風(fēng)險(xiǎn)導(dǎo)向下人民銀行信息技術(shù)審計(jì)模型構(gòu)建

樊良，孫登昕

（人民銀行菏澤市中支巨野縣支行，山東菏澤274000）

風(fēng)險(xiǎn)導(dǎo)向下人民銀行信息技術(shù)審計(jì)模型構(gòu)建

樊良，孫登昕

（人民銀行菏澤市中支巨野縣支行，山東菏澤274000）

中央銀行的業(yè)務(wù)工作對(duì)信息技術(shù)的依賴(lài)程度不斷提高，信息安全和技術(shù)風(fēng)險(xiǎn)問(wèn)題也日益受到關(guān)注，在人民銀行系統(tǒng)全面開(kāi)展信息技術(shù)審計(jì)應(yīng)得到各部門(mén)的高度重視。信息技術(shù)審計(jì)是面對(duì)計(jì)算機(jī)信息系統(tǒng)的審計(jì)，其目標(biāo)是通過(guò)對(duì)計(jì)算機(jī)信息系統(tǒng)資產(chǎn)所面臨的威脅、脆弱性識(shí)別以及管理和環(huán)境風(fēng)險(xiǎn)水平計(jì)算，來(lái)評(píng)估審計(jì)對(duì)象科技信息安全狀態(tài)和存在的不足的流程，探索建立人民銀行信息科技審計(jì)模型，發(fā)現(xiàn)和識(shí)別在科技信息系統(tǒng)的風(fēng)險(xiǎn)點(diǎn)和控制薄弱環(huán)節(jié)，提出有針對(duì)性的意見(jiàn)和建議，促進(jìn)和維護(hù)計(jì)算機(jī)系統(tǒng)的合規(guī)性、安全性、可靠性及有效性。

人民銀行；信息技術(shù)；風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)

一、人民銀行信息技術(shù)審計(jì)中風(fēng)險(xiǎn)導(dǎo)向內(nèi)審模式的構(gòu)建思路

隨著信息化的迅猛發(fā)展，信息技術(shù)已經(jīng)滲透到各個(gè)金融管理和服務(wù)領(lǐng)域。中央銀行的業(yè)務(wù)工作對(duì)信息技術(shù)的依賴(lài)程度不斷提高，信息安全和技術(shù)風(fēng)險(xiǎn)問(wèn)題也日益受到關(guān)注，在人民銀行系統(tǒng)全面開(kāi)展信息技術(shù)審計(jì)應(yīng)得到各部門(mén)的高度重視。信息技術(shù)審計(jì)是面對(duì)計(jì)算機(jī)信息系統(tǒng)的審計(jì)，其目標(biāo)是通過(guò)對(duì)計(jì)算機(jī)信息系統(tǒng)資產(chǎn)所面臨的威脅、脆弱性識(shí)別，以及管理和環(huán)境風(fēng)險(xiǎn)水平計(jì)算，來(lái)評(píng)估審計(jì)對(duì)象科技信息安全狀態(tài)和存在的不足的流程，探索建立人民銀行信息科技審計(jì)模型，發(fā)現(xiàn)和識(shí)別在科技信息系統(tǒng)的風(fēng)險(xiǎn)點(diǎn)和控制薄弱環(huán)節(jié)，提出有針對(duì)性的意見(jiàn)和建議，促進(jìn)和維護(hù)計(jì)算機(jī)系統(tǒng)的合規(guī)性、安全性、可靠性及有效性。

