IT管理流程和使用者有關(guān)的治理領(lǐng)域，是核心業(yè)務(wù)系統(tǒng)治理中的“短板”；通過(guò)以IT風(fēng)險(xiǎn)為導(dǎo)向，以COSO和COBIT為框架要求，建立和完善銀行核心業(yè)務(wù)系統(tǒng)的IT內(nèi)控框架，是改進(jìn)銀行核心業(yè)務(wù)系統(tǒng)治理的有效途徑

近年來(lái)，中國(guó)銀行業(yè)監(jiān)督管理委員會(huì) (下稱銀監(jiān)會(huì))對(duì)銀行業(yè)金融機(jī)構(gòu)的信息科技風(fēng)險(xiǎn)管理非常關(guān)注。

2006年11月，銀監(jiān)會(huì)發(fā)布《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引》（下稱《風(fēng)險(xiǎn)管理指引》），明確提出銀行業(yè)金融機(jī)構(gòu)法定代表人或主要負(fù)責(zé)人是本機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理責(zé)任人。

根據(jù)銀監(jiān)會(huì)發(fā)布的《風(fēng)險(xiǎn)管理指引》，中國(guó)境內(nèi)設(shè)立的商業(yè)銀行，都需遵循銀監(jiān)會(huì)對(duì)信息系統(tǒng)風(fēng)險(xiǎn)管理的要求。這是商業(yè)銀行面臨的一項(xiàng)刻不容緩的工作，其意義是深遠(yuǎn)的，同時(shí)也是一個(gè)挑戰(zhàn)。

商業(yè)銀行的核心業(yè)務(wù)系統(tǒng)，是整個(gè)銀行最重要的信息系統(tǒng)和科技風(fēng)險(xiǎn)最集中的地方。因此，改進(jìn)銀行核心業(yè)務(wù)系統(tǒng)的治理，對(duì)防范和降低商業(yè)銀行信息系統(tǒng)風(fēng)險(xiǎn)有著十分重要的意義。

核心業(yè)務(wù)系統(tǒng)治理“短板”

建立和完善銀行核心業(yè)務(wù)系統(tǒng)治理，是一項(xiàng)涉及整個(gè)銀行很多部門的工作。由于商業(yè)銀行的業(yè)務(wù)活動(dòng)對(duì)IT的依賴日益增強(qiáng)，越來(lái)越多的部門都須臾離不開(kāi)核心業(yè)務(wù)系統(tǒng)的支持。核心業(yè)務(wù)系統(tǒng)、IT管理流程和系統(tǒng)的使用者，構(gòu)成了核心業(yè)務(wù)系統(tǒng)治理面對(duì)的主體。

當(dāng)我們?cè)谡務(wù)撱y行核心業(yè)務(wù)系統(tǒng)治理時(shí)，可以借用所謂的“木桶原理”——一只木桶的容積，決定于它最短的一塊木板的長(zhǎng)度，換言之，一個(gè)銀行核心業(yè)務(wù)系統(tǒng)治理的完善程度，取決于它最薄弱的環(huán)節(jié)。

根據(jù)這一概念，可以認(rèn)為核心業(yè)務(wù)系統(tǒng)本身、IT管理流程以及使用者的相互作用和影響，構(gòu)成了銀行核心業(yè)務(wù)系統(tǒng)治理的“木桶”。所謂“木板的長(zhǎng)度”，實(shí)際上就是這三者相互作用構(gòu)成核心業(yè)務(wù)系統(tǒng)治理多個(gè)方面的完善程度。

近年來(lái)，商業(yè)銀行對(duì)核心業(yè)務(wù)系統(tǒng)建設(shè)的重視程度和資源投入是相當(dāng)可觀的，不少銀行建立了技術(shù)相當(dāng)先進(jìn)的系統(tǒng)和安全防范體系，核心業(yè)務(wù)系統(tǒng)的技術(shù)已經(jīng)是整個(gè)治理環(huán)境中最成熟的部分。相對(duì)而言，與IT管理流程和使用者有關(guān)的治理領(lǐng)域，卻是核心業(yè)務(wù)系統(tǒng)治理中的“短板”。從這個(gè)意義上說(shuō)，改進(jìn)商業(yè)銀行核心業(yè)務(wù)系統(tǒng)治理，需要從改進(jìn)這些“短板”著手。

實(shí)踐表明，通過(guò)以IT風(fēng)險(xiǎn)為導(dǎo)向，以COSO和COBIT為框架要求，建立和完善銀行核心業(yè)務(wù)系統(tǒng)的IT內(nèi)控框架，是改進(jìn)銀行核心業(yè)務(wù)系統(tǒng)治理的有效途徑。這可以從四方面著手展開(kāi)。

定期評(píng)估IT風(fēng)險(xiǎn)

首先是定期開(kāi)展IT風(fēng)險(xiǎn)評(píng)估。這一工作的目的，是要合理確定商業(yè)銀行面臨的IT固有風(fēng)險(xiǎn)，以及實(shí)施了相關(guān)控制之后的剩余風(fēng)險(xiǎn)，從而為完善銀行核心業(yè)務(wù)系統(tǒng)的IT內(nèi)控框架提供基礎(chǔ)和導(dǎo)向。

