以风险导向视角构建密码工作体系内控建设初探

周敬、焦璐婷 /中国运载火箭技术研究院

2020 年是《中华人民共和国密码法》实施元年，也是密码工作在党的领导下运行保障的第九十载。在此以前，机要密码人员凭借对党忠诚、担当作为、甘于奉献的精神历经了解放战争、经济建设、改革开放各个历史时期。密码工作是关乎党和国家安危的“命门”“命脉”，作为党和国家一项特殊而又重要的工作，在信息安全高效传递的发展新时期，核心密码与普通密码工作面临诸多机遇和挑战。从法律层面上分类规范密码应用和管理，适时对商用密码实现“放管扶”改革，将从顶层保障网络安全，为密码工作体系及相应标准的建立提供基石。

一、密码工作体系内控构建的背景意义

1.密码政策法律法规综合体系

“无规矩不成方圆”，密码管理工作的科学规范进行必要有据可循，有法可依。现以中国运载火箭技术研究院下属单位为例（如图1 所示），已形成七层级一体化的密码工作管理体系。以全国人大常委会通过的《中华人民共和国密码法》和《中国人民共和国网络安全法》作为顶层一级一般法律，以国务院办公厅发布的《中国人民共和国商用密码管理条例》和《密码工作条例》为代表的中央文件作为二级行政法规。北京市人民代表大会及其委员会与北京市政府暂未发布有关密码工作相应规章、法规。中国航天科技集团有限公司下发航天科技集团密码工作规定及电报、密码设备、核查相关的管理制度。研究院根据国家、航天科技集团的要求，结合实际制定研究院密码设备管理办法、密码工作实施细则作为第六层密码法律法规体系。具体操作部门按照工作实际在遵守诸上各层密码法律法规要求的同时设计业务流程和要求。

2.密码政策法律法规综合体系底层发展

图1 密码法律法规体系层级示意图

多层级密码政策法律法规宏观结构上多位一体，在实际工作中会存在如下问题。第一，部门级程序性文件缺位。因为处在密码政策法律法规综合体系末端，制度建设并没有强制约束力，程序性文件并未引起足够重视。程序性文件是密码工作最终的作业依据，对于规范机要密码人员行为、保证密码工作万无一失具有实际意义。第二，现有密码政策法律法规综合体系由单独法条单独行文积累而成，不能通过某一个法律法规集中获取密码工作整体各方面的要求。第三，上层级法律法规更新，下层级若没有对应更新，就会产生上下级法律法规冲突，基于一般法律适用原则应上位法优于下位法，本级直接规范的文件就存在执行偏差，实际工作中出现规行不一致的情况。

根据研究院在质量管理体系、职业健康安全与环境管理体系、保密管理体系的实践，通过建立专门管理体系对高风险工作进行绩效管理与行为固化，已被证明是正确和成功的方法。底层关联单位密码工作趋势是有效使用密码，将密码工作各领域、各环节、各要素纳入体系轨道，将现有各法律法规的各项要求与密码各项具体实际操作流程衔接。打破院所实施办法、细则与部门程序性文件的割裂，打破独立办法在单一规定上的割裂，将密码体系建设在院所联动开展并入密码基层单位的法制建设。

3.密码工作引入内部控制机制

内部控制在管理中用于抵御外部风险、防止人员舞弊、规范管理流程、提升管理效率，是实现企业良性发展的有效手段。自2008 年5 月22 日，财政部会同证监会、审计署、银监会、保监会制定并印发《企业内部控制基本规范》以来，相应的应用指引、评价指引和审计指引也应运而生。以上文件共同标志着我国内部控制规范体系形成。

内部控制概念最早源于财经领域，后发展为完整的全面控制，其中就包含密码工作。密码工作人员的任用要求非常严格，而不管人员的选拔考察多么严格，仍存在风险。风险防范从管控工作人员行为的防范转移到密码工作管理体制机制运作防范，从体制上规避风险才是更加安全可靠的管理。密码工作需要引入内部控制的机制才能横向覆盖各个领域，纵向覆盖相关流程，其具体原因主要有：

一是密码工作需要借助内部控制形成全员控制。只有符合管理要求的密码工作人员和密码使用人员才能从事密码工作，密码本身以及依靠密码传递的涉密信息安全，需要依靠所有密码管理和使用过程中接触、知悉、处理的每一位密码人员严慎细实、不折不扣的落实管理规范。内部控制是一种全员控制，全员控制强调的是人人有责，以高度的政治责任感参与到密码及其信息保密工作中来。只有做到密码、信息源头的工作人员参与受控，使用密码设备人员参与受控，接收密码信息人员受控，传递密码信息相关人员受控及销毁（或归档）信息相关人员受控，才能贯穿整个信息链条，从整体全局把控住每个风险。

