4.企业安全建设指南(金融行业安全架构与技术实践) --- 内控合规管理
1.概述
1.合规,内控,风险管理的关系
1.合规管理是最基础的层面,合规管理的目标是避免委内内外部法律法规,规则制度,流程规范,避免因不合规导致的风险
2.内控比合规管理更进一层,内控不但要求合规,还要审视"规"是不是完善,"规"有没有配备相应的执行点,执行"规"的过程是不是有效
3.风险管理,特别是全面风险管理,是风险管控的最高形式。风险按照标准划分为市场风险,信用风险,流动性风险,操作风险,法律风险。而合规,
内控只是操作风险管理的手段。
2.目标及领域
金融企业IT内控合规管理的目标是,通过建立有效的机制,实现对金融企业IT风险的识别,计量,监测和控制。对外保障IT活动符合监管机构各项管理要求,对内
确保各项管理要求的落地和管控措施有效,最终实现IT风险可控。
在具体实践中,IT内控合规管理的领域包括:信息科技风险管理,监督检查,制度和公文管理,业务连续性管理,信息科技外包管理,分支机构管理,以及其他一些工作。
IT内控合规管理岗位给人的印象是”写报告“,其一写报告只是展现形式,报告中的内容,需要各种学习,对标,检查,督促等大量的沉淀。其二,要写好一份报告,不是简单的
文字堆砌,而是需要能力,知识,技能和逻辑架构的功底,需要很多年持之以恒的积累和丰富的技巧。
3.落地方法
1.外规对内规
将外部规范要求分解成元要求,去重合并,和内部规范一一对应,每条元要求对应的结果为三者之一:1)满足要求;2)冲突;3)缺失。如果是2),3) 两种情况,要么修订
内部规范,要么增加内部规范,以满足外规要求。
2.内规对检查
根据监管要求和外部标准梳理出内部规范后,建立一套适用的检查标准,并进行全面覆盖的检查,包括常规检查,专项检查和事件驱动检查。
3.检查对整改
建立一套电子化系统,实现检查计划定制,检查实施,报告管理,问题追踪等全过程的电子化管理。
4.整改对考核
将检查发现和整改情况纳入团队和个人当月和当年考核,实实在在的与个人收入挂钩,才可能引起重视。
可以建立外规条款数据库。
2.信息科技风险管理
1.原则
信息科技风险是指在运用信息科技过程中,由于自然因素,人为因素,技术漏洞或管理缺陷产生的操作,法律和声誉等风险。原则如下:
1.事前预防为主
2.全面性原则
3.成本效益原则
2.组织架构和职责
一般在商业银行中三道防线的概念比较多。
第一道防线:信息科技部门
1.主要关注日常的风险管理
2.识别,分析与评估,控制,检测及报告风险管理情况
3.信息技术部门各团队严格执行各项风险管理政策和要求,定期评估
4.通常向首席信息官,信息科技管理委员会报告
第二道防线:风险管理部门
1.侧重制定风险管理政策,制度,流程,在第一道防线的基础上对风险进行集中管理
2.在总部层面设立风险职能部门,监督和协调整个风险管理框架的有效性和完整性,与前台部门保持相对独立
3.对IT条线提高精细化的风险管理策略和支持
第三道防线:稽核审计部门
1.按期进行全面或者专项的审计或者稽核
2.与IT部门和风险管理部门保持独立,对风险管理框架,内控体系的完整性和有效性提高独立的审计和管理意见
3.通常向董事会下设的审计管理委员会直接报告
3.管理内容
1.IT治理
IT治理的目标是,形成分工合理,职责明确,互相制衡,报告关系清晰的信息科技治理组织结构,为企业信息科技的发展提供战略方向和资源保障,并保证
信息科技的战略与全行业业务战略目标相一致。
2.信息安全
信息安全的目标是建立信息安全管理策略和技术措施,确保所有计算机系统和软件系统的安全,并进行必要的员工培训。
3.信息系统开发,测试和维护
4.信息科技运行
5.业务连续性管理
6.外包管理
7.内部审计
至少每三年进行一次全面的信息科技风险审计。
8.外部审计
委托具备相应资质的外部审计机构进行信息科技外部审计。
4.管理手段和流程
1.管理手段
信息科技风险隶属于操作风险,管理手段一般遵从第二道防线风险管理部门的管理手段。实际中,无论是银行还是证券,都会按照第二道防线下发的操作风险管理三大工具和
要求展开工作。操作风险管理的三大工具,包括风险与控制自我评估,损失数据收集和关键风险指标。通常采用信息科技风险与控制自我评估,设置信息科技关键风险指标,信息
科技风险监控报表三种手段对信息科技风险进行管理。
