基層人民銀行內(nèi)部控制面臨的新問題及對策研究

盧米

摘 ? 要：本文針對信息化環(huán)境下人民銀行內(nèi)部控制面臨的新問題和風(fēng)險(xiǎn)，在借鑒國內(nèi)外先進(jìn)的內(nèi)部控制標(biāo)準(zhǔn)的基礎(chǔ)上，提出建立內(nèi)部控制信息管理平臺、優(yōu)化內(nèi)部控制框架和加強(qiáng)內(nèi)部控制審計(jì)等政策建議。結(jié)合工作實(shí)際，旨在進(jìn)一步完善基層人民銀行內(nèi)部控制建設(shè)體系。

關(guān)鍵詞：信息化;基層人民銀行;部控制

DOI：10.3969/j.issn.1003-9031.2020.02.012

中圖分類號：F832.2 ? ? ? ? ? ?文獻(xiàn)標(biāo)識碼：A ? ? ? ? ? ? 文章編號：1003-9031（2020）02-0084-04

隨著信息化技術(shù)的飛速發(fā)展，基層人民銀行目前各類公用、專用信息系統(tǒng)近220個(gè)，涵蓋了金融機(jī)構(gòu)風(fēng)險(xiǎn)監(jiān)測、金融統(tǒng)計(jì)監(jiān)測、支付結(jié)算、會計(jì)核算、經(jīng)理國庫、貨幣發(fā)行、征信管理、外匯管理等業(yè)務(wù)，雖然部分系統(tǒng)具備一定的內(nèi)控自我約束機(jī)制和風(fēng)險(xiǎn)監(jiān)測功能，但由于沒有統(tǒng)一的內(nèi)控風(fēng)險(xiǎn)管理框架和信息管理平臺，內(nèi)控風(fēng)險(xiǎn)管理不具備系統(tǒng)性、及時(shí)性和全面性，難以應(yīng)對信息化環(huán)境下基層人民銀行面臨的新風(fēng)險(xiǎn)。

一、基層人民銀行內(nèi)部控制的現(xiàn)狀

自2006年人民銀行總行頒布《中國人民銀行分支機(jī)構(gòu)內(nèi)部控制指引》以來，基層人民銀行內(nèi)部控制進(jìn)入了快速發(fā)展的階段?；鶎尤嗣胥y行內(nèi)部控制工作，在信息化建設(shè)方面雖稍顯不足，但進(jìn)一步規(guī)范了人民銀行各單位層面和業(yè)務(wù)條線上各項(xiàng)業(yè)務(wù)工作，具體表現(xiàn)在以下幾個(gè)方面。

（一）完善內(nèi)部控制的領(lǐng)導(dǎo)機(jī)制

當(dāng)前，基層人民銀行均成立了內(nèi)部控制委員會或內(nèi)部控制領(lǐng)導(dǎo)小組，強(qiáng)化對全行內(nèi)部控制工作的領(lǐng)導(dǎo)和統(tǒng)籌部署，協(xié)調(diào)解決重大內(nèi)部控制事項(xiàng)，督促有關(guān)內(nèi)部控制問題的整改落實(shí)，確保內(nèi)部控制得到有效實(shí)施。

（二）定期開展風(fēng)險(xiǎn)識別和評估

目前，基層人民銀行的風(fēng)險(xiǎn)識別和風(fēng)險(xiǎn)評估以業(yè)務(wù)單元和業(yè)務(wù)風(fēng)險(xiǎn)為主要對象，通過風(fēng)險(xiǎn)評估確定業(yè)務(wù)風(fēng)險(xiǎn)的大小，再根據(jù)業(yè)務(wù)風(fēng)險(xiǎn)分布情況加強(qiáng)對高風(fēng)險(xiǎn)領(lǐng)域的審計(jì)監(jiān)督，初步實(shí)現(xiàn)風(fēng)險(xiǎn)引導(dǎo)審計(jì)，審計(jì)關(guān)注風(fēng)險(xiǎn)。

