中国人民银行银川中心支行
内容提要:随着国库电子化程度不断提高以及国库业务的不断创新,给国库资金风险控制带来巨大挑战,现有的国库内控体系已难以保障国库资金安全的需要,为国库内部控制研究提出了新的课题。因此,可借鉴COSO报告和COBIT先进的内控理念,在电子化环境下构建新的国库内部控制体系,从而有效防范国库资金风险。
关键词:COBIT COSO 电子化 国库内部控制
近年来,随着我国国库信息化的发展,初步形成以国库会计数据集中系统(TCBS)、国库信息处理系统(TIPS)和国库管理信息系统(TMIS)——“3T”为基础的国库业务管理系统架构。国库电子化程度不断提高,实现了业务流程再造和业务资源整合,提升了国库服务与管理水平。随之,国库资金风险隐蔽性更强、影响面更广、控制难度更大,为国库内部控制研究提出了新的课题。为此,本文基于国际上先进的内控理念——COSO报告及信息技术管理控制和审计的标准COBIT理论框架下,试图建立全方位、立体化的电子化环境下的国库内部控制体系,以满足国库业务发展需要,有效防范国库资金风险。
一、国库电子化发展对国库内部控制的影响分析
随着以“3T”为核心的国库业务系统构架基本形成,国库各项业务数据信息集中管理、预算收支资金实时到账、相关部门信息共享等目标将逐步实现,也使国库成为连接财政、税务、海关及商业银行等相关部门的业务处理和数据中枢。国库电子化高速发展给国库内部控制产生很大的影响。
(一)国库会计组织结构发生变化
国库电子化一方面使很多由人工进行处理的数据被计算机取代,原来必须由多人分工协作才能完成的工作,现在少数人就可以完成。另一方面随着系统化程度的提高,为了满足岗位制约需要,需在系统中设置足够的岗位满足业务需求。对于基层国库而言,势必造成岗位多、人员少的局面。
(二)国库内控关键点发生变化
电子化环境下,需要人为干预的业务越来越少,系统安全成为新的国库内部控制关键点。横向联网使得原先对人工审核票据关注转变成对网络系统安全的关注;国库会计数据集中使得国库资金关口集中化、前沿化,全部集中于TCBS中心,部分资金风险过于集中,内控关键点也转变为对系统安全的关注;TMIS作为国库信息加工、处理、利用的系统,其内控的关键点更趋向于系统网络安全。国库电子化程度的提高需要更先进技术手段和更严密制度控制系统风险,而现有系统运维与管理措施尚不到位,难以满足系统风险控制要求。
(三)国库内控要素发生变化
随着国库电子化高速发展,内控要素也相应发生改变。控制对象由传统对人控制,转变为对人、机控制;控制手段由传统手工控制,转变为手工与自动控制相结合;控制措施更多地通过计算机信息系统实现。控制要素的变化,要求内控制度及时跟进和完善。但目前国库某些业务内控制度和风险控制措施相对滞后或不够全面,不能更加准确或更有针对性地控制新形势下的个别风险点,易形成风险隐患。
(四)国库监督手段的需求发生变化
国库电子化高速发展对国库监督手段提出了更高的要求,需要国库监督手段跟进国库电子化发展速度,逐步实现监督由单纯人控向人控与机控结合转变,涵盖事前、事中、事后动态化、实时化的监督模式。但目前国库监督仍为以传统翻阅传票、核对账表等为主的事后监督,缺乏对国库资金全过程动态、实时监督。
二、电子化环境下基于COBIT和COSO报告的国库内部控制体系构建及应用
(一)COSO报告及COBIT理论框架简介
1.COSO报告简介
内部控制是指经济单位和各个组织在经济活动中建立的一种相互制约的业务组织形式和职责分工制度。随着商品经济的发展和生产规模的扩大,经济活动日趋复杂化,内部控制理论不断发展和完善。1992年,美国COSO委员会(美国虚假财务报告委员会下属的发起人委员会)提交报告建立了内部控制整体框架理论。1994年该框架得到了修订——本文称COSO(1994)。COSO(1994)把内部控制划分为五个基本要素即内部环境、风险评估、控制活动、信息与沟通和监控。2004年,COSO结合《萨班斯——奥克斯利法案》的相关要求,再次对框架进行了修订。
2.COBIT理论框架简介
COBIT(Control Objectives For Information and Related Technology),即:“信息及相关技术的控制目标”,是目前国际上公认的最先进、最权威的信息技术管理控制和审计的标准。COBIT控制目标体系是一个完整的信息系统管理和控制的理论模型,且能符合并支持COSO提出的理论框架。COBIT将IT过程、IT资源与组织的策略和目标联系起来,形成一个三维的体系结构,以提供管理当局、使用者、审计人员一个完整的内部控制架构。这三个维度当中,IT过程是COBIT框架的核心内容。COBIT在结构上将IT过程分为三个层次,分别是4个域、34个过程、488个活动。对于每一个处理过程,除包含详细的控制目标外,还指明了其与组织业务目标之间的关系。