1.RCSA
是识别和评估信息科技风险及风险控制措施有效性的管理手段。
2.LDC
是指依据监管规定,内部操作风险偏好与管理需求所定义的收集范围,针对操作风险事件的相关信息进行数据收集,内容分析,整改方案设计与执行,损失分配和外部报告等程序。
3.KRI
是反映信息科技风险水平的一系列统计指标,具有可量化的特点。
2.管理流程
1.科技风险识别
2.风险分析与评估
3.风险控制
指根据企业的风险偏好及风险评估的结果建立相应的风险管理措施。
4.风险监测
对信息科技风险进行定期或持续的检查,及时发现新出现的风险,并采取相应的补救措施。
5.风险报告
信息科技风险报告指信息科技部门,风险管理部门和稽核审计部门,依据特点的格式和持续对信息科技风险状况进行描述,分析和评价,形成信息科技风险报告后,
按照规定的报告路线进行汇报。
5.报告机制
报告遵循如下原则:
1.逐级上报
2.IT业务线,风险管理线,审计条线各自汇报
1.按照报告部门划分
信息科技部门,风险管理部门和审计部门分别按照以下汇报路径,向高级管理层和董事会报告全行信息科技风险状况和重大信息科技风险事件:
1.信息科技部门负责定期向高级管理层下设的信息科技管理委员会报告信息科技风险管理工作情况
2.风险管理部门负责定期向高层下设的风险管理委员会报告信息科技风险状况;同时,根据要求向董事会下设的风控控制委员会报告
3.审计部门负责定期向董事会下设的审计委员会报告信息科技审计情况
2.按照报告频率划分
第一类是定期报告,三道防线部门按照不同频率和报告路线展开:
1.信息科技部门向主管IT的高级管理层成员汇报信息科技风险管理月报,向第二道防线,第三道防线汇报IT风险管理和IT内外部审计情况。其中
信息科技风险管理月报主要是向主管科技的高级管理成员汇报周期内IT运行情况(事件,容量,交易量,业务连续性等),研发情况(开发质量),信息
安全(数据安全,人员管理,审计问题),以及其他事项。
2.风险管理部定期完成操作风险监测并向高级管理层汇报,至少每个季度向董事会及下设的风险控制委员会报告全面风险管理情况。
3.审计部每年向董事会下设的审计委员会报告信息科技审计情况
第二类是触发式报告,由信息科技部门在发生以下情况时主动报告:
1.发生重大信息科技风险事件
2.信息科技环境发生重大变化
3.监管机构要求时向高级管理层汇报
6.信息科技风险监控指标
对高级管理层来说,需要全面了解公司信息科技风险及风险管控情况,并能够在一定程度上对可能发生的风险事件进行预警。
在实际工作中,经常发生以下问题:
1.监管要求来源渠道多,容易遗漏
2.不同渠道的部分监管要求重复
针对这些问题,可以采取的措施:
1.建立信息科技风险库
风险库来源应该全面覆盖行业监管合规要求,行业风险事件,行业标准,公司风险状况和相关专家知识库,保证风险库的完备性。
基于"威胁*脆弱性=风险"的理论基础,可以从监控要求,行业和公司历史风险事件,业界最佳实践标准等着手,从自然环境因素,人员因素,技术因素和业务因素等
方面的威胁,分析出人员,流程和技术等领域的脆弱性,进而识别出信息科技风险点,形成信息科技风险库。
2.建立信息科技风险监控指标体系
识别关键风险指标是指,基于前期建立的信息科技风险库中的各个风险点,进行全面梳理和分析,在对所有风险点进行评估的基础上,分析确定各个风险点的驱动因素,
并进行关键信息科技风险识别。
3.运用监控指标体系
监控指标体系主要运用在以下几个方面:
1.有效评估信息科技风险管理水平
2.动态监控信息科技风险状况
3.合理配置信息科技风险管理资源
4.即时采取管理措施
4.指标监控和报告
3.监督检查
首先,依据监管要求,外部标准和内部规范梳理出一套适用的检查标准,并进行全面检查。然后,指定全年检查计划,采取常规检查,专项检查,事件驱动检查相结合的方式,100%覆盖
信息科技风险检查标准库。
专项检查围绕信息科技风险领域,如外包管理,可用性管理,数据安全,业务连续性管理等。
常规检查注重变更,发布,值班等日常运维重点模块,按周展开检查。
事件驱动检查一般在可用性事件,信息安全事件或重大违规违纪事件发生后进行,对于检查中发现的问题全部纳入问题管理流程进行追踪管理。而且,通过问题追踪机制,可以同时归口管理第二,
第三防线的检查,充分确保问题统一归口,管理追踪无遗漏,并使整改方案可实施,进度有追踪,实施有成效,监督检查闭环等。