（三）強(qiáng)化對關(guān)鍵業(yè)務(wù)活動的風(fēng)險(xiǎn)控制

全面加強(qiáng)對“人”“財(cái)”“物”和依法行政等關(guān)鍵業(yè)務(wù)領(lǐng)域的控制，如加強(qiáng)預(yù)算資金使用管理、固定資產(chǎn)管理、集中采購管理、公務(wù)用車管理、辦公用房管理、發(fā)行庫管理、行政許可和執(zhí)法檢查等關(guān)鍵業(yè)務(wù)環(huán)節(jié)和要害崗位的控制和風(fēng)險(xiǎn)防范，保證人民銀行依法履職，各項(xiàng)資金支出使用合法合規(guī)。

（四）加強(qiáng)內(nèi)部控制審計(jì)和監(jiān)督

近年來，基層人民銀行不斷完善內(nèi)部控制審計(jì)，以內(nèi)部控制五要素為基本框架，按現(xiàn)有的業(yè)務(wù)管理活動進(jìn)行分類，從風(fēng)險(xiǎn)管理入手，對關(guān)鍵環(huán)節(jié)的業(yè)務(wù)目標(biāo)、業(yè)務(wù)活動和相關(guān)工作進(jìn)行審計(jì)，評價(jià)內(nèi)部控制中的風(fēng)險(xiǎn)點(diǎn)和問題，查缺補(bǔ)漏，較好的發(fā)揮內(nèi)部控制機(jī)制中的“監(jiān)控”職能。

二、基層人民銀行內(nèi)部控制面臨的新問題

（一）內(nèi)部控制環(huán)境復(fù)雜化

當(dāng)前，隨著網(wǎng)絡(luò)和大數(shù)據(jù)等技術(shù)的迅速發(fā)展，基層人民銀行各項(xiàng)業(yè)務(wù)的操作方式和管理模式都發(fā)生了巨大的變化，相比傳統(tǒng)模式下的內(nèi)部控制環(huán)境，當(dāng)前人民銀行的業(yè)務(wù)運(yùn)行更多地依賴信息管理系統(tǒng)，內(nèi)部控制也形成了“利用計(jì)算機(jī)系統(tǒng)進(jìn)行內(nèi)部控制”和“對計(jì)算機(jī)系統(tǒng)進(jìn)行控制”兩部分。計(jì)算機(jī)系統(tǒng)既是內(nèi)部控制的技術(shù)和手段，同時(shí)也是內(nèi)部控制的主要對象和內(nèi)容;信息技術(shù)在提高內(nèi)部控制效率的同時(shí)，其帶來的新風(fēng)險(xiǎn)又會考驗(yàn)原有內(nèi)控措施的有效性。

（二）風(fēng)險(xiǎn)識別不到位

在信息化環(huán)境下，人民銀行的內(nèi)外部環(huán)境動態(tài)實(shí)時(shí)變化，使得基于信息化的內(nèi)部控制在防范風(fēng)險(xiǎn)的同時(shí)又內(nèi)生出相應(yīng)的特殊風(fēng)險(xiǎn)。諸如信息系統(tǒng)規(guī)劃建設(shè)的治理風(fēng)險(xiǎn)、系統(tǒng)運(yùn)轉(zhuǎn)的不穩(wěn)定性風(fēng)險(xiǎn)、系統(tǒng)操作的人為風(fēng)險(xiǎn)等。這些風(fēng)險(xiǎn)都是信息化內(nèi)控環(huán)境中我們可能面臨的特殊風(fēng)險(xiǎn)，它是傳統(tǒng)內(nèi)控環(huán)境中難以預(yù)測的，需要高度重視和認(rèn)真審視，需要重新進(jìn)行全面系統(tǒng)地識別和控制。如果在這個(gè)層面失控將就會導(dǎo)致一系列的 IT 治理風(fēng)險(xiǎn)，后果將是災(zāi)難性的。

