核心業務系統治理的改善途徑

IT管理流程和使用者有關的治理領域，是核心業務系統治理中的“短板”；通過以IT風險為導向，以COSO和COBIT為框架要求，建立和完善銀行核心業務系統的IT內控框架，是改進銀行核心業務系統治理的有效途徑

近年來，中國銀行業監督管理委員會 (下稱銀監會)對銀行業金融機構的信息科技風險管理非常關注。

2006年11月，銀監會發布《銀行業金融機構信息系統風險管理指引》（下稱《風險管理指引》），明確提出銀行業金融機構法定代表人或主要負責人是本機構信息系統風險管理責任人。

根據銀監會發布的《風險管理指引》，中國境內設立的商業銀行，都需遵循銀監會對信息系統風險管理的要求。這是商業銀行面臨的一項刻不容緩的工作，其意義是深遠的，同時也是一個挑戰。

商業銀行的核心業務系統，是整個銀行最重要的信息系統和科技風險最集中的地方。因此，改進銀行核心業務系統的治理，對防范和降低商業銀行信息系統風險有著十分重要的意義。

核心業務系統治理“短板”

建立和完善銀行核心業務系統治理，是一項涉及整個銀行很多部門的工作。由于商業銀行的業務活動對IT的依賴日益增強，越來越多的部門都須臾離不開核心業務系統的支持。核心業務系統、IT管理流程和系統的使用者，構成了核心業務系統治理面對的主體。

當我們在談論銀行核心業務系統治理時，可以借用所謂的“木桶原理”——一只木桶的容積，決定于它最短的一塊木板的長度，換言之，一個銀行核心業務系統治理的完善程度，取決于它最薄弱的環節。

根據這一概念，可以認為核心業務系統本身、IT管理流程以及使用者的相互作用和影響，構成了銀行核心業務系統治理的“木桶”。所謂“木板的長度”，實際上就是這三者相互作用構成核心業務系統治理多個方面的完善程度。

近年來，商業銀行對核心業務系統建設的重視程度和資源投入是相當可觀的，不少銀行建立了技術相當先進的系統和安全防范體系，核心業務系統的技術已經是整個治理環境中最成熟的部分。相對而言，與IT管理流程和使用者有關的治理領域，卻是核心業務系統治理中的“短板”。從這個意義上說，改進商業銀行核心業務系統治理，需要從改進這些“短板”著手。

實踐表明，通過以IT風險為導向，以COSO和COBIT為框架要求，建立和完善銀行核心業務系統的IT內控框架，是改進銀行核心業務系統治理的有效途徑。這可以從四方面著手展開。

定期評估IT風險

首先是定期開展IT風險評估。這一工作的目的，是要合理確定商業銀行面臨的IT固有風險，以及實施了相關控制之后的剩余風險，從而為完善銀行核心業務系統的IT內控框架提供基礎和導向。

IT風險評估一般包括八個方面，即業務專注度、信息資產、對IT的依賴度、對IT內部員工的依賴度、對第三方的依賴度、系統的可靠性、技術變更以及相關法律法規的環境。

對于被識別的每個IT風險，應從風險的影響度和發生的可能性的角度進行評估打分，再通過評估目前已有的控制措施，合理確定剩余風險，并綜合生成該風險的整體評估結果。

完善IT內控框架

根據IT風險評估工作的結果，針對識別出的IT高風險的領域，為銀行核心業務系統量身定制IT控制要求或控制目標，提出銀行核心業務系統的IT內控活動或控制點，從而形成銀行核心業務系統的IT內控框架。這是改進銀行核心業務系統治理的第二步。

1967年，美國信息系統審計與控制協會（ISACA）提出了“信息系統和技術控制目標”（COBIT）的概念。

COBIT，直譯為“信息及相關技術的控制目標”，是IT治理的一個開放性標準，目前已成為國際上公認的信息安全與IT管理和控制的標準。該標準體系已在世界100多個國家的重要組織與企業中運用，指導這些組織有效地利用信息資源和有效地管理IT風險。