二、人民銀行信息技術(shù)審計(jì)風(fēng)險(xiǎn)評(píng)估指標(biāo)體系構(gòu)建

（一）資產(chǎn)重要性識(shí)別

資產(chǎn)是具有價(jià)值的信息或資源，是安全策略保護(hù)的對(duì)象。它能夠以多種形式存在，有無(wú)形的、有形的，有硬件、軟件，有文檔、代碼，也有服務(wù)、形象等。機(jī)密性、完整性和可用性是評(píng)價(jià)資產(chǎn)的三個(gè)安全屬性。信息科技審計(jì)中資產(chǎn)的價(jià)值不僅僅以資產(chǎn)的賬面價(jià)格來(lái)衡量，而是由資產(chǎn)在這三個(gè)安全屬性上的達(dá)成程度或者其安全屬性未達(dá)成時(shí)所造成的影響程度來(lái)決定的。安全屬性達(dá)成程度的不同將使資產(chǎn)具有不同的價(jià)值，而資產(chǎn)面臨的威脅、存在的脆弱性、以及已采取的安全措施都將對(duì)資產(chǎn)安全屬性的達(dá)成程度產(chǎn)生影響。根據(jù)資產(chǎn)的表現(xiàn)形式，可將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、文檔、服務(wù)、人員等類(lèi)。

通過(guò)對(duì)資產(chǎn)的機(jī)密性、完整性和可用性綜合分析評(píng)定，可以對(duì)被審計(jì)資產(chǎn)的重要性給出一個(gè)評(píng)估結(jié)論。筆者將資產(chǎn)重要性劃分為五級(jí)，級(jí)別越高表示資產(chǎn)重要性程度越高。具體見(jiàn)表1。

（二）資產(chǎn)威脅識(shí)別

表1 資產(chǎn)重要性等級(jí)劃分

威脅是一種對(duì)組織及其資產(chǎn)構(gòu)成潛在破壞的可能性因素，是客觀存在的。造成威脅的因素可分為人為因素和環(huán)境因素。根據(jù)威脅的動(dòng)機(jī)，人為因素又可分為惡意和無(wú)意兩種。環(huán)境因素包括自然界不可抗的因素和其它物理因素。威脅作用形式可以是對(duì)信息系統(tǒng)直接或間接的攻擊，例如非授權(quán)的泄露、篡改、刪除等，在機(jī)密性、完整性或可用性等方面造成損害；也可能是偶發(fā)的、或蓄意的事件。根據(jù)人民銀行科技信息工作實(shí)際，根據(jù)表現(xiàn)形式，威脅主要分為以下幾類(lèi)。見(jiàn)表2。

表2 一種基于表現(xiàn)形式的威脅分類(lèi)

判斷威脅出現(xiàn)的頻率是威脅識(shí)別的重要工作，審計(jì)人

員應(yīng)根據(jù)經(jīng)驗(yàn)和（或）科技部門(mén)提供的有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來(lái)進(jìn)行判斷。根據(jù)人民銀行工作實(shí)踐，判斷依據(jù)主要包括以下三個(gè)方面。

1.以往安全事件報(bào)告中出現(xiàn)過(guò)的威脅及其頻率的統(tǒng)計(jì)。

2.實(shí)際環(huán)境中通過(guò)檢測(cè)工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計(jì)。

3.近一兩年來(lái)國(guó)際組織發(fā)布的對(duì)于整個(gè)社會(huì)或特定行業(yè)的威脅及其頻率統(tǒng)計(jì)，以及發(fā)布的威脅預(yù)警。

威脅頻率等級(jí)劃分為五級(jí)，分別代表威脅出現(xiàn)的頻率的高低。等級(jí)數(shù)值越大，威脅出現(xiàn)的頻率越高。表3提供了威脅出現(xiàn)頻率的一種賦值方法。

表3 威脅賦值表

（三）資產(chǎn)脆弱性識(shí)別

脆弱性是對(duì)一個(gè)或多個(gè)資產(chǎn)弱點(diǎn)的總稱(chēng)。脆弱性識(shí)別也稱(chēng)為弱點(diǎn)識(shí)別，弱點(diǎn)是資產(chǎn)本身存在的，如果沒(méi)有相應(yīng)的威脅發(fā)生，單純的弱點(diǎn)本身不會(huì)對(duì)資產(chǎn)造成損害。而且如果系統(tǒng)足夠強(qiáng)健，再?lài)?yán)重的威脅也不會(huì)導(dǎo)致安全事件，并造成損失。即，威脅總是要利用資產(chǎn)的弱點(diǎn)才可能造成危害。

