第一章 绪论
第一节 研究背景与意义
一、研究背景
作为我国的中央银行,人民银行承担着货币发行、支付清算和经营国库等重要职能。央行信息安全是保证所有银行和财政账户资金安全的基本保障,因此基层央行的信息安全是所有银行信息安全管理开展的基础。随着基层央行信息化的快速发展,特别是大数据、云计算等新技术的广泛应用,信息安全风险管控压力越来越大,信息安全保障成为难题。目前,信息安全在内部控制和运行维护等方面面临着严重威胁:人为破坏与失误、非法入侵、设备故障、数据误用与丢失、恐怖活动等因素都威胁着人民银行的信息安全。这些问题的存在给基层央行的信息安全管理带来了一定的影响,同时也给大众的资金、财产安全带来了威胁(如 2016 年,孟加拉央行被黑客窃走 8100 万美元,俄罗斯央行被黑客窃走 3100 万美元等)。在信息技术日益发展的今天,应当对信息安全问题引起足够的重视,并对之采取一系列措施,以便降低风险,保障人民银行各项业务运营的安全。
本文结合信息安全管理和风险导向内部审计的相关理论,对基层央行信息安全风险管理体系进行研究。通过阐述基层央行信息安全管理风险导向内部审计现状,分析基层央行开展信息安全管理审计工作存在的现实问题,并且结合某市支行信息安全风险导向内部审计这一案例,归纳总结审计经验,提出完善基层央行信息安全管理风险导向内部审计的路径,以期给其他支行提供充分借鉴和有益建议。
二、研究意义
(一)理论意义
本文基于信息安全管理和风险导向内部审计理论,对基层央行信息安全风险管理体系进行研究,深入分析基层人民银行信息安全管理内部审计现状与存在问题,并从基层人民银行信息安全管理风险导向内部审计的实践经验出发,在理论上对如何完善基层央行信息安全管理风险导向内部审计的路径做了初步、有益的探索和尝试。
(二)现实意义
基层央行连接着基层财政、税务、各商业银行,给政府相关部门、银行分支机构并最终面向企业、个人提供金融、征信服务,其信息安全至关重要,一旦遭受破坏或发生故障,将可能影响本辖区的经济稳定。因此,开展基层央行信息安全管理风险导向内部审计的探索与实践研究,有着十分重要的意义。本文试结合 QZ 市支行对辖区 A 支行信息安全管理风险导向审计的具体情况,通过梳理其审计过程与方法,归纳总结其提高QZ 市支行及其辖区的信息安全管理的审计整改成效,以期为其他分支机构提供一定的参考和借鉴,进而维护辖区金融稳定。
........................
第二节 研究内容与方法
一、研究内容
本文共分为七章,具体内容如下:
第一章,绪论。该部分包含研究背景与研究意义、研究内容和研究方法,提出本文的技术路线图,同时指出本文可能的创新点。
第二章,概念界定和文献综述。该部分主要是对信息安全管理风险导向内部审计这一概念进行界定,同时,对信息安全管理理论和风险导向内部审计理论进行研究,也对信息安全管理和风险导向内部审计相关的文献进行系统性梳理回顾与总结,最后进行文献述评。
第三章,我国基层央行的信息安全风险管理体系研究。本章先从银行业操作风险开展描述,随后阐述了基层央行信息安全风险,以及探讨了基层央行信息安全风险评估模型的构建。
第四章,基层央行信息安全管理风险导向内部审计的现状及问题研究。该部分主要是探讨基层央行信息安全管理内部审计现状与主要问题。
第五章,基层央行信息安全管理的风险导向内部审计案例研究。该部分主要研究QZ 市支行内审部门如何将风险导向审计运用于基层央行信息安全管理,剖析 QZ 市支行风险评估体系,梳理审计过程与方法,归纳总结审计成效。
第六章,完善基层央行信息安全管理风险导向审计模式的路径。该部分主要是基于以上对 QZ 市支行案例的分析,从六个方面探讨如何完善基层央行信息安全管理风险导向内部审计模式。
第七章,研究结论。该部分主要是得出研究结论,着重阐述研究的创造性成果以及在本研究领域中的意义,对研究结果进行总结的基础上进一步提出本文局限和研究展望。
.......................