IT風(fēng)險(xiǎn)評(píng)估一般包括八個(gè)方面，即業(yè)務(wù)專注度、信息資產(chǎn)、對(duì)IT的依賴度、對(duì)IT內(nèi)部員工的依賴度、對(duì)第三方的依賴度、系統(tǒng)的可靠性、技術(shù)變更以及相關(guān)法律法規(guī)的環(huán)境。

對(duì)于被識(shí)別的每個(gè)IT風(fēng)險(xiǎn)，應(yīng)從風(fēng)險(xiǎn)的影響度和發(fā)生的可能性的角度進(jìn)行評(píng)估打分，再通過(guò)評(píng)估目前已有的控制措施，合理確定剩余風(fēng)險(xiǎn)，并綜合生成該風(fēng)險(xiǎn)的整體評(píng)估結(jié)果。

完善IT內(nèi)控框架

根據(jù)IT風(fēng)險(xiǎn)評(píng)估工作的結(jié)果，針對(duì)識(shí)別出的IT高風(fēng)險(xiǎn)的領(lǐng)域，為銀行核心業(yè)務(wù)系統(tǒng)量身定制IT控制要求或控制目標(biāo)，提出銀行核心業(yè)務(wù)系統(tǒng)的IT內(nèi)控活動(dòng)或控制點(diǎn)，從而形成銀行核心業(yè)務(wù)系統(tǒng)的IT內(nèi)控框架。這是改進(jìn)銀行核心業(yè)務(wù)系統(tǒng)治理的第二步。

1967年，美國(guó)信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ISACA）提出了“信息系統(tǒng)和技術(shù)控制目標(biāo)”（COBIT）的概念。

COBIT，直譯為“信息及相關(guān)技術(shù)的控制目標(biāo)”，是IT治理的一個(gè)開(kāi)放性標(biāo)準(zhǔn)，目前已成為國(guó)際上公認(rèn)的信息安全與IT管理和控制的標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)體系已在世界100多個(gè)國(guó)家的重要組織與企業(yè)中運(yùn)用，指導(dǎo)這些組織有效地利用信息資源和有效地管理IT風(fēng)險(xiǎn)。

1992年，美國(guó)反虛假財(cái)務(wù)報(bào)告委員會(huì)的發(fā)起組織委員會(huì)（COSO）提出了COSO模型，即內(nèi)部控制－整合性框架。

隨后，于2004年，在內(nèi)部控制－整合性框架多年理論和實(shí)踐的基礎(chǔ)上，又提出了企業(yè)風(fēng)險(xiǎn)管理模型COSO報(bào)告II。

ISO27001/ISO17799/BS7799是全面和復(fù)雜的信息安全管理標(biāo)準(zhǔn)，旨在幫助各種類型和規(guī)模的組織實(shí)施并運(yùn)行有效的信息安全管理體系，從而增強(qiáng)企業(yè)識(shí)別、防止、減少和控制組織信息安全風(fēng)險(xiǎn)的能力。

從實(shí)踐上看，COSO是一種能被用來(lái)建立內(nèi)部控制架構(gòu)的范例，包括IT內(nèi)部控制；COBIT(IT控制目標(biāo)) 是能被用來(lái)構(gòu)建IT內(nèi)控環(huán)境和內(nèi)控架構(gòu)的范例；而ISO27001/ISO17799/BS7799是能被用來(lái)建立全面的IT內(nèi)部控制的范例。

作為改進(jìn)銀行核心業(yè)務(wù)系統(tǒng)治理的重要一步，商業(yè)銀行應(yīng)該構(gòu)建合適的IT控制目標(biāo)體系和IT內(nèi)控架構(gòu)。

在實(shí)踐中，一般會(huì)將IT的控制目標(biāo)和IT內(nèi)控架構(gòu)分為公司層面的IT控制、IT一般控制和相關(guān)應(yīng)用系統(tǒng)/業(yè)務(wù)流程層面的自動(dòng)控制等三個(gè)層次和若干個(gè)控制領(lǐng)域。如IT一般控制中，就包含項(xiàng)目管理、變更管理、系統(tǒng)安全管理、問(wèn)題和事故管理、數(shù)據(jù)管理、系統(tǒng)操作管理、最終用戶計(jì)算等。

每一個(gè)層面和控制領(lǐng)域都可建立若干個(gè)IT控制目標(biāo)。

銀行可以根據(jù)自身核心業(yè)務(wù)系統(tǒng)的特點(diǎn)，參照COSO內(nèi)控框架的要求，同時(shí)平衡考慮控制成本，選擇COBIT部分相關(guān)的控制目標(biāo)，構(gòu)建本銀行核心業(yè)務(wù)系統(tǒng)的IT內(nèi)控框架。在有條件的情況下，將本銀行核心業(yè)務(wù)系統(tǒng)的IT內(nèi)控框架和國(guó)際國(guó)內(nèi)類似規(guī)模、類似性質(zhì)銀行作一個(gè)覆蓋面和深度方面的比較，亦是一件很有價(jià)值的工作。

