项目背景及目标

近些年来，在金融业科技管理活动中，如何做好信息科技风险管控已经变成一项重要任务，当前必须正确认识信息科技风险管控与发展的关系,充分认识重要性和必要性,清醒认识信息科技风险管理中存在的问题及其根源,准确把握如何做好的着力点和关键点。

在监管科技应运而生和金融监管更趋严格的背景下，金融机构更加迫切需要做好信息科技风险管控，全面强化和提升风险与合规管理能力及水平势在必行。为确保监管要求落地，银行信息科技内部风险与合规管理，需要做到“事前指导、事中监控、事后审计”的全流程管理。

省联社信息科技部门在做好信息科技风险与合规管理的同时，如何利用已经形成的良好实践，完善基于信息科技风险管控的省县两级指导体系，建立指导、监控、审计体系，提升全省信息科技合规管理的水平。

项目方案

根据对监管要求的理解，依照《商业银行信息科技风险管理指引》的要求，本项目的核心目标是建设基于信息科技风险管控的省县两级指导体系。过程中充分考虑省联社与社员行社科技运行情况、组织架构及管理现状等因素，结合国际标准及监管要求，制定适合省联社与社员行社现状的、能有效衔接的省县两级指导体系，从而规范全省信息科技风险管控与合规管理水平，理顺省联社与社员行社信息科技指导的各项工作间接口。

以上目标可以细化为“建立一套体系、提升合规水平、健全长效机制、培养一支队伍”：

（1）建立一套体系：体现在指导一体化、监督一体化、检查一体化三个方面。通过体系的建设，形成省县谅解信息科技合规管理分工明确、信息互通高效、信息科技管理工作互动协同、流程制度简洁的一体化高效风险与合规管理局面。

（2）提升管控水平：监管要求、省联社管理要求是一套省县两级信息科技风险管控与合规指导体系，将监管要求与省联社管理要求切实落实到日常工作中去，从被动式变为主动式，全面提升省县两级风险合规管理水平。

（3）健全长效机制：指导体系建设应以“适宜”为目标，随着全省信息科技组织成熟度和环境的变化，建立持续改进长效机制则是保持体系持续有效的关键。

（4）培养一支队伍：体系管理工作需要一支懂技术、会管理、思想统一的信息科技风险合规管理队伍来开展，本项目的就是要培养这样一支省县两级的风险与合规管理队伍。

为达成项目目标、完成项目工作，本项目设计了实施策略，可以归纳为：“全面调研，统筹规划、落实指导，传道授业、持续改进”。

全面调研

全面调研是要看到“我们在哪里？”的重要策略，也是体系建设的基础性工作。通过调阅制度，查看执行，了解近五年来监管检查的结果，充分了解省县两级信息科技风险的总体情况，为后续工作打下坚实的基础。

统筹规划

统筹规划是体系建设的核心策略，首先要明确的是范围是什么，内容有什么，方法用什么，指导有哪些，检查做什么的问题，而只有省联社信息科技中心进行统筹规划才能实现这一目标。

落实指导

指导体系能否切实有效的执行，要从两个维度着手，在管理制度上，建立了总体要求和指导手册两个层面，总体要求关注的是省县两级指导工作要做哪些事情，做到范围要求无偏差；指导手册关注的是具体指导工作如何才能做好，聚焦落实指导到细节。

传道授业

本项目的实施是一次全省范围内的“管理变革”，对全省信息科技的管理人员来说，需要开展多层次、全方位的培训，包括指导体系的意识、标准、建设方法、实施步骤、试运行指导等方面，为指导体系落地提供保证。

持续改进

本项目致力于建立一个适宜当前管理成熟度的体系，同时建立持续改进机制，通过持续改进机制的执行，推动一体化检查指导体系随着组织的变化持续保持适宜。

创新点

1、依照ISO31000国际标准，参考监管要求，根据日常管理需求，建立了基于检查体系的信息安全风险评估的方法。通过日常和专项检查，识别信息安全的风险，让风险评估的工作更加贴近实际。