第二章 概念界定与文献综述
第一节 概念界定与相关理论
一、风险导向内部审计
McNamee(1997)提出在企业风险管理基础上建立风险导向内部审计模式,并提出其路径应该是目标—风险—控制。大部分学者认为风险导向审计是指在审计的各个环节,内部审计人员都应当关注审计风险,关键审计事项应当根据风险来选择,并依据风险出具审计报告。
近几年,风险导向内部审计在人民银行开展了积极探索和应用,但是各分支机构对于审计方法和审计深度上不尽相同。人民银行风险导向内部审计的一般流程大致分为风险识别、风险评估和风险应对这三个方面。风险识别包括执行审计是之前的调查并制定总体上的审计方案等;风险评估包括风险评估模型的设计、对于评估结果的评价等;风险应对阶段包括确定审计频率、制定审计方案、完成审计报告等。
笔者认为,基层央行信息安全管理风险导向内部审计指的是以风险评估结果为导向,对信息系统进行有重点的检查、评价和监督,发现存在问题,揭示风险隐患,提出针对性的风险防控建议,以保障基层央行各业务系统的安全、高效、稳定运行。基层央行信息安全管理风险导向内部审计程序可以划分为四个阶段,分别是审前调查准备阶段、现场实施审计程序阶段、编制审计底稿及出具审计报告阶段与后续情况跟踪阶段。信息安全管理风险导向内部审计的各个环节开展均应关注审计风险,风险导向内部审计的关键是突出重点环节,做深做细。
(一)风险导向内部审计理论
1、受托责任理论
受托责任理论认为,内部审计的需求源于所有权、管理权、收益权和经营权分离后产生的委托代理问题。受托人接受的受托责任若以组织为划分边界,则来自内部和外部两个方面,因而产生了治理与管理两个层面的受托责任系统(王光远,1996)。
学术界广泛认为,内部审计的理论基础是基于受托责任理论。王光远、瞿曲(2006)指出:“内部审计是一种在股东、高级管理层、董事会之间形成的受托责任关系中的治理机制。当内部审计履行确认职能时,能降低信息不对称,有效增强信息可信度,对于合约的签订及执行产生有利影响;当履行咨询职能时,能优化控制环境,营造良好的受托责任环境,受托责任履行的有效性得以确保”。在受托责任观下,由于受托责任明确了内部审计的治理目标,从本质上决定了各种因素的影响路径和范围,也决定了内部审计的职能边界。因此,确保受托责任的有效履行成为了内部审计产生与发展的源动力。在风险导向审计阶段,受托责任之间的关系和内部控制、公司治理发生了一点变化,受托责任更多地与风险相结合,风险导向内部审计成为确保受托责任有效履行的管控机制。
.............................
第二节 文献综述
一、风险导向内部审计
(一)国外相关研究现状
1、风险导向内部审计的必然性研究
Moizer(2010)研究发现,风险导向审计是传统审计模式的新发展,它对传统模式进行完善和创新,是审计发展的必然产物。Bojida(2011)认为,随着信息技术的发展,企业业务呈现出愈发复杂的态势,这对审计而言带来了不小的困难。若是延续着传统模式下面面俱到的方法,则无法高效地管理企业资产,在这一背景下诞生的风险导向内部审计显得尤为重要。Abidin(2017)通过实证研究发现,风险管理制度与风险导向审计的实施存在显著正相关关系。从经验上看,研究结果还表明,一个更加形式化的风险环境将促进强有力的风险意识文化存在,从而为内审部门实施风险导向审计提供强有力的基础。
2、风险导向内部审计的概念界定研究
IIA(2003)认为内部审计价值增值对企业的发展至关重要,它将内部审计的界定为一种独立、客观的确认和咨询活动。而实现内审价值增值的最佳途径即确认和咨询活动,它通过系统的、规范的方法评价并改善内部控制、风险管理和治理过程,帮助企业实现战略目标与经营目标。Spira(2003)和其他国外学者在风险导向内部审计的界定上基本认同 IIA 所提出的定义。他认为,在审计的整个过程中,内部审计人员应当自始至终将风险作为导向,并以此确定审计重点,帮助公司实现目标。
3、风险导向内部审计的主要任务
Philna(2014)认为风险导向内部审计的作用在于确保项目高效地执行,关键风险得到解决,并确保稀缺的内部审计资源优化使用。他在实证研究中发现,内部审计在执行审计时不愿使用纯粹的基于风险的方法,而仍然倾向于基于控制的方法。Hasan(2015)阐述了风险管理(全面与有效性)、内部控制(健全与实效性)与企业治理(治理环境、程序与过程)的联系。他认为风险导向内部审计的必须强化内部控制,其主要任务是监控企业风险管理活动,并在风险管理方面向高级管理人员提供咨询服务。
..........................
