基层人民银行内部控制面临的新问题及对策
2019-12-20卢米
卢 米
随着信息化技术的飞速发展,基层人民银行目前各类公用、专用信息系统近220个,涵盖了金融机构风险监测、金融统计监测、支付结算、会计核算、经理国库、货币发行、征信管理、外汇管理等业务[1],虽然部分系统具备一定的内控自我约束机制和风险监测功能,但由于没有统一的内控风险管理框架和信息管理平台,内控风险管理不具备系统性、及时性和全面性,难以应对信息化环境下基层人民银行面临的新风险和问题。本文积极借鉴国内外先进的内部控制标准,提出建立内部控制信息管理平台、优化内部控制框架、加强内部控制审计等建议,促进完善基层人民银行内部控制体系。
一、基层人民银行内部控制面临的新问题
(一)控制环境复杂化
当前,随着网络和数据库的迅速发展,基层人民银行各项业务的操作方式和管理模式都发生了巨大的变化,相比传统模式下的内部控制环境,当前人民银行的业务运行更多地依赖信息管理系统,内部控制形成了“利用计算机系统进行内部控制”和“对计算机系统进行控制”两部分[2]。计算机系统既是内部控制的技术和手段,同时也是内部控制的主要对象和内容;信息技术在提高内部控制效率的同时,其带来的新风险又会考验原有内控措施的有效性。
(二)风险识别不到位
在信息化环境下,人民银行的内外部环境动态实时变化,使得基于信息化的内部控制在防范风险的同时又内生出相应的特殊风险。诸如信息系统规划建设的治理风险、系统运转的不稳定性风险、系统操作的人为风险等。这些风险都是信息化内控环境中我们可能面临的特殊风险,它是传统内控环境中难以预测的,需要高度重视和认真审视,需要重新进行全面系统的识别和控制。如果在这个层面失控将就会导致一系列的IT 治理风险,后果将是灾难性的。
(三)控制活动存在漏洞
一是业务流程更新之后造成内控盲点。传统内部控制的本质是“人控制人”的问题,更关注组织的权力配置和控制的流程标准[3]。信息技术的介入将“人控制人”的问题转化为内部控制规则和管理信息平台集成的问题,控制的重点由对人的控制转变为对人、机的共同控制[4]。当前,基层人民银行各项业务信息化、网络化、数据集中存储后,主要问题是控制载体不可见化、控制指令虚拟化,造成信息系统与业务流程、财务流程之间存在冲突,形成新的控制盲点。二是信息安全访问终端控制不严引发安全隐患。一些重要业务系统(如ACS、TCBS系统)的终端,未安装防火墙、防木马、杀毒软件,或用户及证书控制管理不严等,极容易造成资金损失或安全问题。三是具体业务控制不当引发的风险。信息化虽有效提高了员工的工作效率,但却在无形中助长了员工的惰性。如一些操作复核人员在履行审核职责时为了减轻工作负担,利用系统中的“批量审核”功能,一键完成审核工作。这实则是另外一种形式的“未审核”,将形成新的控制风险。
(四)数据保密性与安全性差
信息化就像是一把双刃剑,在提高工作效率的同时,也势必面临着数据的保密性和安全性问题,这也成为了当前基层人民银行内部控制最具风险因素的环节[5],具体表现为以下几个方面: 一是业务数据管理的安全问题。当前,人民银行业务数据的产生、存储和传递方式呈现出了自动化、网络化和集中化的特征,数据信息极容易被人为复制、盗用,甚至恶意篡改,且难以发现。二是数据的集中存储和管理加大了控制风险。数据的大集中增加了网络黑客攻击、数据泄露和人为操作的可能性,以及地震、火灾等自然灾害造成的数据被毁风险。三是程序化的控制风险。业务应用系统需要不断地升级维护和更新,一旦在某一处理环节出现差错,极可能造成全部数据出现较大错误,从而产生对人民银行难以估计的损失。
(五)监督机制落实不到位
