讓中國的金融企業(yè)運(yùn)作得更安全

1、DeIOitte德勤【編者的話1理。2006年11月1日，中國銀行業(yè)監(jiān)督管理委員會(huì)正式發(fā)布了《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引》。作為中國企業(yè)信忠：化建設(shè)的參與者之一，德勤華永會(huì)計(jì)師事務(wù)所上海分所的企業(yè)風(fēng)讓中國的金融企：業(yè)運(yùn)作得更安全口趙3之華／文對于銀監(jiān)會(huì)2006年11月初發(fā)布的《銀行業(yè)金融機(jī)構(gòu)信在我們充分理解了《指引》對中國銀行業(yè)信息系統(tǒng)風(fēng)險(xiǎn)管息系統(tǒng)風(fēng)險(xiǎn)管理指引》(以下簡稱《指引》)，我們注意到該《指理的意義后，讓我們一起來看看企

2、業(yè)如何來實(shí)施這個(gè)《指引》吧。引》的定位是“規(guī)范性文件”。而在2006年1o月25日銀監(jiān)《指引》共分八章，共計(jì)73條，包括：會(huì)發(fā)布的另一個(gè)《商業(yè)銀行合規(guī)風(fēng)險(xiǎn)管理指引》中，第三條一總則(共5條)；二機(jī)構(gòu)職責(zé)(共8條)；三總體風(fēng)險(xiǎn)明確指出：“本指引所稱法律、規(guī)則和準(zhǔn)則，是指適用于銀行控制(共18條)；四研發(fā)風(fēng)險(xiǎn)控制(共1條)；五運(yùn)行維護(hù)業(yè)經(jīng)營活動(dòng)的法律、行政法規(guī)、部門規(guī)章及其他規(guī)范性文件、風(fēng)險(xiǎn)控制(共8條)；六外包風(fēng)險(xiǎn)控制(共9條)；七審計(jì)(

3、共經(jīng)營規(guī)則、自律性組織的行業(yè)準(zhǔn)則、行為守則和職業(yè)操守。”j2條)；和八附則(共2條)；由此可見，《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引》也是國從段落分布來看，第二章到第七章構(gòu)成了《指引》的主體內(nèi)各銀行必須遵循的法律、規(guī)則和準(zhǔn)則之一。內(nèi)容，而其中第三到第六章更是對主要的信息系統(tǒng)風(fēng)險(xiǎn)以及對而短短1個(gè)月的時(shí)間內(nèi)，銀監(jiān)會(huì)同時(shí)發(fā)布兩個(gè)指引，到應(yīng)的控制措施進(jìn)行了較為詳細(xì)的規(guī)定。圖1顯示了《指引》所底向業(yè)內(nèi)傳達(dá)了哪些信息呢我們認(rèn)為，至少銀監(jiān)會(huì)已明描述的

4、信息系統(tǒng)風(fēng)險(xiǎn)管理框架體系：確地告訴整個(gè)行業(yè)，中國的銀行業(yè)必須比以前任何時(shí)候都銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引要更加重視信息系統(tǒng)的風(fēng)險(xiǎn)管理。銀行業(yè)的企業(yè)如果把對信息系統(tǒng)風(fēng)險(xiǎn)的管理僅僅看作自身管理的一部分是不夠的，而應(yīng)該將其作為一個(gè)需要強(qiáng)制遵循的法律、法規(guī)來對待。另外，讓我們看看這兩個(gè)《指引》出臺(tái)前的信息系統(tǒng)風(fēng)險(xiǎn)管理的市場環(huán)境吧。2006年2月的一條新聞報(bào)道稱“中國移動(dòng)的手機(jī)沖值卡數(shù)據(jù)庫被侵入，造成直接損失370萬人民幣”；2006年4月

5、的一條新聞報(bào)道標(biāo)題是“中國銀聯(lián)癱瘓8小時(shí)京滬等地跨行交易中斷”；而2006年5月的一條新聞報(bào)道標(biāo)題則是“1T高手帶領(lǐng)‘內(nèi)鬼’‘黑’走樂購超市400萬”。3個(gè)月內(nèi)的j起事件均是由于信息系統(tǒng)風(fēng)險(xiǎn)管理不足接下來，我們可以看看該體系和其他國際流行的信息系而造成的，其結(jié)果更是以驚人的方式表現(xiàn)出來，每個(gè)事件給統(tǒng)風(fēng)險(xiǎn)管理體系的共性和異性。圖2、圖3分別標(biāo)識(shí)cobit框架企業(yè)帶來的直接損失均是百萬級(jí)，而無形的損失更是難以和Bs7799框架以供參考。可以

