核心业务系统治理改善途径.docVIP

核心业务系统治理改善途径IT管理流程和使用者有关的治理领域，是核心业务系统治理中的“短板”；通过以IT风险为导向，以COSO和COBIT为框架要求，建立和完善银行核心业务系统的IT内控框架，是改进银行核心业务系统治理的有效途径 近年来，中国银行业监督管理委员会 (下称银监会)对银行业金融机构的信息科技风险管理非常关注。 2006年11月，银监会发布《银行业金融机构信息系统风险管理指引》（下称《风险管理指引》），明确提出银行业金融机构法定代表人或主要负责人是本机构信息系统风险管理责任人。 根据银监会发布的《风险管理指引》，中国境内设立的商业银行，都需遵循银监会对信息系统风险管理的要求。这是商业银行面临的一项刻不容缓的工作，其意义是深远的，同时也是一个挑战。 商业银行的核心业务系统，是整个银行最重要的信息系统和科技风险最集中的地方。因此，改进银行核心业务系统的治理，对防范和降低商业银行信息系统风险有着十分重要的意义。 核心业务系统治理“短板” 建立和完善银行核心业务系统治理，是一项涉及整个银行很多部门的工作。由于商业银行的业务活动对IT的依赖日益增强，越来越多的部门都须臾离不开核心业务系统的支持。核心业务系统、IT管理流程和系统的使用者，构成了核心业务系统治理面对的主体。 当我们在谈论银行核心业务系统治理时，可以借用所谓的“木桶原理”――一只木桶的容积，决定于它最短的一块木板的长度，换言之，一个银行核心业务系统治理的完善程度，取决于它最薄弱的环节。 根据这一概念，可以认为核心业务系统本身、IT管理流程以及使用者的相互作用和影响，构成了银行核心业务系统治理的“木桶”。所谓“木板的长度”，实际上就是这三者相互作用构成核心业务系统治理多个方面的完善程度。 近年来，商业银行对核心业务系统建设的重视程度和资源投入是相当可观的，不少银行建立了技术相当先进的系统和安全防范体系，核心业务系统的技术已经是整个治理环境中最成熟的部分。相对而言，与IT管理流程和使用者有关的治理领域，却是核心业务系统治理中的“短板”。从这个意义上说，改进商业银行核心业务系统治理，需要从改进这些“短板”着手。 实践表明，通过以IT风险为导向，以COSO和COBIT为框架要求，建立和完善银行核心业务系统的IT内控框架，是改进银行核心业务系统治理的有效途径。这可以从四方面着手展开。 定期评估IT风险 首先是定期开展IT风险评估。这一工作的目的，是要合理确定商业银行面临的IT固有风险，以及实施了相关控制之后的剩余风险，从而为完善银行核心业务系统的IT内控框架提供基础和导向。 IT风险评估一般包括八个方面，即业务专注度、信息资产、对IT的依赖度、对IT内部员工的依赖度、对第三方的依赖度、系统的可靠性、技术变更以及相关法律法规的环境。 对于被识别的每个IT风险，应从风险的影响度和发生的可能性的角度进行评估打分，再通过评估目前已有的控制措施，合理确定剩余风险，并综合生成该风险的整体评估结果。 完善IT内控框架 根据IT风险评估工作的结果，针对识别出的IT高风险的领域，为银行核心业务系统量身定制IT控制要求或控制目标，提出银行核心业务系统的IT内控活动或控制点，从而形成银行核心业务系统的IT内控框架。这是改进银行核心业务系统治理的第二步。 1967年，美国信息系统审计与控制协会（ISACA）提出了“信息系统和技术控制目标”（COBIT）的概念。 COBIT，直译为“信息及相关技术的控制目标”，是IT治理的一个开放性标准，目前已成为国际上公认的信息安全与IT管理和控制的标准。该标准体系已在世界100多个国家的重要组织与企业中运用，指导这些组织有效地利用信息资源和有效地管理IT风险。 1992年，美国反虚假财务报告委员会的发起组织委员会（COSO）提出了COSO模型，即内部控制－整合性框架。 随后，于2004年，在内部控制－整合性框架多年理论和实践的基础上，又提出了企业风险管理模型COSO报告II。 ISO27001/ISO17799/BS7799是全面和复杂的信息安全管理标准，旨在帮助各种类型和规模的组织实施并运行有效的信息安全管理体系，从而增强企业识别、防止、减少和控制组织信息安全风险的能力。 从实践上看，COSO是一种能被用来建立内部控制架构的范例，包括IT内部控制；COBIT(IT控制目标) 是能被用来构建IT内控环境和内控架构的范例；而ISO27001/ISO17799/BS7799是能被用来建立全面的IT内部控制的范例。 作为改进银行核心业务系统治理的重要一步，商业银行应该构建合适的IT控制目标体系和IT内控架构。