|
|
|
|
|
|
來源: 發布日期:2017.12.07 點擊量:
安言咨詢從事信息科技風險專業咨詢,重點關注金融銀行業,先后為包括建設銀行、交通銀行、農業銀行、招商銀行、廣發銀行等機構提供過專業信息科技咨詢服務,對銀行企業實施IT治理、信息科技風險管理和內控合規有著深刻的理解,并為此專門提出一套解決方案。
1.銀行信息科技風險
定義銀行信息科技風險,既要考慮銀行的金融特性,又要考慮信息技術本身的特點。銀行作為金融機構,其信息化程度會影響資金融通活動的過程,本身存在著決策問題,因為信息科技某些因素的變化導致銀行資金、財產、信譽遭受損失。
銀行信息科技風險是指銀行在使用信息技術過程中,由于信息技術因素或與信息技術相關因素,導致銀行經營不確定、管理不利,并最終導致資金、財產、信譽遭受損失的可能性。其中的信息技術包括計算機硬件、軟件、網絡通訊設備,各種銀行終端設備等。
2.銀行信息科技風險特點
技術性。銀行信息科技實質就是利用現代信息技術改造銀行經營、管理方式,從而提高生產效率的過程,它涉及現代計算機技術、網絡通訊技術、安全技術等多方面技術要素,具有技術含量極高的特性。
突發性。主要體現在兩個方面,一是自然災害的突發性,即由于信息技術領域的基礎設施遭到破壞,造成銀行財產損失或業務中斷,使銀行產生風險;二是由于信息過程的技術性,即只要任何一個環節突發故障,就可能造成整個系統無法使用,從而給銀行形成風險。
傳遞性。由于計算機網絡快速傳遞的特點,一旦系統出現故障,可以使金融風險迅速從局部蔓延到整個網絡涉及的每一個部分,從而導致風險的進一步加劇。
廣闊性。金融在經濟發展中的核心地位,決定了一旦因為信息技術導致銀行產生風險,其影響將非常廣闊,它不僅涉及千千萬萬的普通老百姓、大大小小的企事業單位,更是影響社會的方方面面,甚至會對整個社會秩序帶來極大的負面影響。
多元性。傳統的銀行風險,多發生在銀行營業場所,通過銀行柜臺、ATM等有限的經營場所形成。但在銀行信息技術大量運用以后,使得銀行風險既可以通過原有渠道形成,也可以通過電話、POS、計算機、電視和手機等新型渠道形成。表現出風險形成的多元性。
多方性。隨著銀行信息技術的發展,保證銀行正常經營不止銀行本身,電信部門、電力部門、產品提供商、服務提供商和商家都已成為銀行正常經營的一部分。往往銀行業務系統一旦出現故障,容易出現責任無法鑒定的情況,也常常給問題的快速解決帶來影響。
3.信息科技風險全面審計意義
信息科技與銀行業務高度融合,已成為銀行業金融機構提高運營效率、實現經營戰略和加快金融創新的重要手段。與此同時,銀行業對信息科技的高度依賴,使得信息科技風險成為影響銀行業穩健運行的主要隱患之一。銀監會按照科學發展觀要求,與時俱進,大力加強信息科技風險監管,充分利用現場檢查這一監管手段,深入檢查銀行機構在信息科技治理、風險管理、信息安全、業務連續性、電子銀行等領域的科技風險及管理情況,發現問題、排查隱患,督促銀行及時整改。商業銀行信息科技風險現場檢查工作,既是銀監會深入掌握銀行信息化建設、科技管理整體情況的有效方法,也是對銀行機構信息科技風險狀況進行準確分析和評價的重要手段,對及時預警風險,提高銀行機構信息科技風險管控能力和水平。
