第 3 章 华融湘江银行 IT 治理方案设计
不同的组织对于 IT 的需要是不一样的。组织到底需要 IT 做什么,在很大程度上取决于它处于一个什么样的商业环境。管理层应该围绕企业的战略目标和业绩目标积极地进行 IT 治理的设计。积极地进行治理设计需要高层管理者发挥领导作用,并分配资源和注意力,支持流程。现就结合华融湘江银行的历史演变和现状,从 IT 治理组织架构设计和 IT 治理重要的几方面进行研究,设计方案,重点突出依托于 ITIL 最佳 IT 服务实践为基础的 IT 运维服务流程设计。
3.1 总体思路
3.1.1 指导思想
中国经济的高速增长与结构调整是目前我国经济发展最主要的特点,这为我国商业银行的发展创造了条件。经济高速增长必然带来社会资金流速的加快和流量的增加,为商业银行的迅速崛起和发展提供了良好的经济环境。随着我国金融货币体制改革的不断深化,中国人民银行在货币政策决策、银行监督管理等方面的水平也有了很大提高,金融市场体系和商业银行同业竞争环境逐步完善,对城市商业银行来说,即是机遇,又是挑战。
IT 治理方略的制定(IT 治理模式)取决于企业的具体需求,要配合企业所处的商业竞争环境。银行业务目前竞争非常激烈,各种金融产品层出不穷,谁能提供能满足客户服务需求的服务成为银行业竞争的基础。由此可见,在当前信息科技高速发展的情况下,人们的衣食住行等,无论工作还是生活都高度依赖信息科技产品,银行想要在竞争中立于不败之地,在竞争中获胜,必须依靠 IT,必须重视 IT 治理。华融湘江银行走“小、精、专、新、特”的发展道路,属于变化快的行业,以产品服务的差异化为竞争基础的,IT 应具有高度的灵活性,以满足迅速变化的商业策略和要求。这类企业倾向于提供创新的 IT 解决方案,以获得先发优势,因此它们的 IT 投资重点在于创造新的能力。
IT 想要具有高度的灵活性和创新性,首先要具有良好的 IT 组织和决策架构,提高项目决策的可行性和业务融合性,再次,保障现有系统的稳定运行工作是关键,现在金融行业,IT 风险是被列为为数不多的可以给银行造成毁灭性打击的风险之一。“稳健、创新、和谐、发展”正是中国华融企业的核心价值观。因而,本文将在 IT 组织和决策架构和提高内部运营服务上进行研究,以银监会相关指导要求和 ITIL 服务框架为基础进行了 IT 治理框架研究和运维服务流程初步设计。
3.1.2 主要目标
1. IT组织架构合理
合理的组织架构,满足监管要求的同时,使华融湘江银行的IT管理向着良好的方向发展,项目规划和建设与业务发展同步,引领业务飞速发展,达到IT服务与业务融合。
2. 项目决策流程清晰,责任明确
项目执行过程中改变现在各部门之间扯皮,没有人愿意承担责任的状况,形成良好的项目决策机制,避免不必要的不合理的项目,造成资源浪费。
3. IT运维服务的高效合规
IT系统是银行最大的风险点之一,国际有关组织和监管部门认为,银行业 IT风险是为数不多的能造成银行倒闭的风险之一。通过IT运维服务流程设计,改善华融湘江银行IT运维服务,减少操作风险的通过,达到业务问题响应快,问题流转清晰可见,形成问题解决和总结改善机制。
4. 实现IT技术架构人员独立于IT项目实施人员
IT技术架构人员设置独立于 IT项目实施人员,有助于标准的制定和实行,项目方案必须经过其论证审核才能付诸实施。保证IT技术架构一贯性得到遵从。加强事后检查,防止为突击项目建设而忽视IT技术架构建设。
5. 信息科技风险“三道防线”建设
初步建设信息科技风险“三道防线”,重点突出信息科技建设阶段的风险防控工作,将信息科技风险控制在建设阶段,即扼制了风险发生的源头,又减少了风险整改的成本。
6. IT专业技术人才激励
建立良好的激励考核机制,激励IT人员踏踏实实干工作,革新思维谋创新的精神。形成良好的企业IT文化,打造以高科技为支撑的,创新金融服务企业。
3.1.3 主要原则
1. 制度内容流程化原则
