构建商业银行IT风险治理构构建商业银行IT风险治理架构.doc

构建商业银行IT风险治理架构 张淮清 　　“细”、“严”体现风险监管新形势 　　当前，信息技术、网络技术的迅猛发展冲击着各个行业，而 HYPERLINK / \t _blank 银行业由于其自身服务特点成为广泛引入信息技术的行业之一。从业务流程的电子化到服务渠道的网络化，从客户资源的系统化到决策支持的智能化，信息技术正逐步改变着传统银行业的运营模式。新技术的大量采用必然引入了新的风险，给银行业带来了新的挑战。 　　为了保障 HYPERLINK /zgyh/ \t _blank 中国银行业健康有序发展，加强商业银行信息科技风险管理，规范银行业金融机构的信息科技外包活动， HYPERLINK /cbrc/index.html \t _blank 银监会先后制定和发布了相关监管指引。 　　2009年，针对商业银行信息科技的风险管理，银监会发布《商业银行信息科技风险管理指引》，在信息科技治理、信息科技风险管理、信息安全等八个方面提出了明确的要求，强调要加强信息科技风险监管。 　　2010年，面对日益发展的银行外包服务市场，银监会发布《银行业金融机构外包风险管理指引》，在组织架构、风险管理和监督管理等三个方面提出细致要求，强化外包风险监管。 　　2013年，针对商业银行信息科技外包，银监会发布《银行业金融机构信息科技外包风险监管指引》，在外包管理组织架构、信息科技外包战略与风险管理、信息科技外包管理等七个方面提出了专项要求，深化了信息科技外包风险的监管要素。 　　由此可见，“细”和“严”体现了银监会对商业银行的风险监管趋势。 　　“细”主要体现在：2010年发布的监管指引在组织架构、风险管理和监督管理三个方面提出监管要求，每个方面提出的监管要求力度比较粗；2013年发布的监管指引，明确针对商业银行信息科技业务外包，从外包管理组织架构、信息科技外包战略及风险管理、信息科技外包管理、机构集中度风险管理、跨境及非驻场外包管理、银行业重点外包服务机构管理要求及监督管理七个方面提出细致要求。如在2010年监管指引中，没有对外包管理执行团队的职责进行要求，而2013年指引中明确做了要求。 　　“严”主要体现在：银监会发布的指引随着时间的推移在具体要求上更加量化和严格。如在2010年的指引中只是提到进行定期的风险评价，而在2013年发布的指引中更加明确和量化了监管要求，“银行业金融机构信息科技外包风险管理部门应当至少每年开展一次全面的外包风险管理评估”，相比原来新发布的监管指引更加严格，对商业银行提出了更高的要求。 　　完善的IT风险治理架构是基础和保障 　　商业银行IT风险治理架构意义 　　随着商业银行对信息系统依赖性不断增加，由此带来的风险、利益和机会使得IT风险治理成为商业银行治理中至为关键的一个方面，完善的IT风险治理架构是商业银行风险管理体系的基础和保障。 　　一个成功的IT风险治理架构可以帮助商业银行达到以下目标： 　　监管合规。建立健全IT风险治理架构，实现对IT风险的有效识别和管理，满足不断提高的监管要求，满足未来银行信用评级的刚性需求。 　　目标一致。IT风险治理必须与商业银行战略目标一致，是银行战略规划的重要组成部分，因此IT风险治理要从组织目标和信息化战略中抽取信息安全需求和功能需求，形成总体的IT风险治理框架，保证信息技术跟上持续变化的业务目标。 　　降低风险。IT风险治理强调风险管理，通过制订信息资源的保护级别，强化关键的信息技术资源，有效地进行实施监控和事故处理，此外它还能保护利益相关者的权益，使风险透明化，指导和控制IT投资、规划、建设、运营。 　　资源高效。IT风险治理可以合理利用与协调商业银行的信息资源，并进行有效管理，以确保IT及时按照目标交付，且有合适的功能和期望的收益，另外也要尽量避免信息化工程超期、IT客户的需求没有满足、IT平台不支持业务应用等问题的发生。 　　商业银行IT风险治理标准架构 　　商业银行IT治理是围绕着IT投资决策的治理过程，一个优秀和标准的IT风险治理架构主要包含如下四个方面：一是组织结构，即由谁负责决策，组织结构的形式如何，组织结构中各成员的责任分别是什么；二是流程，即如何规范和执行日常业务操作，针对每个操作相应的流程是什么；三是制度，即制订哪些方面的IT风险管理制度；四是技术，即采用什么样的技术措施固化IT风险管理流程和制度，保障商业银行业务系统安全可靠的运行。 　　银行IT风险治理架构方案探讨 　　我国商业银行信息系统风险特点 　　国有商业银行——“风险程度大，抗风险能力强”——系统大多依靠自身力量完成，IT风险治理的重点聚焦在“完善自身组织的IT治理架构”。一方面，国有商业银行由于信息技术架构庞大、设施复杂、涉及的内容繁多，因而可能存在的脆弱性种类多，范围大；其在