如何構(gòu)建商業(yè)銀行風(fēng)險(xiǎn)管理的組織體系?

【專家解說】：背景 為加強(qiáng)商業(yè)銀行的信息科技風(fēng)險(xiǎn)管理，提升信息科技風(fēng)險(xiǎn)管理能力，09年3月份銀監(jiān)會正式發(fā)布了《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》（以下簡稱《指引》），這是繼出臺有關(guān)《商業(yè)銀行操作風(fēng)險(xiǎn)管理指引》、《商業(yè)銀行市場風(fēng)險(xiǎn)管理指引》和《商業(yè)銀行合規(guī)風(fēng)險(xiǎn)管理指引》等一系列的監(jiān)管文件之后，銀監(jiān)會發(fā)布的又一重要風(fēng)險(xiǎn)管理指引。 該指引適用于在中華人民共和國境內(nèi)依法設(shè)立的法人商業(yè)銀行。政策性銀行、農(nóng)村合作銀行、城市信用社、農(nóng)村信用社、村鎮(zhèn)銀行、貸款公司、金融資產(chǎn)管理公司、信托公司、財(cái)務(wù)公司、金融租賃公司、汽車金融公司、貨幣經(jīng)紀(jì)公司等其他銀行業(yè)金融機(jī)構(gòu)參照執(zhí)行。 信息科技風(fēng)險(xiǎn)管理需求分析 合規(guī)性需求： 近年來，國家各部門不斷推出了各種監(jiān)管要求，對IT管控領(lǐng)域也提出了明確的要求。其中與銀行業(yè)信息科技風(fēng)險(xiǎn)相關(guān)的法律、法規(guī)與行業(yè)監(jiān)管指引有： 2002年，美國國會發(fā)布了SOX《薩班斯—奧克斯利法案》； 2004年9月30日，中國銀監(jiān)會發(fā)布了《商業(yè)銀行內(nèi)部控制評價(jià)辦法》； 2006年，銀監(jiān)會發(fā)布《電子銀行安全評估指引》 、《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引》和《銀行業(yè)金融機(jī)構(gòu)內(nèi)部審計(jì)指引》； 2006年6月，國務(wù)院國資委出臺了《中央企業(yè)全面風(fēng)險(xiǎn)管理指引》； 2007年，公安部明確了《信息系統(tǒng)等級保護(hù)基本要求與實(shí)施指南》； 2009年3月，銀監(jiān)會發(fā)布《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》； 各商業(yè)銀行如何滿足日益嚴(yán)格的各類IT監(jiān)管要求，成為銀行風(fēng)險(xiǎn)管理部門、合規(guī)部門、信息科技部門以及審計(jì)部門面臨的挑戰(zhàn)。 IT風(fēng)險(xiǎn)管理需求 銀行業(yè)隨著信息化工作的不斷深入，信息系統(tǒng)的開發(fā)、維護(hù)與運(yùn)行均面臨較大的挑戰(zhàn)，如何保障業(yè)務(wù)的持續(xù)運(yùn)營，如何支撐銀行各項(xiàng)業(yè)務(wù)的風(fēng)險(xiǎn)管理，如何保障客戶與自身信息的安全，成為各商業(yè)銀行信息科技部門與風(fēng)險(xiǎn)管理部門的重要任務(wù)，因此信息科技風(fēng)險(xiǎn)的管理就顯得迫在眉睫。商業(yè)銀行針對信息科技風(fēng)險(xiǎn)需要審視： • 是否對所有潛在的重大IT風(fēng)險(xiǎn)都進(jìn)行了識別、評估和管理？ • 面對數(shù)量眾多的IT風(fēng)險(xiǎn)，應(yīng)如何對其進(jìn)行管理？ • 如何在全行范圍內(nèi)推行全面IT風(fēng)險(xiǎn)管理？ • 如何將IT風(fēng)險(xiǎn)管理體制與企業(yè)日常IT管理和運(yùn)營相融合？ • IT風(fēng)險(xiǎn)管理的角色、責(zé)任和義務(wù)是否合理或明確？ • 如何增強(qiáng)風(fēng)險(xiǎn)意識，培育風(fēng)險(xiǎn)管理文化？ 