商业银行信息科技风险管理指引概述

IT治理与商业银行信息科技风险管理指引概述2009年7月第1页声明本培训资料中所包含之内容属保密内容，未经安永（中国）企业咨询有限公司正式书面允诺，不得部分或全部复制，不得使用于非法目的，不得以任何形式交予任何第三方或与任何第三方讨论其中之内容。保密内容–安永（中国）企业咨询有限公司，二○○九年，保留所有权利第2页目录►信息科技治理结构►信息科技治理结构分析►指引概述第3页公司治理与IT治理（信息科技治理）►公司治理：►为确定组织目标和确保目标实现的绩效监控所提供的治理结构。►IT治理►IT治理是公司治理的一部分►IT治理就是要明确有关IT决策权的归属机制和有关IT责任的承担机制，以鼓励IT应用的期望行为的产生，以联接业务目标和IT目标，从而使企业从IT中获得最大的价值。►IT治理与公司治理的目标是一样的：达到业务持续运营，并增加组织的长期获利机会。第4页IT治理的概念►新《指引》要求：信息科技风险管理的目标是通过建立有效的机制，实现对商业银行信息科技风险的识别、计量、监测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。►ITGI的描述：IT治理是一种引导和控制企业各种关系和流程的结构，这种结构安排，旨在通过平衡信息技术及其流程中的风险和收益，增加价值，以实现企业目标。►国内观点：IT治理是描述企业或政府是否采用有效的机制，使得IT的应用能够完成组织赋予它的使命，同时平衡信息化过程中的风险，确保实现组织的战略目标的过程。它的使命是：保持IT与业务目标一致，推动业务发展，促使收益最大化，合理利用IT资源，适当管理与IT相关的风险。►总结：IT治理就是解决企业在信息化过程中遇到的与IT相关的非技术性问题，让IT在企业中更好地发挥作用。第5页IT治理的四个领域►IT治理主要包括四个领域：►关注IT治理的驱动力：►战略一致性►业绩衡量►关注IT治理的目标：►IT要为企业交付价值►IT风险要降低第6页IT治理的第一步-业务战略与IT战略的一致性►为保证业务战略与IT战略的一致性，应遵循以下原则：►业务驱动IT►业务战略确定IT目标第7页IT治理结构的组成►IT治理具有复杂的组成结构►IT治理包括战略、战术、运营，三个层面►IT治理包括指导、监督、评估，三方面工作►IT治理需要标准化的管理体系进行支撑，如：►ITSM（IT服务管理体系）►ISMS（信息安全管理体系）►ERM（全面风险管理）战术运营战略指导监督评估计划实施检查改进业务第8页目录►信息科技治理结构►信息科技治理结构分析►指引概述第9页IT治理结构（1）►IT治理的目的仍然在于维护业务的快速、稳定增长。业务第10页IT治理结构（2）►IT治理同公司治理一样，也具有战略、战术、运营，三个层面：►战略，描述了企业长期发展的动机和愿景►战术，企业根据自己的组织状况对战略进行分解之后，形成的目标►运营，企业通过日常工作以实现战术目标战术运营战略业务第11页IT治理结构（3）►IT治理过程中，管理者应实施三项活动：指导、监督、评估►管理者三项IT治理活动的过程如下：►制定IT战略，并指导IT战略向IT战术的分解►监督并指导IT战术的实施和IT战术向IT运营的分解►评估IT运营的效果，并通过评估结果重新调整IT战略。►战略、战术和运营的分解和绩效评估工具：►平衡计分卡战术运营战略指导监督评估业务第12页IT治理结构（4）►IT治理过程中，管理者需要规范的管理体系，以支撑IT治理框架，管理体系主要包括：►IT服务管理体系（ITSM），基于ISO20000►信息安全管理体系（ISMS），基于ISO27001►全面风险管理体系，基于COSO注：COSO是美国“全国虚假财务报告委员会”下属的“发起人委员会”的英文缩写。根据萨班斯法案第404节条款以及美国证券交易委员会（SEC）的相应实施标准，要求公司的管理层评估和报告公司最近年度的财务报告的内部控制的有效性。COSO框架是美国上市公司内部控制框架的参照性标准。战术运营战略指导监督评估计划实施检查改进业务第13页目录►信息科技治理结构►信息科技治理结构分析►指引概述第14页新《指引》的指导思想►贯彻了“管法人、管风险、管内控、提高透明度”的银行监管理念。►从坚持法人监管出发，指出商业银行法定代表人是本机构信息科技风险管理的第一责任人。►从内控监管要求出发，要求商业银行建立完整的管理组织架构，制订完善的管理制度和流程，以相互制约的管理机制对信息科技各环节进行控制。►信息科技治理作为首要内容提出，充实并细化了对商业银行在治理层面的具体要求。►规定了董事会和高级管理层在信息科技风险管理中承担的主要责任，提出要构建信息科技风险管理的“三道防线”（即信息科技管理、信息科技风险管理、信息科技风险审计）。►要求商业银行在决策层设立首席信息官，有利于商业银行加强信息科技治理。-银监会有关负责人就《商业银行信息科技风险管理指引》答记者问重点：1.法人监管2.建设完整的管理组织架构3.构建信息科技管理、信息科技风险管理、信息科技风险审计三方监管4.设立首席信息官（CIO）第15页行长首席信息官信息科技风险管理部门信息科技部指引概述（1）-战略指引要求选项二行长首席风险官信息科技风险管理部门首席信息官信息科技部指引要求选项一指引要求选项三行长首席信息官信息科技部风险管理委员会信息科技风险管理部门►第二章信息科技治理►CIO与信息科技风险管理部门►IT战略制定与审批第16页指引概述（2）-战术►第三章信息科技风险管理►IT战略分解，并与业务战略保持一致：“…制定符合银行总体业务规划的信息科技战略、信息科技运行计划和信息科技风险评估计划，确保配置足够人力、财力资源，维持稳定、安全的信息科技环境。”