樊良，孫登昕

（人民銀行菏澤市中支巨野縣支行，山東菏澤274000）

風(fēng)險導(dǎo)向下人民銀行信息技術(shù)審計模型構(gòu)建

樊良，孫登昕

（人民銀行菏澤市中支巨野縣支行，山東菏澤274000）

中央銀行的業(yè)務(wù)工作對信息技術(shù)的依賴程度不斷提高，信息安全和技術(shù)風(fēng)險問題也日益受到關(guān)注，在人民銀行系統(tǒng)全面開展信息技術(shù)審計應(yīng)得到各部門的高度重視。信息技術(shù)審計是面對計算機(jī)信息系統(tǒng)的審計，其目標(biāo)是通過對計算機(jī)信息系統(tǒng)資產(chǎn)所面臨的威脅、脆弱性識別以及管理和環(huán)境風(fēng)險水平計算，來評估審計對象科技信息安全狀態(tài)和存在的不足的流程，探索建立人民銀行信息科技審計模型，發(fā)現(xiàn)和識別在科技信息系統(tǒng)的風(fēng)險點和控制薄弱環(huán)節(jié)，提出有針對性的意見和建議，促進(jìn)和維護(hù)計算機(jī)系統(tǒng)的合規(guī)性、安全性、可靠性及有效性。

人民銀行；信息技術(shù)；風(fēng)險導(dǎo)向?qū)徲?/p>

一、人民銀行信息技術(shù)審計中風(fēng)險導(dǎo)向內(nèi)審模式的構(gòu)建思路

隨著信息化的迅猛發(fā)展，信息技術(shù)已經(jīng)滲透到各個金融管理和服務(wù)領(lǐng)域。中央銀行的業(yè)務(wù)工作對信息技術(shù)的依賴程度不斷提高，信息安全和技術(shù)風(fēng)險問題也日益受到關(guān)注，在人民銀行系統(tǒng)全面開展信息技術(shù)審計應(yīng)得到各部門的高度重視。信息技術(shù)審計是面對計算機(jī)信息系統(tǒng)的審計，其目標(biāo)是通過對計算機(jī)信息系統(tǒng)資產(chǎn)所面臨的威脅、脆弱性識別，以及管理和環(huán)境風(fēng)險水平計算，來評估審計對象科技信息安全狀態(tài)和存在的不足的流程，探索建立人民銀行信息科技審計模型，發(fā)現(xiàn)和識別在科技信息系統(tǒng)的風(fēng)險點和控制薄弱環(huán)節(jié)，提出有針對性的意見和建議，促進(jìn)和維護(hù)計算機(jī)系統(tǒng)的合規(guī)性、安全性、可靠性及有效性。

二、人民銀行信息技術(shù)審計風(fēng)險評估指標(biāo)體系構(gòu)建

（一）資產(chǎn)重要性識別

資產(chǎn)是具有價值的信息或資源，是安全策略保護(hù)的對象。它能夠以多種形式存在，有無形的、有形的，有硬件、軟件，有文檔、代碼，也有服務(wù)、形象等。機(jī)密性、完整性和可用性是評價資產(chǎn)的三個安全屬性。信息科技審計中資產(chǎn)的價值不僅僅以資產(chǎn)的賬面價格來衡量，而是由資產(chǎn)在這三個安全屬性上的達(dá)成程度或者其安全屬性未達(dá)成時所造成的影響程度來決定的。安全屬性達(dá)成程度的不同將使資產(chǎn)具有不同的價值，而資產(chǎn)面臨的威脅、存在的脆弱性、以及已采取的安全措施都將對資產(chǎn)安全屬性的達(dá)成程度產(chǎn)生影響。根據(jù)資產(chǎn)的表現(xiàn)形式，可將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、文檔、服務(wù)、人員等類。

