蒋峰

摘要：近年来，人民银行信息技术审计确立了以风险为导向的转型思路。科学剖析信息技术管理风险点，明确风险分布及控制水平是开展风险导向审计的前提和基础。因此，人行武汉分行通过积极开展辖区信息技术风险评估工作，汇总形成风险评估数据库，并采取“定期评估、规范操作、动态管理、科学评价”等四项举措，探索了一条以风险评估为基础，明确重点、关注弱点、控制难点的工作模式，促进资源有效配置，进一步提升了工作管理效能。

关键词：人民银行；信息技术审计转型；风险评估；路径研究

在人民银行总行内审司三年内审转型的号召下，人行武汉分行立足审计对象信息化，着重将“风险导向、控制驱动、关注绩效、服务治理、增加价值”五项理念贯穿于内审工作，积极开展信息技术风险导向审计工作。通过收集全辖区信息技术风险评估数据，建立起武汉分行信息技术风险评估数据库，动态反映辖区信息技术风险分布特点，提高风险应对预见性，有效发挥内审作为央行机体有效履职的免疫功能作用。

一、开展风险评估工作是央行深入开展信息技术风险导向审计的基石

在信息技术风险导向审计转型实践中，风险分析不再只应用于审计过程中，而是贯彻从项目组织到实施全过程，通过定量分析信息技术风险水平，确定审计项目实施对象、审计范围和重点，促进提高组织的内部治理和风险管理水平。因此，先期开展风险评估工作是审计转型的坚实基础。

（一）评估数据是风险评估的具体应用和数据表现

信息技术风险评估是开展信息技术风险导向审计的前提，而评估数据统计工作则是以风险评估为抓手，经过合理设计、规范实施以及科学分析形成的经验材料，是风险评估的具体应用和数据表现。通过对评估数据进行再加工，有助于组织梳理目前信息技术管理中存在的风险环节和风险点，帮助被审计单位合理安排资源配置，加强高风险及控制薄弱点的管理，进而有效提升被审计单位的管理水平。

（二）风险评估数据库的建立标志着风险评估常态化工作正式启动

单纯从收集整理某一年的评估数据，对加强信息技术风险管理工作意义不大。只有将信息技术风险评估工作常态化、系统化，定期分析不同年度特定单位风险评估结果，才能真正有助于及时反映该单位由于自然条件、业务发展、人员变动以及控制措施的变化导致的风险点及强弱分布的变化情况，从而更加有针对性的开展风险管理及现场审计工作。因此，建立风险评估数据库，要求内审部门每年均要对信息技术风险加以评估，标志着信息技术风险常态化评估工作正式开始。

（三）风险评估数据库的建立有助于从整体上把握信息技术风险管理水平

人行武汉分行目前下辖38家中心支行及4家直管市支行，机构数量多，分布广。由于各家机构自然条件差异、业务特点不同以及人员业务素质、管理水平有高有低，因此迫切需要从整体上掌握辖区风险分布情况。因此，建立风险评估数据库，可以并通过各家中心支行数据的横向比较，明确所在单位管理工作在全辖的位次，从整体层面把握辖区信息技术风险管控水平。

二、风险评估的指标设计及具体应用

（一）风险评估数据指标设计原则

1.相关性原则。这一原则是指所建立的指标与信息技术管理工作具有较强的相关性。从整体来看，内控环境是影响业务正常开展的重要因素，是指标体系中不可或缺的组成部分；从细节着眼，风险评估数据指标体系应尽可能将信息技术管理工作所有涉及的内容都应该纳入进来。

2.可比性原则。这是指所设置的指标应该便于纵向和横向比较：从纵向上看，指标应该能够反映不同年度间风险管控水平的变化以及不同指标间的重要程度；从横向上看，指标应该能够反映本地区与相邻地区的风险分布差异。

3.重要性原则。这是指在设置风险评估数据指标时，将那些能反映重大情况或者全局的风险指标着重考虑，深入分析。比如，考虑到信息技术管理工作是保障人民银行各项业务正常、稳定开展的重要平台，因此，网络安全及配套设置管理、保密管理与应急处置应该成为数据指标体系的重要组成部分。

