蔣峰

摘要：近年來，人民銀行信息技術審計確立了以風險為導向的轉型思路?？茖W剖析信息技術管理風險點，明確風險分布及控制水平是開展風險導向審計的前提和基礎。因此，人行武漢分行通過積極開展轄區(qū)信息技術風險評估工作，匯總形成風險評估數據庫，并采取“定期評估、規(guī)范操作、動態(tài)管理、科學評價”等四項舉措，探索了一條以風險評估為基礎，明確重點、關注弱點、控制難點的工作模式，促進資源有效配置，進一步提升了工作管理效能。

關鍵詞：人民銀行；信息技術審計轉型；風險評估；路徑研究

在人民銀行總行內審司三年內審轉型的號召下，人行武漢分行立足審計對象信息化，著重將“風險導向、控制驅動、關注績效、服務治理、增加價值”五項理念貫穿于內審工作，積極開展信息技術風險導向審計工作。通過收集全轄區(qū)信息技術風險評估數據，建立起武漢分行信息技術風險評估數據庫，動態(tài)反映轄區(qū)信息技術風險分布特點，提高風險應對預見性，有效發(fā)揮內審作為央行機體有效履職的免疫功能作用。

一、開展風險評估工作是央行深入開展信息技術風險導向審計的基石

在信息技術風險導向審計轉型實踐中，風險分析不再只應用于審計過程中，而是貫徹從項目組織到實施全過程，通過定量分析信息技術風險水平，確定審計項目實施對象、審計范圍和重點，促進提高組織的內部治理和風險管理水平。因此，先期開展風險評估工作是審計轉型的堅實基礎。

（一）評估數據是風險評估的具體應用和數據表現

信息技術風險評估是開展信息技術風險導向審計的前提，而評估數據統(tǒng)計工作則是以風險評估為抓手，經過合理設計、規(guī)范實施以及科學分析形成的經驗材料，是風險評估的具體應用和數據表現。通過對評估數據進行再加工，有助于組織梳理目前信息技術管理中存在的風險環(huán)節(jié)和風險點，幫助被審計單位合理安排資源配置，加強高風險及控制薄弱點的管理，進而有效提升被審計單位的管理水平。

（二）風險評估數據庫的建立標志著風險評估常態(tài)化工作正式啟動

單純從收集整理某一年的評估數據，對加強信息技術風險管理工作意義不大。只有將信息技術風險評估工作常態(tài)化、系統(tǒng)化，定期分析不同年度特定單位風險評估結果，才能真正有助于及時反映該單位由于自然條件、業(yè)務發(fā)展、人員變動以及控制措施的變化導致的風險點及強弱分布的變化情況，從而更加有針對性的開展風險管理及現場審計工作。因此，建立風險評估數據庫，要求內審部門每年均要對信息技術風險加以評估，標志著信息技術風險常態(tài)化評估工作正式開始。

（三）風險評估數據庫的建立有助于從整體上把握信息技術風險管理水平

人行武漢分行目前下轄38家中心支行及4家直管市支行，機構數量多，分布廣。由于各家機構自然條件差異、業(yè)務特點不同以及人員業(yè)務素質、管理水平有高有低，因此迫切需要從整體上掌握轄區(qū)風險分布情況。因此，建立風險評估數據庫，可以并通過各家中心支行數據的橫向比較，明確所在單位管理工作在全轄的位次，從整體層面把握轄區(qū)信息技術風險管控水平。

二、風險評估的指標設計及具體應用

（一）風險評估數據指標設計原則

1.相關性原則。這一原則是指所建立的指標與信息技術管理工作具有較強的相關性。從整體來看，內控環(huán)境是影響業(yè)務正常開展的重要因素，是指標體系中不可或缺的組成部分；從細節(jié)著眼，風險評估數據指標體系應盡可能將信息技術管理工作所有涉及的內容都應該納入進來。

2.可比性原則。這是指所設置的指標應該便于縱向和橫向比較：從縱向上看，指標應該能夠反映不同年度間風險管控水平的變化以及不同指標間的重要程度；從橫向上看，指標應該能夠反映本地區(qū)與相鄰地區(qū)的風險分布差異。

3.重要性原則。這是指在設置風險評估數據指標時，將那些能反映重大情況或者全局的風險指標著重考慮，深入分析。比如，考慮到信息技術管理工作是保障人民銀行各項業(yè)務正常、穩(wěn)定開展的重要平臺，因此，網絡安全及配套設置管理、保密管理與應急處置應該成為數據指標體系的重要組成部分。