脆弱性識(shí)別將針對(duì)每一項(xiàng)需要保護(hù)的資產(chǎn)，找出可能被威脅利用的弱點(diǎn)，并對(duì)脆弱性的嚴(yán)重程度進(jìn)行評(píng)估。脆弱性識(shí)別時(shí)的數(shù)據(jù)應(yīng)來(lái)自于資產(chǎn)的所有者、使用者，以及相關(guān)業(yè)務(wù)領(lǐng)域的專(zhuān)家和軟硬件方面的專(zhuān)業(yè)等人員。脆弱性識(shí)別所采用的方法主要有：?jiǎn)柧碚{(diào)查、工具檢測(cè)、人工核查、文檔查閱、滲透性測(cè)試等。

脆弱性識(shí)別主要從技術(shù)和管理兩個(gè)方面進(jìn)行，技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個(gè)層面的安全問(wèn)題。管理脆弱性又可分為技術(shù)管理和組織管理兩方面，前者與具體技術(shù)活動(dòng)相關(guān)，后者與管理環(huán)境相關(guān)。具體識(shí)別內(nèi)容見(jiàn)表4。

可以根據(jù)對(duì)資產(chǎn)損害程度、技術(shù)實(shí)現(xiàn)的難易程度、弱點(diǎn)流行程度，采用等級(jí)方式對(duì)已識(shí)別的脆弱性的嚴(yán)重程度進(jìn)行賦值。脆弱性由于很多弱點(diǎn)反映的是同一方面的問(wèn)題，應(yīng)綜合考慮這些弱點(diǎn)，最終確定這一方面的脆弱性嚴(yán)重程度。對(duì)某個(gè)資產(chǎn)，其技術(shù)脆弱性的嚴(yán)重程度受到組織的管理脆弱性的影響。因此，資產(chǎn)的脆弱性賦值還應(yīng)參考技術(shù)管理和組織管理脆弱性的嚴(yán)重程度。

脆弱性嚴(yán)重程度的等級(jí)劃分為五級(jí)，分別代表資產(chǎn)脆弱性嚴(yán)重程度的高低。等級(jí)數(shù)值越大，脆弱性嚴(yán)重程度越高。見(jiàn)表5。

（四）風(fēng)險(xiǎn)分析

審計(jì)人員在完成了資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別，將采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，考慮安全事件一旦發(fā)生其所作用的資產(chǎn)的重要性及脆弱性的嚴(yán)重程度判斷安全事件造成的損失對(duì)組織的影響，即安全風(fēng)險(xiǎn)。風(fēng)險(xiǎn)計(jì)算以下面的范式形式化加以說(shuō)明：

表4 脆弱性識(shí)別內(nèi)容

表5 脆弱性嚴(yán)重程度賦值表

風(fēng)險(xiǎn)值=R（A，T，V）=R(L(T，V)，F(xiàn)(Ia，Va))

其中，R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù)；A表示資產(chǎn)；T表示威脅；V表示脆弱性；Ia表示安全事件所作用的資產(chǎn)重要程度；Va表示脆弱性嚴(yán)重程度；L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性；F表示安全事件發(fā)生后產(chǎn)生的損失。有以下三個(gè)關(guān)鍵計(jì)算環(huán)節(jié)。

1.計(jì)算安全事件發(fā)生的可能性

根據(jù)威脅出現(xiàn)頻率及脆弱性狀況，計(jì)算威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，即：

安全事件發(fā)生的可能性=L(威脅出現(xiàn)頻率，脆弱性)＝L (T，V)

在具體評(píng)估中，應(yīng)綜合攻擊者技術(shù)能力（專(zhuān)業(yè)技術(shù)程度、攻擊設(shè)備等）、脆弱性被利用的難易程度（可訪問(wèn)時(shí)間、設(shè)計(jì)和操作知識(shí)公開(kāi)程度等）以及資產(chǎn)吸引力等因素來(lái)判斷安全事件發(fā)生的可能性。

