- 快捷搜索
- 全站搜索
IT风险管理的第二道防线是指狭义的IT风险管理,职责可以由商业银行内部控制、操作和合规风险管理工作的牵头部门——内控合规部来承担。工作内容主要包括,风险管理制度的审批下发、风险管理策略、控制目标和管理流程的制定、风险管理方法的培训推广、风险指标的监测预警、定期进行内控合规抽查和专项评估检查等工作,以指导和督促一道防线有效运作。
IT风险管理的第三道防线是指IT审计,职责落在信息科技审计部门,侧重于事后以独立第三方的立场,对管理层、信息科技部有关风险管理内控工作的充分性、有效性进行证据获取和检查评估,并进行信息科技专项审计,将评估审计结果直接报送董事会。如信息科技专项审计是指审计部门根据风险评估结果对认为必要的特殊事项进行的审计,以及对信息科技安全事故进行调查、分析和评估。主要体现董事会对管理层IT风险管理有效性独立检查和取证。
IT风险三道防线建设,既体现了银行各级部门、人员都要参与建设以IT风险管理为核心的银行IT内控体系,也体现了信息科技、内控合规、内部审计部门三级部门相对独立、有效分工、适当交叉、多级监督、协同开展的科技风险管控工作机制。
二、当前商业银行IT风险管理面临的三大挑战
1.各级信息科技部门IT风险管理整合相对不足
商业银行生产运行数据中心各基础设施专业团队每月都要通过科技管理和运行监控系统提交全行IT基础设施系统的容量性能、可用率、事件问题、版本发布、生产变更情况报告;应用研发中心各研发专业团队每月也会提交一些全行应用推广支持服务报告;数据中心、开发中心、各一级分行质量控制或安全管理部门每月要提交本单位的风险内控管理报告;总行的IT风险管理专业团队也要定期和不定期地对各级IT部门的制度规范落实执行情况进行现场或非现场检查报告。各个监管部门也需要例行对各级IT部门进行相关的外部检查和审计。
上述工作都属于银行全面IT风险管理范畴,有的从内部控制和内部绩效评价管理视角开展,有的从外部合规检查审计视角开展,有的从信息安全管理视角开展,有的从安全稳定运行和连续性运作视角开展;有的按照专业条线纵向展开,有的按照行政组织划分横向展开。这样的风险管理模式不可避免地存在一些潜在问题,如工作内容重叠,没有有效地进行整合统一;组织方式和职责分工不够清楚,难以有效落实风险管理责任;IT风险管理力量分散、工作效率质量难以提升等,导致很多风险事件的根源问题得不到彻底解决或没有在事前或事中进行有效控制。
2.对一道、二道防线工作理解认识不统一
商业银行IT风险管理过程中,各部门常常认为:一道防线不能自己检查自己,与各种制度规范要求落实、计划任务目标完成有关的风险检查控制等二道防线工作需要独立的部门来实施;一道防线人力资源本身不足,工作重点应该放在加快建设和做好运行管理方面;分出精力进行风险检查控制会影响日常工作,也会影响人员专业化发展。这些观点,一是误认为检查统计、风险识别控制是二道防线专用名词,没有认识到各道防线都可以运用这些方法手段来实现管理目标。二是误认为风险管理只是事后独立的检查监督,没有认识到将各种风险控制措施内嵌到日常管理活动,可以实现更有价值、更高效的事前事中风险控制。三是将风险管理与建设和维护管理工作对立起来,认为风险管理是一项额外的检查监督工作,没有认识到有效运用风险管理方法,可以控制各种风险威胁的影响,确保管理目标的实现。
IT风险管理二道防线工作中,也存在“根据职责划分一味追求发现风险越多越好,各单位各部门风险问题整改越快越好”的理解误区。这种脱离IT治理和管理实际的工作思路,不仅对一道防线起不到很好的指导帮助作用,还容易因为不正确的考核管理导向,干扰其日常管理工作,造成风险管理工作重点不突出、管理导向不足、工作效率不高等问题。此外,在IT风险管理工作中,存在单独重复进行相关日志数据搜集和检查工具开发的情况,导致无法与其他IT子专业的管理系统进行信息共享、风险控制措施功能共用,不利于将各种风险控制措施与一道防线专业管理流程紧密集成在一起,难以充分发挥IT风险管理的价值。
3.一道、二道防线组织方式不太清楚
