银行IT建设与风险管理交流文档之二 - 金融行业 - ITPUB论坛－专业的IT技术社区

wangjia

本人在一家城商行（下面以XXX银行指代）负责IT风险管理工作，前段时间应领导要求与同城另一家银行（下面以XX行指代）的IT部门负责人进行了沟通，我将自己这几年对银行IT建设与风险管理的想法总结成了几篇文档发给了对方，其中也包括针对对方提出的问题作出的一些个人意见和建议。这里发出第二篇，希望跟大家交流、学习一下。
题目：针对XX银行信息科技风险评估报告的反馈建议
针对报告中提到的诸多问题，对处理过程中需要注意的细节发表一些个人意见：
问题一：信息科技风险的治理仍需完善
    XXX银行在董事会层面成立了IT指导委员会，在高管层面成立了由各主要业务部门负责人组成的信息科技管理委员会。在董事会层面成立专门的委员会或者小组固然可以解决董事会的履职问题，满足监管要求，但必须充分考虑好履职的有效性。如果有对IT比较了解的董事（XXX银行目前有XXX副董事长和XXXX顾问），则他们可以提出实质性的问题和意见进行讨论；如果大家都不理解IT，则会议可能是在浪费时间，听天书；还有就是会议的频率，至少应每季度召开一次固定会议，并且针对重大事项召开临时会议。在高管层的信息科技管理委员会中，容易形成科技部门负责人上演独角戏的结果，因为其他业务部门的负责人不理解、不懂IT，不愿意也无法发言，参与讨论。这种情形下，业务部门负责人倾向于只听科技部门负责人的意见，委员会可能成为橡皮图章。
    三条防线中风险管理部门和审计部门的职责定位和人员配备必须认真思考，这涉及到整个风险管理和内部控制的体系模式。例如XXX银行的风险管理部职责并没有嵌入到各条业务流程中，整个部门领导加员工只有六名，主要承担风险信息的收集、分析、上报和风险提示、建议职责。IT风险管理这条线，如果要嵌入到日常的IT管理流程中，承担审批甚至具体的业务操作职责，则目前1名员工的配备远远不够，试想要参与多少IT项目、变更需求、操作需求、访问需求等的审查；而且IT风险管理涉及网络、主机系统、软件开发、运维管理、外包管理等若干方面，某一个人不可能在每个方面都是专家，所以风险管理部门的定位关系到它对IT风险管理的广度和深度。IT审计也是如此，全面的IT审计是件浩大的工程，单是严格意义上的IT项目审计就需要在IT项目全流程的各个阶段实施，因此只想配备1名IT审计人员去完成完整的IT内部审计是不现实的。
问题二：软件开发项目中管理缺失
    项目管理流程必须完整。基本的可行性研究（决定“做与不做的可能性”）、立项审批（决定“到底做还是不做”）、需求分析（决定“做什么”）、设计（决定“做成什么样”）、开发/实施（决定“实际做的过程”）、测试/验收（决定“做得怎么样，是否达到目标”）等每个环节不能流于形式，应考虑进行阶段性的审查。
项目管理机制必须建立。项目组是项目实施工作的承担方，应该由它来制定项目实施计划并严格执行；项目组应该建立一套如何进行日常项目管理的机制，例如定期的问题讨论和审查，以跟踪控制项目的三要素“时间、成本和质量”。
    外包管理中必须签订服务水平协议，并建立监控外包方服务质量的机制，同时考虑外包方异常退出、外包方更换和外包过程中的信息安全等风险。
问题三：为开展独立的信息科技风险外部审计工作
    自身审计能力有限时，可以借助外部力量。全面IT审计是一个浩大的工程，费时费力，银行可以制定一个以N年（N一般为2或3）为周期的全面IT审计计划，每年开展一部分工作，N年内实现全面的IT审计。例如第一年对IT项目、信息系统运行维护、外包进行审计，第二年对信息安全、业务持续性进行审计，以此类推。
问题四：队伍建设问题
    已在材料一进行了阐述，这里不再说了。
问题五：灾备建设与业务持续性规划问题
    XX银行可以先建立同城灾备中心，再在条件成熟时根据需要建设异地灾备中心。灾备中心的建设需要考虑成本效应，结合实际情况确定是数据级还是应用级的。如果是应用级灾备，不一定非要将所有系统都在灾备中心建立一套对应的系统，而是根据应用系统重要性分级考虑最重要的，关联度最高的。灾备的建设需要考虑成本。
业务持续性涉及IT、业务处理、公关、后勤等全行的所有方方面面，需要调动诸多资源，不是哪个部门可以承担制定的，应该是董事会和高管层牵头成立专门的委员会或者小组来领导，并且聘请专门的咨询机构来帮忙规划。但在业务持续性规划之前，最好先建立成熟的IT服务连续性保障机制，因为它是业务连续性计划的基石。
问题六：中心机房规划建设有待完善
    数据中心是银行的心脏，不仅要加强数据中心监控和访问控制，还应考虑绿色IT技术、虚拟化技术等在数据中心的运用，以降低能耗和设备采购数量，节约成本。