监督检查是确保风险管理政策,措施,流程落地的有效保障,检查方式,投入资源,结果运用根据实际情况灵活决定。
4.制度管理
制度一般以条文形式展示,名字通常冠以政策,规定,办法,规程,细则,指引等;制度可以通过制度补丁的方式进行调整,补充和完善,制度补丁可以采取条文或者非条文的形式展示,一般以修订
通知,补充通知或加强管理通知等标题体现。
1.制度体系
制度体系应遵循架构合理,层级清晰,覆盖全面的原则,制度体系一般包括三级:
1.政策级制度
是指用于规范业务条线行使经营管理职责基本事项的制度,名称一般使用制度,规定,政策,章程等。
2.办法级制度
是指用于规范业务条线的工作方法和具体内容的制度,名称一般使用管理办法,管理规程等。
3.规程级制度
用于规范具体的作业内容,名称一般使用操作规程,操作细则,实施细则,指引等。
2.制度的起草
在起草制度的过程中,应展开调查研究,广泛正征求制度执行部门和人员,部门内部相关人员的意见,以论证制度的必要性,有效性,合理性和可操作性。紧密涉及其他部门
职责或者其他部门关系的制度,主办部门应充分征求其意见。征求意见可以采取发送征求意见函,召开制度会审会,签报以及发文会签等方式进行,其中发文会签为此类制度在发文
阶段必经的程序。
制度内容一般包括:总则(含目的的依据,适用范围,管理原则,职责分工,定义等),管理流程,监督检查及惩罚,附则(含制定细则要求,解释部门,实施日期,作废声明等)。
3.制度的评审
评审内容包含:
1.是否符合法律,规则,准则和监管要求
2.是否与本公司有关制度协调一致,接口清晰
3.是否影响本公司制度整体架构的合理性和清晰性
4.制度描述的流程是否清晰并具有可操作性
5.是否符合本公司制度的规范性要求
6.评审人员可以对其认为的其他制度问题(如制度实用性和适宜性等)提出评审意见
4.制度的发布
经评审,审核或审议通过的制度以公文形式印发。为便于制度维护和管理,印发的制度原则上应一文号对应一项制度。主办部门根据只读的印发时间,合理确定制度的实施
日期,并在制度中明确。实际中,很多情况是"本文自发布之日起实施",但不如确定日期更合适。
5.制度的维护
制度的维护包括制度的后续评估和制度改进。制度后续评估是指主办部门对制度实际管理效果进行自我评估,皆在发现制度存在的问题,评估是否需要对制度进行改进。后续评估
的内容包括:
1.是否存在合规性,有效性,可操作性和规范性等制度问题
2.制度间是否存在冲突,重复
3.对制度进行梳理,摸清制度补丁情况,评估实施整合的可行性和必要性
4.是否存在制度缺失和管理盲点
对执行层面反映比较多的制度,主办部门应及时进行后续评估。对于实施超过5年的制度,主办部门必须进行制度后续评估,并将评估结果报同级制度主管部门。
日常工作中,总分机构各部门应多收集和整理制度信息,提高制度后续评估的效率和质量。制度信息包括:外部政策变化,总部制度的变化,制度解释解答,基层操作人员反馈的制度
问题,业务检查发现的管理漏洞,外部或同业案件反应的管理漏洞和新风险,内部组织架构,管理和业务流程调整等。
制度的改进是指根据制度后续评估结果和业务管理需要,主办部门实施制度新增,换版,修订,补充以及整理工作。在实施制度改进之前,主办部门要评估制度改进的成本,兼顾制度
的稳定性和执行的方便性,选择引发制度补丁,增加新制度或者换版等方式对制度实施改进。对制度存在较多补丁的,相关部门要结合部门制度架构的安排,对制度实施整合。一般情况
下,一项制度的补丁不应超过3个。
制度补丁主要有以下几种方式:
1.修订通知
2.补充通知
3.加强管理通知
6.制度的日常管理
5.业务连续性管理
1.定义和标准
1.业务连续性管理定义
业务连续性管理是一个整体的管理流程,它主要识别威胁组织的潜在影响,并提供构建组织弹性和有效响应的框架,以保护组织关键利益方的利益,声誉,品牌及价值创造的活动。
2.ISO 22301
为第一份直接以业务连续性管理为主题的国际标准。
2.监管要求
1.银监会有关业务连续性管理要求
2.中国人民银行有关业务连续性要求
3.世界部分地区金融业监管机构发布的相关指引
3.BCM实施过程
1.制度和组织建设
2.业务影响分析和风险评估
3.资源建设,预案制定
4.演练,维护和评估
5.BCM企业文化建设
4.业务影响分析和风险评估
