金融企业IT内控合规管理建设与实践

安全领域众多，企业安全团队负责人关注的是企业安全最后一公里的问题，偏重于安全有效性和最佳实践，因此本专栏文章偏理论的讨论少一些，偏实践的多一些，这样给大家的实际工作帮助可能更大一些。互联网公司安全为什么能一定程度引领行业发展，还是因为从解决实际问题出发，很多看起来并不是高大上的话题，但却是解决企业实际问题必须的。吾生有涯而学无涯，把有限的精力投到快速解决实际问题上去。

金融行业是牌照行业，接受严格的监管，典型特征是各项业务开展以及IT发展，必须遵守各项管理规定，合规是金融企业的底线和最低要求。同时为落实监管规定，以及企业内部各项管理要求，内部控制（简称“内控”）相对其他行业要求高出不少。在大型金融机构（如全国性商业银行、股份制银行、交易所、大型证券公司等），IT内控合规是广义信息安全的一部分，而且是管理体系中很重要的一环，金融企业如何做好IT内控合规管理建设，本文尝试做一些探讨。 

没有绝对的区分。合规管理是最基础的层面，合规管理的目标是避免违反内外部法律、制度、规范，避免因不合规导致的风险。内控比合规管理更进一层，内控不但要求合规，还要审视“规”是不是完善，“规”有没有配备相应的执行点，执行“规”的过程是不是有效。风险管理，特别是全面风险管理是风险管控的最高形式，风险按标准划分为市场风险、信用风险、流动性风险、操作风险、法律风险。合规、内控只是操作风险管理的手段。大部分金融企业会设置首席风险官，属于公司高级管理层。

虽然一般意义上：风险管理>内控>合规，但由于企业习惯将风险管理及其所包含的内控、合规活动统称为内控合规管理，故本文所称内控合规是指围绕风险管理的一系列管理活动。由于从业经历所限，本文只探讨IT内控合规管理。

金融企业IT内控合规的目标是通过建立有效的机制，实现对金融企业IT风险的识别、计量、监测和控制，对外保障IT活动符合监管层各项管理要求，对内确保各项管理要求落地和控制措施有效，最终实现IT风险可控。

实践中IT内控合规管理领域包括：信息科技风险管理、监督检查、制度和公文管理、业务连续性管理、信息科技外包管理、分支机构管理，以及其他一些工作（比如写信息技术部工作总结？）。根据不同企业对IT内控合规的定义理解，管理的领域可能会有一些不同。

很多企业内IT内控合规管理的岗位给人的印象就是“写报告”的，这种说法比较通俗易懂，怎么写好报告还是需要能力、知识、技能和逻辑架构功底，有很大技巧的，难以写一份好报告是阻碍绝大多数安全负责人职位更进一步的主要原因。怎么写好报告不在本文探讨。

在近三年的IT内控合规管理工作经历中，总结出如下落地方法：外规对内规、内规对检查、检查对整改、整改对考核。

外规对内规。将外部规范要求分解成元要求，去重合并，和内部规范一一对应，每条元要求对应的结果为四者其一：1、满足要求；2、冲突；3、缺失。如果是2、3两种情况，要么修订内部规范，要么增加内部规范，以满足外规要求。通过识别，外部规范分解成9大类、52小类、1249条元要求，去重合并后形成外规内规对应关系。外规对内规的梳理过程中发现了部分外规元要求没有内规承接和冲突的情况。

内规对检查。依据监管要求、外部标准梳理出内部规范后，建立了一套适用的检查标准，并进行全面覆盖的检查，包括常规检查、专项检查和事件驱动检查。具体内容见第三章监督检查。

检查对整改。建立了一套电子化系统，实现检查计划制定、检查实施、报告管理、问题跟踪等全过程的电子化管理。检查发现和整改情况纳入问题管理流程。

整改对考核。检查发现和整改情况纳入团队和个人当月和年度考核，实实在在影响个人收入。

我看到较多大型金融机构如银行建立了外规条款数据库，并可以根据关键字进行快速检索查询，供内部使用，取得不错的效果。

下文分别介绍IT内控合规管理的各个领域。