一是缺乏完善的内控监督管理系统。目前,整个人民银行系统既没有全局性的内控风险管理信息系统,也没有针对某个关键职能或业务单元的专用内控风险监测或预警系统,内控监督的技术手段有待提高。二是内控数据处理方法落后。内审人员对各种内控风险数据的收集、分析和处理仍主要依靠手工操作,不够全面又缺乏效率,内控风险管理数据呈现为零散化存储、利用率较低、共享渠道不完善,难以实时开展风险监测与跟踪预警。三是内控监督手段和技术水平较低。面对人民银行大规模、结构复杂的业务信息和数据,由于基层人民银行内审部门自身知识储备不足,难以有效运用科学规范的风险识别模型、风险量化评估模型、风险动态监测模型等流程化信息驱动技术开展内控风险管理活动,实现风险可度量、可比较和可追溯等深度风险分析的管理需求,提高内控监督的效果。
二、加强基层人民银行内部控制的对策
(一)优化基层人民银行内部控制框架
基于COSO内部控制框架五个要素,对基层人民银行内部控制框架进行完善和优化。内控框架中针对信息化所带来的新变化的控制是重点,控制环境的营造、控制风险的评估、控制活动的安排、信息沟通和风险数据的获取、以及监督与问责等五个内控要素都要从信息化这个特征出发加以通盘考虑[5]。要做到内部控制目标与信息化目标相互融合,整体战略目标和IT目标相互融合,业务流程与信息系统相互融合,财务系统与业务系统相互匹配和融通,内控主体与各业务主体信息相互融合等五个融合[7]。同时,要充分利用信息系统对内部控制进行监督和评价,在系统中加入自动控制点和各种自动评价机制,对风险进行实时预警和监控,确保内部控制制度得到有效实施。
(二)建立内部控制风险管理信息平台
在信息化时代,计算机应用系统已经覆盖到基层人民银行业务管理运行的方方面面,在这种情形下,内控风险管理工作的很多检查点和关注点都必须与各类信息系统紧密结合,才能更加全面准确,满足人民银行各项业务不断发展变化的要求[8]。建立内控风险管理信息化平台不仅仅是替代传统的内控管理模式,更是要通过实施信息化达到改善内部控制环境状况、提升内部控制质量和风险管理水平的目的。加强信息化环境下基层人民银行内部控制管理,就要充分运用现代信息技术手段实现内控风险管理工作的预期目标,提高内控风险管理的准确性、及时性和实用性[9]。一是构建人民银行内控风险管理数据收集和集中处理平台,实现内控风险管理数据的标准化采集、集中存储和分级管理。二是满足内控风险管理需要,构建人民银行内控风险评价指标和模型,分层级、分系统对内控风险进行准确识别和量化评估。三是实现对人民银行各项业务内控风险管理状况进行全面、灵活的查询和监控预警,实时对内控风险进行动态监测分析和管理控制。
(三)加强信息化环境下内部控制审计监督
加强内部控制审计监督是为了使内部控制机制能够有效运转,达到高效依法履职的目标。信息化环境下,更应加强内部控制的审计监督[10]。一是推广使用计算机辅助审计手段,加强对TCBS、ACS、货币金银管理系统、征信管理系统等业务系统的数据审计,及时排查风险隐患。二是加强信息技术审计,加强对信息系统开发、采购、实施测试、运行维护等环节的审计,如有可能,内部审计人员可以以专家的身份参与到系统开发小组,监督系统开发和实施测试过程,提前发现系统中的漏洞和问题,确保信息系统的安全稳定运行。三是探索建立审计数据综合分析平台,构建审计数据分析模型,完善业务系统数据的获取渠道或研究建立审计数据接口,对TCBS、ACS、货币金银系统、征信系统等业务系统的实时监控与预警,实现审计监督全覆盖。四是突出内部控制审计的增值点,提升审计价值。信息化环境下,内部控制与业务信息系统将逐步进行有效的整合。在整合的过程中,通过内部控制审计,就能发现业务信息系统控制过程的缺失,内部控制的缺陷,从而促使基层人民银行进一步完善及优化内部控制体系,规范管理。