組建并管理IT風(fēng)險(xiǎn)管理團(tuán)隊(duì) IT風(fēng)險(xiǎn)管理組織結(jié)構(gòu)建立在IT治理目標(biāo)組織架構(gòu)的基礎(chǔ)上，遵循IT治理的工作成果，從IT風(fēng)險(xiǎn)管理的主要工作與活動開始，逐步識別并定義IT風(fēng)險(xiǎn)管理的角色，并根據(jù)角色模型設(shè)計(jì)組織架構(gòu)，確保IT風(fēng)險(xiǎn)管理的各項(xiàng)工作能夠得到落實(shí)。IT風(fēng)險(xiǎn)管理生命周期以及生命周期各階段的工作如下圖所示： IT風(fēng)險(xiǎn)生命周期管理 從IT風(fēng)險(xiǎn)管理生命周期中各個(gè)階段主要工作中識別出IT風(fēng)險(xiǎn)管理所需要的角色，結(jié)合IT治理規(guī)劃成果，并參考國際最佳實(shí)踐，設(shè)計(jì)IT風(fēng)險(xiǎn)管理的職能與組織架構(gòu)。從IT風(fēng)險(xiǎn)管理生命周期中各個(gè)階段主要工作中識別出IT風(fēng)險(xiǎn)管理所需要的角色，結(jié)合IT治理規(guī)劃成果，并參考國際最佳實(shí)踐，設(shè)計(jì)銀行業(yè)IT風(fēng)險(xiǎn)管理的職能與組織架構(gòu)。 對于IT風(fēng)險(xiǎn)管理的角色的定位如下圖所示。 設(shè)計(jì)IT風(fēng)險(xiǎn)管理框架體系 IT風(fēng)險(xiǎn)管理框架體系主要包括如下五個(gè)體系框架  IT風(fēng)險(xiǎn)管理策略體系：建立企業(yè)IT風(fēng)險(xiǎn)管理策略，明確管理層對信息科技風(fēng)險(xiǎn)管理的期望與承諾，描述對企業(yè)信息科技風(fēng)險(xiǎn)進(jìn)行有效管理的方法，規(guī)定人員操作的流程與規(guī)范，制定系統(tǒng)配置規(guī)格、使用策略等。  IT風(fēng)險(xiǎn)管理組織體系：建立完成組織信息科技風(fēng)險(xiǎn)管理目標(biāo)的組織機(jī)構(gòu)，包括跨部門的信息科技風(fēng)險(xiǎn)管理委員會、工作小組、第三方安全服務(wù)組織等。  IT風(fēng)險(xiǎn)管理運(yùn)行保障體系：建立日?？萍硷L(fēng)險(xiǎn)運(yùn)行與維護(hù)機(jī)制，包括運(yùn)行監(jiān)控、問題處理、變更管理等。重點(diǎn)是建立生產(chǎn)運(yùn)行中安全的問題處理機(jī)制，形成完善的運(yùn)行保障機(jī)制，及時(shí)、準(zhǔn)確、快速地處理運(yùn)行中的問題，強(qiáng)調(diào)執(zhí)行過程的安全。  IT風(fēng)險(xiǎn)管理技術(shù)保障體系：應(yīng)用先進(jìn)成熟的技術(shù)手段與產(chǎn)品，降低安全風(fēng)險(xiǎn)，包括產(chǎn)品的購置與配置加固、防病毒、加強(qiáng)安全域和網(wǎng)絡(luò)訪問控制，統(tǒng)一監(jiān)控管理平臺、統(tǒng)一身份認(rèn)證與授權(quán)管理平臺等。  應(yīng)急恢復(fù)保障體系：業(yè)務(wù)連續(xù)性計(jì)劃及災(zāi)難恢復(fù)規(guī)劃的實(shí)施，包括建立數(shù)據(jù)災(zāi)難備份中心，各個(gè)業(yè)務(wù)系統(tǒng)及IT 系統(tǒng)的應(yīng)急方案，其目標(biāo)是控制事態(tài)發(fā)展，保障生命財(cái)產(chǎn)安全，恢復(fù)正常生產(chǎn)運(yùn)行狀態(tài)。  IT風(fēng)險(xiǎn)審計(jì)體系：審核工作是審計(jì)機(jī)構(gòu)對組織的信息安全控制措施是否完備所做的鑒證過程。利用審核機(jī)制進(jìn)行獨(dú)立的體系審核是一種強(qiáng)有力的監(jiān)督機(jī)制。