（三）內(nèi)部控制活動存在漏洞

一是業(yè)務(wù)流程更新之后造成內(nèi)控盲點(diǎn)。傳統(tǒng)內(nèi)部控制的本質(zhì)是“人控制人”的問題，更關(guān)注組織的權(quán)力配置和控制的流程標(biāo)準(zhǔn)。信息技術(shù)的介入將“人控制人”的問題轉(zhuǎn)化為內(nèi)部控制規(guī)則和管理信息平臺集成的問題，控制的重點(diǎn)由人的控制轉(zhuǎn)變?yōu)閷θ?、機(jī)的共同控制。當(dāng)前，基層人民銀行各項(xiàng)業(yè)務(wù)信息化、網(wǎng)絡(luò)化、數(shù)據(jù)集中存儲后，主要問題是控制載體不可見化、控制指令虛擬化，造成信息系統(tǒng)與業(yè)務(wù)流程、財(cái)務(wù)流程之間存在沖突，形成新的控制盲點(diǎn)。二是信息安全訪問終端控制不嚴(yán)引發(fā)安全隱患。一些重要業(yè)務(wù)系統(tǒng)（如ACS、TCBS系統(tǒng)）的終端，未安裝防火墻、防木馬、殺毒軟件，或用戶及證書控制管理不嚴(yán)等，極容易造成資金損失或安全問題。三是具體業(yè)務(wù)流傳設(shè)置不當(dāng)引發(fā)的風(fēng)險(xiǎn)。信息化雖有效提高了工作效率，減輕了員工的負(fù)擔(dān)，但卻在無形中助長了員工的惰性。如一些操作復(fù)核人員在履行審核職責(zé)時(shí)為了減輕工作負(fù)擔(dān)，往往利用系統(tǒng)中的“批量審核”功能，一鍵完成審核工作。這實(shí)則是另外一種形式的“未審核”，將形成新的控制風(fēng)險(xiǎn)。

（四）數(shù)據(jù)保密性與安全性差

信息化在提高工作效率的同時(shí)，也面臨著數(shù)據(jù)的保密性和安全性問題，這成為當(dāng)前基層人民銀行內(nèi)部控制最具風(fēng)險(xiǎn)的環(huán)節(jié)，具體表現(xiàn)為以下幾個(gè)方面：一是業(yè)務(wù)數(shù)據(jù)管理的安全問題。當(dāng)前，人民銀行業(yè)務(wù)數(shù)據(jù)的產(chǎn)生、存儲和傳遞方式呈現(xiàn)出了自動化、網(wǎng)絡(luò)化和集中化的特征，數(shù)據(jù)信息極容易被人為復(fù)制、盜用，甚至惡意篡改，且難以發(fā)現(xiàn)。二是數(shù)據(jù)的集中存儲和管理風(fēng)險(xiǎn)。數(shù)據(jù)的大集中提高了網(wǎng)絡(luò)黑客攻擊、數(shù)據(jù)泄露和人為操作的可能性，以及地震、火災(zāi)等自然災(zāi)害造成的數(shù)據(jù)被毀風(fēng)險(xiǎn)。三是系統(tǒng)的維護(hù)難度加大。業(yè)務(wù)應(yīng)用系統(tǒng)需要不斷地升級維護(hù)和更新，一旦在某一處理環(huán)節(jié)出現(xiàn)差錯(cuò)，極可能造成全部數(shù)據(jù)出現(xiàn)較大錯(cuò)誤，從而產(chǎn)生對人民銀行難以估計(jì)的損失。

（五）監(jiān)督機(jī)制落實(shí)不到位

一是缺乏完善的內(nèi)控監(jiān)督管理系統(tǒng)。目前，人民銀行系統(tǒng)既沒有全局性的內(nèi)控風(fēng)險(xiǎn)管理信息系統(tǒng)，也沒有針對某個(gè)關(guān)鍵職能或業(yè)務(wù)單元建立專門的風(fēng)險(xiǎn)監(jiān)測或風(fēng)險(xiǎn)預(yù)警系統(tǒng)，內(nèi)控監(jiān)督的技術(shù)手段有待提高。二是內(nèi)控?cái)?shù)據(jù)處理方法落后。內(nèi)審人員對各種內(nèi)控風(fēng)險(xiǎn)數(shù)據(jù)的收集、分析和處理仍主要依靠手工操作，效率較低且數(shù)據(jù)不夠完整、利用率較低、共享渠道不完善，難以開展實(shí)時(shí)的風(fēng)險(xiǎn)監(jiān)測與跟蹤預(yù)警。三是內(nèi)控監(jiān)督手段和技術(shù)水平較低。面對人民銀行大規(guī)模、結(jié)構(gòu)復(fù)雜的業(yè)務(wù)信息和數(shù)據(jù)，由于基層人民銀行內(nèi)審部門自身知識儲備不足，難以有效運(yùn)用科學(xué)規(guī)范的風(fēng)險(xiǎn)識別模型、風(fēng)險(xiǎn)量化評估模型、風(fēng)險(xiǎn)動態(tài)監(jiān)測模型等先進(jìn)技術(shù)手段開展內(nèi)控風(fēng)險(xiǎn)管理活動，實(shí)現(xiàn)風(fēng)險(xiǎn)可度量、可比較和可追溯等深度風(fēng)險(xiǎn)分析的管理需求。

