讓中國的金融企業(yè)運作得更安全

1、DeIOitte德勤【編者的話1理。2006年11月1日，中國銀行業(yè)監(jiān)督管理委員會正式發(fā)布了《銀行業(yè)金融機構(gòu)信息系統(tǒng)風險管理指引》。作為中國企業(yè)信忠：化建設(shè)的參與者之一，德勤華永會計師事務(wù)所上海分所的企業(yè)風讓中國的金融企：業(yè)運作得更安全口趙3之華／文對于銀監(jiān)會2006年11月初發(fā)布的《銀行業(yè)金融機構(gòu)信在我們充分理解了《指引》對中國銀行業(yè)信息系統(tǒng)風險管息系統(tǒng)風險管理指引》(以下簡稱《指引》)，我們注意到該《指理的意義后，讓我們一起來看看企

2、業(yè)如何來實施這個《指引》吧。引》的定位是“規(guī)范性文件”。而在2006年1o月25日銀監(jiān)《指引》共分八章，共計73條，包括：會發(fā)布的另一個《商業(yè)銀行合規(guī)風險管理指引》中，第三條一總則(共5條)；二機構(gòu)職責(共8條)；三總體風險明確指出：“本指引所稱法律、規(guī)則和準則，是指適用于銀行控制(共18條)；四研發(fā)風險控制(共1條)；五運行維護業(yè)經(jīng)營活動的法律、行政法規(guī)、部門規(guī)章及其他規(guī)范性文件、風險控制(共8條)；六外包風險控制(共9條)；七審計(

3、共經(jīng)營規(guī)則、自律性組織的行業(yè)準則、行為守則和職業(yè)操守?！眏2條)；和八附則(共2條)；由此可見，《銀行業(yè)金融機構(gòu)信息系統(tǒng)風險管理指引》也是國從段落分布來看，第二章到第七章構(gòu)成了《指引》的主體內(nèi)各銀行必須遵循的法律、規(guī)則和準則之一。內(nèi)容，而其中第三到第六章更是對主要的信息系統(tǒng)風險以及對而短短1個月的時間內(nèi)，銀監(jiān)會同時發(fā)布兩個指引，到應(yīng)的控制措施進行了較為詳細的規(guī)定。圖1顯示了《指引》所底向業(yè)內(nèi)傳達了哪些信息呢我們認為，至少銀監(jiān)會已明描述的

4、信息系統(tǒng)風險管理框架體系：確地告訴整個行業(yè)，中國的銀行業(yè)必須比以前任何時候都銀行業(yè)金融機構(gòu)信息系統(tǒng)風險管理指引要更加重視信息系統(tǒng)的風險管理。銀行業(yè)的企業(yè)如果把對信息系統(tǒng)風險的管理僅僅看作自身管理的一部分是不夠的，而應(yīng)該將其作為一個需要強制遵循的法律、法規(guī)來對待。另外，讓我們看看這兩個《指引》出臺前的信息系統(tǒng)風險管理的市場環(huán)境吧。2006年2月的一條新聞報道稱“中國移動的手機沖值卡數(shù)據(jù)庫被侵入，造成直接損失370萬人民幣”；2006年4月

5、的一條新聞報道標題是“中國銀聯(lián)癱瘓8小時京滬等地跨行交易中斷”；而2006年5月的一條新聞報道標題則是“1T高手帶領(lǐng)‘內(nèi)鬼’‘黑’走樂購超市400萬”。3個月內(nèi)的j起事件均是由于信息系統(tǒng)風險管理不足接下來，我們可以看看該體系和其他國際流行的信息系而造成的，其結(jié)果更是以驚人的方式表現(xiàn)出來，每個事件給統(tǒng)風險管理體系的共性和異性。圖2、圖3分別標識cobit框架企業(yè)帶來的直接損失均是百萬級，而無形的損失更是難以和Bs7799框架以供參考?？梢?/p>

6、看到，《指引》的體系結(jié)構(gòu)和cobIt或Bs7799(分別由此可見，《指引》的出臺十分及時。監(jiān)管部門已經(jīng)充由1sAcA和英國標準組織推出)是可以融合的，均強調(diào)了控制分意識到信息系統(tǒng)風險管理對整個中國銀行業(yè)的重要性及目標的內(nèi)容和持續(xù)監(jiān)控的重要性。緊迫性。毫不夸張地說，Ⅸ指引》對于中國銀行業(yè)的信息系而我們更注意到，《指引》中，特別是主體內(nèi)容部分，直統(tǒng)風險管理無疑是一個里程碑式的文件。接提出了非常細致的控制措施。比如在第四章(研發(fā)風險控萬方數(shù)據(jù)