可以由組織的內(nèi)部稽核部門階段性地組建立審核組，培訓(xùn)審核員，有效地管理在組織中開展的信息安全審核工作，也可外聘的第三方審計(jì)機(jī)構(gòu)對組織進(jìn)行外部審核。 建設(shè)IT風(fēng)險(xiǎn)管理制度與流程  信息系統(tǒng)的開發(fā)和實(shí)施 信息系統(tǒng)的采購和開發(fā) 信息系統(tǒng)的采購和開發(fā)涉及系統(tǒng)的設(shè)計(jì)、采購/建造和布置，以支持業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)。制度與流程建設(shè)需要建立一套考慮到銀行在安全、可用性和處理完整性等方面的要求的生命周期系統(tǒng)開發(fā)方法。 采購新的技術(shù)基礎(chǔ)設(shè)施 采購和維護(hù)技術(shù)基礎(chǔ)設(shè)施的流程涉及支持應(yīng)用和通信的系統(tǒng)的設(shè)計(jì)、采購/建造和布置?；A(chǔ)設(shè)施組件，包括服務(wù)器、網(wǎng)絡(luò)和數(shù)據(jù)庫，對于信息處理的安全和可靠是至關(guān)重要的。在制度與流程建設(shè)中，需要制定并遵守相應(yīng)的流程，確?；A(chǔ)設(shè)施系統(tǒng)，包括網(wǎng)絡(luò)設(shè)備和軟件，是根據(jù)它們要支持的財(cái)務(wù)應(yīng)用程序的需要采購的。 應(yīng)用系統(tǒng)和技術(shù)基礎(chǔ)設(shè)施的安裝和測試 系統(tǒng)安裝測試和確認(rèn)涉及新系統(tǒng)向生產(chǎn)環(huán)境的移植，它確保系統(tǒng)可以按照設(shè)計(jì)意圖運(yùn)行。沒有合適的測試，系統(tǒng)將不能按照預(yù)想的方式運(yùn)行，可能提供無效的信息，這將導(dǎo)致信息和報(bào)告的不可靠。在制度與流程建設(shè)中，需要制定應(yīng)用軟件和技術(shù)基礎(chǔ)設(shè)施相關(guān)技術(shù)上的測試策略。  信息系統(tǒng)的變更和維護(hù) 開發(fā)和維護(hù)政策及流程 開發(fā)和維護(hù)政策及流程涉及軟件開發(fā)生命周期方法論、采購流程、應(yīng)用的開發(fā)和維護(hù)以及相應(yīng)的文檔。這一領(lǐng)域相關(guān)的政策和操作程序使得企業(yè)能夠持續(xù)地、有目標(biāo)地進(jìn)行商業(yè)運(yùn)作。在制度與流程建設(shè)中，需要制定軟件開發(fā)生命周期方法論和相應(yīng)的流程、政策。 變更管理 變更管理表明了企業(yè)是如何通過調(diào)整系統(tǒng)功能來幫助業(yè)務(wù)活動滿足財(cái)務(wù)報(bào)告目標(biāo)的。在在制度與流程建設(shè)中，需要制定應(yīng)用變動、系統(tǒng)維護(hù)的變更管理程序。 系統(tǒng)配置管理 系統(tǒng)配置管理保證安全、可獲得的控制在系統(tǒng)中建立起來，并且在其生命周期內(nèi)得到保持。在這方面的能力不足會導(dǎo)致系統(tǒng)安全和可靠性蒙受風(fēng)險(xiǎn)，并將允許對于系統(tǒng)和數(shù)據(jù)的非法訪問。在制度與流程建設(shè)中，需要對系統(tǒng)基礎(chǔ)設(shè)施，包括防火墻、服務(wù)器和其它有關(guān)設(shè)備，以及對應(yīng)用軟件和數(shù)據(jù)存儲系統(tǒng)等配置管理程序，并建立配置基準(zhǔn)。  系統(tǒng)的操作和運(yùn)行 操作管理 操作管理的好壞體現(xiàn)了一個(gè)組織通過保持可靠的應(yīng)用系統(tǒng)來記錄、處理和報(bào)告財(cái)務(wù)信息的水平。在這方面的能力缺乏將嚴(yán)重影響企業(yè)的財(cái)務(wù)報(bào)告。