6、看到，《指引》的體系結(jié)構(gòu)和cobIt或Bs7799(分別由此可見，《指引》的出臺(tái)十分及時(shí)。監(jiān)管部門已經(jīng)充由1sAcA和英國標(biāo)準(zhǔn)組織推出)是可以融合的，均強(qiáng)調(diào)了控制分意識(shí)到信息系統(tǒng)風(fēng)險(xiǎn)管理對整個(gè)中國銀行業(yè)的重要性及目標(biāo)的內(nèi)容和持續(xù)監(jiān)控的重要性。緊迫性。毫不夸張地說，Ⅸ指引》對于中國銀行業(yè)的信息系而我們更注意到，《指引》中，特別是主體內(nèi)容部分，直統(tǒng)風(fēng)險(xiǎn)管理無疑是一個(gè)里程碑式的文件。接提出了非常細(xì)致的控制措施。比如在第四章(研發(fā)風(fēng)險(xiǎn)控萬方數(shù)據(jù)

7、Deloitte.德勤50I編者的話1本期“毒勤視點(diǎn)“專欄的主題為銀行業(yè)信息系統(tǒng)風(fēng)險(xiǎn)管理。2006年門月1日，中國銀行業(yè)監(jiān)督管理委員會(huì)正式發(fā)布了《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理才盯1)。作為中國企業(yè)信息化建設(shè)的參與者之一，德勤華永會(huì)計(jì)師事務(wù)所上海分所的企業(yè)風(fēng)險(xiǎn)服務(wù)部門對該指引進(jìn)行了解瀆，在此與大家分享。讓中國的金融企業(yè)運(yùn)作得更安全口趙文華文對于銀監(jiān)會(huì)2006年門月初發(fā)布的《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引))(以下簡稱《指引圳，我們注

8、意到該《指引》的定位是“規(guī)范性文件“。而在2006年10月25日銀監(jiān)會(huì)發(fā)布的另一個(gè)《商業(yè)銀行合規(guī)風(fēng)險(xiǎn)管理指引》中，第三條明確指出“本指引所稱法律、規(guī)則和準(zhǔn)則，是指適用于銀行業(yè)經(jīng)營活動(dòng)的法律、行政法規(guī)、部門規(guī)章及其他規(guī)范性文件、經(jīng)營規(guī)則、自律性組織的行業(yè)準(zhǔn)則、行為守則和職業(yè)操守?！坝纱丝梢姡?(銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引》也是國內(nèi)各銀行必須遵循的法律、規(guī)則和準(zhǔn)則之一。而短短1個(gè)月的時(shí)間內(nèi)，銀監(jiān)會(huì)同時(shí)發(fā)布兩個(gè)指引到底向業(yè)內(nèi)傳達(dá)了哪些

9、信息、呢我們認(rèn)為，至少銀監(jiān)會(huì)已明確地告訴整個(gè)行業(yè)，中國的銀行業(yè)必須比以前任何時(shí)候都要更加重視信息系統(tǒng)的風(fēng)險(xiǎn)管理。銀行業(yè)的企業(yè)如果把對信息系統(tǒng)風(fēng)險(xiǎn)的管理僅僅看作自身管理的一部分是不夠的，而應(yīng)該將其作為一個(gè)需要強(qiáng)制遵循的法律、法規(guī)來對待。另外，讓我們看看這兩個(gè)《指引》出臺(tái)前的信息系統(tǒng)風(fēng)險(xiǎn)管理的市場環(huán)境吧。2006年2月的一條新聞報(bào)道稱“中國移動(dòng)的手機(jī)沖值卡數(shù)據(jù)庫被侵入，造成直接損失370萬人民幣2006年4月的一條新聞報(bào)道標(biāo)題是“中國銀聯(lián)癱

10、瘓8小時(shí)京滬等地跨行交易中斷而2006年5月的一條新聞在我們充分理解了《指引》對中國銀行業(yè)信息系統(tǒng)風(fēng)險(xiǎn)管理的意義后，讓我們一起來看看企業(yè)如何來實(shí)施這個(gè)《指引》吧。《指號(hào)1))共分八章，共計(jì)73條，包括一.總則(共5條)二機(jī)構(gòu)職責(zé)(共8條)三，總體風(fēng)險(xiǎn)控制(共18條)四.研發(fā)風(fēng)險(xiǎn)控制(共11條)五.運(yùn)行維護(hù)風(fēng)險(xiǎn)控制(共8條)六外包風(fēng)險(xiǎn)控制(共9條)七審計(jì)(共12條)和八附則(共2條)從段落分布來看，第二章到第七章構(gòu)成了《指號(hào)1))的主體內(nèi)