通過對資產(chǎn)的機(jī)密性、完整性和可用性綜合分析評定，可以對被審計資產(chǎn)的重要性給出一個評估結(jié)論。筆者將資產(chǎn)重要性劃分為五級，級別越高表示資產(chǎn)重要性程度越高。具體見表1。

（二）資產(chǎn)威脅識別

表1 資產(chǎn)重要性等級劃分

威脅是一種對組織及其資產(chǎn)構(gòu)成潛在破壞的可能性因素，是客觀存在的。造成威脅的因素可分為人為因素和環(huán)境因素。根據(jù)威脅的動機(jī)，人為因素又可分為惡意和無意兩種。環(huán)境因素包括自然界不可抗的因素和其它物理因素。威脅作用形式可以是對信息系統(tǒng)直接或間接的攻擊，例如非授權(quán)的泄露、篡改、刪除等，在機(jī)密性、完整性或可用性等方面造成損害；也可能是偶發(fā)的、或蓄意的事件。根據(jù)人民銀行科技信息工作實際，根據(jù)表現(xiàn)形式，威脅主要分為以下幾類。見表2。

表2 一種基于表現(xiàn)形式的威脅分類

判斷威脅出現(xiàn)的頻率是威脅識別的重要工作，審計人

員應(yīng)根據(jù)經(jīng)驗和（或）科技部門提供的有關(guān)的統(tǒng)計數(shù)據(jù)來進(jìn)行判斷。根據(jù)人民銀行工作實踐，判斷依據(jù)主要包括以下三個方面。

1.以往安全事件報告中出現(xiàn)過的威脅及其頻率的統(tǒng)計。

2.實際環(huán)境中通過檢測工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計。

3.近一兩年來國際組織發(fā)布的對于整個社會或特定行業(yè)的威脅及其頻率統(tǒng)計，以及發(fā)布的威脅預(yù)警。

威脅頻率等級劃分為五級，分別代表威脅出現(xiàn)的頻率的高低。等級數(shù)值越大，威脅出現(xiàn)的頻率越高。表3提供了威脅出現(xiàn)頻率的一種賦值方法。

表3 威脅賦值表

（三）資產(chǎn)脆弱性識別

脆弱性是對一個或多個資產(chǎn)弱點的總稱。脆弱性識別也稱為弱點識別，弱點是資產(chǎn)本身存在的，如果沒有相應(yīng)的威脅發(fā)生，單純的弱點本身不會對資產(chǎn)造成損害。而且如果系統(tǒng)足夠強(qiáng)健，再嚴(yán)重的威脅也不會導(dǎo)致安全事件，并造成損失。即，威脅總是要利用資產(chǎn)的弱點才可能造成危害。

脆弱性識別將針對每一項需要保護(hù)的資產(chǎn)，找出可能被威脅利用的弱點，并對脆弱性的嚴(yán)重程度進(jìn)行評估。脆弱性識別時的數(shù)據(jù)應(yīng)來自于資產(chǎn)的所有者、使用者，以及相關(guān)業(yè)務(wù)領(lǐng)域的專家和軟硬件方面的專業(yè)等人員。脆弱性識別所采用的方法主要有：問卷調(diào)查、工具檢測、人工核查、文檔查閱、滲透性測試等。

脆弱性識別主要從技術(shù)和管理兩個方面進(jìn)行，技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個層面的安全問題。管理脆弱性又可分為技術(shù)管理和組織管理兩方面，前者與具體技術(shù)活動相關(guān)，后者與管理環(huán)境相關(guān)。具體識別內(nèi)容見表4。

可以根據(jù)對資產(chǎn)損害程度、技術(shù)實現(xiàn)的難易程度、弱點流行程度，采用等級方式對已識別的脆弱性的嚴(yán)重程度進(jìn)行賦值。脆弱性由于很多弱點反映的是同一方面的問題，應(yīng)綜合考慮這些弱點，最終確定這一方面的脆弱性嚴(yán)重程度。對某個資產(chǎn)，其技術(shù)脆弱性的嚴(yán)重程度受到組織的管理脆弱性的影響。因此，資產(chǎn)的脆弱性賦值還應(yīng)參考技術(shù)管理和組織管理脆弱性的嚴(yán)重程度。