本研究通过组织架构的重构和相关制度和流程的细化,化繁为简,建立起一套能覆盖所有体系、格式统一、流程清晰、操作性强的规章制度,实行流程化管理。这一管理模式以变一部门为主的职能管理为以流程为主的流程化管理,建立了一个跨体系、边界清晰、简单易懂、操作性强的制度平台。同时,能够突出岗位职能,责任明确,保证流程中各个相关岗位的横向无缝连接,实现精益管理。
使有关 IT 决策、项目、服务有章可依,按流程办事,职责明确,提高华融湘江银行的整体运营效率。
2. 国际标准与实际结合原则
IT 治理如何实施才具有成效?如何防止 IT 治理仅仅是一本放在书架上的理论书?本研究参考了 COBIT、Prince2、ITIL 等国际标准和 IT 服务最佳实践。ITIL列出了各个 IT 服务管理流程的最佳目标、活动、输入和输出,以及各个流程之间的关系。ITIL 在 IT 维护过程当中所提出的服务台、变更管理、事件管理等重要流程都是经过了全球众多的 IT 企业或 IT 部门所证明的最佳实践。吸取这些标准和理论的特点和适用,结合华融湘江银行实际情况,进行了制度和流程设计,这样才能不流于形式。
3. IT 与业务融合原则
通过决策制度和一系列流程的明确和优化,解决 IT 与业务之间的支持与需求的矛盾,建立恰当的创新激励机制是关键。重点是加强各部门之间沟通与协调,以达到平衡利益与责任的关系,要加强流程融合,推动 IT 与业务在流程层面的融合,在整个公司层面来关注促进 IT 与业务的融合。达到 IT 引领业务,业务促进IT 发展的 IT 与业务融合的效果。
3.2 IT 治理组织架构设计
3.2.1 IT 治理整体架构
1. IT 治理层次
(1)第一个层次,首先保障信息系统平稳健康运行。现代金融是现代经济的核心,而银行又是现代金融的核心,作为高风险的银行业务系统,稳定运行是重中之重的,巴塞尔协议特别把信息科技风险列为操作风险[35-37],而要求商业银行加强信息科技风险治理也是基于此。
(2)第二个层次,信息科技项目建设。据统计,信息系统变更的事件是引发信息系统不稳定的源头,然后要支持业务发展,必须要不断建设新项目,怎么办?
加强信息科技项目建设管理工作。加强信息科技项目发布和变更的审查工作。在项目建设过程中就做好基本功,每一个环节形成的成果都要进行质量控制。
(3)第三个层次,信息科技治理。本层次是以前两个层次为基础的,又是前两个层次的指导,没有好的信息科技治理架构和治理方略,就谈不上好的系统运行和项目建设。同样,只有前两个层次落实到位了,才能说信息科技治理的成功。
2.合理的组织架构和职能分配
华融湘江银行 IT 治理设置信息科技治理委员会,董事长任主任,下设办公室、技术与项目审查小组、需求管理小组,分别由行长、CIO、主管运营业务副行长任组长,信息科技部负责落实信息科技治理委员会的战略方针,负责执行信息科技部治理委员会各小组形成决议的具体工作,除日常事务之外,信息科技治理委员会每年召开会议,对 IT 规划进行审查纠正,制定当年 IT 项目建设工作计划,各种需要关注的信息科技事项。
办公室行使信息科技治理委员会日常职能。负责信息科技会议召开,确定每年的信息科技项目建设工作计划,定期督促需求管理小组与技术与项目审查小组做好相关工作。向信息科技治理委员会汇报。技术与项目审查小组负责信息科技治理委员会专业技术性工作。负责制定信息科技技术架构和标准,对建设项目的技术方案进行审查,从信息科技系统整体架构出发进行信息科技技术规划。本小组内部分人才需特别设定,如技术架构专家等。对信息科技治理委员会负责。需求管理小组负责业务与 IT 结合性工作。负责信息科技项目的需求汇总、清理、制定,并进行业务确认性测试管理工作。统一的需求,统一的风险防控标准,避免需求泛滥现象,是需求管理小组的重要作用。
信息科技部内设综合管理室负责信息科技部内综合性工作,内设分行管理室负责对分行科技工作的规范与管理,下设二级部开发中心负责信息科技项目的开发与工作,下设二级部数据中心负责已上线信息系统的运行维护管理工作。分行信息科技部负责分行机房环境、网络与硬件维护工作。华融湘江银行信息科技治理组织架构如图 3.1 所示:
3.2.2 运维组织结构
总行信息科技部负责全行系统的运维支持工作,其下设的数据中心、开发中心以及外包供应商共同组成总行科技条线的运维支持体系(如下图 3.2)。数据中心包含服务台和运维服务的后台一线支持人员,分别负责对系统事件的响应、处理、流转、跟踪、后续分析处理;分行信息科技部负责对各分支行提供现场科技支持,构成信息科技运维服务的前台一线支持人员。开发中心作为二线支持人员,处理涉及系统变更问题和解决一线支持无法解决的问题;外包供应商组成了对我行系统的三线支持,对二线支持无法解决的问题给予处理。
各个信息科技系统均根据具体系统使用情况和特点指定系统主管部门。比较明确的系统主管部门,例如:运营管理部是综合业务系统的主管部门,风险管理部是信贷管理系统的主管部门,计划财务部是报表及财务系统的主管部门,零售银行部是网银、自助设备、电话银行系统的主管部门,系统主管部门应随着应用系统的增加而新设,无法明确确定的,需经信息科技管理委员会讨论最终确定主管和协管部门,而运营管理部则作为最终需求汇集的需求主管部门。华融湘江银行 IT 运维服务支持组织结构如图 3.2 所示:
3.3 IT 运维服务治理
为解决华融湘江银行 IT 运维服务工作中的各种问题,建设一套以业务为中心,以流程为导向符合 ITIL/ISO 20000 标准的 IT 运维服务体系,利用先进的流程管理工具设计科学、规范的流程管理模型和方法,建立完备、关联的 IT 资源配置管理数据库为基础和切入点,优先突破事件管理、问题管理、变更管理、配置管理和发布管理等 5 大核心流程,实现配置管理数据库相关数据项与 5 大核心流程的关联和融合;使用规范化的流程管理办法将涉及运维服务管理的每一项规章制度在日常工作中进行模式化和固定化。这套以 IT 运维服务管理平台为基础的运维服务管理体系,可以实现以下基本目标:一是标准化管理。使以往繁杂无序的运服管理工作变成标准有序。二是可预期的管理。实现银行 IT 运维服务管理工作从被动管理向主动服务的转化。三是运维服务人员之间共享系统运行维护经验,推动 IT 运维服务知识库的建立,不断提高系统稳定性和可靠性,提高 IT 运维服务水平和效率,降低我行 IT 运维服务管理工作的整体风险。四是系统故障事件总数量的降低,提升用户对我行 IT 系统的满意度。五是为我行信息科技部门管理人员和技术人员提供一个灵活的、易于量化的管理平台。可以量化考核的运维服务指标,能够体现 IT 服务部门的业绩。六是建设起了客户、业务人员、科技人员联合处理故障的一个平台,以运维服务体系服务台为结点,使客户和业务人员反应的系统问题得到迅速响应,使后续问题处理有人跟踪,不至于出现问题而无人问津。六是可以满足监管要求。
根据华融湘江银行实际需要,运行维护服务内容应包括,业务信息系统相关的机房环境、主机设备、操作系统、数据库、存储设备、业务应用程序的运行维护服务,保证用户现有的信息系统的正常运行,降低整体管理成本,提高网络信息系统的整体服务水平。同时根据日常维护的数据和记录,提供用户信息系统的整体建设规划和建议,更好的为用户的信息化发展提供有力的保障。
业务信息系统的组成主要可分为两类:硬件设备和软件系统。硬件设备包括网络设备、安全设备、主机设备、存储设备等;软件设备可分为操作系统软件、典型应用软件(如:数据库软件、中间件软件等)、业务应用软件等。
服务项目范围覆盖的信息系统资源以下方面的关键状态及参数指标:运行状态及故障情况、配置信息、可用性情况及健康状况性能指标。
华融湘江银行IT运维服务管理平台设计包括服务台[38-40]、事件管理、工单管理、问题管理、变更发布管理、配置管理、知识库管理、服务报告管理、服务水平管理、流程管理和IT运维综合管理等模块;以流程自动化的任务贯穿,形成闭环的工作流,并有任务机制、报警提醒机制、事件升级机制、跟踪反馈机制、监督回访机制、流程嵌套衔接机制等;实现了运维管理流程的无纸化、自动化和智能化,提升IT服务能力,提高工作效率,保证服务质量。华融湘江银行IT运维服务管理平台功能如图3.3所示。