2.計(jì)算安全事件發(fā)生后的損失

根據(jù)資產(chǎn)重要程度及脆弱性嚴(yán)重程度，計(jì)算安全事件一旦發(fā)生后的損失，即：

安全事件的影響=F(資產(chǎn)重要程度，脆弱性嚴(yán)重程度)＝F(Ia，Va)

部分安全事件的發(fā)生造成的影響不僅僅是針對(duì)該資產(chǎn)本身，還可能影響業(yè)務(wù)的連續(xù)性；不同安全事件的發(fā)生對(duì)組織造成的影響也是不一樣的。在計(jì)算某個(gè)安全事件的損失時(shí)，應(yīng)將對(duì)組織的影響也考慮在內(nèi)。

3.計(jì)算風(fēng)險(xiǎn)值

根據(jù)計(jì)算出的安全事件發(fā)生的可能性以及安全事件的

損失，計(jì)算風(fēng)險(xiǎn)值，即：

風(fēng)險(xiǎn)值=R(安全事件發(fā)生的可能性，安全事件的損失)＝R(L(T，V)，F(xiàn)(Ia，Va))

具體計(jì)算方法可以采用風(fēng)險(xiǎn)矩陣測(cè)量法。

這種方法的特點(diǎn)是根據(jù)以上過(guò)程事先估算的資產(chǎn)價(jià)值、威脅等級(jí)和脆弱性等級(jí)賦值建立一個(gè)對(duì)應(yīng)矩陣，預(yù)先將風(fēng)險(xiǎn)等級(jí)進(jìn)行了確定。然后根據(jù)不同資產(chǎn)的賦值從矩陣中確定不同的風(fēng)險(xiǎn)。資產(chǎn)風(fēng)險(xiǎn)判別矩陣如表6所示。

表6 資產(chǎn)風(fēng)險(xiǎn)判別矩陣

對(duì)于每一資產(chǎn)的風(fēng)險(xiǎn)，都將考慮資產(chǎn)價(jià)值、威脅等級(jí)和脆弱性等級(jí)。例如，如果資產(chǎn)值為3，威脅等級(jí)為“高”，脆弱性為“低”。查表可知風(fēng)險(xiǎn)值為5。如果資產(chǎn)值為2，威脅為“低”，脆弱性為“高”，則風(fēng)險(xiǎn)值為4。由上表可以推知，風(fēng)險(xiǎn)矩陣會(huì)隨著資產(chǎn)值的增加、威脅等級(jí)的增加和脆弱性等級(jí)的增加而擴(kuò)大。

當(dāng)一個(gè)資產(chǎn)是由若干個(gè)子資產(chǎn)構(gòu)成時(shí)，可以先分別計(jì)算子資產(chǎn)所面臨的風(fēng)險(xiǎn)，然后計(jì)算總值。例如：系統(tǒng)S有三種資產(chǎn)A1，A2，A3。并存在兩種威脅：T1，T2。設(shè)資產(chǎn)A1的值為3，A2的值為2，A3的值為4。如果對(duì)于A1和T1，威脅發(fā)生的可能性為“低”，脆弱性帶來(lái)的損失是“中”，則頻率值為1（見(jiàn)表1）。則A1的風(fēng)險(xiǎn)為4。同樣，設(shè)A2的威脅可能性為“中”，脆弱性帶來(lái)?yè)p失為“高”，得風(fēng)險(xiǎn)值為6。對(duì)每種資產(chǎn)和相應(yīng)威脅計(jì)算其總資產(chǎn)風(fēng)險(xiǎn)值?？傁到y(tǒng)分?jǐn)?shù)ST=A1T +A2T+A3T。這樣可以比較不同系統(tǒng)來(lái)建立優(yōu)先權(quán)，并在同一系統(tǒng)內(nèi)區(qū)分各資產(chǎn)。