第三章 我国基层央行的信息安全风险管理体系研究 ............................ 19
第一节 基层央行操作风险 ................................................ 19
第二节 基层央行信息安全风险 ....................................... 21
第四章 基层央行信息安全管理风险导向内部审计的现状及问题研究 ............................ 25
第一节 基层央行信息安全管理的内部审计现状 ....................... 25
第二节 基层央行信息安全管理内部审计工作中的主要问题及原因分析 ................... 26
第五章 基层央行信息安全管理的风险导向内部审计案例研究 ............................ 28
第一节 案例背景 .................................. 28
第二节 QZ 市支行风险评估体系 .......................... 28
第六章 完善基层央行信息安全管理风险导向内部审计模式的路径
第一节 增强支行各部门风险管控意识
QZ 市支行通过信息安全风险导向审计的实施,支行各部门对照审计方案,跳出固有思维模式从风险防范角度出发,对相关制度进行一次再梳理,对岗位工作进行一次再审视,进一步明确信息安全管理工作各环节存在的风险点,从客观与主观两个层面考虑业务差错发生的可能性以及造成不良后果的严重性,增强了全员风险防控的自觉性。最终形成行领导重视内控、各部门狠抓内控,重要岗位设置内控、业务人员自觉内控的科学管理格局。因此,笔者认为风险管控意识可以通过以下两点增强:
首先,对内部风险的防范和控制的重视,是人民银行总行、各分支机构及其辖区管理人员所必修的任务。各单位领导层需要将风险管控意识以及理念融入规章制度,根据相关理论体系与实践经验制定风险管控措施。
其次,除了各单位领导层外,还应当在全行上下、各个岗位均提倡参与风险管控工作,使全体员工了解自身的风险以及相关岗位的风险。对员工加强风险培训,让全体员工具有相应的风险识别和管控能力,以此促使全行建立相对成熟的、实用性强的、为员工所知晓的管控体系和标准,最终促使全行形成有着良好风险管控意识的单位文化与工作环境。
其次,内审部门人员要发挥领头者作用,内审部门应当更加熟练掌握及运用风险导向审计模式,以风险为着眼点,做好内部审计的确认与咨询服务,在基层央行的各项活动中均应当提高风险意识,加强内部控制管控,对关键活动环节与岗位领域保持持续主动的监测,达到“风险引导审计,审计控制风险”的目标。
...........................
研究结论
基层央行信息化随着互联网大数据等新技术的发展而不断提升,信息安全风险管控压力越来越大,信息安全保障成为难题。因此,需要开展信息安全管理风险导向内部审计,完善基层央行信息安全管理风险导向内部审计模式,从风险的角度入手,提高信息安全管理工作,最终保障基层人民银行各项业务的稳健经营。本文结合信息安全管理和风险导向内部审计的相关理论,以风险导向为切入点,对基层央行信息安全风险管理体系进行研究。在分析评价基层央行信息安全管理内部审计现状与主要问题的基础上,结合基层人民银行市支行信息安全管理风险导向内部审计的案例,深入分析其审计过程和方法中存在的薄弱环节和安全隐患,并对其审计经验进行总结。最后,本文依据案例审计经验,提出完善基层央行信息安全管理风险导向内部审计模式的路径,希望能给其他支行提供充分借鉴和有益建议。主要结论如下:
(1)本文通过理论分析得出将风险导向内部审计运用于基层央行信息安全管理工作的适用性,两者的巧妙结合有利于内部审计更好地识别、评估以及降低信息安全风险。既有利于基层央行信息安全管理能力的提高,又有利于提高内部审计工作效率。
(2)本文从风险导向审计模式入手,探索性地从资产重要性等级、威胁等级和脆弱性等级等维度构建了信息安全风险评估模型,较为科学地量化了基层央行信息安全风险,
同时优化了审计资源的配置效率与效果。
(3)本文试结合 QZ 市支行对辖区 A 县支行信息安全管理风险导向审计的具体情况,对其审计经验进行总结并推广。文章从风险管控意识、风险评估模型、信息数据库建设、内部审计职责、内审人才建设和支行文化建设这六个方面提出完善基层央行信息安全管理风险导向内部审计模式的路径。
本文的创新点在于研究不仅关注基层央行信息安全管理,更注重风险导向内部审计在基层央行信息安全审计中的应用。同时,该案例中的支行特色风险导向内部审计模式也可以为完善信息安全管理风险导向审计模式提供一些值得借鉴的地方,并对人民银行其他分支机构提供一定的参考。
参考文献(略)