重要运维服务流程主要包括 7 个方面:
(1)事件管理流程
事件管理的目标是快速有效地响应用户的请求,迅速恢复业务的运行,减小对业务的影响。服务台接到用户报障电话或请求支持的申请,应首先仔细分析了解该事件的实际情况,尽可能根据现有知识库,尝试解决问题,当服务台不能直接解决问题的,服务台应尽快分配给一线运维支持人员解决问题,进而根据是否能尽快解决问题决定提交二线支援、三线支援(供应商支援)。系统部分主要功能描述包括:事件的录入、事件的处理、事件跟踪督办、事件后续处理、其他系统人性化功能等。
(2)问题管理流程
问题管理的目标是查明事件的根本原因,并在事件发生之前发现和解决可能导致事件产生的问题,从而制定解决方案,安排时间、人员排除问题的过程。问题管理流程的目的是使突发事件和问题对业务所造成的影响减少到最小,尽量避免相关错误的重复发生。系统的部分主要功能包括:问题的登记、问题的处理、问题后续处理、系统人性化功能等。
(3)变更(发布)管理流程
变更管理的目标是确保在变更实施过程中使用标准的方法和步骤,尽快地实施变更,以将由变更所导致的业务中断对业务的影响减小到最低。变更流程与配置管理密切相关,变更流程执行完毕,将自动更新配置信息,这将保证资产的配置信息做到账实相符,准确无误。系统的部分主要功能包括:变更发起、审批与督办、变更的处理、系统人性化功能等。
(4)配置管理流程
配置管理支持的资产(CI 配置项)包括:IT 设备、软件系统、机电设备、机械设备、技术手册等等。在 ITIL 框架下,配置管理覆盖了资产管理,前者从 IT服务或运维的角度做生命周期式的全程跟踪管理,而资产管理是从财务角度进行跟踪管理,在资产管理维度不包含的设备可能也会纳入配置管理库。保证配置库数据的准确性是 IT 运维流程平台项目建设的难点也是关键点,帐实相符是配置库的生命力所在。软件的部分主要功能包括:配置信息维护、配置信息查询与展示、资产服务范围与资产供应商资料等。
(5)知识管理流程
知识管理的目标是为服务台和各级支持人员提供最大的在线帮助,提高服务人员的工作技能和水平,提高首次解决率。系统的部分主要功能包括:知识的分类查找、知识入库管理、系统人性化功能等。
(6)综合管理流程
IT 运维服务管理的日常工作,除了 ITIL 标准流程之外,还有很多管理流程,比如进入操作间管理流程、IT 合同管理、外包商管理流程等等,这些内容已经超越了 ITIL 的范畴。提供综合管理模块,就是为了解决 ITIL 相关的 IT 管理流程,并且支持客户化自定义流程和自。定义表单。
(7)运维服务应急响应流程
在服务维护过程中,银行的意外情况将难以完全避免。制定详尽的应急处理预案,整个流程严谨而有序。对突发风险进行详细分析,进行事件管理和问题管理,并且针对各类突发事件,设计相应的预防与解决措施,同时提供完整的应急处理流程。
重要信息系统应急响应实行逐级报告制度,即数据中心监控值班人员向数据中心经理汇报,数据中心经理向分管负责人和信息科技部总经理汇报,信息科技部总经理向 CIO(或分管行领导)汇报,CIO 向行长和董事长汇报。应急实施小组根据应急预案,启动应急操作,并及时汇报应急领导小组负责人。应急处置应重点实施建立临时业务处理能力、恢复原系统损害、在原系统或新设施中恢复运行业务能力等应急措施。对于应急预案没有覆盖的突发事件,应立即报告应急领导小组进行应急决策。应急领导小组组织协调应急处置,并根据事件升级情况负责向董事会或监管部门报告应急响应情况。应急实施小组应将相关信息及时通报给受影响的外部机构,并将相关信息准确通报给相关设备及服务供应商、电信、电力等外部组织,以获得应急响应支持。
3.4 IT 项目治理
信息科技项目建设规划合理与否是业务良好发展的技术基础,信息科技项目建设的完善性是银行服务品质提高的关键点,做好 IT 项目建设,整合 IT 资源才能达到 IT 与业务融合的全新局面[41]。
