浅谈中小金融机构信息科技风险审计中常见的误区综述.doc

浅析中小金融机构信息科技 安全管理中常见的理念误区 随着银行信息化的高速发展，数据形成了高度集中的趋势，风险也随之高度集中，因此信息科技安全所形成的现代金融风险，使传统的金融风险内涵发生了根本性变化。从2006年起，银监会高度重视信息科技安全，先后出台了《银行业金融机构信息系统风险管理指引》、《商业银行信息科技风险管理指引》等相关制度，逐步引导中小金融机构加强对信息科技安全管理工作，并提出内、外部审计部门介入信息科技安全审计的理念和要求。如今，银监会《商业银行信息科技风险管理指引》（以下简称《指引》）成为国内商业银行IT治理的指导性文件，该文明确了监管机构对于信息科技治理的监管要求，详细阐明了商业银行各级管理部门对本机构信息科技管理的职责。中小金融机构在这些年的摸索中也逐步完善信息科技安全管理体系，但与国外银行、大型商业银行相比，由于人力、物力、财力等主、客观因素的影响，中小金融机构信息科技安全管理工作还任重道远。下面，本人结合几年来信息科技安全审计工作的实践与思考，谈谈中小金融机构信息科技安全管理中常见的理念误区并尝试作个剖析。 一、治理方面的误区 信息科技风险是高管及科技部门的事；信息科技风险审计必须是专业的技术人员才做得了；信息科技风险的第二、三道防线根本是空谈。 现象：这种理念误区所形成的结果是高管虽然重视，但停留于文件、工作布置层面，并未深入工作的实施和落实，高管对于信息科技风险认识不到位，风险点并不知悉。而各职能部门对科技风险的认识更是在涉及到部门利益或关联到部门协调时才会去认真对待，平常则是视见非见、视闻非闻，将信息科技风险交由科技部门去把控，文件会签、成立IT治理委员会等都成为形式，而实质性的责任落实成为空谈。对于这些现象的形成，最终的借口和推托理由则是信息科技风险只有科技人员才清楚，其他人员并不懂得信息科技，自然无法发现风险。由此而形成的理念包括信息科技风险审计必须是专业的技术人员才做得了。于是，信息科技风险的第二道防线（风险管理部门）、第三道防线（内部审计部门）未能发挥作用或根本不作为，风险防控压力完全承载于第一道防线（信息科技部门）。 分析：《指引》关于信息科技治理方面，明确提出商业银行信息科技风险管理的第一责任人是法定代表人,并明确商业银行的董事会、首席信息官应履行信息科技管理的职责。同时要求商业银行应设立或指派一个特定部门负责信息科技风险管理工作，应在内部审计部门设立专门的信息科技风险审计岗位。要求在建立良好的公司治理的基础上进行信息科技治理，形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。并确保银行所有员工充分理解和遵守经其批准的信息科技风险管理制度和流程，安排相关培训。 2009年，我们在信息科技风险审计过程中，曾向某金融机构处级以上干部及主要岗位员工发出问卷调查，其中：无法完整回答“哪些部门联手可构建科技风险管理三道防线”的占比46.43%；“信息科技安全领导小组是否已经成立”回复“不知道”的占比22.22%，未作答的占比7.4%。2010年向某金融机构的71家法人行社高管问卷调查发现，能够正确回答信息科技风险管理第一负责人的仅占比45.68%，而单个法人行社高管全部选择正确的占比仅15.49%；对于专职科技人员人数的回复中，同一法人行社的高管答复不一致的占比11.27%，有一家法人行社的4个高管对于这个问题回答出了3个答案。这些问卷在不同程度上反映出了科技治理方面的问题。通过这几年的努力，应该说中小金融机构信息科技治理情况有所好转，但首席信息官在大部分金融机构仍未设立或虚设，高管作为第一责任人及科技部门、内审岗位虽基本能按银监会要求设立，但发挥的作用却各不相同。 对于信息科技风险审计方面，我们通过几年的实践体会到，专业的技术人员参与是必须的，但信息科技风险审计并不是专业的技术人员就做得了的，信息科技风险审计离不开审计理念，，只有带着特有的审计理念对信息科技流程进行梳理，才能发现风险点。 建议：高管层要勇于担当信息科技风险安全管理的推动者和引领者，建立良好的IT治理机制。发挥风险部门的第二道防线的作用，组织共同学习《指引》并深入领会。风险管理部门、内部审计部门要加强信息科技方面的学习，并主动介入信息科技安全管理工作，各职能部门也应通过学习和参与项目建设、风险自查等工作中逐步树立信息科技安全理念。 二、外包方面的误区 怕风险不敢外包，但因技术能力有限又不得不外包；对于外包风险认识不足，或技术已经外包却自欺欺人地认为是合作开发。 现象：一是认为IT外包风险较大，不敢外包；二是认为外包能解决人员不足问题且风险转移，可以集中精力于核心业务外包不仅仅是一个成本决策，也是有效管理的战略决策服务质量、服务可持续性、控制步骤、竞争优势、技术知识人可以说是整个软件项目的灵魂，软件项目最大