基于主动风险控制理论的内审辅助管理系统开发与实践.docxVIP

基于主动风险控制理论的内审辅助管理系统开发与实践 　　摘要：该文将主动风险控制理论与人民银行信息安全的内部审计实际工作相结合，通过分析人民银行基层分支机构中信息安全管理中的一些主要问题，设计开发了内控机制建设系统，有效提升了审计工作的效率和作用，提高了基层央行信息安全治理水平。　　关键词：主动风险控制；内审管理；系统开发　　中图分类号：TP311 文献标识码：A 文章编号：1009--0230-02　　近年来人民银行信息化水平的不断深入，各类重要业务核心系统的集中度越来越高，因此，为了有效提高省会中心支行内控管理水平特别是信息安全的管理水平，太原中支积极开展了多项信息安全管控措施，从基础设施抓起，从日常运维做起。科技处与内审、必威体育官网网址等相关部门合作，开发应用了《太原中支内控机制建设网》应用系统，将主动风险控制理论引入信息安全管理实践，并且利用信息技术手段不断提高内控机制建设水平。　　1 主动风险控制理论概述　　主动风险控制理论来源于现代风险导向审计理念，其核心思想是指审计人员在对被审单位的内部控制充分了解和评估的基础上，分析、判断被审单位的风险点和风险程度，针对不同风险因素、程度采取相应的审计策略，加强对高风险点的实质性测试，将剩余风险降低到最低水平。其主要特征有：一是审计重心前移，传统审计工作侧重于事后监管，对于风险评估、风险预判相对弱化，因此越来越不能满足目前信息安全审计和管理的需要，而主动风险控制理论以风险评估作为审计工作的中心，满足了信息安全管理现实需求；二是采用新的审计思路，通过“总体分析―环节分析―剩余风险分析”的基本思路，来决定审计程序的性质、时间和范围，然后通过实施审计程序及取证的结果，结合重要性的判断，并形成最终的审计意见；三是扩展审计依据内涵，主动风险控制理论将获取审计证据的程序区分为总体程序和具体程序。总体程序包括风险评估程序、控制测试和实质性程序。具体程序包括检查记录和文件、检查有形资产、观察、询问、函证、重新计算、重新执行和分析性程序；四是风险评估以分析测试为中心，风险评估应用了包括检查、调查、询问、穿行测试等多种审计取证方法，其核心是分析性测试的运用。分析性测试主要适用在风险数据分析上；现代风险评估以分析为中心，将管理方法应用到分析性程序中去，开展多元评估，多角度支撑风险评估的结果。　　2 内控机制建设系统功能介绍　　太原中支内控机制建设系统根据太原中支内审处的实际业务需求而进行设计和开发。本系统采用了B/S访问模式和三层数据架构技术，系统主要有四大功能模块分别是：信息浏览、制度建设、档案管理、内控风险评价。　　1） 信息浏览模块，提供了必威体育精装版信息的发布、浏览、维护等操作功能。内控机制建设系统的信息浏览模块，以宣传为主要目标。重点介绍太原中支内审工作相关新闻信息，同时发布全行各处室内控建设必威体育精装版进展等内容。信息管理员通过登录系统信息管理后台进行新闻信息的更新和维护。信息管理操作直观、简洁易于操作。　　2） 制度建设模块，为太原中支各业务部门提供了相关管理制度集中存储和查询的功能。制度建设功能提供了全行各有关处室的工作制度的集中存储、维护和查询平台。既可以为内审工作人员提供日常工作参考也方便各处室工作人员学习和了解本部门各类工作制度。制度建设模块提供了制度关键词模糊查询以及按部门查询等多种查询功能。制度建设模块为了每一个处室设置了一名制度信息管理员，制度信息管理员负责及时更新和维护本部门规章制度，并且系统中设定制度更新提醒功能，定期提示制度信息管理员更新本部门制度内容。　　3） 档案管理模块，主要实现了归档内审部门对各业务部门审计过程中产生的各类检查表格和审计报告功能，同时为进一步内控风险评价提供数据分析基础来源。档案管理功能主要服务于内审部门，非内审部门工作人员将无权进行相关数据查询和访问，从而保证了内审数据的安全性和必威体育官网网址性。　　4） 内控风险管理模块，此模块实现了内控风险管理的一系列功能，主要涉及内控风险评价报告功能、内控风险评价功能、历史审计问题报告、重大事项报告、业务自查等五大部分。其中内控风险评价报告功能主要完成内审部门对于各业务处室的风险评价分析报告的上传、浏览和维护等操作。历史审计问题功能实现了各业务处室各时期审计问题的汇总，提供业务处室风险评价历史依据。内控风险评价功能中设计了五维内控风险评价体系，分别从控制环境、风险识别及应对、控制活动、信息与沟通和监控这五个方面对被审计对象，进行数值指标评价及计算，通过计算各评价对象参考值与实际值偏离度，形成重点风险审计对象关注值，值越大说明此项风险越高，提示内审人员和相关业务处室工作人员重点注意。通过一系列的数据分析，量化了风险管理现状，实现了风险管理的前瞻性提示、针对性检查与有效性整改等目标。下图为风险评价五维体系说明图。