脆弱性嚴(yán)重程度的等級劃分為五級，分別代表資產(chǎn)脆弱性嚴(yán)重程度的高低。等級數(shù)值越大，脆弱性嚴(yán)重程度越高。見表5。

（四）風(fēng)險分析

審計人員在完成了資產(chǎn)識別、威脅識別、脆弱性識別，將采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，考慮安全事件一旦發(fā)生其所作用的資產(chǎn)的重要性及脆弱性的嚴(yán)重程度判斷安全事件造成的損失對組織的影響，即安全風(fēng)險。風(fēng)險計算以下面的范式形式化加以說明：

表4 脆弱性識別內(nèi)容

表5 脆弱性嚴(yán)重程度賦值表

風(fēng)險值=R（A，T，V）=R(L(T，V)，F(xiàn)(Ia，Va))

其中，R表示安全風(fēng)險計算函數(shù)；A表示資產(chǎn)；T表示威脅；V表示脆弱性；Ia表示安全事件所作用的資產(chǎn)重要程度；Va表示脆弱性嚴(yán)重程度；L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性；F表示安全事件發(fā)生后產(chǎn)生的損失。有以下三個關(guān)鍵計算環(huán)節(jié)。

1.計算安全事件發(fā)生的可能性

根據(jù)威脅出現(xiàn)頻率及脆弱性狀況，計算威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，即：

安全事件發(fā)生的可能性=L(威脅出現(xiàn)頻率，脆弱性)＝L (T，V)

在具體評估中，應(yīng)綜合攻擊者技術(shù)能力（專業(yè)技術(shù)程度、攻擊設(shè)備等）、脆弱性被利用的難易程度（可訪問時間、設(shè)計和操作知識公開程度等）以及資產(chǎn)吸引力等因素來判斷安全事件發(fā)生的可能性。

2.計算安全事件發(fā)生后的損失

根據(jù)資產(chǎn)重要程度及脆弱性嚴(yán)重程度，計算安全事件一旦發(fā)生后的損失，即：

安全事件的影響=F(資產(chǎn)重要程度，脆弱性嚴(yán)重程度)＝F(Ia，Va)

部分安全事件的發(fā)生造成的影響不僅僅是針對該資產(chǎn)本身，還可能影響業(yè)務(wù)的連續(xù)性；不同安全事件的發(fā)生對組織造成的影響也是不一樣的。在計算某個安全事件的損失時，應(yīng)將對組織的影響也考慮在內(nèi)。

3.計算風(fēng)險值

根據(jù)計算出的安全事件發(fā)生的可能性以及安全事件的

損失，計算風(fēng)險值，即：

風(fēng)險值=R(安全事件發(fā)生的可能性，安全事件的損失)＝R(L(T，V)，F(xiàn)(Ia，Va))

具體計算方法可以采用風(fēng)險矩陣測量法。

這種方法的特點是根據(jù)以上過程事先估算的資產(chǎn)價值、威脅等級和脆弱性等級賦值建立一個對應(yīng)矩陣，預(yù)先將風(fēng)險等級進(jìn)行了確定。然后根據(jù)不同資產(chǎn)的賦值從矩陣中確定不同的風(fēng)險。資產(chǎn)風(fēng)險判別矩陣如表6所示。

表6 資產(chǎn)風(fēng)險判別矩陣

對于每一資產(chǎn)的風(fēng)險，都將考慮資產(chǎn)價值、威脅等級和脆弱性等級。例如，如果資產(chǎn)值為3，威脅等級為“高”，脆弱性為“低”。查表可知風(fēng)險值為5。如果資產(chǎn)值為2，威脅為“低”，脆弱性為“高”，則風(fēng)險值為4。由上表可以推知，風(fēng)險矩陣會隨著資產(chǎn)值的增加、威脅等級的增加和脆弱性等級的增加而擴(kuò)大。