（五）風(fēng)險(xiǎn)結(jié)果判定

風(fēng)險(xiǎn)等級(jí)劃分為五級(jí)，等級(jí)越高，風(fēng)險(xiǎn)越高。審計(jì)人員應(yīng)根據(jù)所采用的風(fēng)險(xiǎn)計(jì)算方法為每個(gè)等級(jí)設(shè)定風(fēng)險(xiǎn)值范圍，并對(duì)所有風(fēng)險(xiǎn)計(jì)算結(jié)果進(jìn)行等級(jí)處理，最終給予審計(jì)對(duì)象一個(gè)審計(jì)結(jié)果。見(jiàn)表7。

表7 風(fēng)險(xiǎn)等級(jí)劃分表

人民銀行應(yīng)當(dāng)綜合考慮風(fēng)險(xiǎn)控制成本與風(fēng)險(xiǎn)造成的影響，提出一個(gè)可接受風(fēng)險(xiǎn)閾值。對(duì)某些風(fēng)險(xiǎn)，如果評(píng)估值小于或等于可接受風(fēng)險(xiǎn)閾值，是可接受風(fēng)險(xiǎn)，可保持已有的安全措施；如果評(píng)估值大于可接受風(fēng)險(xiǎn)閾值，是不可接受風(fēng)險(xiǎn)，則需要采取安全措施以降低、控制風(fēng)險(xiǎn)。安全措施的選擇應(yīng)兼顧管理與技術(shù)兩個(gè)方面，可以參照信息安全的相關(guān)標(biāo)準(zhǔn)實(shí)施。

在對(duì)于不可接受風(fēng)險(xiǎn)選擇適當(dāng)?shù)陌踩胧┖螅瑸榇_保安全措施的有效性，可進(jìn)行再審計(jì)，以判斷實(shí)施安全措施后的殘余風(fēng)險(xiǎn)是否已經(jīng)降低到可接受的水平。

某些風(fēng)險(xiǎn)可能在選擇了適當(dāng)?shù)陌踩胧┖笕蕴幱诓豢山邮艿娘L(fēng)險(xiǎn)范圍內(nèi)，應(yīng)考慮是否接受此風(fēng)險(xiǎn)或進(jìn)一步增加相應(yīng)的安全措施。

三、人民銀行信息技術(shù)審計(jì)中應(yīng)注意的問(wèn)題

在信息技術(shù)審計(jì)中如何堅(jiān)持風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)是一個(gè)不斷摸索、不斷總結(jié)提高的過(guò)程。筆者認(rèn)為，只有不斷積累風(fēng)險(xiǎn)數(shù)據(jù)信息，持之以恒的加強(qiáng)人才培養(yǎng)，新舊審計(jì)模式互為補(bǔ)充，才能更進(jìn)一步發(fā)揮好內(nèi)部審計(jì)職能。因此，應(yīng)注意以下幾點(diǎn)。

（一）建立動(dòng)態(tài)的風(fēng)險(xiǎn)信息數(shù)據(jù)庫(kù)，為運(yùn)用現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)模式提供信息基礎(chǔ)

由于內(nèi)部審計(jì)時(shí)間資源有限，不可能對(duì)所有的監(jiān)督內(nèi)容和所有的環(huán)節(jié)進(jìn)行全面監(jiān)督，比較科學(xué)的辦法是建立一個(gè)完整的審計(jì)風(fēng)險(xiǎn)模型，對(duì)造成審計(jì)風(fēng)險(xiǎn)的多種因素進(jìn)行全面分析和評(píng)估，發(fā)現(xiàn)被審計(jì)單位內(nèi)部控制中的薄弱環(huán)節(jié)，確定審計(jì)的重點(diǎn)和范圍，從而制定更具有針對(duì)性的審計(jì)策略。