当前,国内商业银行正处于信息化、流程化银行转型过程中,期间的IT风险管理一、二道防线组织管理方式主要有:一是总行内控合规部门承担IT风险管理二道防线工作,所有IT部门负责一道防线工作。在IT部门内部,根据管理职责不同,分级实施风险检查管理、指导监督工作。二是在传统科级制组织结构下,总行、分行信息科技部门分别实施自己的一二道防线管理工作,即各数据中心、各一级分行的信息安全部承担本单位内部控制和风险管理二道防线职责,本单位系统、网络、机房环境动力、应用专业团队、运行服务团队负责本单位的一道防线风险管理工作。三是在IT集约化、专业化、垂直化、扁平化管理过程中,由各IT子专业条线(主机系统、平台系统、网络、机房环境动力、应用系统、运行服务、信息安全)团队,承担本专业全行范围内各单位IT风险一道防线管理工作,总行设立单独的IT风险管理团队负责全行总体的二道防线管理工作。
对于第一种方式,由于IT风险管理专业性强,自动化管理水平还不高,目前各银行内控合规部门熟悉信息安全、IT风险管理的人员数量和经验不足,因此各商业银行目前尚难以直接采用。内部合规部门还需要和IT部门一起,以IT部门为主共同探索建立和完善IT风险管理体系。对于后两种方式,各银行往往同时采用。一方面各银行在总分行制组织体系下,要求各数据中心、一级分行承担IT风险管理一道防线工作。另一方面,随着国内商业银行数据集中后信息科技集约化、专业化管理的不断深入,各IT子专业条线的规划、设计、开发、测试、实施、运行等工作逐渐由总行数据中心的相关子专业团队统一管理,各种IT风险管理措施的流程内嵌和固化等一道防线工作也因此划归各IT子专业部门负责。
后两种组织方式并存的现象使得一些人认为IT风险一道防线是各单位自已的工作,另一些人则认为主要是各IT子专业条线的工作;有人认为IT风险二道防线工作应由各单位信息安全部门承担,有人则认为应主要由IT子专业部门承担。职责认识不清使得各单位、各部门IT风险责任难以明确,资源不能有效整合,工作质量和效率难以提升。
三、IT风险管理实施步骤和自动化建设
为有效应对上述挑战,健全商业银行全面风险管理内控体系,提升商业银行IT治理和管理要求的执行能力,增强商业银行科技核心竞争力,本文提出一种分阶段、分重点实施IT风险管理的建议方案,并在不同阶段采用不同的一二道防线组织方式,以便随着IT治理和管理的逐步成熟,同步健全商业银行IT风险管理体系,确保银行IT战略目标和业务价值的实现。
1.初期以以事后合规检查为主
在商业银行信息化建设的初期,IT治理机制尚不完善,IT管理方法、工具、手段尚不成熟,适宜从信息安全风险、生产运行风险和外部合规风险管理入手对全行各级IT部门进行风险管控,确保银行信息系统安全、稳定、连续、合规运行。这个阶段的风险控制活动,主要针对相关领域内部信息科技管理制度规范和外部监管要求的落实执行情况进行事后的合规检查,并根据检查情况评价各级IT部门的风险管理和IT管理水平,引导各级单位提高信息系统的可用性和安全性以及外部监管合规性。
具体工作包括以下内容:在一道防线方面,由数据中心、各一级分行等生产运行单位分别承担本单位的IT风险一道防线职责。一方面,负责严格按照总行制定的各种信息安全、生产运行等方面的制度规范做好落实执行工作。另一方面,由本单位的信息安全部门牵头组织各IT子专业部门,利用总行下发、自身研发的各种风险检查控制工具,做好本单位及下属单位(如一级分行以下的各二级分行)相关IT风险领域的自查、检查等风险控制管理工作。
在二道防线方面,可以在总行科技部门、数据中心或开发中心设立专门的IT风险管理二道防线专业团队,与内控合规部门一起承担IT风险管理二道防线职责。重点围绕信息安全风险、生产运行风险、外部合规风险制定IT风险管理策略、控制目标和管理制度流程。同时,组织各IT子专业部门研发团队制定相关IT风险领域的风险检查控制矩阵,整理细化用户管理、数据管理、变更管理、配置管理、事件管理、问题管理、应急管理、系统网络安全、信息保密管理、机房管理等风险子领域的风险检查控制点,并根据上述检查点制定详细的分批检查计划,每月例行开展覆盖全行生产运行单位(数据中心、各一级分行)的IT风险非现场检查工作,每年选择部分单位进行现场风险抽查,以支持总行有效评价各单位IT管理控制水平,监督各单位制度规范执行情况。
商业银行IT风险管理(信息科技风险管理)常谈常新,而从IT风险管理与内控相
目前贷款利率管制已基本放开,利率市场化改革进入了一个全新的阶段,这从风