安言咨詢依據銀監會監管要求所涉及的信息科技風險全面審計的服務項目,主要目的在于:一是明確了商業銀行目前主要的信息科技風險領域、主要風險點,闡明了檢查思路和主要方法,幫助檢查人員明確檢查目標,從而提高信息科技風險現場檢查的有效性和針對性,提升現場檢查質量,為銀監會及各級派出機構開展信息科技風險現場檢查提供全面和有針對性的指導。二是提供了評價銀行信息科技風險管理各領域狀況的參考標準,并提出了具體的檢查要求和步驟,進一步規范了信息科技風險現場檢查的程序、手段和行為。三是指明了商業銀行信息科技風險防控的重點領域、方向和關鍵風險點,提出了風險識別、預警和控制的具體手段。
安言咨詢為商業銀行充分借鑒和理解信息科技風險防控原則和指導思想,應用到銀行信息科技建設和管理實踐中,成為指導銀行全面開展科技風險防控、提升管理能力的有力武器。
4.安言咨詢信息科技風險全面審計流程
現場檢查程序包括現場檢查準備、現場檢查實施、檢查后續工作三個階段。
4.1現場檢查準備階段
對一個現場檢查項目,檢查前準備工作應包括以下內容:
一、確定現場檢查對象。一般情況下,制定年度現場檢查計劃,并確定現場檢查對象。確定檢查對象的依據:一是銀監會的指導意見、工作安排,二是對被監管機構進行檢查的時間間隔情況,根據分類監管原則,對不同風險的機構檢查頻次應不同,但至少每2年對一家機構應進行一次全面現場檢查,三是被監管機構的動態情況。
二、制定現場檢查草案。確定檢查對象后,應根據該機構情況制定檢查草案,檢查草案應包括檢查目的、檢查類別(全面或專項)、檢查范圍(單家機構、某類機構、總部、分支機構)、檢查內容(全面檢查,應包括系統各個方面,專項檢查,可只查某一方面或幾個方面)、檢查重點(應根據檢查目的確定檢查重點)、檢查期間等。
三、確定現場檢查人員。檢查人數應根據被檢查銀行信息科技發展情況確定,不得少于2人。檢查人員一般應具有信息科技背景,必要時可以適當補充部分業務人員參加。
四、發送并回收現場檢查前問卷。確定檢查對象后,應在正式進點前向被檢查銀行發送檢查前問卷。問卷要使用統一格式。發送問卷一定要明確填報要求,包括填報資料的截止日期、回收問卷的時間等等。為保證檢查人員有充足時間閱讀、分析問卷,應在進點前10天以上回收問卷,并對錯報漏報的項目立即要求被檢查銀行重報或補報。
五、收集其他與被檢查銀行有關的信息。除向被檢查銀行發出現場檢查前問卷外,還應收集與本次檢查有關的文件及其他資料,如有關的政策法規文件、被檢查銀行以往報送的資料及監管部門對該機構歷次檢查材料以及群眾舉報材料等。
六、對所有資料進行分析研究。檢查組成員應對回收的檢查前問卷、收集的其他資料進行整理、研究和分析,熟悉有關法規及被檢查銀行情況,找出可能發現的問題線索,為正式進點檢查做準備。必要時應于檢查前將所有檢查人員集中一段時間專門閱讀檢查前問卷和其他有關資料。
七、確定現場檢查方案及人員分工。根據對有關資料的分析研究,檢查組織者應在檢查草案的基礎上,制定檢查方案,并明確人員分工和具體檢查進度。一般一個檢查組應設組長1名(必要時可設副組長1名),主查人1名(必要時可設副主查人1-2名)。組長全面負責現場檢查項目的組織協調和實施工作,包括審定檢查方案,組織進點、離點會談,與被檢查銀行就有關問題進行協調,修改審定現場檢查報告,提出處罰意見和建議等。主查人負責檢查方案的擬訂、檢查進度的安排、人員分工、各小組之間的協調、事實確認書的審核、檢查事實與評價的起草、匯總檢查報告、擬定現場檢查意見書及行政處罰意見書等工作。一個大的檢查組還應根據工作量分為若干工作小組,對不同的檢查內容分別進行檢查。
八、發送現場檢查通知書。在確定現場檢查方案后,應向被檢查銀行發送現場檢查通知書。
4.2 現場檢查實施階段
現場檢查實施階段包括進點會談、分工檢查和離點會談。
一、進點會談
