金融行业是牌照行业,接受严格的监管,典型特征是各项业务开展以及IT发展,必须遵守各项管理规定,合规是金融企业的底线和最低要求。同时为落实监管规定,以及企业内部各项管理要求,内部控制(简称“内控”)相对其他行业要求高出不少。在大型金融机构(如全国性商业银行、股份制银行、交易所、大型证券公司等),IT内控合规是广义信息安全的一部分,而且是管理体系中很重要的一环,金融企业如何做好IT内控合规管理建设,本文尝试做一些探讨。
一、总体介绍
1.1合规、内控、风险管理的关系
没有绝对的区分。合规管理是最基础的层面,合规管理的目标是避免违反内外部法律、制度、规范,避免因不合规导致的风险。内控比合规管理更进一层,内控不但要求合规,还要审视“规”是不是完善,“规”有没有配备相应的执行点,执行“规”的过程是不是有效。风险管理,特别是全面风险管理是风险管控的最高形式,风险按标准划分为市场风险、信用风险、流动性风险、操作风险、法律风险。合规、内控只是操作风险管理的手段。大部分金融企业会设置首席风险官,属于公司高级管理层。
虽然一般意义上:风险管理内控合规,但由于企业习惯将风险管理及其所包含的内控、合规活动统称为内控合规管理,故本文所称内控合规是指围绕风险管理的一系列管理活动。由于从业经历所限,本文只探讨IT内控合规管理。
1.2目标及领域
金融企业IT内控合规的目标是通过建立有效的机制,实现对金融企业IT风险的识别、计量、监测和控制,对外保障IT活动符合监管层各项管理要求,对内确保各项管理要求落地和控制措施有效,最终实现IT风险可控。
实践中IT内控合规管理领域包括:信息科技风险管理、监督检查、制度和公文管理、业务连续性管理、信息科技外包管理、分支机构管理,以及其他一些工作(比如写信息技术部工作总结?)。根据不同企业对IT内控合规的定义理解,管理的领域可能会有一些不同。
很多企业内IT内控合规管理的岗位给人的印象就是“写报告”的,这种说法比较通俗易懂,怎么写好报告还是需要能力、知识、技能和逻辑架构功底,有很大技巧的,难以写一份好报告是阻碍绝大多数安全负责人职位更进一步的主要原因。怎么写好报告不在本文探讨。
1.3落地方法
在近三年的IT内控合规管理工作经历中,总结出如下落地方法:外规对内规、内规对检查、检查对整改、整改对考核。
外规对内规。将外部规范要求分解成元要求,去重合并,和内部规范一一对应,每条元要求对应的结果为四者其一:1、满足要求;2、冲突;3、缺失。如果是2、3两种情况,要么修订内部规范,要么增加内部规范,以满足外规要求。通过识别,外部规范分解成9大类、52小类、条元要求,去重合并后形成外规内规对应关系。外规对内规的梳理过程中发现了部分外规元要求没有内规承接和冲突的情况。
内规对检查。依据监管要求、外部标准梳理出内部规范后,建立了一套适用的检查标准,并进行全面覆盖的检查,包括常规检查、专项检查和事件驱动检查。具体内容见第三章监督检查。
检查对整改。建立了一套电子化系统,实现检查计划制定、检查实施、报告管理、问题跟踪等全过程的电子化管理。检查发现和整改情况纳入问题管理流程。
整改对考核。检查发现和整改情况纳入团队和个人当月和年度考核,实实在在影响个人收入。
我看到较多大型金融机构如银行建立了外规条款数据库,并可以根据关键字进行快速检索查询,供内部使用,取得不错的效果。
下文分别介绍IT内控合规管理的各个领域。
二、信息科技风险管理
银监会发过《商业银行信息科技风险管理指引》,证监会(包括协会)发过《证券期货经营机构信息技术治理工作指引(试行)》、《证券期货经营机构信息技术治理工作指引(试行)》,对信息科技风险管理有明确管理要求。
注:银行业“信息科技”的提法较多,证券基金期货“信息技术”的提法较多,本文未做严格区分。
2.1总体介绍
2.1.1信息科技风险定义
信息科技风险是指在运用信息科技过程中,由于自然因素、人为因素、技术漏洞或管理缺陷产生的操作、法律和声誉等风险。
2.1.2管理原则
(1)事前预防为主原则。在风险发生以前建立有效的风险管理措施,降低风险发生的可能性或减少风险可能造成的损失。
(2)全面性原则。信息科技风险管理应覆盖到全行各部门、岗位、人员及操作环节中,使信息科技风险能够被识别、评估、计量、监测和控制。
(3)成本效益原则。对风险管理措施的实施成本与风险可能造成的损失进行分析比较,选取成本效益最佳的风险控制方案。
2.1.3风险偏好与容忍度
需要根据董事会设定的风险偏好进行,在成本效益原则下,最大限度的完善信息科技风险管理体系,保障IT长期、稳定、健康的发展。
2.2组织架构和职责
信息科技风险管理组织架构示例如下:
图1:信息科技风险管理组织
简单介绍下金融机构信息科技三道防线设置,一般商业银行提三道防线的概念比较多,其他证券保险基金期货用此概念较少,但实际部门组织架构和岗位职责设置类似。
2.2.1第一道防线:信息科技部门
