1.内控合规概述

在具体实践中，IT内控合规管理的领域包括：信息科技风险管理、监督检查、制度和公文管理、业务连续性管理、信息科技外包管理、分支机构管理，以及其他一些工作

合规、内控、风险的关联

• 合规管理是最基础的层面，合规管理的目标是避免违反内外部法律法规、规章制度、流程规范，避免因不合规导致的风险。
• 内控比合规管理更进一层，内控不但要求合规，还要审视“规”是不是完善，“规”有没有配备相应的执行点，执行“规”的过程是不是有效。
• 风险管理，特别是全面风险管理，是风险管控的最高形式。风险按标准划分为市场风险、信用风险、流动性风险、操作风险、法律风险。而合规、内控只是操作风险管理的手段。

---

2.信息科技风险管理

概述

信息科技风险是指在运用信息科技过程中，由于自然因素、人为因素、技术漏洞或管理缺陷产生的操作、法律和声誉等风险

组织架构与指责

典型的信息科技风险管理组织架构示例如图所示：

1、第一道防线：信息科技部门·主要关注日常的风险管理

• 识别、分析与评估、控制、监测及报告风险管理情况
• 信息技术部门各团队严格执行各项风险管理政策和要求，定期评估
• 通常向首席信息官、信息科技管理委员会报告

2、第二道防线：风险管理部门·侧重制定风险管理政策、制度、流程，在第一道防线的基础上对风险进行集中管理

• 在总部层面设立风险职能部门，监督和协调整个风险管理框架的有效性和完整性，与前台部门保持相对独立
• 对IT条线提供精细化的风险管理策略和支持
• 与第一道防线保持一定的独立性，通常向首席风险官、风险管理委员会报告

3、第三道防线：稽核审计部门·按期进行全面的或专项的审计或稽核

• 与IT部门和风险管理部门保持独立，对风险管理框架、内控体系的完整性和有效性提供独立的审计和管理意见
• 通常向董事会下设的审计管理委员会直接报告

管理内容

信息科技风险管理可以从8个领域开展：

1. IT治理。IT治理的目标是，形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构，为企业信息科技的发展提供战略方向和资源保障，并保证信息科技的战略与全行业务战略目标相一致。
2. 信息安全。信息安全的目标是建立信息安全管理策略和技术措施，确保所有计算机操作系统和系统软件的安全，并进行必要的员工培训。这里所讲的信息安全，是指狭义的信息安全。
3. 信息系统开发、测试和维护。信息科技部门应针对信息系统需求分析、规划、采购、开发、测试、部署、维护、升级和报废等各环节，建立管理制度和流程，管理信息科技项目的排序、立项、审批和控制，并持续监控重大信息科技项目的进展情况。
4. 信息科技运行。信息科技部门应对人员职责分配、数据保存、操作方法、服务水平、变更、故障、性能及容量管理，建立制度和流程，并对信息科技突发事件建立应急处置预案，严格执行突发事件报告制度，落实突发事件的处置职责。安全保卫部门负责信息系统机房的物理环境安全管理。
5. 业务连续性管理。金融企业和各相关机构应建立恢复服务和保证业务连续运行的管理机制和备用方案，并定期对其进行检查和测试，保证在业务运行中断时可以快速启动备用方案，降低业务中断带来的影响。信息科技部门负责信息系统灾难恢复方案的制订、实施和维护。
6. 外包管理。信息科技部门负责管理信息科技相关的外包业务，制定与信息科技外包业务有关的管理政策，保证信息科技外包服务有协议、服务合同和监督机制的约束。
7. 内部审计。审计部门应根据信息科技风险所涉及活动的性质、规模和复杂程度，信息科技应用情况，以及信息科技风险评估结果，决定信息科技审计范围和频率，对信息科技风险管理的适当性和有效性进行审计和评价，向董事会提供独立的信息科技风险审计意见。审计部应至少每三年进行一次全面的信息科技风险审计；在进行重大系统开发时，审计部门应参与其中，保证系统开发符合金融企业的信息科技风险管理要求。
8. 外部审计。在符合法律、法规和监管要求的情况下，根据需要可以委托具备相应资质的外部审计机构进行信息科技外部审计。在委托外部审计机构进行外部审计时，应与其签订保密协议，并督促其严格遵守法律法规，保守公司的商业秘密和信息科技风险信息。