進點會談標志著現場檢查的正式開始。進點會談應要求被檢查銀行管理層相關成員及檢查組所有成員共同參加。進點會談的目的,一是通報現場檢查的目的、內容、初步計劃和安排,介紹檢查組成員;二是向被檢查銀行提出配合檢查的有關要求(如提供工作場地、及時提供資料等);三是請被檢查銀行介紹有關情況,并對檢查組需重點了解的問題進行交流。進點會談的時間長短可視會談情況靈活掌握。
二、分工檢查
(一)對每項業務檢查,都應形成工作底稿。工作底稿是對檢查過程的記錄,既是對工作量的統計,更是對檢查事實的描述,是形成檢查事實與評價及匯總報告的來源和基礎。因此,工作底稿既要記錄問題,也要記錄其他客觀情況。一般工作底稿應包括檢查日期、檢查人、檢查項目、客觀描述、發現問題、分析評價、初步定性等內容(見工作底稿格式)。必要時,在現場檢查過程中對檢查內容定期進行小結。
(二)對發現的每項問題,都應及時取證。如通過談話發現的問題,應要求被談話人在談話記錄上簽字;對查閱文檔發現的問題,應復印有關資料,并在資料及檢查人員工作底稿上由被檢查單位加蓋公章。
(三)每日小結。每天檢查結束后,組長或主查人應召集所有檢查組成員開碰頭會,交流當日檢查情況及發現問題;根據檢查情況確定次日的檢查重點和內容,并對檢查進度進行必要調整;提出需與被檢查銀行進行溝通的事項。
(四)分組檢查結束后,檢查人員分項整理匯總工作底稿,形成事實確認書,對檢查中存在問題的事實進行列舉和描述(只記錄事實,不做任何評價)。事實確認書要及時送被查銀行簽字確認。
三、離點會談。所有檢查項目結束后,應與被檢查銀行舉行離點會談。參加離點會談的人員與參加進點會談的人員應一致,由組長或主查人通報現場檢查事實與評價,并聽取被檢查銀行的意見。
4.3 現場檢查后續階段
現場檢查后續階段包括向被檢查銀行發送《檢查事實與評價》、撰寫現場檢查報告、下達現場檢查意見書、后續跟進檢查和檢查資料歸檔等。
一、發送《檢查事實與評價》。根據離點會談溝通情況,修改檢查事實與評價,由現場檢查項目的組織機構向被檢查銀行發送《檢查事實與評價》。
二、撰寫檢查報告。根據《檢查事實與評價》反饋意見,形成現場檢查報告。檢查報告應包括以下幾部分:1、檢查開展情況;2、被檢查銀行基本情況;3、檢查事實與評價;4、檢查組與被檢查銀行存在的主要分歧;5、對檢查中發現問題的處理意見;6、對監管工作的建議;7、其他需說明的問題。
三、下達現場檢查意見書。現場檢查報告經領導批準后,應向被檢查銀行下達現場檢查意見書。對被檢查銀行做出評價,指出存在的主要問題,提出整改建議及處理意見。
四、后續檢查。收到被檢查銀行的整改計劃后,檢查組一方面應跟蹤整改計劃的落實情況,另一方面應在適當時間(一般為現場檢查意見書中規定的所有整改項完成時間)對其整改情況進行檢查驗收,即后續跟進檢查,并對后續檢查情況做出評價和報告
五、檢查資料歸檔。所有檢查及處理過程結束后,檢查組應對檢查資料進行整理并歸檔。
5.信息科技風險全面審計指南示例
信息安全管理示例
保證信息安全是商業銀行的一項重要任務,商業銀行應在信息科技部門內部設置專門的信息安全管理部門或崗位,建立完善的信息安全管理制度,保證信息的機密性、完整性和可用性。信息安全涉及到人員、管理、技術等各個方面,本章節主要包含人員安全和管理安全的檢查內容,技術安全方面的檢查內容參見第三部分“基礎設施”部分。
提示:在對商業銀行的信息安全管理進行檢查和評價時,可根據銀行機構的實際情況,按照分類監管、循序漸進的原則,合理把握標準與尺度。如,科技人員少、信息系統種類不多的銀行機構,可以不設置單獨的安全管理部門,但應設置專職的崗位;信息科技崗位設置可以彼此兼職,但不相容崗位應分離,做到操作系統管理員、業務系統管理員及數據庫管理員彼此分離、網絡管理員和其他系統管理員彼此分離、批量處理人員和業務數據庫管理員彼此分離。
