关于商业银行信息科技风险的调查与思考.pdfVIP

业务平台 管理 Business Platform 关于商业银行信息科技风险的 调查与思考 张 倩  张云志  祁 妙 银行业是信息科技成果应用最快、最广的行业之一， 遍重视硬件投资，有相当部分IT设备具备了国际领先水平， 同时也是受信息科技风险影响最大的行业之一。当前银行 形成了技术发展上的后发优势。但是，商业银行信息科技 业对信息技术已经呈现出高度依赖趋势，其依赖程度会随 安全战略仍然由业务职能部门主导并支持实施，高级管理 着整个行业的信息化进程的推进不断加深。自 2006 年 11 层监督力度仍然不足，在内部管理和风险控制方面的深入 月中国银行业监督管理委员会发布《银行业金融机构信息 研究和必要投入急需跟上，以弥补管理和风险控制上的后 系统风险管理指引》明确提出银行业金融机构法人代表或 发劣势。 主要负责人是本机构信息科技风险管理责任人以来，商业 被调查者对这两个不匹配现象的突出感受说明，尽管 银行在完善银行核心业务系统治理方面开展了大量的工 不断完善技术手段仍是信息科技风险管理的必要条件，但 作，在核心业务系统、IT 管理流程和系统使用程序逐渐升 我国商业银行目前面临的最大挑战，是如何基于公司治理 级等方面进行了整合。但是，从全球信息科技风险管理实 目标，梳理和整合业务流程，在每个环节上确立相应管理 践来看，“木桶原理”在这一领域仍然广泛适用，即一只 程序并实施配套技术手段，实现立体的安全合规管理，实 木桶的容积，取决于它最短的一块木板的长度。换而言之， 实在在地使银行业务连续性计划（BCP）和信息技术风险 一家商业银行信息科技风险管理环节的完善程度，取决于 管理（TRM）互相契合，降低商业银行信息科技风险。通 它最为薄弱的环节。出自对“商业银行信息科技风险管理 过对收集到的评价进行详细分类发现如下问题。 的短板究竟在哪里？”这一问题的兴趣和关注，我们在日 1. 高级管理层、董事会和内设部门对信息科技风险治 常工作讨论中对部分商业银行相关工作人员进行了简要调 理已有一定认识，但在贯彻治理框架和监督运行方面有待 查，并根据被调查者对商业银行信息科技风险管理现状的 加强 评价进行了整理和分析。 信息技术的广泛运用，使商业银行大大提升了数据和 调查结果显示，在开展信息科技风险管理工作的过程 业务处理的速度和能力，但是商业银行所持信息的特殊性， 中，大家普遍感觉存在两个不匹配现象：一是业务发展规 以及银行信息处理系统本身运行和来自内外部各种因素的 模与 IT 资源配置不匹配。商业银行目前的业务规模扩张 影响，都会对信息科技安全形成挑战。因此，商业银行在 已在一定程度上对自身业务系统的承载能力提出了挑战， 稳健的运营过程中，应依据公司治理的明确目标，建立信 IT 基础设施和 IT 人员超负荷运转现象十分普遍，信息科 息科技风险管理的完整框架，鼓励各类技术应用和系统使 技风险管理仍被当作单纯的技术管理问题，未纳入商业银 用方面的适当行为，以防范不安全操作。 行公司治理结构进行系统规划。二是信息科技管理水平与 随着商业银行管理架构的逐渐成熟，高级管理层和董 硬件建设情况不匹配。在当前的发展实践中，商业银行普 事会已基本明确自身承担的信息科技风险管理职责。在被 16 中国信用卡 2009.2 Business Platform