1.项目立项
结合 IT 治理组织架构设计,为实现信息科技项目立项工作的统一领导、统一规划、统一管理、统一开发,提高计算机应用项目管理的科学化、规范化水平,特别规范 IT 项目的立项制度。
项目立项前,首先进行项目可行性分析,信息科技治理委员会下设技术与项目可行性审查小组,作为项目立项的审查机构。项目立项的评判标准如下。
(1)项目规模。工作量大于 5 人月(含),或者费用投入超过 10 万元(含)的需求,才能立项。
(2)效益性要求。项目具有一定的效益性,能够给本行带来经济效益和社会效益的提升。
(3)项目制约限制条件。项目具备可实施的条件,不受其它项目的制约。
(4)符合全行 IT 发展规划的要求。项目的业务功能符合全行信息化规划的要求,项目的技术路线符合全行 IT 体系架构的要求,具有技术可行性。
2.开发过程管理
进行 IT 项目开发过程的管理不仅是风险管理的要求而是项目建设成功本身的要求。对于项目计划进行全程管理的基础是将工作落到实处,IT 项目建设更重要的是具体的分析设计与实现过程的管理。通过全面而深入的分析和设计,实现出能满足用户需求的软件产品,具体活动包括需求分析、总体设计、详细设计、程序实现和联调。这些活动的实施依据项目计划或者任务计划,可在开发过程中多次迭代。分析设计与实现过程的主要活动包括:需求分析:分析、挖掘业务需求中的功能和非功能需求,识别所有与此关联的软件产品,以软件产品为单位对业务需求进行分析,转换成软件需求;总体设计:对新产品进行体系结构(子系统和模块划分)、数据库、接口、公共数据、复用、安全、容灾、重要模块的实现要点等设计,对已有产品进行影响分析,识别出应做的调整;详细设计:设计所有模块的主要接口、数据结构、用户界面、处理过程等;程序实现:使用选用的编程语言,按设计要求和应遵循的编码规范,编写成代码,并通过自测、交叉测试或代码检视等方式对代码的逻辑、分支、边界等进行验证,以达到功能要求;最后,通过业务人员的业务验证测试确认程序设计实现和业务需求的一致性。整个过程要贯穿整个 IT 开发过程,以保证 IT 开发不走样。联调:把实现的系统集成在一起,并对集成好的产品进行主要功能的验证。
(1) 需求分析
需求分析[42]的主要目的是通过提炼和分析业务需求内容,识别出所有与此关联的软件产品,对于新产品:分析并确定运行环境,分析并确定系统功能结构、业务处理流程和各软件功能的主要内容等;对于已有产品:进行影响分析,识别出需变更内容,从而以软件产品为单位将业务需求转换成产品的软件需求。在需求分析活动中,若识别出有数据仓库类数据模型需求,由项目经理协助技术经理,与数据仓库相关产品经理协商,确定数据仓库开发组人员进行此类需求的需求开发,形成《数据模型需求说明书》。若此活动工作量较大,建议可生成“预研”类任务来管理。需求开发完成后,此需求应被视为本项目的需求补充,按需求变更流程处理。在对《业务需求说明书》中明确规定的、隐含和潜在的需求进行识别、分析和综合的过程中若发现有不明确或不可理解的、缺失的需求,则需要与业务负责人进行澄清和确认并将结果落实到《业务需求说明书》。在此过程中,应重点关注功能的完备性,并保持业务需求与软件需求的一致性。《项目方案说明书》作为《业务需求说明书》和《功能说明书》的桥梁,通过描述每个业务需求与关联产品的关系以及是如何通过这些关联产品来完成的,实现了业务需求到软件产品的分配。
(2) 方案设计
此阶段主要输入《项目方案设计书》《系统总体设计方案》《数据库详细设计》《系统接口设计》《功能模块详细设计说明书》,根据前期需求文档和项目可行性分析报告,组织具体技术人员进行方案设计、评估,包括人员和设备等资源安排,时间计划,协调交叉点等。最终确定后作为整个项目实施的指导。系统设计方案要具有前瞻性,遵从项目可行性分析确定的原则,以本行现有技术架构为基础进行设计。
(3) 程序实现