1992年，美國反虛假財務報告委員會的發起組織委員會（COSO）提出了COSO模型，即內部控制－整合性框架。

隨后，于2004年，在內部控制－整合性框架多年理論和實踐的基礎上，又提出了企業風險管理模型COSO報告II。

ISO27001/ISO17799/BS7799是全面和復雜的信息安全管理標準，旨在幫助各種類型和規模的組織實施并運行有效的信息安全管理體系，從而增強企業識別、防止、減少和控制組織信息安全風險的能力。

從實踐上看，COSO是一種能被用來建立內部控制架構的范例，包括IT內部控制；COBIT(IT控制目標) 是能被用來構建IT內控環境和內控架構的范例；而ISO27001/ISO17799/BS7799是能被用來建立全面的IT內部控制的范例。

作為改進銀行核心業務系統治理的重要一步，商業銀行應該構建合適的IT控制目標體系和IT內控架構。

在實踐中，一般會將IT的控制目標和IT內控架構分為公司層面的IT控制、IT一般控制和相關應用系統/業務流程層面的自動控制等三個層次和若干個控制領域。如IT一般控制中，就包含項目管理、變更管理、系統安全管理、問題和事故管理、數據管理、系統操作管理、最終用戶計算等。

每一個層面和控制領域都可建立若干個IT控制目標。

銀行可以根據自身核心業務系統的特點，參照COSO內控框架的要求，同時平衡考慮控制成本，選擇COBIT部分相關的控制目標，構建本銀行核心業務系統的IT內控框架。在有條件的情況下，將本銀行核心業務系統的IT內控框架和國際國內類似規模、類似性質銀行作一個覆蓋面和深度方面的比較，亦是一件很有價值的工作。

管理層評估與控制

定期開展管理層的自我評估，實施必要的IT控制活動，則是改進核心業務系統治理的第三步。

管理層的自我評估的目標，是根據銀行核心業務系統的IT內控框架，確定必要的IT控制活動，批準實施IT控制的行動計劃，以及自我評估IT控制活動的有效性。

管理層的自我評估工作，一般可分為以下五點：

第一，審閱當前核心業務系統的固有風險水平和剩余風險水平；

第二，確認所需的IT控制點；

第三，確認接受剩余風險的水平；

第四，對實施IT控制的行動計劃達成共識，推行和實施所需的控制；

第五，自我評估相關IT控制的有效性。

管理層的自我評估和確認剩余風險，并實施所需的控制，是改善銀行核心業務系統治理的最重要的一環。只有管理層確實推進了確認的IT控制活動，才能使IT的剩余風險維持在可接受的程度，核心業務系統治理才能得到改善。

管理層推動銀行核心業務系統IT內控的開展，是一項長期的工作。

管理層可以建立和使用IT風險控制矩陣，這是落實IT內控點和進行IT內控管理的很實用的工具。在管理層在推進有效的IT控制活動后，IT風險會得到合理的控制。

加強IT內部審計

建立和改善銀行核心業務系統IT內控框架的第四個方面，是加強銀行核心業務系統的IT內部審計。其目的，是從一個相對獨立的角度，評估IT控制的有效性，以幫助檢查銀行核心業務系統的IT控制是否實施到位以及控制是否有效。

這些審計工作，包括根據當前銀行核心業務系統IT風險等級和IT審計的歷史結論等因素，確定銀行核心業務系統的審計領域和周期；編制年度審計時間表和審計重點；有效利用IT內審團隊的有限資源以及審計報告、評分、和審計發現的限時跟進。

在銀行核心業務系統的IT內部審計的工作中，對IT控制活動進行定期監控和測試是重要的一環。IT控制活動的監控和測試將根據控制活動發生的頻率，決定樣本的大小，并對抽取的樣本按照設計的測試步驟進行。

IT控制的測試，可以按照控制的設計有效性和運行有效性兩個方面分別進行。任何被檢測出的IT控制缺陷，可以要求在規定的期限前改正和接受再測試。因此，定期測試IT控制活動對銀行核心業務系統治理的改進起了監督的作用。

如果銀行能夠落實和開展上述四個方面的工作，將很好地改善銀行核心業務系統治理環境，同時改善銀行核心業務系統IT風險的管理工作，在推動銀行業務和管理發展的同時，也可滿足監管機構對信息系統風險管理的要求。■