2、依照《商业银行信息科技风险管理指引》，建立了全省风险合规检查库，信息安全管理、信息系统开发测试和维护、信息科技运行、IT连续性管理、外包管理五个部分，完整覆盖了信息科技日常运行管理范围。

项目过程管理

本项目将分为五个阶段分步开展：

*****阶段  启动和计划阶段

第二阶段  差距评估阶段

第三阶段  体系建设阶段

第四阶段  体系试运行阶段

第五阶段  运行效果检查阶段

1、启动和计划阶段

本阶段首先明确需求细节、落实项目实施模式、初步了解全省合规管理现状。

在进一步了解和理解项目组织和管理文化之后，制定详细计划。项目组领导、项目组成员及其他关键人员参加项目启动会议，正式启动项目。

2、差距评估阶段

发现当前流程管理制度与监管合规要求的差距、与其他对标行的差距，识别改进内容，形成差距评估报告。

3、体系建设阶段

在现状调研与差距评估基础上，综合考虑ISO27001:2013标准、监管要求，制定改进方案，设计规范化且可扩展的指导体系。

以现状调研和差距评估进方案。改进方案包含：目前差距、改进目标、实施步骤、结果为基础，把需要改进的内容进行分类与合并，提炼出可以实施的任务，形成整体改时间计划、资源落实等信息。

省县两级指导体系覆盖信息安全管理、信息系统开发测试和维护、信息科技运行、IT连续性管理、外包管理五个部分，每个部分指导内容将包含管理要求和指导手册两个层面，明确总体要求，细化指导内容，确保指导工作可落地、可执行、可衡量。

4、体系试运行阶段

按照试运行计划开始试运行已审批通过的制度和流程，监督、检查试运行状态，针对执行性不足提出整改建议，依照制度要求，制定指导内容，优化检查内容，实施指导和检查。

5、运行效果检查阶段

依据银行信息科技风险指引要求，协助开展信息科技风险检查工作；协助配合监管机构的合规性检查工作，对发现的问题点，根据行业经验提出改进建议。

项目成效

本项目实施完成后，有以下成效。

1、整体性：打造了全省一体化的信息科技合规管理体系，摒弃了以往同业合规管理建设，缺少统筹规划，各自为政，想到哪儿做到哪儿，缺少一个相应的统筹规划的情况。

2、完整性：本项目覆盖了信息安全管理、信息系统开发测试和维护、信息科技运行、IT连续性管理、外包管理五个部分，完整覆盖了信息科技日常运行管理范围。

3、指导性：以往的合规管理中，只是单纯的检查，缺少如何才能做好合规工作的指导，如何将合规管理落实到运用日常信息科技管理管理上面的指导，本项目基于省联社信息科技条线成熟经验，建立了针对社员行社的指导体系。

4、持续性：在建立了全省指导体系的同时，还建立全省一体化的检查体系，通过建立检查标准、细化检查内容、明确检查职责，确保管理体系能够有效落实。

经验总结

本项目在建设过程中，获得了很多风险合规建设方面的经验，具体内容包括：

1、在差距分析阶段，必须要充分了解现状，包括省联社及社员行社信息科技条线风险合规管理的情况，通过识别问题，才能充分全省风险合规管理的差距在哪里，为后续整体建设提供指引；

2、建设合规指导检查体系过程中，要紧扣两点，一是标准不偏移，既紧扣《商业银行信息科技风险管理指引》内容要求，二是内容可落地，内容是具体的，可借鉴，可实施的，同时还要关注社员行社的差异，指导和检查要在一定范围内差异对待，不能一刀切；

3、在具体落地指导和检查过程中，要做到有计划、有实施、有跟踪、有改进、有回顾的全生命周期管理，这样才能让社员行社的信息科技风险合规管理落到实处，切实提高全省信息科技条线风险合规管理水平。