三、加強(qiáng)基層人民銀行內(nèi)部控制的對策

（一）優(yōu)化基層人民銀行內(nèi)部控制框架

基于COSO內(nèi)部控制框架五個(gè)要素，對基層人民銀行內(nèi)部控制框架進(jìn)行完善和優(yōu)化。內(nèi)控框架中針對信息化所帶來的新變化的控制是重點(diǎn)，控制環(huán)境的營造、控制風(fēng)險(xiǎn)的評估、控制活動的安排、信息溝通和風(fēng)險(xiǎn)數(shù)據(jù)的獲取、以及監(jiān)督與問責(zé)等五個(gè)內(nèi)控要素都要從信息化這個(gè)特征出發(fā)加以通盤考慮。要做到內(nèi)部控制目標(biāo)與信息化目標(biāo)相互融合，整體戰(zhàn)略目標(biāo)和IT目標(biāo)相互融合，業(yè)務(wù)流程與信息系統(tǒng)相互融合，財(cái)務(wù)系統(tǒng)與業(yè)務(wù)系統(tǒng)相互匹配和融通，內(nèi)控主體與各業(yè)務(wù)主體信息相互融合等五個(gè)融合。此外，要充分利用信息系統(tǒng)對內(nèi)部控制進(jìn)行監(jiān)督和評價(jià)，在系統(tǒng)中加入自動控制點(diǎn)和各種自動評價(jià)機(jī)制，對風(fēng)險(xiǎn)進(jìn)行實(shí)時(shí)預(yù)警和監(jiān)控，確保內(nèi)部控制制度得到有效實(shí)施。

（二）建立內(nèi)部控制風(fēng)險(xiǎn)管理信息平臺

在大數(shù)據(jù)時(shí)代，計(jì)算機(jī)應(yīng)用系統(tǒng)已經(jīng)覆蓋到基層人民銀行業(yè)務(wù)管理運(yùn)行的方方面面，在這種情形下，內(nèi)部控制中的很多風(fēng)險(xiǎn)點(diǎn)和關(guān)注點(diǎn)都必須與各類信息系統(tǒng)緊密結(jié)合，才能更加全面準(zhǔn)確，滿足人民銀行各項(xiàng)業(yè)務(wù)不斷發(fā)展變化的要求。建立內(nèi)控風(fēng)險(xiǎn)管理大數(shù)據(jù)平臺不僅僅是替代傳統(tǒng)的內(nèi)控管理模式，更是要通過實(shí)施信息化達(dá)到改善內(nèi)部控制環(huán)境狀況、提升內(nèi)部控制質(zhì)量和風(fēng)險(xiǎn)管理水平的目的。加強(qiáng)大數(shù)據(jù)信息化環(huán)境下基層人民銀行內(nèi)部控制管理，就要充分運(yùn)用現(xiàn)代信息技術(shù)手段來實(shí)現(xiàn)內(nèi)控風(fēng)險(xiǎn)管理工作的預(yù)期目標(biāo)，提高內(nèi)控風(fēng)險(xiǎn)管理的準(zhǔn)確性、及時(shí)性和實(shí)用性。一是建立基層人民銀行內(nèi)控風(fēng)險(xiǎn)管理數(shù)據(jù)收集和集中處理平臺，實(shí)現(xiàn)內(nèi)控風(fēng)險(xiǎn)管理數(shù)據(jù)的標(biāo)準(zhǔn)化采集、集中式存儲。二是根據(jù)基層人民銀行內(nèi)控風(fēng)險(xiǎn)管理需求，設(shè)置內(nèi)控風(fēng)險(xiǎn)評價(jià)指標(biāo)和模型，分層級、分系統(tǒng)對內(nèi)控風(fēng)險(xiǎn)進(jìn)行準(zhǔn)確識別和量化評估。三是實(shí)現(xiàn)對人民銀行各項(xiàng)業(yè)務(wù)內(nèi)控風(fēng)險(xiǎn)管理狀況進(jìn)行全面、靈活的查詢和監(jiān)控預(yù)警，實(shí)時(shí)對內(nèi)控風(fēng)險(xiǎn)進(jìn)行動態(tài)監(jiān)測分析和管理控制。