7、Deloitte.德勤50I編者的話1本期“毒勤視點“專欄的主題為銀行業(yè)信息系統(tǒng)風險管理。2006年門月1日，中國銀行業(yè)監(jiān)督管理委員會正式發(fā)布了《銀行業(yè)金融機構(gòu)信息系統(tǒng)風險管理才盯1)。作為中國企業(yè)信息化建設(shè)的參與者之一，德勤華永會計師事務(wù)所上海分所的企業(yè)風險服務(wù)部門對該指引進行了解瀆，在此與大家分享。讓中國的金融企業(yè)運作得更安全口趙文華文對于銀監(jiān)會2006年門月初發(fā)布的《銀行業(yè)金融機構(gòu)信息系統(tǒng)風險管理指引))(以下簡稱《指引圳，我們注

8、意到該《指引》的定位是“規(guī)范性文件“。而在2006年10月25日銀監(jiān)會發(fā)布的另一個《商業(yè)銀行合規(guī)風險管理指引》中，第三條明確指出“本指引所稱法律、規(guī)則和準則，是指適用于銀行業(yè)經(jīng)營活動的法律、行政法規(guī)、部門規(guī)章及其他規(guī)范性文件、經(jīng)營規(guī)則、自律性組織的行業(yè)準則、行為守則和職業(yè)操守。“由此可見，((銀行業(yè)金融機構(gòu)信息系統(tǒng)風險管理指引》也是國內(nèi)各銀行必須遵循的法律、規(guī)則和準則之一。而短短1個月的時間內(nèi)，銀監(jiān)會同時發(fā)布兩個指引到底向業(yè)內(nèi)傳達了哪些

9、信息、呢我們認為，至少銀監(jiān)會已明確地告訴整個行業(yè)，中國的銀行業(yè)必須比以前任何時候都要更加重視信息系統(tǒng)的風險管理。銀行業(yè)的企業(yè)如果把對信息系統(tǒng)風險的管理僅僅看作自身管理的一部分是不夠的，而應(yīng)該將其作為一個需要強制遵循的法律、法規(guī)來對待。另外，讓我們看看這兩個《指引》出臺前的信息系統(tǒng)風險管理的市場環(huán)境吧。2006年2月的一條新聞報道稱“中國移動的手機沖值卡數(shù)據(jù)庫被侵入，造成直接損失370萬人民幣2006年4月的一條新聞報道標題是“中國銀聯(lián)癱

10、瘓8小時京滬等地跨行交易中斷而2006年5月的一條新聞在我們充分理解了《指引》對中國銀行業(yè)信息系統(tǒng)風險管理的意義后，讓我們一起來看看企業(yè)如何來實施這個《指引》吧?！吨柑?))共分八章，共計73條，包括一.總則(共5條)二機構(gòu)職責(共8條)三，總體風險控制(共18條)四.研發(fā)風險控制(共11條)五.運行維護風險控制(共8條)六外包風險控制(共9條)七審計(共12條)和八附則(共2條)從段落分布來看，第二章到第七章構(gòu)成了《指號1))的主體內(nèi)

11、容，而其中第三到第六章更是對主要的信息系統(tǒng)風險以及對應(yīng)的控制措施進行了較為詳細的規(guī)定。圖1顯示了《指引》所描述的信息系統(tǒng)風險管理框架體系銀行業(yè)金融機構(gòu)信息系統(tǒng)鳳險管理指引報道標題則是咐窩手帶領(lǐng)6內(nèi)鬼自黑走樂購超市400圖1萬3個月內(nèi)的3起事件均是由于信息系統(tǒng)風險管理不足i接下來，我們可以看看該體系和其他國際流行的信息系而造成的，其結(jié)果更是以驚人的方式表現(xiàn)出來，每個事件給J統(tǒng)風險管理體系的共性和異性。圖孔圖3分別標識。obit框架企業(yè)帶來

12、的直接損失均是百萬級，而無形的損失更是難以和887799框架以供參考。衡量。可以看到，((指引》的體系結(jié)構(gòu)和Cobit或BS77日9(分別由此可見、《指引》的出臺十分及時。監(jiān)管部門已經(jīng)充由ISACA和英國標準組織推出)是可以融合的，均強調(diào)了控制分意識到信息系統(tǒng)風險管理對整個中國銀行業(yè)的重要性及i目標的內(nèi)容和持續(xù)監(jiān)控的重要性。緊迫性Q毫不夸張地說，((指引》對于中國銀行業(yè)的信息系而我們更注意到，(指引》中，特別是主體內(nèi)容部分，直統(tǒng)風險管理

13、無疑是一個里程碑式的文件。|接提出了非常細致的控制措施。比如在第四章(研皮風險控1一一萬方數(shù)據(jù)111安全領(lǐng)域36個撞倒目轍1211撞倒項圖3制)的第38條，((指號1提出了對新程序需要包含的測試種類一一“測試至少應(yīng)包括功能測試、安全性測試、壓力測試、驗收測試、適應(yīng)性測試又如，第七章(審計)的第62條明確要求“根據(jù)信息系統(tǒng)的總體風險狀況確定審計頻率，但至少每3年審計一次“。應(yīng)該說這種直接的控制要求比較符合中國的實際情況p無論企業(yè)規(guī)模大小，