在制度與流程建設(shè)中，需要制定IT操作的標(biāo)準(zhǔn)程序，包括賬戶管理、批處理管理、系統(tǒng)操作管理、數(shù)據(jù)操作管理等。 服務(wù)水平的確定和管理 服務(wù)水平的確定和管理決定了企業(yè)如何滿足其客戶對其產(chǎn)品功能和業(yè)務(wù)操作的期望，進(jìn)而滿足其客戶的業(yè)務(wù)目標(biāo)。在這方面的能力缺乏將嚴(yán)重影響企業(yè)的財(cái)務(wù)報(bào)告和信息披露。在在制度與流程建設(shè)中，需要定義和管理服務(wù)水平來支持財(cái)務(wù)報(bào)告系統(tǒng)的要求。并定義一種框架，建立關(guān)鍵績效指標(biāo)，從內(nèi)部和外部來管理服務(wù)水平協(xié)議。 外包服務(wù)管理 外包服務(wù)管理包括使用外包服務(wù)來支持財(cái)務(wù)應(yīng)用和相關(guān)系統(tǒng)。在制度與流程建設(shè)中，需要定義第三方服務(wù)管理的程序。  系統(tǒng)與信息安全管理 信息安全管理策略 系統(tǒng)安全方面的管理包括通過物理和邏輯上的控制來防止非法訪問。在制度與流程建設(shè)中，需要參照ISO27001和國家信息安全等級保護(hù)標(biāo)準(zhǔn)，制定完整的系統(tǒng)安全策略體系。信息安全管理機(jī)制包括信息安全標(biāo)準(zhǔn)、策略、實(shí)施計(jì)劃和持續(xù)維護(hù)計(jì)劃。 信息安全策略涉及以下領(lǐng)域： （一）安全制度管理。 （二）信息安全組織管理。 （三）資產(chǎn)管理。 （四）人員安全管理。 （五）物理與環(huán)境安全管理。 （六）通信與運(yùn)營管理。 （七）訪問控制管理。 （八）系統(tǒng)開發(fā)與維護(hù)管理。 （九）信息安全事故管理。 （十）業(yè)務(wù)連續(xù)性管理。 （十一）合規(guī)性管理。 問題和事故管理 問題和事故管理表明一個(gè)企業(yè)是如何對異常事件進(jìn)行鑒別、記錄和反應(yīng)的。在制度與流程建設(shè)中，需要制定和執(zhí)行問題管理系統(tǒng)，來確保所有標(biāo)準(zhǔn)操作之外的操作事件（如事故、問題和錯(cuò)誤）都能得到及時(shí)的記錄、分析和解決。制定安全事故響應(yīng)流程，以支持對于非法活動的及時(shí)反應(yīng)和調(diào)查。 數(shù)據(jù)管理 數(shù)據(jù)管理涉及用于管理信息完整性、準(zhǔn)確性、授權(quán)和有效性的控制和程序，對信息的記錄、處理和報(bào)告起支持作用。在制度與流程建設(shè)中，需要制定相應(yīng)的政策和流程用于數(shù)據(jù)的處理、分發(fā)、保留和報(bào)告的輸出。 IT風(fēng)險(xiǎn)管理軟件平臺方案 IT風(fēng)險(xiǎn)管理已經(jīng)成為銀行風(fēng)險(xiǎn)管理的重要組成部分，急需建立信息化平臺支撐IT風(fēng)險(xiǎn)管理的日常工作。風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)控制、風(fēng)險(xiǎn)監(jiān)控、監(jiān)督與審計(jì)、風(fēng)險(xiǎn)溝通等工作均涉及大量的日常工作，需要建立相關(guān)的系統(tǒng)平臺來滿足銀行IT風(fēng)險(xiǎn)管理相關(guān)部門的需求，谷安公司經(jīng)過多年的行業(yè)經(jīng)驗(yàn)積累，推出了國內(nèi)首家IT風(fēng)險(xiǎn)管理平臺系統(tǒng)。 IT風(fēng)險(xiǎn)管控系列軟件目前包括如下主要模塊： 風(fēng)險(xiǎn)評估管理-GooRisk GooRisk信息科技風(fēng)險(xiǎn)評估軟件提供了系統(tǒng)化的風(fēng)險(xiǎn)評估方法論和行業(yè)風(fēng)險(xiǎn)知識庫，包括評估范圍定義，安全現(xiàn)狀調(diào)查，資產(chǎn)威脅分析、漏洞分析、風(fēng)險(xiǎn)綜合分析、風(fēng)險(xiǎn)控制措施等主要功能，幫助客戶快速自動化的評估自身的資產(chǎn)風(fēng)險(xiǎn)與流程風(fēng)險(xiǎn)。 