（三）加強(qiáng)內(nèi)部控制審計(jì)監(jiān)督

加強(qiáng)內(nèi)部控制審計(jì)監(jiān)督是為了使內(nèi)部控制機(jī)制能夠有效運(yùn)轉(zhuǎn)，達(dá)到高效依法履職的目標(biāo)。一是推廣使用計(jì)算機(jī)輔助審計(jì)手段，加強(qiáng)對TCBS、ACS、貨幣金銀管理系統(tǒng)、征信管理系統(tǒng)等業(yè)務(wù)系統(tǒng)的數(shù)據(jù)審計(jì)，及時(shí)排查風(fēng)險(xiǎn)隱患。二是加強(qiáng)信息技術(shù)審計(jì)，加強(qiáng)對信息系統(tǒng)開發(fā)、采購、實(shí)施測試、運(yùn)行維護(hù)等環(huán)節(jié)的審計(jì)，內(nèi)部審計(jì)人員可以以專家的身份參與到系統(tǒng)開發(fā)小組，監(jiān)督系統(tǒng)開發(fā)和實(shí)施測試過程，提前發(fā)現(xiàn)系統(tǒng)中的漏洞和問題，確保信息系統(tǒng)的安全穩(wěn)定運(yùn)行。三是探索建立審計(jì)數(shù)據(jù)綜合分析平臺，構(gòu)建審計(jì)數(shù)據(jù)分析模型，完善業(yè)務(wù)系統(tǒng)數(shù)據(jù)的獲取渠道或研究建立審計(jì)數(shù)據(jù)接口，對TCBS、ACS、貨幣金銀系統(tǒng)、征信系統(tǒng)等業(yè)務(wù)系統(tǒng)的實(shí)時(shí)監(jiān)控與預(yù)警，實(shí)現(xiàn)審計(jì)監(jiān)督全覆蓋。四是突出內(nèi)部控制審計(jì)的增值點(diǎn)，提升審計(jì)價(jià)值。信息化環(huán)境下，內(nèi)部控制與業(yè)務(wù)信息系統(tǒng)將逐步進(jìn)行有效的整合。在整合的過程中，通過內(nèi)部控制審計(jì)，就能發(fā)現(xiàn)業(yè)務(wù)信息系統(tǒng)控制過程的缺失，內(nèi)部控制的缺陷，從而促使基層人民銀行進(jìn)一步完善及優(yōu)化內(nèi)部控制體系，規(guī)范管理。

（責(zé)任編輯：張恩娟）

參考文獻(xiàn)：

[1]李偉.全面提升央行信息化水平[J].中國金融，2017（20）.

[2]李若昕，馮均科，許瑜.互聯(lián)網(wǎng)戰(zhàn)略下企業(yè)內(nèi)部控制信息化制度創(chuàng)新芻議[J].人文雜志，2018（3）.

[3]梁麗娟.信息化環(huán)境下企業(yè)內(nèi)部控制機(jī)制構(gòu)建[J].財(cái)會月刊，2010（29）.

[4]陳志斌.信息化生態(tài)環(huán)境下企業(yè)內(nèi)部控制框架研究[J].會計(jì)研究，2007（1）.

[5]王會川.行政事業(yè)單位內(nèi)部控制信息化建設(shè)路線[J].經(jīng)濟(jì)研究參考，2017（34）.

[6]李靜.淺議內(nèi)部控制在公立醫(yī)院固定資產(chǎn)管理中的應(yīng)用[J].中國集體經(jīng)濟(jì)，2017（14）.

[7]陳萍.ERP環(huán)境下財(cái)務(wù)會計(jì)信息系統(tǒng)的內(nèi)部控制與風(fēng)險(xiǎn)管理[J].中外企業(yè)家，2017（18）.

[8]丁守全.信息技術(shù)條件下的企業(yè)內(nèi)部控制[J].信息系統(tǒng)工程，2015（8）.

[9]章鐵生.信息技術(shù)條件下的內(nèi)部控制規(guī)范：國際實(shí)踐與啟示[J].會計(jì)研究，2007（7）.

[10]周廣典.行政事業(yè)單位內(nèi)部控制信息化建設(shè)探討[J].財(cái)會學(xué)習(xí)，2018（26）.