---

3.监督检查

首先，依据监管要求、外部标准和内部规范梳理出一套适用的检查标准，并进行全面覆盖的检查。

例如某企业通过识别，外部规范分解成9大类、52小类、1249条元要求，去重合并后形成外规内规对应关系，也就是信息科技风险检查标准库，如图所示：

然后，制订全年检查计划，采用常规检查、专项检查、事件驱动检查相结合的方式，100%覆盖信息科技风险检查标准库。一个典型的监督检查运行图，如图所示：

1. 专项检查围绕信息科技风险领域，如外包管理、可用性管理、数据安全、业务连续性管理等。例如，某年共开展××项专项检查工作，提出改进完善建议×××余个
2. 常规检查注重变更、发布、值班等日常运维重点模块，按周开展监督检查。例如，追踪变更发布近万个，追踪发现违规问题××个，同时提出风险规避建议×条。
3. 事件驱动检查一般在可用性事件、信息安全事件或重大违规违纪事件发生后进行，对于检查中发现的问题全部纳入问题管理流程进行跟踪管理

---

4.制度管理

制度一般以条文形式展示，名称通常冠以政策、规定、办法、规程、细则、指引等；制度可以通过制度补丁的方式进行调整、补充和完善，制度补丁可以采取条文或非条文的形式展示，一般以修订通知、补充通知或加强管理通知等标题体现。

1、制度体系

制度体系一般包括三级：

• 政策级制度，是指用于规范业务条线行使经营管理职责基本事项的制度，名称一般使用制度、规定、政策、章程等。
• 办法级制度，是指用于规范业务条线的工作方法和具体内容的制度，名称一般使用管理办法、管理规程等。
• 规程级制度，用于规范具体的作业内容，名称一般使用操作规程、操作细则、实施细则、指引等。

2、制度的起草

在起草制度过程中，应开展调查研究，广泛征求制度执行部门和人员、部门内部相关人员的意见，以论证制度的必要性、有效性、合理性和可操作性

制度内容一般应包括：总则（含目的依据、适用范围、管理原则、职责分工、定义等）、管理流程、监督检查及罚则（如有）、附则（含制定细则要求、解释部门、施行日期、作废声明等）。

---

5.业务连续性管理

业务连续性管理是一个整体性的管理流程，它主要识别威胁组织的潜在影响，并且提供构建组织弹性和有效响应的框架，以保护组织关键利益相关方的利益、声誉、品牌以及价值创造的活动

对于商业银行领域，它是商业银行为有效应对重要业务运营中断事件，建设应急响应、恢复机制和管理能力框架，保障重要业务持续运营的一整套管理过程，包括策略、组织架构、方法、标准和程序

---

6.信息科技外包管理

近年来，各金融机构处于业务快速发展时期，产品不断丰富，开发需求持续增长，对研发产能需求很大，合理利用外包可以一定程度上减小自身队伍快速膨胀带来的人力资源波动风险，有效利用市场资源。同时通过引入外部公司资源，获取IT服务提供商的先进经验，提升自身科技队伍的管理及创新水平。但与此同时带来了一系列外包管理风险。“工作可以外包，责任不能外包”，已成为监管层的明确要求。

---

7.分支机构管理

各金融机构基本都在全国各地分布着一些分支机构，比如银行和证券公司。分支机构的规模都比较大，有的分支机构还有一定规模的信息技术部门。分支机构的IT风险管理也是重要内容

分支机构的管理内容包括：

• 合规管理。明确分支机构需遵守的IT制度，并进行全覆盖的检查，检查可以是远程与现场相结合的方式进行。合规检查情况纳入当年度分支机构考核。
• 事件管理和问题管理。分支机构发生可用性事件和安全事件时，进行事件调查和处理。相关改进措施纳入问题管理跟踪督促。
• 项目推广。每年总部会有一些重点工作，需要分支机构落实，放入项目推广工作中。
• 人才培养。建立分支机构IT人才的认证模型，进行专业培训和认证考试，科学评价各分支机构岗位人才胜任情况。

有效措施包括：

• 建立定期会议机制。比如季度分支机构IT工作例会，全体分支机构IT负责人和骨干参加。年度分支机构IT工作会议，通报各分支机构IT工作全年情况，表彰先进，督促后进。
• 建立分支机构评级机制。分支机构根据规模大小分成ABC三类，同一类之间进行科技评级，通过评级机制，将改进优化的一些非合规类要求给到分支机构，相比检查更有利于分支机构主动开展IT建设工作，评级注重的是未来持续发展能力。
• 开展分支机构检查并全覆盖，确保分支机构管理要求落地。检查可以采用现场检查和非现场检查相结合；计划内检查和飞行检查相结合；对标类检查和技术类检查相结合等方式。