程序实现是在详细设计的基础上,使用选用的编程语言,按设计要求和应遵循的编码规范,编写成代码,并通过开发人员的自测、交叉测试或代码检视等方式对代码的逻辑、分支、边界等进行验证,以达到功能和质量要求。程序实现是一个“编码、调试、验证、改错、完善”的综合过程,强调开发人员不能仅完成编码,还必须保证代码的质量,提高联调通过率。程序实现是以模块为单位并行进行,联调是将达到要求的模块或构件一次性或增量组装成系统,因此程序实现和联调两个子过程也会并行。只要某轮次联调所包含的模块都已完成程序实现,即可启动该轮次的联调,而此时其他模块还在进行程序实现。 每个项目小组负责的程序,其实现信息记录在同一份《程序实现记录》中,由项目组长在总结活动时检查、合并。
(4) 联调和业务确认测试
本阶段,业务人员对照需求对软件产品实现的功能进行测试,进行业务检查,包括账务、打印凭证、授权和流程控制等方面。提交《业务确认测试报告》作为系统上线检查的重要文件之一。
(5) 实现阶段总结
本阶段作为产品投放的最后总结阶段,主要是按照系统实际情况,总结开发和测试的部分问题,撰写系统详细的构建说明以保障系统上线后的运行。主要输入:《接口设计说明书》、《系统运行管理设计表》、《详细设计说明书》、《界面设计说明书》、《存储过程和触发器清单》、《程序实现记录》、《软件产品编译构建说明书》、《联调记录》、《系统运行维护手册》、代码。
3. 投产管理
投产管理流程遵从 IT 运维服务体系设计的变更发布管理要求,需提供项目开发所形成的所有文档,经过严格审核认可之后,合规投产。
3.5 IT 风险治理
随着信息化的深入,组织的核心应用系统都己构架在 IT 平台之上,越来越多的政府、商业、教育等机构的业务正常运行离不开 IT 系统。随着 IT 技术的高速发展,IT 平台(如硬件、网络、系统)的复杂性越来越高,各种系统漏洞层出不穷,频繁的停机事件令用户穷于应付;就算是 IT 技术系统没有漏洞,也不等于就能提供优质的 IT 服务;另一方面,国内许多组织不能建立有效的故障管理、变更管理、配置管理等 IT 服务管理流程也是造成 IT 系统停机的原因;缺乏必要业务连续性计划也是造成 IT 可用性降低的重要原因。
IT 系统的停机将使组织的业务受到巨大损失、造成声誉下降、竞争优势丧失。
2006 年发生的几例信息安全事件,如:银联服务器故障导致银联卡不能跨行取款,首都机场离港控制系统故障导致大量旅客无法离港而滞留机场,5 月份 A 股市场交易量井喷导致多家证券公司信息系统拥堵出现“堵单”事件等,就生动地告诫我们,由于脆弱的 IT 基础设施和 IT 管控流程,使得这种不断增强的对 IT 的依赖性就是潜在的风险。
对于今天的中国企业而言,随着市场变化脚步的加快,企业员工的流动性也变得越来越强,随之而来的是信息安全风险上升的平衡问题。
华融湘江银行创建不久,虽然有重组前老行社的一定基础,但是随着重组后规模的扩大,原有的管理方式已经远远不能适应当今的需要,在相当长一段时间内华融湘江银行都将面临制度加速更新换代,新老人员持续磨合,IT 风险管理亟需提升等问题和发展需求。根据华融湘江银行的实际情况和有关部门的监管要求,参考吸收有关 IT 治理理论的风险管理方法,主要从建立信息科技风险防线,稳定信息科技队伍,识别 IT 风险等方面加强 IT 风险管理。
1. 信息科技风险“三道防线”
《商业银行信息科技风险管理指引》提出了商业银行信息科技风险管理的“三道防线”——信息科技管理、信息科技风险管理、信息科技风险审计。明确要求商业银行设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,并设立首席信息官,直接向最高行领导汇报,并参与决策。而信息科技风险管理的第一责任人则是银行的法定代表人。第一道防线——事先监控,即银行信息科技部门的自身管理;第二道防线,事中管理,即风险管理部门如何督促科技部门进行管理,风险管理部门会提供一些管理工具、思路和框架;第三道防线,事后审计,审计部门独立于上述两个部门之外,对两部门执行情况的一个评价。