當(dāng)一個資產(chǎn)是由若干個子資產(chǎn)構(gòu)成時，可以先分別計算子資產(chǎn)所面臨的風(fēng)險，然后計算總值。例如：系統(tǒng)S有三種資產(chǎn)A1，A2，A3。并存在兩種威脅：T1，T2。設(shè)資產(chǎn)A1的值為3，A2的值為2，A3的值為4。如果對于A1和T1，威脅發(fā)生的可能性為“低”，脆弱性帶來的損失是“中”，則頻率值為1（見表1）。則A1的風(fēng)險為4。同樣，設(shè)A2的威脅可能性為“中”，脆弱性帶來損失為“高”，得風(fēng)險值為6。對每種資產(chǎn)和相應(yīng)威脅計算其總資產(chǎn)風(fēng)險值。總系統(tǒng)分?jǐn)?shù)ST=A1T +A2T+A3T。這樣可以比較不同系統(tǒng)來建立優(yōu)先權(quán)，并在同一系統(tǒng)內(nèi)區(qū)分各資產(chǎn)。

（五）風(fēng)險結(jié)果判定

風(fēng)險等級劃分為五級，等級越高，風(fēng)險越高。審計人員應(yīng)根據(jù)所采用的風(fēng)險計算方法為每個等級設(shè)定風(fēng)險值范圍，并對所有風(fēng)險計算結(jié)果進(jìn)行等級處理，最終給予審計對象一個審計結(jié)果。見表7。

表7 風(fēng)險等級劃分表

人民銀行應(yīng)當(dāng)綜合考慮風(fēng)險控制成本與風(fēng)險造成的影響，提出一個可接受風(fēng)險閾值。對某些風(fēng)險，如果評估值小于或等于可接受風(fēng)險閾值，是可接受風(fēng)險，可保持已有的安全措施；如果評估值大于可接受風(fēng)險閾值，是不可接受風(fēng)險，則需要采取安全措施以降低、控制風(fēng)險。安全措施的選擇應(yīng)兼顧管理與技術(shù)兩個方面，可以參照信息安全的相關(guān)標(biāo)準(zhǔn)實施。

在對于不可接受風(fēng)險選擇適當(dāng)?shù)陌踩胧┖?，為確保安全措施的有效性，可進(jìn)行再審計，以判斷實施安全措施后的殘余風(fēng)險是否已經(jīng)降低到可接受的水平。

某些風(fēng)險可能在選擇了適當(dāng)?shù)陌踩胧┖笕蕴幱诓豢山邮艿娘L(fēng)險范圍內(nèi)，應(yīng)考慮是否接受此風(fēng)險或進(jìn)一步增加相應(yīng)的安全措施。

三、人民銀行信息技術(shù)審計中應(yīng)注意的問題

在信息技術(shù)審計中如何堅持風(fēng)險導(dǎo)向?qū)徲嬍且粋€不斷摸索、不斷總結(jié)提高的過程。筆者認(rèn)為，只有不斷積累風(fēng)險數(shù)據(jù)信息，持之以恒的加強(qiáng)人才培養(yǎng)，新舊審計模式互為補充，才能更進(jìn)一步發(fā)揮好內(nèi)部審計職能。因此，應(yīng)注意以下幾點。

（一）建立動態(tài)的風(fēng)險信息數(shù)據(jù)庫，為運用現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嬆Ｊ教峁┬畔⒒A(chǔ)

由于內(nèi)部審計時間資源有限，不可能對所有的監(jiān)督內(nèi)容和所有的環(huán)節(jié)進(jìn)行全面監(jiān)督，比較科學(xué)的辦法是建立一個完整的審計風(fēng)險模型，對造成審計風(fēng)險的多種因素進(jìn)行全面分析和評估，發(fā)現(xiàn)被審計單位內(nèi)部控制中的薄弱環(huán)節(jié)，確定審計的重點和范圍，從而制定更具有針對性的審計策略。