11、容，而其中第三到第六章更是對主要的信息系統(tǒng)風(fēng)險(xiǎn)以及對應(yīng)的控制措施進(jìn)行了較為詳細(xì)的規(guī)定。圖1顯示了《指引》所描述的信息系統(tǒng)風(fēng)險(xiǎn)管理框架體系銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)鳳險(xiǎn)管理指引報(bào)道標(biāo)題則是咐窩手帶領(lǐng)6內(nèi)鬼自黑走樂購超市400圖1萬3個(gè)月內(nèi)的3起事件均是由于信息系統(tǒng)風(fēng)險(xiǎn)管理不足i接下來，我們可以看看該體系和其他國際流行的信息系而造成的，其結(jié)果更是以驚人的方式表現(xiàn)出來，每個(gè)事件給J統(tǒng)風(fēng)險(xiǎn)管理體系的共性和異性。圖孔圖3分別標(biāo)識(shí)。obit框架企業(yè)帶來

12、的直接損失均是百萬級(jí)，而無形的損失更是難以和887799框架以供參考。衡量?？梢钥吹?，((指引》的體系結(jié)構(gòu)和Cobit或BS77日9(分別由此可見、《指引》的出臺(tái)十分及時(shí)。監(jiān)管部門已經(jīng)充由ISACA和英國標(biāo)準(zhǔn)組織推出)是可以融合的，均強(qiáng)調(diào)了控制分意識(shí)到信息系統(tǒng)風(fēng)險(xiǎn)管理對整個(gè)中國銀行業(yè)的重要性及i目標(biāo)的內(nèi)容和持續(xù)監(jiān)控的重要性。緊迫性Q毫不夸張地說，((指引》對于中國銀行業(yè)的信息系而我們更注意到，(指引》中，特別是主體內(nèi)容部分，直統(tǒng)風(fēng)險(xiǎn)管理

13、無疑是一個(gè)里程碑式的文件。|接提出了非常細(xì)致的控制措施。比如在第四章(研皮風(fēng)險(xiǎn)控1一一萬方數(shù)據(jù)111安全領(lǐng)域36個(gè)撞倒目轍1211撞倒項(xiàng)圖3制)的第38條，((指號(hào)1提出了對新程序需要包含的測試種類一一“測試至少應(yīng)包括功能測試、安全性測試、壓力測試、驗(yàn)收測試、適應(yīng)性測試又如，第七章(審計(jì))的第62條明確要求“根據(jù)信息系統(tǒng)的總體風(fēng)險(xiǎn)狀況確定審計(jì)頻率，但至少每3年審計(jì)一次“。應(yīng)該說這種直接的控制要求比較符合中國的實(shí)際情況p無論企業(yè)規(guī)模大小，

14、大到4大固有銀行，小到一個(gè)地區(qū)的農(nóng)村信用社，均可直接參照《指引》的內(nèi)容實(shí)施信息系統(tǒng)風(fēng)險(xiǎn)管理，并在較低的成本下進(jìn)行合規(guī)。而國際標(biāo)準(zhǔn)或體系往往非常復(fù)雜，相對來說更適合大型銀行，對小型銀行或者一些地區(qū)信用社而言，實(shí)現(xiàn)的成本過高。那么，企業(yè)應(yīng)該如何針對《指引》進(jìn)行合規(guī)工作，在實(shí)施合規(guī)工作的工程中可能會(huì)碰到哪些難點(diǎn)，或者說需要注意哪些重點(diǎn)呢中德勤是全球四大會(huì)計(jì)師事務(wù)所之一，是一京領(lǐng)先的專業(yè)服務(wù)機(jī)構(gòu).德勤中國共擁有逾60∞名員工分布在北京‘大連、廣

15、州、香港.澳門.南京、上海深圳.蘇州和天津，德勤中國以全球錦結(jié)為1號(hào)鵝，為團(tuán)內(nèi)企業(yè).跨國公司以及高成長的企業(yè)II供全面的審計(jì)、稅務(wù).企業(yè)管理咨詢和財(cái)務(wù)咨詢服務(wù).德勤視點(diǎn))“_首先，企業(yè)應(yīng)該基于風(fēng)險(xiǎn)模型進(jìn)行合規(guī)工作的規(guī)劃。所謂基于風(fēng)險(xiǎn)模型，即按風(fēng)險(xiǎn)所涉及的章節(jié)和條款，結(jié)合企業(yè)自身的運(yùn)作模式特點(diǎn)確定出一個(gè)風(fēng)險(xiǎn)清單，并將每個(gè)風(fēng)險(xiǎn)點(diǎn)最終對企業(yè)帶來的影響進(jìn)行量化，這個(gè)量化風(fēng)險(xiǎn)的工作可以基于每個(gè)風(fēng)險(xiǎn)點(diǎn)所最終帶來的損失，以及每個(gè)風(fēng)險(xiǎn)發(fā)生的可能性來進(jìn)行