14、大到4大固有銀行，小到一個地區(qū)的農(nóng)村信用社，均可直接參照《指引》的內(nèi)容實施信息系統(tǒng)風險管理，并在較低的成本下進行合規(guī)。而國際標準或體系往往非常復雜，相對來說更適合大型銀行，對小型銀行或者一些地區(qū)信用社而言，實現(xiàn)的成本過高。那么，企業(yè)應(yīng)該如何針對《指引》進行合規(guī)工作，在實施合規(guī)工作的工程中可能會碰到哪些難點，或者說需要注意哪些重點呢中德勤是全球四大會計師事務(wù)所之一，是一京領(lǐng)先的專業(yè)服務(wù)機構(gòu).德勤中國共擁有逾60∞名員工分布在北京‘大連、廣

15、州、香港.澳門.南京、上海深圳.蘇州和天津，德勤中國以全球錦結(jié)為1號鵝，為團內(nèi)企業(yè).跨國公司以及高成長的企業(yè)II供全面的審計、稅務(wù).企業(yè)管理咨詢和財務(wù)咨詢服務(wù).德勤視點)“_首先，企業(yè)應(yīng)該基于風險模型進行合規(guī)工作的規(guī)劃。所謂基于風險模型，即按風險所涉及的章節(jié)和條款，結(jié)合企業(yè)自身的運作模式特點確定出一個風險清單，并將每個風險點最終對企業(yè)帶來的影響進行量化，這個量化風險的工作可以基于每個風險點所最終帶來的損失，以及每個風險發(fā)生的可能性來進行

16、。而一旦確定風險清單和確定各風險對企業(yè)的重要性后，企業(yè)就可以有針對性地設(shè)計控制目標和控制措施。如何把握風險點下的主要控制目標，以及如何設(shè)計出一個可以滿足多個控制目標的控制體系，則是許多企業(yè)在平衡風險與控制成本之間需要考慮的一個問題。但無論如何，一旦企業(yè)設(shè)計了風險模型，企業(yè)就將這些風險納入到了一套系統(tǒng)化的控制體系中去。當然，前面已經(jīng)提到，指引中提到的很多具體要求，是可以直接做為控制措施使用的。而實施中的主要難點包括風險點確定、風險點分解到

17、控制目標，以及控制目標分解到控制措施等體系建立的過程。每個企業(yè)均有自身的業(yè)務(wù)特征，而業(yè)務(wù)特征的差異會導致風險點評估的差異。比如，同樣是“新程序沒有進行充分測試“這一風險，對一個擁有多個應(yīng)用系統(tǒng)，并且這些系統(tǒng)都是自已開發(fā)的企業(yè)，和另一個只有單一的應(yīng)用系統(tǒng)，并且該系統(tǒng)是向第三方采購的企業(yè)，是有很大不同的。同樣，防范某個風險點需要一個控制目標還是多個控制目標，以及實現(xiàn)一個控制目標需要多少個控制行為是充分的，同樣需要很多專業(yè)判斷。因此，在合規(guī)的

18、過程中引入一些專業(yè)機構(gòu)的幫助是很有必要的。而這些專業(yè)機構(gòu)不僅要在信息系統(tǒng)風險管理方面有深厚的專業(yè)知識，也應(yīng)該對銀行業(yè)擁有豐富的行業(yè)經(jīng)驗。在當今這個高度信息化的社會中，信息系統(tǒng)的風險管理無疑是企業(yè)管理的重要環(huán)節(jié)，而對銀行業(yè)來說更是重中之重。讓我們一起，基于領(lǐng)先的管理理念，接受科學的風險控制體系，借助專業(yè)的咨詢服務(wù)，讓中國的金融企業(yè)運作得更安全l哇!趙文華先生革德勤華永會計師事務(wù)所風險服務(wù)部合伙人、BS7799主任審計師(BS7799LA)

19、、國際注冊信息革統(tǒng)審計師(CISA)、國際j王冊信息系統(tǒng)保護專家(CISM)作者在銀行業(yè)的信息系統(tǒng)風險控制和審計，以及信息安全咨詢領(lǐng)域擁有十幾年的豐宮經(jīng)驗。在銀行業(yè)的代表性客戶有中國農(nóng)業(yè)銀行、交通銀行、中國銀聯(lián)、重慶商業(yè)銀行、卓京三菱銀行、蘇格蘭主家銀行、日本且在穗銀行等。德勤華永舍計師事#所有限公司J:.海延安阜4222號.外雄中心30~毒，200002電話，02161418668傳真f.02I63~500D繭，電于傳箱:耐用咿蜘棚，