（二）新型審計模式的運用并不意味著舊審計模式的消亡

風(fēng)險導(dǎo)向?qū)徲嬍窃趥鹘y(tǒng)審計模式基礎(chǔ)上發(fā)展起來的新型審計模式，立足于對被審計對象整體風(fēng)險管理進(jìn)行系統(tǒng)審查、分析和評價，并以此確定審計策略及審計計劃。因此，必須注重新舊審計模式的有機(jī)結(jié)合。將風(fēng)險導(dǎo)向?qū)徲嬂砟钊谌雮鹘y(tǒng)審計模式，可以使傳統(tǒng)審計項目內(nèi)容得以擴(kuò)展，審計更加靈活，更好地堅持全面審計、突出重點的原則。

（三）重視信息技術(shù)審計人才的培養(yǎng)，為風(fēng)險導(dǎo)向?qū)徲嬏峁┲橇χС?/p>

人民銀行運用風(fēng)險導(dǎo)向?qū)徲嫹椒?，不僅要求內(nèi)部審計人員熟練掌握有關(guān)規(guī)章制度，還要求審計人員利用審計職業(yè)獨特的判斷力，在實際運用中對審計風(fēng)險點加以判斷。因此，復(fù)合型人才培養(yǎng)與儲備是運用風(fēng)險導(dǎo)向?qū)徲嫹椒ū夭豢缮俚那疤釛l件。要通過各類后續(xù)教育及培訓(xùn)，進(jìn)一步更新內(nèi)部審計人員業(yè)務(wù)知識，提升專業(yè)勝任能力，逐步建立起具有現(xiàn)代知識素養(yǎng)和職業(yè)水平的內(nèi)部審計干部隊伍。

（四）加快輔助審計軟件的開發(fā)及應(yīng)用，為風(fēng)險導(dǎo)向?qū)徲嬏峁┘夹g(shù)支持

隨著信息技術(shù)的發(fā)展，審計技術(shù)手段日新月異。在風(fēng)險導(dǎo)向模式下，加強(qiáng)審計信息化建設(shè)十分重要。通過搭建信息收集和監(jiān)測平臺，開發(fā)和應(yīng)用計算機(jī)輔助審計軟件，迅速有效地完成各項審計信息的審核工作，將內(nèi)部審計人員從機(jī)械性檢查中解放出來，把主要精力用在對重要業(yè)務(wù)系統(tǒng)、重要業(yè)務(wù)環(huán)節(jié)的監(jiān)控和評價上，從而減少審計成本、提升審計效率。

[1]中國人民銀行福州中心支行內(nèi)審處.借鑒風(fēng)險導(dǎo)向型審計拓展央行內(nèi)審新領(lǐng)域[J].福建金融，2007(10).

[2]羅伯特·莫勒爾.布林克現(xiàn)代內(nèi)部審計學(xué)[M].北京：中國時代經(jīng)濟(jì)出版社，2005.

[3]孫曉，馬鵬飛.人民銀行信息技術(shù)應(yīng)用的風(fēng)險管理研究——基于審計角度的分析[J].金融會計，2011(12).

[4]李帆，駱鈺.風(fēng)險導(dǎo)向?qū)徲嬆Ｊ皆谌嗣胥y行內(nèi)部審計中的運用研究[J].武漢金融，2009(9).

[5]林久榮.中央銀行風(fēng)險導(dǎo)向?qū)徲嬆Ｊ教接慬J].審計監(jiān)督，2009(2).

［責(zé)任編輯：王鑫］

F830

A

1005-913X（2015）12-0113-03

2015-10-09

樊良(1963-)，男，山東鄆城人，經(jīng)濟(jì)師，研究方向：金融審計。