银行信息科技风险管理架构及实施建议.pdfVIP

科技管理 Technology Management 银行信息科技风险管理架构及实施建议 上海华瑞银行（筹）信息科技部 陈勤伟 随着金融信息科技的发展，银 首席信息官或首席风险官（风险管 业务部门的负责人担任委员，负责 行业务对信息科技的依赖逐渐加深， 理委员会）报告工作”，银行业金 监督信息科技各项职责的落实，定 目前已发展到没有信息科技的支持 融机构为确保符合监管对信息科技 期向董事会和高级管理层汇报信息 银行将无法开展业务、信息系统一 风险管理的监管要求，应降低因控 科技战略规划的执行、信息科技预 旦发生大面积瘫痪甚至会导致银行 制缺失给银行自身带来的信息科技 算和实际支出、信息科技的整体状 无法正常营业的风险，因此，对于 风险及由此引发的合规、操作和声 况（含信息科技风险管理）。 信息科技风险的有效控制和管理成 誉等风险。 在工作层面，应设立一个专职 了商业银行内生的强大动力。事实 团队负责信息科技风险管理工作， 一、整体思路和目标 上，在《新巴塞尔资本协议中》， 并直接向首席信息官（CIO）或首 信息科技风险是银行操作风险中“系 1. 整体思路 席风险官（CRO）报告工作。该团 统、人员、流程”中最为重要的组 围绕银监会指引，结合金融机 队应为信息科技突发事件应急响应 成部分，中国银监会更是将信息科 构尤其是中小商业银行自身实际情 小组（此小组亦为银行业务连续性 技风险作为单独的风险予以监督和 况，以合规、高效、低成本为准绳， 运作小组的一部分）的成员之一， 管理，并在 2009 年专门出台了《商 建立和完善银行信息科技风险管理 负责协调制定有关信息科技风险管 业银行信息科技风险管理指引》（以 架构和运行机制。 理 策 略， 尤 其 是 在 涉 及 信 息 安 全 下简称“《指引》”），要求将信 2. 宗旨目标 （Information Security）、业务连续 息科技风险管理纳入银行全面风险 （1）确保银行信息科技风险管 性计划（Business Continuity Plan） 管理框架，对银行业信息科技风险 理实施到位，信息科技风险得到有 和 合 规 性 风 险（IT Compliance 的治理、组织架构和职责、管理措 效缓释。 Risk）等方面，为业务部门和信息 施进行了详细的规定。 （2）确保信息科技风险管理架 科技部门提供建议及相关合规性信 银监会已于 2012 年在银监会和 构符合监管规定和银行自身需要。 息，实施持续信息科技风险评估， 地方银监局两个层面分别成立了专 跟踪整改意见的落实，监控信息安 二、组织架构 门的银行业信息科技监管部门，致 全威胁和不合规事件的发生。 力于通过现场检查和非现场监控等 为推进银行信息科技风险管理 科技风险团队的职责似乎与银 方式，加强银行业信息科技的风险 工 作， 银 监 会 要 求 商 业 银 行 在 高 行既有的信息安全团队有一定的重 监管。