二是密码工作需要借助内部控制形成全面控制。内部控制作为一种覆盖范围广泛、涵盖所有业务和事项的手段，包含了科研生产管理每个层级和环节，体现了多重与多角度控制协同的系统目标需求。它的宗旨是相对合理地保证管理对象经营合规合法、资产安全高效、有关信息披露真实完整，最终提高经管效率效果，推进企业实现规划战略。在一个内部控制设计流程中，应充分防范和控制任何影响以上目标实现的风险，并要为目标的实现提供合理保证。密码工作所承载的信息从最初的政治领域到军事、外交甚至经济领域，既要安全又要兼顾效率，已经与企业甚至国家的发展战略紧密联系在一起，因此密码的管理与业务管控交融在一起才能事半功倍。

三是密码工作需要借助内部控制实现全程控制。基于密码信息从产生到最后销毁是一个过程，而内部控制恰好是一个完整全过程控制体系，事前、事中、事后都处在控制之中，内容包括制度流程设计、制度执行与监督评价。全程控制以流程为手段，流程设计是前提，实施是核心，监督是关键。流程设计的合理性直接影响到整个内部控制的工作和效果。因此，如果要有效实现密码全程控制，就必须优化和整合内部控制流程。密码工作自身的流程再造也是全面控制和提高运行效率的目的。

二、以风险导向视角构建密码工作体系内控建设实施

1.内部环境分析

以风险导向视角构建密码工作体系内控建设，首先要进行内部环境分析，明确相关设置机构间权责与关系。首先，依托法律和法规的要求，严格规范院所各部门、组织在密码工作链上的权利与义务以及相关人员的聘任条件和明确操作程序等。其次，各级密码管理和使用机构间权利义务要符合密码发展的要求。密码设备和密码算法技术发展在一定时期内相对稳定，无论密码工作依托的工具如何发展，机构间关系及权利义务要有效运作以实现和保证顺利开展相应工作。再次，机构间关系应考虑各层级之间相互监督制约，以达到控制效果。最后，机构间设置关系要与主业、经营规模相适应。可以根据内外部环境变化，迅速做出反应，及时进行结构优化调整。

2.相关风险评估

相关风险评估是辨别并科学分析密码各项活动中与各项控制目标有关的风险，评估潜在事项发生对国家信息安全带来的影响，合理确定风险应对策略和方案。它是整个以风险导向视角构建密码内控工作体系建设的重中之重环节。

相关风险评估由以下环节组成：机要密码所涵盖业务目标拟定、风险动因关系辨识、风险权重及影响程度分析和风险应对方案等。相关风险一定程度上影响控制目标是存在概率情况关联的，要识别其可能性以及结果与目标的偏差。制定与电报、传真、视频会议等各项业务为中心的年度目标，确立辨别辨识、分析总结和管理监测相关风险流程的作业机制，用以了解院所面临的来自内外部各种不同风险事件。在充分辨识各种存在和潜在风险要素以后，要对因未采取防范措施而可能造成的损失按细目量化，分程度进行充分评估分析，其中重点评估已准确运用了相应措施后但依然可能造成的损失程度上下限。在评估了所有相关风险因素和其可能性及相互叠加作用的结果后，再适当地依据成本效益原则进行取舍，优化一系列措施策略，将未分散风险控制在预期风险承受度以内。

3.启动控制活动

对存在风险的每一项密码工作和涉及事项，运用对应的控制策略和控制程序进行有效连续控制。密码工作控制措施一般包括但不限于双人共同负责作业牵制、重要业务前报备审批、过程记录确认、事后痕迹可查可溯和绩效评价分析总结等。现阶段，在工作实际中，控制过程中采用仪器设备自动控制、人工交叉控制，预防性控制与纠错性控制融合设置的相应措施实施既定目标的管理工作。

4.信息传递与有效沟通

信息传递与有效沟通能够及时高效、完整正确地收集并传递与风险控制链条中的相关信息，确保所有信息在院所内外部之间畅通无阻，并没有延时传递或信息缺失。信息传递与沟通是内部控制得以运行的重要保障条件。在信息传递与有效沟通中应确保以下环节：详实记录实际发生有效的业务和异常情况；在运行总结与报告中揭露控制效果和控制中的问题；保证监督者与内外部的顺畅沟通。信息与沟通方式灵活多样，无论采用哪种方式，确保信息真实性、及时性、有效性。

5.内审监督

内审监督是对机要密码内部控制建立科学合理性与实施运行可靠有效性情况的检查，通过查阅记录和工作操作复盘来评价内部控制的有效性，对由此发现的缺陷和不足加以改进的过程。此环节是以风险导向视角构建密码工作体系内控建设的重要保证，也是对既已确立的整个控制机制的再控制。内审监督包含日常性监督和专项性监督。最终监督内容以文字报告为载体揭露机要密码内部控制的各类缺陷。内审监督工作报告应当遵循报告程序，报告渠道保持畅通，以确保发现的重大问题可以及时送达决策领导层。与此同时，仍需要建立内审控制缺陷纠错、改善机制程序，充分有效发挥内审监督效力与落实。

自毛泽东同志亲自审批《机要规则》、确立密码工作基本制度以来，党中央根据不同时期密码工作形势的任务变化，不断做出加强和改进密码工作的决定。在法制化不断深入健全的今天，站在院所密码工作的实际，应联合两级单位成立专题小组开展密码工作规程流程梳理，形成体系性文件以期共同防范密码工作中的风险，这将对未来密码工作的开展具有深远意义。▲