国库会计数据集中系统风险及防范措施

国库会计数据集中系统风险及防范措施

中国人民银行汉川市支行　向罗涛　邓美荣

随着财税金融体制改革的不断深入和人民银行信息化建设的日益加快，人民银行总行开发了《国库会计数据集中系统》(TCBS)，以一记双讫、原子交易、事项驱动等业务处理规则处理国库业务，实现了预算收入直达入库、支出即时到账、账务统一处理、数据集中存储、数据共享使用的目标。国库会计数据集中给国库带来的不仅是工作效率的提高，而且也是国库会计管理模式和业务流程的全新变革，更是国库资金管理理念的创新。但随之而来的是新的风险点及风险如何控制问题。

一、国库会计数据集中系统的风险分析

(一)计算机系统及网络风险

一是TCBS的主机数据存在风险隐患。由于所有核算主体的数据全部集中在国库业务处理中心，风险过于集中，一旦出现数据损坏、丢失或故障，会带来全国性的系统瘫痪。二是网络安全风险。TCBS对网络的依赖性进一步加强，对网络的稳定性、可靠性、安全性和响应速度等都有很高的要求，虽是专网连接，但核算主体众多，一个核算主体的网络故障可能会影响整个系统的运行效率，且TCBS网段没有与办公网隔离，任一内网计算机都有可能连入TCBS，存在风险隐患。三是基层行技术防范手段存在隐患。由于对计算机信息及网络系统安全重视程度不够，资金投入不足，县支行普遍存在网络运行监控设备不齐全，未安装防火墙、未建立网络漏洞扫描系统和入侵检测系统，未安门禁系统、非法外联系统等。四是计算机病毒、木马和网络攻击的风险。计算机网络病毒、木马可通过网络进行扩散与传染，传播速度呈几何级数增长，一旦一台计算机被感染，则有可能对整个网络造成严重影响，以前这种破坏可能是局部的，TCBS上线后，有可能导致整个系统的瘫痪，是一种系统性风险。

(二)管理制度方面的风险

国库会计数据集中后，在岗位设置、核算管理、业务流程等发生了较大变化，这种变化必然给如何加强内部管理控制、资金风险防范带来新课题，而制度制定很难与系统功能完全保持一致，造成制度与系统实际功能不符，引发制度风险。如《业务处理办法》规定系统管理岗负责打印各类凭证、账簿、报表、清单等，但TCBS系统中系统管理岗没有可以打印查询各类凭证、账簿、报表的权限。另外，制度尚不完整，涉及会计核算的诸多方面尚无章可循，如资金汇划、业务考核、风险管理及手工处理账务的程序与方法等内容都没有相应的规定，只能根据经验，参照旧制度执行。再则，制度内容较粗，少数条款未兼顾基层国库实际情况，制度执行困难。如制度要求一个核算主体最少需要六人操作TCBS、会计主管的职责要求等。部分制度如岗位轮换、强制休假等由于种种原因难以得到实质性落实。

(三)人为因素形成的风险

由于会计账务处理全部由系统自动生成，工作人员在办理业务时，只要按照系统界面提示和用户要求完成必要原始信息的录入、复核，系统就会自动将有关账务数据过渡到相应的会计科目上，并生成账簿，完成业务处理的全过程。会计核算人员业务综合能力逐渐弱化，变成一般操作人员，只知机械操作不知其所以然，出现问题无法及时处理。另外，TCBS系统上线后各级国库都成为支付系统的间接参与者，原来TBS系统县级国库未参加支付系统，对外资金不能划转问题从根本上得以解决。但同时因县支库人员不足、年龄老化及业务水平、综合能力素质偏低的影响，作为支付系统参与者易形成资金汇划错误等资金风险隐患。此外，部分员工思维模式滞后，识别风险能力弱化，对国库风险管理切入点把握不准，措施不力，对一些倾向型和苗头型问题不能及早发现，及早采取措施，导致风险产生。

(四)不按规程操作的风险

由于部分工作人员安全观念淡薄，安全管理制度不能真正落实，缺乏应有的安全意识，认识不到执行制度的紧迫性和重要性，特别是在业务量较小、人员较少的基层支行，不严格按应用系统操作规程操作的现象依然存在。如国库业务印章、重要空白凭证随意放置;操作人员离开岗位时不及时退出业务系统，致使用口令限制用户登录失去了意义;业务系统使用的CA证书不按规定保管，存在乱放现象，甚至业务操作完成后还插在计算机上;操作员密码设置简单，不符合规定，不定期更改，前后两次循环使用，密码变更不按规定登记保管;人员调离或兼职后，没有及时对操作账号或口令进行删除和重设;出于相互信任的缘故，相互间进行顶岗或串岗操作，造成一人知多号或多人用一号等，形成操作风险隐患。

(五)事后监督存在的风险

国库会计数据集中后，业务操作方式和流程都发生了根本性的变化，但目前事后监督的方式、流程都未能做出同步相应的调整，难以对TCBS上线后的国库业务的内容进行准确监督，不能充分发挥事后监督堵塞漏洞、防范风险的作用。一是监督时间滞后。事后监督部门一般核算完成的次日或几日后才能对国库核算业务进行监督，难以及时纠正业务差错和防范风险。二是监督工作仍停留在对纸质凭证、报表、账簿等方面，满足于“账平表对”、“印章齐全”，没有突出风险、排查隐患。三是监督仍以手工监督为主，效率较低，不能适应国库业务信息化快速发展的需要。四是监督人员没有经过针对性培训，对TCBS业务掌握不够，仅凭经验和自己对相关规定的理解来监督，不能有效履行监督职责。

二、国库会计数据集中系统的风险防范

(一)加强计算机信息及网络安全管理

一是加强国库业务处理中心应急管理，除了考虑系统故障、人员操作、机房维护和电力中断等引起的系统停机、存储介质损坏等风险，还需建立灾难备份中心，强化应急措施，加强在防范自然灾害、重大疫情和恐怖袭击等方面的应对管理，确保中心系统和数据安全运行。二是各核算主体要加强计算机及网络的运维管理，确保计算机及网络的安全稳定运行。要建立计算机风险防范领导组织体系，将计算机风险防范纳入各级领导的工作日程，各级相关职能部门要形成合力，加大对计算机风险的管理力度;要建立计算机风险管理机制，健全各项管理制度，完善岗位职责和责任追究制度;要不断改善硬件环境，全面规划、统筹安排，合理使用资金，特别是要保障对关键设备的投入，充分利用各种安全产品强化网络安全防范;要加强网络管制和计算机病毒的防治，防止非法入侵、病毒侵害和网络攻击。

(二)加强制度建设，优化TCBS系统功能

一是建立健全信息安全管理制度，定期进行信息安全检查，加强网络安全攻击防范。加强移动存储介质管理，防止病毒和木马导致信息泄露和来自内部的安全威胁。修订完善《国库会计管理规定》，补充涉及使用TCBS进行计算机核算的有关内容;结合TCBS运行过程中的意见和建议进一步修改《TCBS业务处理办法》和《TCBS业务操作规程》，明确各类国库业务的操作流程，增强业务的规范性、操作性和程序性，出台与资金汇划、业务考核、风险管理、检查监督及手工处理账务等方面的规定和办法，减少制度缺失风险，使国库业务管理有法可依、有章可循，从制度法规上为国库业务发展提供保障。二是组织技术力量，针对运行过程中暴露的问题，尽早给程序打补丁，对程序进行全面优化，使已上线的国库顺利、稳定地开展业务。比如，更改与制度不相符的地方;增加人机交互时的友好程度方便用户操作;针对县支行需求定制保留核心功能的精简版本;细化TCBS角色及权限，解决不同角色类型合理兼岗问题，真正解决县支库人员不足、不能合理兼岗的问题;每个核算主体只能几个固定IP的计算机才能登录TCBS;增加容错功能防止误操作，等等。

(三)提高国库业务人员整体素质

实行道德防范是控制人为风险的根本之策，必须坚持以人为本，把职业技能的培训、计算机安全教育和职业道德素质的提高结合进行，通过政治思想教育、理想信念教育、时事形势教育、业务理论教育等，不断提高国库人员的自身素质，使国库业务人员在具有一定道德素质的同时，都成为国库工作的行家里手，提高其对国库资金安全重要性的认识和风险识别能力以及处理复杂系统业务的综合能力。增强他们的风险防范意识，使其在本职岗位上尽职尽责，树立高度的责任感，杜绝以人情代替原则，以经验代替规章的情况，坚持严格按规章操作和管理，以高度的责任心和责任感防范风险发生。另外还可通过加强国库业务人员准入管理、建立岗位轮换及考评奖惩机制、严格岗位轮换等手段提高国库核算业务队伍整体素质。

(四)改进当前事后监督模式

一是开发国库事后监督管理系统。从TCBS中心下载国库业务相应数据，对当日国库业务流水、业务流程、人员操作实行电子化监督，解决目前国库会计监督系统存在的监督工作量过大，无效劳动投入过多;监督重点不突出、不到位，监督的效果差;国库资金安全隐患等问题，规范国库监督的范围，统一国库监督的操作流程，使监督人员从繁杂的手工操作中解脱出来，实现国库事后监督的正规化、规范化和自动化，充分发挥事后监督对国库会计核算的监督作用。二是投入精力学习新制度、新办法和新系统，熟悉和掌握每一项业务的流程和操作技巧，不断提高查验方法、审核技巧，找准风险环节，实施重点监督，对重要业务及资金风险点要强化过程监督。通过核对凭证、账表各个科目之间的对应关系，重点关注资金流出的拨款、退库等业务，明确资金走向的来龙去脉，认真核查重要事项，避免TCBS上线后国库事后监督工作的盲目性、滞后性和局限性。