風(fēng)險(xiǎn)控制管理-GooISMS GooISMS風(fēng)險(xiǎn)管理體系建設(shè)軟件提供了IT風(fēng)險(xiǎn)管理體系規(guī)劃與管理體系建設(shè)的方法論和行業(yè)模板庫，包括體系規(guī)劃，體系設(shè)計(jì)，體系實(shí)施，體系保障等主要功能，幫助客戶快速建立安全管理體系，通過內(nèi)部審計(jì)、管理評審等管理過程，保障體系的有效運(yùn)行。 風(fēng)險(xiǎn)運(yùn)營管理-GooProcess GooProcess信息科技風(fēng)險(xiǎn)運(yùn)營管理軟件提供了基本的信息安全日常運(yùn)作流程，通過自動化工作流引擎，可自主定義帳號管理、權(quán)限管理、人員安全、設(shè)備安全、物理安全、安全檢查、安全事件、安全培訓(xùn)、通知公告等流程，將安全管理流程真正落地。 風(fēng)險(xiǎn)審計(jì)管理-GooAudit GooAudit安全風(fēng)險(xiǎn)審計(jì)管理軟件提供了信息安全風(fēng)險(xiǎn)審計(jì)檢查工具與審計(jì)管理流程，包括了各種業(yè)務(wù)、系統(tǒng)、設(shè)備的安全檢查列表，符合性測試、實(shí)質(zhì)性測試工具，定期審計(jì)管理流程，以及審計(jì)底稿、審計(jì)報(bào)告的管理。 風(fēng)險(xiǎn)知識管理-GooAwareness GooAwareness安全風(fēng)險(xiǎn)知識管理軟件為企業(yè)提供了信息安全相關(guān)知識的管理與共享平臺，包括安全通告、內(nèi)部知識庫、外部資料庫、標(biāo)準(zhǔn)與法規(guī)、案例警示、常用模板、知識地圖、個(gè)人知識庫等基本功能，方便安全知識的獲取與管理，全面提高員工信息安全意識。 軟件特色與優(yōu)勢： 完整的行業(yè)知識庫：提供完整的銀行業(yè)知識庫支持，并且對知識庫進(jìn)行持續(xù)更新；知識庫包括行業(yè)業(yè)務(wù)流程、業(yè)務(wù)系統(tǒng)、信息資產(chǎn)、威脅類型、漏洞類別、風(fēng)險(xiǎn)指標(biāo)、安全策略、管理流程、行業(yè)法規(guī)等。 遵從各類監(jiān)管要求：緊密結(jié)合企業(yè)信息安全與內(nèi)部控制要求，遵從信息科技風(fēng)險(xiǎn)管理指引、ISO27001、等級保護(hù)、COBIT等標(biāo)準(zhǔn)，引導(dǎo)公司信息安全與IT控制工作，協(xié)助信息安全與IT風(fēng)險(xiǎn)管理體系建立，并管理文檔記錄、測評、評估、改進(jìn)、測試等階段的工作；全面符合國際標(biāo)準(zhǔn)ISO27001、國家標(biāo)準(zhǔn)GB20984《信息安全風(fēng)險(xiǎn)評估規(guī)范》，以及公安部等級保護(hù)測評要求 統(tǒng)一控制框架： 采取Unified Control framework設(shè)計(jì)，可將超過2,000個(gè)“既定的”控制目標(biāo)與等級保護(hù)、ISO27000:2005、COBIT、 COSO、ITIL、NIST、SOX、baseLII和PCI等幾十個(gè)標(biāo)準(zhǔn)和法律法規(guī)相掛鉤，并可通過全面的可配置性和可擴(kuò)展性應(yīng)用到知識庫中； 操作簡單安全：基于B/S架構(gòu)，通過瀏覽器的輕松靈活的使用、導(dǎo)航界面，能夠根據(jù)組織要求調(diào)節(jié)界面外觀，基于角色授權(quán)指派相關(guān)人士負(fù)責(zé)控制工作，輕松添加各種控制與遵從標(biāo)準(zhǔn)版本，支持本機(jī)Excel電子數(shù)據(jù)表輸入。