1.术语定义
1.重要业务
支持重要业务运行的系统,相应的就成为重要系统。
2.RTO 和 RPO
恢复时间目标(RTO)分业务RTO和系统RTO,指业务或系统从中断到恢复所需要的时间,是业务或系统恢复及时性的指标。恢复时间点目标(RPO)分业务RPO和系统RPO,指
业务或系统数据恢复到的时间点,是业务或系统恢复数据完整性的指标。
3.BIA
业务影响分析(BIA)是整个BCM流程建立的基础工作,在这一过程中,通常会利用定量和定性分析相结合的方法对业务中断可能导致的经济与运营损失进行科学的分析,从而
制定重要业务的恢复优先级,恢复目标(RTO与RPO)以及重要信息系统的恢复优先级和恢复目标等,通过BIA确定业务连续性管理的策略。
BCM就是解决运营中断事件发生时需要用多少资源,多长时间,什么方式,恢复生命业务的问题,其中资源,时间,业务都是BIA的成果。
4.风险评估
风险评估(RA)是进行风险识别,风险分析和风险评价的整个过程。
2.业务影响分析实施过程
业务影响分析实施过程包括重要业务和重要系统的识别,重要业务的影响分析过程及结果,重要系统的影响分析过程及结果,从而得出整个BIA成果。
恢复时间目标和恢复时间点目标(RTO和RPO):
1.业务RTO,是指业务恢复所需要的必须时间,是业务恢复及及时性的指标。对于公司来说,就是允许我们用多长时间恢复中断的重要业务。
2.业务RPO,是指业务恢复到的时间点,是业务恢复数据完整性的指标。对于公司来说,就是允许我们重要业务丢失多长时间的数据。
国家标准<<信息安全技术信息系统灾难恢复规范>>,RTO,RPO与灾难恢复能力等级的关系。。。
3.风险评估
1.实施前内部方案讨论,确定RA的范围和实时方式:
1.参与范围
2.评估对象
3.实施方式
2.RA 调研问卷设计
3.RA 试点反馈
4.全面启动RA工作
5.分析整理,撰写报告
RA 注意事项如下:
1.BCM风险评估关注点
2.BCM评估问卷
3.BCM评估核心
5.BCP,演练和改进
1.术语定义
业务连续性计划(BCP),是一种策略规划,当灾难发生致使组织关键业务或服务中断时,BCP可以指导迅速恢复关键业务的正常与持续运作。BCP是组织在实施BCM过程中的产出物,
并在BCM过程中不断更新和完善。BCP主要内容包括:重要业务及关联关系,业务恢复优先次序;重要业务运营所需关键资源;应急指挥和危急通讯程序;各类预案以及预案维护,管理要求;
残余风险。
总体应急预案。
重要业务专项应急预案。
2.内容
1.业务连续性计划的主要内容应该包括:
1.重要业务及关联关系,业务恢复优先次序
2.重要业务运营所需关键资源
3.应急指挥和危机通信程序
4.各类预案及预案维护,管理要求
5.残余风险
2.专项应急预案的主要内容应该包括:
1.应急组织架构及各个部门,人员在预案中的角色,权限,职责分工
2.信息传递路径和分时
3.运营中断事件处理程序,包括预警,报告,策略,指挥,响应,回退等
4.运营中断事件处置过程中的风险控制措施
5.运营中断事件危机处理机制
6.运营中断事件的内部沟通机制和联系方式
7.运营中断事件的外部沟通机制和联系方式
8.应急完成后的还原机制
3.演练
1.演练目的如下:
1.检验应急预案的完整性,可操作性和有效性
2.验证业务连续性资源的可用性。
3.提高运营中断事件综合处置能力
4.提高应急参与人员处置能力,熟悉处置流程,提高全员应急意识,提高应对信心。
2.演练方式
1.桌面演练(说)
1.熟悉处置流程
2.检查角色分工
3.检查计划内容
4.为实战演练准备
5.场景简单
2.实战演练(做)
1.真实资源调配
2.真实系统切换
3.真实场地转移
4.全方位检验应急处置的有效性
5.场景复杂
4.持续改进
持续改进包括以下工作内容。。。
6.DRI组织及认证
1.国际灾难恢复协会(DRI)
2.DRI中国技术委员会
3.有关业务连续性管理的国际认证
1.MBCP
2.CBCP
3.CFCP
4.ABCP
6.信息科技外包管理
工作可以外包,责任不能外包。
7.分支机构管理
分支机构管理的内容包括:
1.合规管理
2.事件管理和问题管理
3.项目推广
4.人才培养
5.建立定期会议机制
6.建立分支机构评级机制
7.开展分支机构检查并覆盖
8.信息科技风险库示例内控合规管理:
