银行企业高度依赖信息科技,信息科技重在安全,而关注安全即关注风险。认识到信息科技风险作为银行风险重要组成部分,树立并强化全面的信息科技风险意识,着力加强和完善相关规划、建设和管理工作,继而建立全面的信息安全和信息科技风险管理体系,是银行企业面临的一项紧迫课题。
就信息科技风险管理整体性工作而言,银监会发布的《商业银行信息科技风险管理指引》无疑是国内各银行企业一致遵从的“标准”,但如何理解科技风险,如何解读合规要求,如何与商业银行IT内控对接,如何确保落地,往往给相关管理者带来诸多困惑。
梵禅信息从事信息安全专业咨询,重点关注金融银行业,先后为包括建设银行、交通银行、农业银行、招商银行、广发银行等机构提供过专业咨询服务,对银行企业实施IT治理、信息科技风险管理和内控合规有着深刻的理解,并为此专门提出一套解决方案。
我们认为,银监会《商业银行信息科技风险管理指引》与国际权威的COSO-ERM企业全面风险管理框架有着高度的一致性,这意味着,银行企业在IT领域实施风险管理,必然遵循企业全面风险管理的总体框架,并与包括市场风险、信用风险、流动风险等在内的传统业务风险保持对接,在操作风险领域实现风险识别、评价、控制和监测。
以COSO-ERM为总体框架,充分借鉴包括ISO27001、ISO20000、ISO22301(原BS25999)、ISO38500、CMMI、CobiT、ISO31000等权威标准,整体规划,阶段实施,逐步实现管理体系建设、优化与融合,这是银行企业在信息科技风险管理体系建设方面可行的思路。
为此,梵禅信息提出了所谓“三段论”的解决方案,即经过三个规划和发展阶段,建设层层递进的三个体系,在三个层面上,依靠三重保障,落实三类工具,最终实现可与业务风险管理对接的全面的信息科技风险管理。
在整体规划期间,银行企业需高度重视信息科技风险管理战略目标与企业整体发展战略的一致性,并在落实三道防线的组织架构、全生命周期的风险管理机制、高度整合的风险控制框架、自适应的合规管理、多层次的意识培训,以及绩效评价和保障机制等方面做好设计和规划,从而确保信息科技风险管理体系蓝图能最终实现。