基层央行国库会计数据集中系统运行管理问题及对策研究.docVIP

基层央行国库会计数据集中系统运行管理问题及对策研究 高博 杨梅 中国人民银行荆门市中心支行 X 关注成功！ 加关注后您将方便地在 我的关注中得到本文献的被引频次变化的通知！ 新浪微博 腾讯微博 人人网 开心网 豆瓣网 网易微博 近年来, 我国国库业务飞速发展, 国库信息化程度越来越高。伴随国库会计数据集中系统 (TCBS) 等信息系统上线运行, 传统的国库会计核算方式得以革新。当前, 财税库业务日趋融合, 业务关联日渐增强, 财政资金安全、稳定运行的重要性凸显, 这对财政部门、税务部门和国库部门的协调机制提出了更高的要求。同时, 业务流程和操作风险点发生了很大变化, 业务运行保障和风险防控难度逐渐加大。新形势下, 如何有效防范及化解国库资金风险, 确保业务系统平稳运行成为亟待研究解决的重要课题。本文就基层央行国库会计数据集中系统运行管理问题及对策进行初步探讨。 一、风险识别 国库会计数据集中系统 (TCBS) 是为适应财税和金融体制改革需要, 实现国库业务整合和岗位流程整合而全新设计与开发的国库会计核算数据全国集中系统。它从根本上改变了国库会计核算模式, 实现了“收入直达入库”、“支出即时到账”和“数据集中摆放”的目标, 国库会计核算效率有了大幅度提高, 国库信息的利用状况也有了较大改善, 为国库事业的长远发展奠定了坚实基础。 本文结合多年来对基层央行TCBS运行管理的实践经验, 以“前期疑点筛选、现场数据核实、后期分析运用”为主要方法, 通过计算机辅助工具分析、比对数据, 实现对海量数据的快速筛查, 查找系统运行管理中存在的异常和疑点, 为进一步化解风险提供线索。同时, 利用风险矩阵, 从风险的影响程度及发生可能性考虑, 对风险进行了科学评估, 合理划分风险等级 (一级、二级、三级、四级) , 级别越高表明风险越大。 如图1所示, 风险级别由风险影响程度及风险发生的可能性两个因素确定, 由低到高分为1~4级。其中, 在对影响程度和范围、恢复正常所花费的资源进行分析的基础上, 将风险影响程度分为重大影响、严重影响、一般影响和轻微影响;风险发生的可能性则区分有历史数据和无历史数据, 分别根据引起损失的事件发生频率、业务的复杂程度进行判断, 分为基本确定、较大可能、可能和较小可能。将风险事件的影响程度级别和发生可能性级别分别标注在图1风险矩阵的横轴和纵轴上, 横轴和纵轴的交汇区域所对应的风险等级即为该风险事件的风险等级。 图1 风险矩阵 ??下载原图 二、主要风险 通过运用风险识别方法, 发现TCBS系统运行管理过程中主要存在以下六方面风险。 1. TCBS系统用户管理不规范 风险描述:某单位国库部门TCBS系统角色权限设置不规范。通过登录系统查看TCBS系统账户和角色设置, 对比账户管理操作日志分析发现:系统管理员A兼任业务操作员。 风险分析:系统管理员兼任业务操作员, 违反了“不兼容岗位分离”的基本原则。系统管理员擅自对业务数据进行增加、删除、修改等操作难以得到防控。权限无法得到正常约束, 易产生操作风险。应定期检查TCBS系统用户角色, 按照“权限分散、相互制约”原则, 合理划分操作角色, 严格进行授权管理, 避免数据篡改、违规操作等风险的发生。 风险等级:三级。 2. 个人数字证书 (CA) 管理不规范 风险描述:某单位国库部门调离人员CA证书管理不规范。通过比对国库业务操作日志和休假、离岗交接记录, 调阅《岗位交接登记簿》、《国库业务重要物品保管使用登记簿》发现TCBS系统CA证书持有人A、B调离国库科, 二人CA证书未在重要物品保管登记簿上登记, 也未见向上级行国库部门报告处理的书面记录。 风险分析:调离国库部门人员CA证书未及时进行注销, 易引发非TCBS系统用户继续使用原有CA证书登录系统进行操作的风险。应加强CA证书的管理, 对于CA证书责任人调离国库部门时, 应在《重要物品保管登记簿》中详细登记, 并报告上级国库部门, 并由上级行科技部门及时注销, 防范非系统用户操作风险的发生。 风险等级:三级。 3. 客户端计算机管理存在的风险隐患 (1) 超时未签退 风险描述:某单位国库部门系统业务用机超时未签退。通过使用计算机辅助审计系统中超时未签退审计模型, 从历史操作日志中筛选出最近一年内大于2小时未进行操作的记录, 发现该国库部门超时未签退达96次。 风险分析:长时间不进行业务操作, 却未及时退出系统, 易引发不法分子直接进入TCBS系统进行非法操作的风险。应加强离机签退管理, 国库会计人员长时间离开岗位或不在系统中操作时, 应及时签退系统, 防范其他人员恶意利用其账户进行非法操作的风险。 风险等级:三级。 (2) 部分安全策略未配置, 相关服务未关闭 风险描述:通过利用计算机安全配置监测工具查