发帖
雷达卡
商业银行信息科技风险 现场检查指南详解-检查项2 :信息科技委员会
(1)银行应建立信息科技管理委员会,该委员会成员应包括银行高级管理层、信息科技部门和主要业务部门的代表。
1.首先取得银行的全行组织架构图以及人员名单(包括岗位、职责);
2.与全行人员名单进行核对,确认人员的组成满足银行高级管理层1名,信息科技部门领导1名,主要业务部门代表各1名的条件。
(2) 信息科技管理委员会的职责应包括:
1.取得信息科技管理委员会的职责、议事规则文件,验证信息科技委员会的(1)具有明确的信息科技委员任职条件;(2)具备明确的议事规则;(3)具备下述所描述的职责,应逐一核对,不应缺少。
(a)设定全行IT战略目标,指导IT方面的资金投入,对IT规划进行审批;
1.查阅战略规划类文件,判断IT战略目标是否设定,并且明确(这点需要专业判断);访谈信息科技委员会成员明确其清晰知晓IT战略目标。
2.从财务部门获取今年在IT方面的投入情况说明;从信息科技部门获取审计年度在信息科技方面的项目清单;分析上述两个材料是否与IT战略目标一致,针对不一致的科目或项目应询问原因,判断原因是否合理,并进一步获取信息科技委员会的会议记录和审批文件。
(b)合理运用现有资源,指导信息科技部门提供高质量的IT服务,同时要监督IT成本管理情况;
提示:这条要求对委员会三方面的工作提出了要求,IT资源管理、IT服务质量和IT服务成本。
符合性检查从制度层面和认知度两个层面开始检查,(1)按照抽样原则抽取适当数量的委员进行访谈,了解他们对IT资源管理、IT服务质量和IT服务成本三方面管理的认知情况。(2)查阅相关的制度、规定,了解银行对这三方面的具体要求。
测试层面:
(1)资源包括IT设备资源、服务、人员、软件、数据等。
对于IT设备资源的检查我们可以从IT资产采购、管理和废弃三个环节入手,检查IT资产采购前是否考虑利旧(利用旧设备)、是否有闲置时间过长的IT设备(超过6个月)、是否有不合理的IT设备报废(特别是报废的设备是否还有可利用的组件,如内存、CPU、电源是否还可以继续使用或转为备件)
对于IT服务类资源,从已经采购的IT服务和计划采购的IT服务开始分析,主要分析现有的IT资源和能力是否能够完成或部分完成已经购买或计划购买的IT服务,至少应考虑是否已经采取措施降低IT服务的采购,降低对外部的依赖性。
对于人员,从人员的数量和能力入手进行分析,人员数量不能低于全行员工的3%,人员的能力主要关注是否覆盖了软件开发、运维和测试这几类人员,分析的细致的话,还可以分析技术能力和管理能力。不过一般银行的信息科技人员都处于不足的状态。
软件资源主要关注,已经购买的软件和计划采购的软件是否存在功能重复、闲置,同时也还可以关注资源的利用效率。如在资源或并发允许的情况下,是否可以两套应用同时使用一套weblogic提供web服务。
(2)IT服务质量:是否具有对IT服务质量衡量的指标;指标是否经过定期测量;是否与业务部门签订OLA/SLA;IT服务质量是否不断改进。
(3)IT服务成本:从财务部门是否能获取明确的IT服务成本;验证IT服务成本的构成是否合理,IT服务项目是否做项目后评价,IT服务成本明细是否经过委员会审议;
(c)通过调整IT项目和活动的优先级解决资源短缺造成的冲突;
(1)IT项目是否按照优先级排列。很多银行只排列了重要项目和非重要项目,但并未严格排列项目的优先级。
(2)向委员询问是否存在资源短缺现象,特别像委员解释清楚资源包括哪几类,并询问如何解决的。如果有存在执行记录,应验证查验记录。
(d)确保IT战略的及时更新;
(1)IT战略应为3-5年的信息科技发展战略,发展战略在50%和最后1年做更新,
(2)业务战略发生调整时,信息科技发展战略也应该对应的发生更新。
(e)对主要的IT政策、标准、原则进行审批;
(1)获取审计年度新发布的、发生修订的制度、规定、标准等是否具有信息科技委员会的正式发布文件。
(2)确认上述文件通过正规的渠道,使得适当的人及时得知。
(f)对重要的IT项目和活动进行监控;
(1)是否定期关注重要的IT项目和活动的状况,如审阅项目报告、活动周报等;
(2)是否采用信息技术手段监控IT项目和活动的进度。
(g)监督和管理IT绩效,确保达到预期IT服务水平;
(1)首先了解银行是否对IT绩效进行管理,如果没有该项可以停止。
(2)如果银行对IT绩效进行了管理,那么了解IT绩效的测量情况,以及如何处理未达到IT服务水平的状况。
(3)根据经验判断IT绩效的测量是否合理、适当。这里需要专业能力判断。
(h)对重大IT项目进行审批。
(1)获取委员会对重大项目的审批记录,与银行重大项目清单进行对对比,询问未经信息科技委员会审批的重大项目为何未经过审批。
(3)定期向董事会和高级管理层汇报信息科技战略规划的执行情况、信息科技预算和实际支出情况、信息科技的整体管理状况, 面临的主要风险及其应对措施等。
(1)获取委员会向董事会和高级管理层汇报的报告,1年至少4份报告;
(2)查阅汇报内容与项目实际情况是否相符,如不符应向委员会询问原因。
(3)查阅报告内容是否涉及战略规划执行、信息科技预算与支出情况、信息科技面临的主要风险和对应的措施等。
提升卡
置顶卡
沉默卡
变色卡
抢沙发
千斤顶
显身卡
京公网安备 11010802022788号