16、。而一旦確定風(fēng)險(xiǎn)清單和確定各風(fēng)險(xiǎn)對企業(yè)的重要性后，企業(yè)就可以有針對性地設(shè)計(jì)控制目標(biāo)和控制措施。如何把握風(fēng)險(xiǎn)點(diǎn)下的主要控制目標(biāo)，以及如何設(shè)計(jì)出一個(gè)可以滿足多個(gè)控制目標(biāo)的控制體系，則是許多企業(yè)在平衡風(fēng)險(xiǎn)與控制成本之間需要考慮的一個(gè)問題。但無論如何，一旦企業(yè)設(shè)計(jì)了風(fēng)險(xiǎn)模型，企業(yè)就將這些風(fēng)險(xiǎn)納入到了一套系統(tǒng)化的控制體系中去。當(dāng)然，前面已經(jīng)提到，指引中提到的很多具體要求，是可以直接做為控制措施使用的。而實(shí)施中的主要難點(diǎn)包括風(fēng)險(xiǎn)點(diǎn)確定、風(fēng)險(xiǎn)點(diǎn)分解到

17、控制目標(biāo)，以及控制目標(biāo)分解到控制措施等體系建立的過程。每個(gè)企業(yè)均有自身的業(yè)務(wù)特征，而業(yè)務(wù)特征的差異會(huì)導(dǎo)致風(fēng)險(xiǎn)點(diǎn)評(píng)估的差異。比如，同樣是“新程序沒有進(jìn)行充分測試“這一風(fēng)險(xiǎn)，對一個(gè)擁有多個(gè)應(yīng)用系統(tǒng)，并且這些系統(tǒng)都是自已開發(fā)的企業(yè)，和另一個(gè)只有單一的應(yīng)用系統(tǒng)，并且該系統(tǒng)是向第三方采購的企業(yè)，是有很大不同的。同樣，防范某個(gè)風(fēng)險(xiǎn)點(diǎn)需要一個(gè)控制目標(biāo)還是多個(gè)控制目標(biāo)，以及實(shí)現(xiàn)一個(gè)控制目標(biāo)需要多少個(gè)控制行為是充分的，同樣需要很多專業(yè)判斷。因此，在合規(guī)的

18、過程中引入一些專業(yè)機(jī)構(gòu)的幫助是很有必要的。而這些專業(yè)機(jī)構(gòu)不僅要在信息系統(tǒng)風(fēng)險(xiǎn)管理方面有深厚的專業(yè)知識(shí)，也應(yīng)該對銀行業(yè)擁有豐富的行業(yè)經(jīng)驗(yàn)。在當(dāng)今這個(gè)高度信息化的社會(huì)中，信息系統(tǒng)的風(fēng)險(xiǎn)管理無疑是企業(yè)管理的重要環(huán)節(jié)，而對銀行業(yè)來說更是重中之重。讓我們一起，基于領(lǐng)先的管理理念，接受科學(xué)的風(fēng)險(xiǎn)控制體系，借助專業(yè)的咨詢服務(wù)，讓中國的金融企業(yè)運(yùn)作得更安全l哇!趙文華先生革德勤華永會(huì)計(jì)師事務(wù)所風(fēng)險(xiǎn)服務(wù)部合伙人、BS7799主任審計(jì)師(BS7799LA)

19、、國際注冊信息革統(tǒng)審計(jì)師(CISA)、國際j王冊信息系統(tǒng)保護(hù)專家(CISM)作者在銀行業(yè)的信息系統(tǒng)風(fēng)險(xiǎn)控制和審計(jì)，以及信息安全咨詢領(lǐng)域擁有十幾年的豐宮經(jīng)驗(yàn)。在銀行業(yè)的代表性客戶有中國農(nóng)業(yè)銀行、交通銀行、中國銀聯(lián)、重慶商業(yè)銀行、卓京三菱銀行、蘇格蘭主家銀行、日本且在穗銀行等。德勤華永舍計(jì)師事#所有限公司J:.海延安阜4222號(hào).外雄中心30~毒，200002電話，02161418668傳真f.02I63~500D繭，電于傳箱:耐用咿蜘棚，