管理層評(píng)估與控制

定期開(kāi)展管理層的自我評(píng)估，實(shí)施必要的IT控制活動(dòng)，則是改進(jìn)核心業(yè)務(wù)系統(tǒng)治理的第三步。

管理層的自我評(píng)估的目標(biāo)，是根據(jù)銀行核心業(yè)務(wù)系統(tǒng)的IT內(nèi)控框架，確定必要的IT控制活動(dòng)，批準(zhǔn)實(shí)施IT控制的行動(dòng)計(jì)劃，以及自我評(píng)估IT控制活動(dòng)的有效性。

管理層的自我評(píng)估工作，一般可分為以下五點(diǎn)：

第一，審閱當(dāng)前核心業(yè)務(wù)系統(tǒng)的固有風(fēng)險(xiǎn)水平和剩余風(fēng)險(xiǎn)水平；

第二，確認(rèn)所需的IT控制點(diǎn)；

第三，確認(rèn)接受剩余風(fēng)險(xiǎn)的水平；

第四，對(duì)實(shí)施IT控制的行動(dòng)計(jì)劃達(dá)成共識(shí)，推行和實(shí)施所需的控制；

第五，自我評(píng)估相關(guān)IT控制的有效性。

管理層的自我評(píng)估和確認(rèn)剩余風(fēng)險(xiǎn)，并實(shí)施所需的控制，是改善銀行核心業(yè)務(wù)系統(tǒng)治理的最重要的一環(huán)。只有管理層確實(shí)推進(jìn)了確認(rèn)的IT控制活動(dòng)，才能使IT的剩余風(fēng)險(xiǎn)維持在可接受的程度，核心業(yè)務(wù)系統(tǒng)治理才能得到改善。

管理層推動(dòng)銀行核心業(yè)務(wù)系統(tǒng)IT內(nèi)控的開(kāi)展，是一項(xiàng)長(zhǎng)期的工作。

管理層可以建立和使用IT風(fēng)險(xiǎn)控制矩陣，這是落實(shí)IT內(nèi)控點(diǎn)和進(jìn)行IT內(nèi)控管理的很實(shí)用的工具。在管理層在推進(jìn)有效的IT控制活動(dòng)后，IT風(fēng)險(xiǎn)會(huì)得到合理的控制。

加強(qiáng)IT內(nèi)部審計(jì)

建立和改善銀行核心業(yè)務(wù)系統(tǒng)IT內(nèi)控框架的第四個(gè)方面，是加強(qiáng)銀行核心業(yè)務(wù)系統(tǒng)的IT內(nèi)部審計(jì)。其目的，是從一個(gè)相對(duì)獨(dú)立的角度，評(píng)估IT控制的有效性，以幫助檢查銀行核心業(yè)務(wù)系統(tǒng)的IT控制是否實(shí)施到位以及控制是否有效。

這些審計(jì)工作，包括根據(jù)當(dāng)前銀行核心業(yè)務(wù)系統(tǒng)IT風(fēng)險(xiǎn)等級(jí)和IT審計(jì)的歷史結(jié)論等因素，確定銀行核心業(yè)務(wù)系統(tǒng)的審計(jì)領(lǐng)域和周期；編制年度審計(jì)時(shí)間表和審計(jì)重點(diǎn)；有效利用IT內(nèi)審團(tuán)隊(duì)的有限資源以及審計(jì)報(bào)告、評(píng)分、和審計(jì)發(fā)現(xiàn)的限時(shí)跟進(jìn)。

在銀行核心業(yè)務(wù)系統(tǒng)的IT內(nèi)部審計(jì)的工作中，對(duì)IT控制活動(dòng)進(jìn)行定期監(jiān)控和測(cè)試是重要的一環(huán)。IT控制活動(dòng)的監(jiān)控和測(cè)試將根據(jù)控制活動(dòng)發(fā)生的頻率，決定樣本的大小，并對(duì)抽取的樣本按照設(shè)計(jì)的測(cè)試步驟進(jìn)行。

IT控制的測(cè)試，可以按照控制的設(shè)計(jì)有效性和運(yùn)行有效性兩個(gè)方面分別進(jìn)行。任何被檢測(cè)出的IT控制缺陷，可以要求在規(guī)定的期限前改正和接受再測(cè)試。因此，定期測(cè)試IT控制活動(dòng)對(duì)銀行核心業(yè)務(wù)系統(tǒng)治理的改進(jìn)起了監(jiān)督的作用。

如果銀行能夠落實(shí)和開(kāi)展上述四個(gè)方面的工作，將很好地改善銀行核心業(yè)務(wù)系統(tǒng)治理環(huán)境，同時(shí)改善銀行核心業(yè)務(wù)系統(tǒng)IT風(fēng)險(xiǎn)的管理工作，在推動(dòng)銀行業(yè)務(wù)和管理發(fā)展的同時(shí)，也可滿足監(jiān)管機(jī)構(gòu)對(duì)信息系統(tǒng)風(fēng)險(xiǎn)管理的要求?！?/p>