(二)COSO《内部控制整体框架》与COBIT的耦合性
COSO报告极大地推进了内部控制理论的发展,然而它并没有对IT控制目标和相关控制活动的具体要求展开详细的描述,它关注更多的是与财务风险相关的问题。COBIT在发展过程中参考了COSO的报告,以内部控制理论为基础,并且在这个基础上发展并完善,建立IT环境治理标准,两者具有很强的关联性。如表1所示:COBIT定义的4个域、34个IT处理过程很多都涉及到COSO《内部控制整体框架》提及的五个要素。比如:IT活动过程PO1“定义战略IT规划”中就涉及到COSO的内部环境、风险评估、信息与沟通和监督这4个要素。因此,可以把两种国际公认的研究成果进行优势互补构建国库内部控制体系。
表1 COBIT域、处理过程与COSO《内部控制整体框架》
|
COBIT区域 |
COSO内部控制整体框架要素 | |||||
|
内部环境 |
风险评估 |
控制活动 |
信息与沟通 |
监督 | ||
|
计划与组织 |
|
|
|
|
| |
|
PO1 |
定义战略IT规划 |
● |
● |
|
● |
● |
|
PO2 |
定义信息体系结构 |
|
|
● |
● |
|
|
PO3 |
确定技术导向 |
● |
|
|
|
|
|
PO4 |
定义 IT 过程、组织和关系 |
● |
|
|
● |
|
|
PO5 |
IT 投资管理 |
|
● |
|
|
● |
|
PO6 |
沟通管理目标和方向 |
● |
|
|
● |
● |
|
PO7 |
人力资源管理 |
|
|
● |
● |
|
|
PO8 |
质量管理 |
● |
|
● |
● |
● |
|
PO9 |
IT 风险评估及管理 |
|
● |
|
|
|
|
PO10 |
项目管理 |
|
|
● |
● |
|
|
获取与实施 |
|
|
|
|
| |
|
AI1 |
识别自动化解决方案 |
|
● |
|
|
|
|
AI2 |
获取与维护应用软件 |
|
|
● |
|
|
|
AI3 |
获取与维护技术基础设施 |
|
|
● |
|
|
|
AI4 |
保障运营和使用 |
|
|
● |
● |
|
|
AI5 |
获得 IT 资源 |
|
|
● |
|
|
|
AI6 |
变更管理 |
|
|
● |
|
● |
|
AI7 |
安装、授权解决方案和变更 |
|
|
● |
|
|
|
服务与支持 |
|
|
|
|
| |
|
DS1 |
定义和管理服务水平 |
● |
|
● |
|
● |
|
DS2 |
管理第三方服务 |
● |
● |
● |
|
● |
|
DS3 |
性能和容量管理 |
|
|
● |
|
● |
|
DS4 |
确保服务的连续性 |
|
|
● |
|
|
|
DS5 |
确保系统安全 |
|
|
● |
● |
● |
|
DS6 |
确定并分配成本 |
|
|
|
|
● |
|
DS7 |
教育和培训用户 |
● |
|
|
● |
|
|
DS8 |
信息技术咨询 |
|
|
|
● |
|
|
DS9 |
配置管理 |
|
|
● |
● |
|
|
DS10 |
突发事件管理 |
|
|
● |
● |
● |
|
DS11 |
数据管理 |
|
|
● |
● |
|
|
DS12 |
设施管理 |
|
● |
|
|
|
|
DS13 |
操作管理 |
|
|
● |
● |
|
|
监控与评价 |
|
|
|
|
| |
|
ME1 |
处理过程的监控 |
|
|
|
● |
● |
|
ME2 |
评价内部控制的适用性 |
|
|
|
|
● |
|
ME3 |
获得独立性保证 |
● |
|
|
|
● |
|
ME4 |
提供独立审计 |
|
|
|
|
● |
注:●表示COBIT活动过程所涉及的COSO的控制要素
(三)电子化环境下,基于COBIT和COSO报告的国库内部控制体系构建
在电子化环境下,国库内部控制关键点越趋向于信息系统、网络安全。由此,将COSO《内部控制整体框架》与IT治理的权威标准COBIT置于国库电子化环境下予以整合,构建基于COSO与COBIT的电子化环境下的内部控制模型,将便于国库各级人员对国库业务系统的建设、处理流程以及运用进行有效控制,指导国库建立相应的内控机制。对系统的建设者来说,将帮助他们在复杂的电子化环境下平衡风险、投资成本与收益。对国库业务系统使用者来讲,将通过管理和控制,约束相应的业务操作行为、监督行为、组织行为等活动,以全面保障国库资金安全。
