Question

首先，依据监管要求、外部标准和内部规范梳理出一套适用的检查标准，并进行全面覆盖的检查。通过识别，外部规范分解成 9 大类、52 小类、1249 条元要求，去重合并后形成外规内规对应关系，也就是信息科技风险检查标准库，如图 4-6 所示。

然后，制订全年检查计划，采用常规检查、专项检查、事件驱动检查相结合的方式，100%覆盖信息科技风险检查标准库。一个典型的监督检查运行图，如图 4-7 所示。

专项检查围绕信息科技风险领域，如外包管理、可用性管理、数据安全、业务连续性管理等。例如，某年共开展××项专项检查工作，提出改进完善建议×××余个。

常规检查注重变更、发布、值班等日常运维重点模块，按周开展监督检查。例如，追踪变更发布近万个，追踪发现违规问题××个，同时提出风险规避建议×条。

图 4-6　信息科技风险检查标准库

图 4-7　监督检查运行图示例

事件驱动检查一般在可用性事件、信息安全事件或重大违规违纪事件发生后进行，对于检查中发现的问题全部纳入问题管理流程进行跟踪管理。而且，通过问题跟踪机制，可以同时归口管理第二、三道防线的检查发现，充分确保问题统一归口、管理追踪无遗漏，并使整改方案可实施、进度有跟踪、实施有成效，监督检查闭环流程如图 4-8 所示。

图 4-8　监督检查闭环管理流程

监督检查是确保风险管理政策、措施、流程落地的有效保障，检查方式、投入资源、结果运用根据实际情况灵活决定。