)等業(yè)務(wù)系統(tǒng)的實時監(jiān)控與預(yù)警，實現(xiàn)審計監(jiān)督全覆蓋。四是突出內(nèi)部控制審計的增值點，提升審計價值。信息化環(huán)境下，內(nèi)部控制與業(yè)務(wù)信息系統(tǒng)將逐步進行有效的整合。在整合的過程中，通過內(nèi)部控制審計，就能發(fā)現(xiàn)業(yè)務(wù)信息系統(tǒng)控制過程的缺失，內(nèi)部控制的缺陷，從而促使基層人民銀行進一步完善及優(yōu)化內(nèi)部控制體系，規(guī)范管理。