随着华融湘江银行内部管理的需要和监管部门监管的督促,华融湘江银行建立起了,以信息科技部本身风险预警、防范,以风险管理部牵头的风险管理、处置,以稽核审计部为主的风险审计、督导等符合《商业银行信息科技风险管理指引》要求的风险管理机制。
2. 稳定信息科技队伍,加强IT人员激励机制建设
这一点在后续加强人力资源建设和IT专业人才激励第4章中专门讨论。
3.识别IT风险
系统的风险主要是软件、硬件和网络等设备的潜在风险,这与传统的信息安全有很多类似的地方。人员的风险则是指内部人员恶意作弊或者操作疏忽造成的风险,以及关键岗位人员流失带来的风险等所有与人为因素有关的潜在风险。IT投入的风险也非常容易理解,既然是投入就一定要有产出,不管这种产出是显性还是隐性的,但是,也并不是所有的IT投入都能看到产出,甚至很多企业IT项目以失败告终的案例也时有发生。IT的作用就是支撑企业的业务运作和运营管理,因此,IT风险实际上就是业务的风险,抛开业务单纯讲IT风险是没有意义的。从审计部门角度来看,之所以关注IT风险,就是要看一旦这些系统出问题,会对业务造成什么样的影响。
IT风险主要是 IT系统有可能对业务和经营目标造成的潜在风险。 IT是属于横向业务支持领域,IT风险会体现在所有业务风险中。由于IT有其特殊的技术内涵和特点,往往在实际操作时IT风险管理相对来说比较独立。IT风险管理,已经从狭义的IT技术风险发展到了IT全生命周期管理的阶段,因此,IT风险管理也可以称为“IT全面风险管理”。但是,并不是说只有信息化发展到业务与IT足够紧密时,才应该考虑IT风险管理。在信息化的前期,虽然信息系统比较少,仍然需要适当考虑IT风险管理,因为风险的规避更多的是未雨绸缪的工作。
对华融湘江银行信息科技部而言,每月进行严格的定期安全巡检,这个巡检不仅涉及核心系统,还包括日常管理、设施维护等IT部门的方方面面。形成固定的表格,每次巡检会按照表格逐个核对,检查涉及IT部门的每一个流程。通过人工和电子监控手段,对于发现的潜在问题立刻解决。定期进行IT风险检查的要点包括:基础设施风险。重点排查总行数据中心、各分行机房基础设施建设情况。
包括供电、配电情况、发电机情况、油料储备等方面情况。机房设施风险。重点排查机房UPS、精密空调、机房视频监控、消防设施、110联网报警等方面情况。
硬件设备风险。重点排查硬件设备包括小型机、服务器、路由器、交换机、ATM机、存取款一体机、查询机、网点UPS、终端、打印机、验印设备、身份证核查设备、指纹仪等硬件设备风险。通讯线路风险。重点排查总行、分行、支行、第三方、国际互联网方面的单线路风险、接入风险、运营商风险等方面情况。系统运行风险。重点排查核心业务系统、信贷管理系统、外围系统安全运行管理情况。
软件开发风险。重点排查软件系统开发过程中的流程、合规、版本控制等情况。
科技管理风险。重点排查总行、分行信息科技安全制度制定、执行,关键系统和设备的维保、岗位的设置、责任的明析,设备采购招投标是否合规、员工思想行为动态管理与职业道德风险防范等情况。
4. 风险管理与审计
在主动或被动发现信息科技风险后,风险管理部门要利用其专业方法加强信息科技风险的管理。(1)风险管理是一个系统过程,包括风险的识别、衡量和控制等环节;(2)风险管理的目标在于控制和减少损失,提高有关单位或个人的经济利益或社会效果;(3)风险管理是一种管理方法。
内部审计部门所进行的风险管理是在一般部门所进行的风险管理基础上的再监督,其风险管理过程应包括三个方面:(1)评估风险识别的充分性;(2)评价已有风险衡量的恰当性;(3)评估风险防范措施的充分性,并提出改进措施。
这意味着在风险管理部门专门设置针对于信息科技风险管理的专业人才。而在审计部门专门设置针对信息科技风险审计的专业人才。目前,按照华融湘江银行的人力资源状况,这方面是欠缺的。没有专业的人才,正是最大的风险。人员设置是完善“三道防线”的起步。