（二）新型審計(jì)模式的運(yùn)用并不意味著舊審計(jì)模式的消亡

風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)是在傳統(tǒng)審計(jì)模式基礎(chǔ)上發(fā)展起來(lái)的新型審計(jì)模式，立足于對(duì)被審計(jì)對(duì)象整體風(fēng)險(xiǎn)管理進(jìn)行系統(tǒng)審查、分析和評(píng)價(jià)，并以此確定審計(jì)策略及審計(jì)計(jì)劃。因此，必須注重新舊審計(jì)模式的有機(jī)結(jié)合。將風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)理念融入傳統(tǒng)審計(jì)模式，可以使傳統(tǒng)審計(jì)項(xiàng)目?jī)?nèi)容得以擴(kuò)展，審計(jì)更加靈活，更好地堅(jiān)持全面審計(jì)、突出重點(diǎn)的原則。

（三）重視信息技術(shù)審計(jì)人才的培養(yǎng)，為風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)提供智力支持

人民銀行運(yùn)用風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)方法，不僅要求內(nèi)部審計(jì)人員熟練掌握有關(guān)規(guī)章制度，還要求審計(jì)人員利用審計(jì)職業(yè)獨(dú)特的判斷力，在實(shí)際運(yùn)用中對(duì)審計(jì)風(fēng)險(xiǎn)點(diǎn)加以判斷。因此，復(fù)合型人才培養(yǎng)與儲(chǔ)備是運(yùn)用風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)方法必不可少的前提條件。要通過(guò)各類(lèi)后續(xù)教育及培訓(xùn)，進(jìn)一步更新內(nèi)部審計(jì)人員業(yè)務(wù)知識(shí)，提升專(zhuān)業(yè)勝任能力，逐步建立起具有現(xiàn)代知識(shí)素養(yǎng)和職業(yè)水平的內(nèi)部審計(jì)干部隊(duì)伍。

（四）加快輔助審計(jì)軟件的開(kāi)發(fā)及應(yīng)用，為風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)提供技術(shù)支持

隨著信息技術(shù)的發(fā)展，審計(jì)技術(shù)手段日新月異。在風(fēng)險(xiǎn)導(dǎo)向模式下，加強(qiáng)審計(jì)信息化建設(shè)十分重要。通過(guò)搭建信息收集和監(jiān)測(cè)平臺(tái)，開(kāi)發(fā)和應(yīng)用計(jì)算機(jī)輔助審計(jì)軟件，迅速有效地完成各項(xiàng)審計(jì)信息的審核工作，將內(nèi)部審計(jì)人員從機(jī)械性檢查中解放出來(lái)，把主要精力用在對(duì)重要業(yè)務(wù)系統(tǒng)、重要業(yè)務(wù)環(huán)節(jié)的監(jiān)控和評(píng)價(jià)上，從而減少審計(jì)成本、提升審計(jì)效率。

[1]中國(guó)人民銀行福州中心支行內(nèi)審處.借鑒風(fēng)險(xiǎn)導(dǎo)向型審計(jì)拓展央行內(nèi)審新領(lǐng)域[J].福建金融，2007(10).

[2]羅伯特·莫勒爾.布林克現(xiàn)代內(nèi)部審計(jì)學(xué)[M].北京：中國(guó)時(shí)代經(jīng)濟(jì)出版社，2005.

[3]孫曉，馬鵬飛.人民銀行信息技術(shù)應(yīng)用的風(fēng)險(xiǎn)管理研究——基于審計(jì)角度的分析[J].金融會(huì)計(jì)，2011(12).

[4]李帆，駱鈺.風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)模式在人民銀行內(nèi)部審計(jì)中的運(yùn)用研究[J].武漢金融，2009(9).

[5]林久榮.中央銀行風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)模式探討[J].審計(jì)監(jiān)督，2009(2).

［責(zé)任編輯：王鑫］

F830

A

1005-913X（2015）12-0113-03

2015-10-09

樊良(1963-)，男，山東鄆城人，經(jīng)濟(jì)師，研究方向：金融審計(jì)。