►建立信息安全管理体系（属于信息安全管理体系）：“…制定持续的风险识别和评估流程…”►建立服务水平管理流程（属于IT服务管理体系）：“…应建立持续的信息科技风险计量和监测机制…”；”…对服务水平协议的完成情况进行定期审查。”►第七章业务连续性管理►制定业务连续性计划：”…应根据自身业务的性质、规模和复杂程度制定适当的业务连续性规划…”►制定灾难恢复计划：“…以确保在出现无法预见的中断时，系统仍能持续运行并提供服务；…”►进行应急演练和灾难恢复演练：”…定期对规划进行更新和演练，以保证其有效性。”第17页指引概述（3）-运营A►第四章信息安全►建立信息安全管理体系：“…建立和实施信息分类和保护体系…”►控制信息的声明周期（电子和纸质）：“…应制定相关制度和流程，严格管理客户信息的采集、处理、存贮、传输、分发、备份、恢复、清理和销毁。”►第五章信息系统开发、测试和维护►软件生命周期管理体系：“应有能力对信息系统进行需求分析、规划、采购、开发、测试、部署、维护、升级和报废，制定制度和流程，管理信息科技项目的优先排序、立项、审批和控制。”►建立问题管理流程（属于IT服务管理体系）：“应建立并完善有效的问题管理流程”►建立容量管理流程（属于IT服务管理体系）：“当设备达到预期使用寿命或性能不能满足业务需求，基础软件（操作系统、数据库管理系统、中间件）或应用软件必须升级时，应及时进行系统升级，”►第六章信息科技运行►建立应急流程：“…应建立事故管理及处置机制，及时响应信息系统运行事故…”►建立服务水平管理流程（属于IT服务管理体系）：“…应建立服务水平管理相关的制度和流程，对信息科技运行服务水平进行考核。”►建立容量管理流程（属于IT服务管理体系）：“…应建立连续监控信息系统性能的相关程序，及时、完整地报告例外情况”；“应制定容量规划，以适应由于外部环境变化产生的业务发展和交易量增长。”►建立问题管理流程（属于IT服务管理体系）：“…应制定有效的变更管理流程…”第18页指引概述（3）-运营B►第八章外包►对外包负责：“…不得将其信息科技管理责任外包，应合理谨慎监督外包职能的履行。”►重要外包应上报：“…重要外包（如数据中心和信息科技基础设施等)应格外谨慎，在准备实施重要外包时应以书面材料正式报告银监会或其派出机构。”►建立服务水平管理流程（属于IT服务管理体系）：“…实施双方关系管理..起草服务水平协议…”；“…应设立流程定期审阅和修订服务水平协议。”►外包合同审阅：“…信息科技外包合同应由信息科技风险管理部门、法律部门和信息科技管理委员会审核通过。”►第九章内部审计►IT内审应进行控制测试：“…内部审计部门应根据业务的性质、规模和复杂程度，对相关系统及其控制的适当性和有效性进行监测。”►IT内审应有访问银行记录权利：“…内部审计部门应配备足够的资源和具有专业能力的信息科技审计人员，独立于本银行的日常活动，具有适当的授权访问本银行的记录。”►一般IT审计频率根据评估结果：“…应根据业务性质、规模和复杂程度，信息科技应用情况，以及信息科技风险评估结果，决定信息科技内部审计范围和频率。”►全面IT审计三年一次：“…应每三年进行一次全面审计。”►第十章外部审计►外部审计机构是审计的组成部分：“在符合法律、法规和监管要求的情况下，委托具备相应资质的外部审计机构进行信息科技外部审计。”►银监会的IT审计工作可委托给外部审计机构：“银监会及其派出机构必要时可指定具备相应资质的外部审计机构对商业银行执行信息科技审计或相关检查。”第19页小结►IT治理成功的十项要点►英国ITGovernanceLimited的CEOAlanCalder对企业在进行IT治理时给出十条建议:►1整个企业要对IT治理要达成明确的共识►2要让董事会理解IT治理是他们的职责►3制定一个IT治理框架►4建立角色清晰的CIO,并赋予足够的权力►5建立IT管理委员会►6在技术讨论中，禁止使用专业术语►7建立企业的IT架构委员会►8采用专业的IT审计►9使用最佳实践标准（如：ISO20000、ISO27001），并保证被正确的实施►10始终保持IT与业务的一致性关于安永安永是全球领先的审计、税务、财务交易和咨询服务机构之一。拥有共同的信念以及对优质服务坚定不移的承诺把我们全球各地130,000名员工联系在一起。亦因安永能为员工、客户和社会各界发展潜能，我们在行业中别树一帜。如欲进一步了解安永，请浏览。安永是指Ernst&YoungGlobalLimited的全球成员机构组成的组织，各成员机构都是独立的法人实体。Ernst&YoungGlobalLimited是英国一家担保有限公司，并不向客户提供服务。©2009Ernst&Young,China版权所有。免责声明本刊物所载资料以概要方式呈列,旨在用作一般性指引,不能替代详细研究或作出专业判断。Ernst&YoungChinapractice或安永全球机构中任何成员概不对任何人士根据本刊物的任何资料采取或不采取行动而引致的损失承担任何责任。阁下应向适当顾问查询任何具体事宜。Ernst&Young安永Assurance审计|Tax税务|Transactions财务交易|Advisory咨询