基于COBIT与COSO,在电子化环境下的国库内部控制体系模型。该模型中控制对象是根据COBIT划分的电子化环境下国库会计活动过程,即:国库业务处理过程。一个国库业务处理过程又是由无数个具体的操作步骤(会计活动)组成的。每一操作步骤都由IT资源、COSO控制要素、信息处理评价指标、控制目标框架这样一个四维体系进行控制。实施具体的国库业务处理需要IT资源包括五大类:人员、国库业务系统、技术、硬件设备与数据信息。不同的业务操作对应着不同的IT资源,每个业务操作控制的侧重点不一样。信息处理评价指标是根据具体的国库业务,参照COBIT设定的,评价指标有主要与次要之分,不同的国库业务操作对应不同的评价指标。COSO报告的五个要素始终贯穿于每个国库业务操作过程中,根据表1可以确定不同业务处理过程涉及到的不同要素,在实施内部控制时以相关要素为重点,结合该业务过程涉及的IT资源,在满足信息处理评价指标的前提下进行。在执行具体的控制活动时,可根据国库内部控制目标框架(相关国库制度规范、业务操作标准、内审准则)来实施控制。最后,定期对国库业务进行整体风险量化评估,并根据评估结果采取改进措施。
(四)内部控制模型在国库业务实例的应用分析
由于国库业务种类多而繁杂,不可能一一列举,鉴于预算收入电子缴库业务是无纸化业务操作,恰好适用于该模型的体系。因此,本文以预算收入电子缴库业务处理为例来说明图2的内部控制模型如何在国库实际业务当中应用,以对相关行为进行有效控制,防范资金风险,保障国库资金安全。
图3为预算收入电子缴库业务流程,各风险点已在图中标示。国库内控的最终目标就是要防范资金风险,确保资金安全。在此,本文运用构建的内控模型来验证能否有效防范风险。将整个预算收入电子缴库业务流程作为一个过程,而此过程由纳税人申报缴税、商业银行上划收入、国库人员审核凭证、提交TCBS后台处理、系统自动报解留成这些单个活动组成。对于纳税人申报纳税由于不是国库控制的范围,暂不予考虑。我们从商业银行上划收入开始分析。商业银行上划收入涉及到IT资源是商业银行核心系统、横向联网(TIPS)、支付系统、资金电子信息及其他相关资源,COBIT的主要域及过程是PO4、PO7、AI4、AI5、DS5、DS11、DS13和ME1,8个过程。由表1,这8个过程各自对应COSO中的内部控制相关要素。例如ME1即:处理过程的监控,对应重点关注的要素是信息沟通和监控,因此需要对商业银行上划资金业务处理信息和过程进行重点监督。商业银行上划收入的控制目标:根据国库相关制度规定要在规定的科目账户、规定的时间,安全、准确、及时上划资金。信息审核及评价指标是:资金信息的准确性、上划时间的及时性、资金的完整性、业务操作的合规性。通过这样一个四维的控制体系,就可对“商业银行上划收入”这一处理过程进行有效控制,以确保资金安全。以此类推,国库人员审核凭证、提交TCBS后台处理、系统自动报解留成这些过程都可以通过这样一个四维内控体系进行有效控制。最后,可借鉴使用国库局研究课题(2013)中的风险量化及评估方法,对国库业务风险进行整体量化评估。
四、相关建议
1.完善国库内部控制环境。一是要优化国库人员结构,提高国库人员的素质,补充“新鲜血液”于国库部门,并建立一定的人员激励机制。二是更新管理理念,突出IT治理在内部控制中的作用,以有效防范在电子化环境下的国库资金风险。
2.建立完善的风险评估体系。可运用国库局研究课题(2013)中的风险量化及评估方法,并结合IT治理相关风险评估模型,建立统一的国库电子化内控风险量化体系。同时,配套相应的改进机制,以不断完善整体内控体系,全方位、立体化保障国库资金安全。
3.加强并优化国库制度体系,全面推行国库会计标准化管理。对当前国库制度重新梳理,补充制度空白,使国库制度更具完整性、系统性、衔接性;针对国库电子化环境,要打破故有的思维定势,减少人控,增加机控,使国库制度与IT治理相适应,更符合国库电子化的发展。在全国各级国库,全面推行国库会计管理标准化,规范操作流程,加强国库会计活动控制,提高国库会计活动的质量和效率。
4.建立良好地信息沟通、共享机制。加强国库内部横向和纵向的联系与沟通,使各种信息(包括资金流信息、数据流信息、制度规范、突发应急等)能在国库内部之间准确、及时、完整传递。基于横向联网,完善与财、税、银、海关的交流与信息共享机制,为国库会计活动的控制和监督提供保证。
5.完善国库监督体系。建立与国库电子化相匹配的国库电子化监督运行体系。通过各种信息采集,实现对国库各项会计活动实时、动态、持续监督。同时,对监督结果能予以评价,加强改进,构建立体化监督体系,提高国库监督的效能。
参考文献:
〔1〕中国人民银行国库局.“十二五”时期国库业务发展规划[R].北京,2011.
〔2〕李凤鸣.内部控制学[M].北京:北京大学出版社,2012.
〔3〕储稀梁.COSO 内部控制整体框架:背景、内容、理论贡献与启示[J].金融会计,2004(6).
〔4〕吴水澎.萨班斯法案、COSO风险管理综合框架及其启示[J].学术问题研究,2006(2).
〔5〕中国人民银行国库局.国库资金风险管理——量化与控制[R].国库研究,2013(2).