（二）风险评估数据指标的具体设置

人行武汉分行以《中国人民银行风险量化评估办法》为蓝本，对辖内信息技术领域风险进行了详细的梳理，同时运用风险矩阵的模型设置及风险计量的方式，具体深入到部分中心支行现场论证，形成了7个主要方面合计321个风险指标，如表1所示。

（三）风险评估数据库的建立及数据解读

1.立足地市风险分布情况，解读风险评估数据。我们按照省份全面分析评估数据，并根据风险值高低进行排序，分值越高，代表蕴含风险越大，越应该优先审计或提高审计频度。

从总体风险情况来看，湖南省的总体风险相比其他两省较高，为高度关注区域，湖北、江西两省总体风险水平类似，为中度关注区域。省会中心支行在接到分行授权审计时，应根据辖内风险自我评估情况，按照风险大小，有重点的开展审计活动。

从湖南省的评估情况来看，CZ、CD、YY1的风险较高，应重点关注。其余地市中支风险相对较小，可根据实际情况，分配资源，开展审计活动。湖北省与江西省解读方式与湖南省雷同，基本情况见表6。

2.立足业务类别风险分布，解读风险评估数据

我们将信息技术风险分为七大类，也就是七个业务类别。根据辖区各单位业务类别的风险评估值，算出各省业务风险平均水平，根据风险评估值高低，确定应予重点关注的业务类别（具体情况，见表7）。

从对比图中，我们可以看出，湖北省在安全及保密管理中风险相对较高；湖南省在

内控环境管理、网络管理、机房与设施管理、业务应用系统运维管理中风险相对较高；江西省在应急和文档管理、采购和外包服务管理中，风险相对较高；在中，江西省存在的风险相对较多。我们在后续开展的审计活动中，应对其重要风险进行详细检查。

3.立足某地市中支2012年及2013年数据，纵向解读基期数据

我们在2012年先期试点了两家地市中心支行评估数据采集。现根据2013年的数据水平，可以有效比较该中心支行在两年中信息技术风险的变化趋势，反映信息技术工作管理水平变化。

从上述对比图中我们可以发现，该中支2013年，在内部控制环境管理、网络管理、采购外包管理及业务应用系统运维管理中风险有所增加，应引起高度重视，在后续开展的审计活动中，应着重分析风险增加的根源，提升信息技术工作管理水平。

三、进一步完善风险评估数据库的相关建议

（一）集中系统力量，进一步优化风险评价指标和方法

人民银行信息系统复杂多样，信息系统风险状况不一，建立并完善信息技术风险评估体系是风险导向型信息技术审计的重点和难点。因此，在现有数据指标的基础上，必须集中信息技术审计方面的审计骨干，采用“头脑风暴法”，注重辖区普遍性与地市中支特殊性相结合，进一步优化指标设置及计算方法，提高指标的科学性、可比性以及可操作性。

（二）加强人员培养，进一步打造高素质的信息技术风险评估队伍

目前人民银行系统内审计人员大多具有的是金融、会计及管理类学历，具有信息技术方面的学历及具体工作经历的人才匮乏。信息技术风险评估以及数据的有效利用，对审计人员提出了更高的要求，因此，加强审计人员业务素质培养，选派有信息技术工作经验的人员充实内审队伍，打造一批具有较高理论水平和现场操作能力的信息技术风险评估队伍，是进一步做好风险评估数据库工作的根本。

（三）加强部门合作，建立跨部门合作机制

进一步深化评估数据在信息技术风险导向中的应用，加强数据评估的准确性和分析的预见性，必须发挥科技主管部门熟悉本单位信息技术风险、专业知识丰富的特长，将科技人员的知识储备与内审人员的风险管理意识有机结合起来。因此，建立跨部门合作机制，集中力量，统筹安排，才能进一步提高评估数据的应用水平。

参考文献：

[1]翟熙贵，2009：中国审计发展战略研究[M]，中国时代经济出版社

[2]汪寿成，2009：现代风险导向审计[M]，大连出版社

[3]李晓慧，2009：风险管理框架下审计理论与流程研究[M]，东北财经大学出版社。

[4]刘新华，2009：风险导向审计在中央银行内部审计中的应用研究[J]，金融经济（2）