（二）風險評估數據指標的具體設置

人行武漢分行以《中國人民銀行風險量化評估辦法》為藍本，對轄內信息技術領域風險進行了詳細的梳理，同時運用風險矩陣的模型設置及風險計量的方式，具體深入到部分中心支行現場論證，形成了7個主要方面合計321個風險指標，如表1所示。

（三）風險評估數據庫的建立及數據解讀

1.立足地市風險分布情況，解讀風險評估數據。我們按照省份全面分析評估數據，并根據風險值高低進行排序，分值越高，代表蘊含風險越大，越應該優(yōu)先審計或提高審計頻度。

從總體風險情況來看，湖南省的總體風險相比其他兩省較高，為高度關注區(qū)域，湖北、江西兩省總體風險水平類似，為中度關注區(qū)域。省會中心支行在接到分行授權審計時，應根據轄內風險自我評估情況，按照風險大小，有重點的開展審計活動。

從湖南省的評估情況來看，CZ、CD、YY1的風險較高，應重點關注。其余地市中支風險相對較小，可根據實際情況，分配資源，開展審計活動。湖北省與江西省解讀方式與湖南省雷同，基本情況見表6。

2.立足業(yè)務類別風險分布，解讀風險評估數據

我們將信息技術風險分為七大類，也就是七個業(yè)務類別。根據轄區(qū)各單位業(yè)務類別的風險評估值，算出各省業(yè)務風險平均水平，根據風險評估值高低，確定應予重點關注的業(yè)務類別（具體情況，見表7）。

從對比圖中，我們可以看出，湖北省在安全及保密管理中風險相對較高；湖南省在

內控環(huán)境管理、網絡管理、機房與設施管理、業(yè)務應用系統(tǒng)運維管理中風險相對較高；江西省在應急和文檔管理、采購和外包服務管理中，風險相對較高；在中，江西省存在的風險相對較多。我們在后續(xù)開展的審計活動中，應對其重要風險進行詳細檢查。

3.立足某地市中支2012年及2013年數據，縱向解讀基期數據

我們在2012年先期試點了兩家地市中心支行評估數據采集。現根據2013年的數據水平，可以有效比較該中心支行在兩年中信息技術風險的變化趨勢，反映信息技術工作管理水平變化。

從上述對比圖中我們可以發(fā)現，該中支2013年，在內部控制環(huán)境管理、網絡管理、采購外包管理及業(yè)務應用系統(tǒng)運維管理中風險有所增加，應引起高度重視，在后續(xù)開展的審計活動中，應著重分析風險增加的根源，提升信息技術工作管理水平。

三、進一步完善風險評估數據庫的相關建議

（一）集中系統(tǒng)力量，進一步優(yōu)化風險評價指標和方法

人民銀行信息系統(tǒng)復雜多樣，信息系統(tǒng)風險狀況不一，建立并完善信息技術風險評估體系是風險導向型信息技術審計的重點和難點。因此，在現有數據指標的基礎上，必須集中信息技術審計方面的審計骨干，采用“頭腦風暴法”，注重轄區(qū)普遍性與地市中支特殊性相結合，進一步優(yōu)化指標設置及計算方法，提高指標的科學性、可比性以及可操作性。

（二）加強人員培養(yǎng)，進一步打造高素質的信息技術風險評估隊伍

目前人民銀行系統(tǒng)內審計人員大多具有的是金融、會計及管理類學歷，具有信息技術方面的學歷及具體工作經歷的人才匱乏。信息技術風險評估以及數據的有效利用，對審計人員提出了更高的要求，因此，加強審計人員業(yè)務素質培養(yǎng)，選派有信息技術工作經驗的人員充實內審隊伍，打造一批具有較高理論水平和現場操作能力的信息技術風險評估隊伍，是進一步做好風險評估數據庫工作的根本。

（三）加強部門合作，建立跨部門合作機制

進一步深化評估數據在信息技術風險導向中的應用，加強數據評估的準確性和分析的預見性，必須發(fā)揮科技主管部門熟悉本單位信息技術風險、專業(yè)知識豐富的特長，將科技人員的知識儲備與內審人員的風險管理意識有機結合起來。因此，建立跨部門合作機制，集中力量，統(tǒng)籌安排，才能進一步提高評估數據的應用水平。

參考文獻：

[1]翟熙貴，2009：中國審計發(fā)展戰(zhàn)略研究[M]，中國時代經濟出版社

[2]汪壽成，2009：現代風險導向審計[M]，大連出版社

[3]李曉慧，2009：風險管理框架下審計理論與流程研究[M]，東北財經大學出版社。

[4]劉新華，2009：風險導向審計在中央銀行內部審計中的應用研究[J]，金融經濟（2）