安全管理機制與管理組織
檢查項1:信息分類和保護體系
基本要求:商業銀行信息科技部門應對各類信息系統進行風險評估,根據信息系統的重要程度等因素,建立和實施信息系統分類和保護體系,并保證該體系在銀行內部的貫徹落實。
檢查方法、步驟:(1)調閱信息系統分類管理制度,查看相關制度是否建立健全,是否對信息類別和訪問人員的范圍、級別作出明確規定;(2)檢查商業銀行是否針對不同的信息系統,制訂了不同的安全防范措施,采取了不同的技術防范手段;(3)檢查商業銀行是否對信息系統風險進行評估和防范。
檢查項2:安全管理機制
基本要求:商業銀行信息科技部門應落實信息安全管理職能。包括:建立信息安全計劃和保持長效的管理機制,提高全體員工信息安全意識,就安全問題向其他部門提供建議,定期向信息科技管理委員會提交本行信息安全評估報告等。信息安全管理機制應包括信息安全標準、策略、實施計劃和持續維護計劃。
檢查方法、步驟:(1)調閱商業銀行信息安全計劃或相關文檔,檢查商業銀行是否制訂信息安全計劃。(2)分析信息安全計劃,評估商業銀行信息科技部門能否對信息安全進行持續、長期和有效的管理,確保信息安全和信息系統安全運行。(3)檢查商業銀行信息科技部門是否組織培訓和宣傳教育等活動以提高全體員工信息安全意識,是否就安全問題向其他部門提供安全建議。(4)檢查商業銀行信息科技部門是否對各類信息和信息系統制訂相應的信息安全標準,是否制訂相關的管理策略,是否制訂實施計劃,是否制訂持續改進、完善計劃。通過訪談了解這些管理策略和計劃是否有效實施。(5)調閱信息安全評估報告,檢查信息科技部門是否定期對本行信息安全進行評估。
檢查項3:信息安全策略
基本要求:商業銀行應制訂詳細的信息安全策略,至少包括以下內容:信息安全制度管理、信息安全組織管理、資產管理、人員安全管理、物理與環境安全管理、通信與運營管理、訪問控制管理、系統開發與維護管理、信息安全事故管理、業務連續性管理、合規性管理。
檢查方法、步驟:(1)調閱商業銀行信息安全策略,檢查是否制定信息安全策略及其內容是否完整、全面。(2)調閱信息安全管理規定,查看是否制定信息安全管理規定以及是否具有相應的實施要求和細則。
檢查項4:信息安全組織
基本要求:商業銀行應建立配套的安全管理職能部門,通過管理機構的崗位設置、人員的分工以及各種資源的配備,為信息系統的安全管理提供組織上的保障。應設立安全主管、安全管理各個方面的負責人崗位,并定義各負責人的職責;應根據各個部門和崗位的職責明確授權審批部門及批準人,對系統投入運行、網絡系統接入和重要資源的訪問等關鍵活動進行審批;安全管理人員應負責定期進行安全檢查,檢查內容包括系統日常運行、系統漏洞和數據備份等情況。
檢查方法、步驟:(1)調閱相關崗位職責說明文件,檢查是否設立系統管理員、網絡管理員、安全管理員等崗位,并定義各個工作崗位的職責;(2)檢查是否限制安全管理員不能兼任網絡管理員、系統管理員、數據庫管理員等;(3)查詢相關制度文件和審批記錄,檢查是否根據各個部門和崗位的職責明確授權審批部門及批準人,對系統投入運行、網絡系統接入和重要資源的訪問等關鍵活動進行審批; (4)調閱信息安全檢查記錄,檢查安全管理員是否定期進行安全檢查,檢查內容包括系統日常運行、系統漏洞和數據備份等情況,檢查結果是否及時報告和處理。
相關客戶案例: