商业银行突围科技风险管理初级阶段.docVIP

商业银行突围科技风险管理初级阶段 ——银监会新《指引》颁布1周年记 ??? ??? 虽然人们对全面开放金融市场后内资银行的竞争力的担忧，因为外资银行在世界金融危机中受到重创而没有成为现实。内资银行反倒在此涨彼消中身价倍增，跻身世界前列，甚至名列前茅。 但随着金融危机的阴霾逐渐散去，世界金融巨头开始“咸鱼翻身”，可以预见国内金融市场的竞争将更加激烈。在风险管理方面“先天不足”的内资银行如果想要保持目前的地位，则必需补上风险管理（包括信息科技风险管理）这一课。 ??? 在银监会颁布《商业银行信息科技风险管理指引》1周年之际，记者愿意与您一起关注银行信息科技风险管理的总体情况和存在的难题，关注迅速崛起的中小银行如何在信息化建设的同时兼顾风险管理，关注规模巨大而“失去了模子”的大型银行如何构建“特色”的信息科技风险管理体系。 ? 银监会：加强监管促提高 ? ??? 2006年8月7日，银监会颁布了《银行业金融机构信息系统风险管理指引》（以下简称“原《指引》”），对银行业金融机构的信息系统风险管理提出了基本 的、原则性的要求，填补了我国银行业信息系统监管领域的空白。从实施效果来看，很多银行在信息系统风险防范方面取得了长足进步。 ??? 然而，银行业信息化发展非常迅速，信息科技的作用从业务支持逐步走向与业务的融合，成为银行稳健运营和发展的支柱，同时科技由分散走向集中也让银行的科技 风险进一步积聚。这让银监会意识到，原《指引》已难以满足商业银行信息科技风险管理的需要，必须制订高标准、高要求，且更加全面、系统、可操作的指引。于 是，在原《指引》颁布后不久，银监会即开始广泛征求银行业金融机构的意见，并参照国际经验对原《指引》进行细化、深化和充实。 ??? 2009年3月3日，银监会历时1年多制定的《商业银行信息科技风险管理指引》（以下简称“新《指引》”）正式颁布实施，原《指引》同时废止。与此同时， 银监会还组织银监系统的众多技术骨干编写了《商业银行信息科技风险现场检查指南》、《银行业金融机构重要信息系统投产及变更管理办法》、《商业银行数据中 心监管指引》等配套手册和制度。此后，围绕新《指引》和有关监管要求而进行的自查、检查、整改、提高在全国商业银行系统内拉开了序幕，并将持续深入进行。 ??? 据了解，2009年，银监会及其分支机构对近百家国内银行业金融机构开展了信息科技风险现场检查，重点对主要风险点和相关的管理环节进行了彻底检查，以促 进银行业金融机构将信息科技风险管理纳入银行的总体风险管理框架中。针对现场检查中发现的重大风险隐患和实际发生的重大信息科技事故，银监会通过下发风险 提示的形式向全国银行业金融机构进行了通报并提出了相应的管理要求。 ??? 某省银监局一位不愿意透露姓名的知情人士说：“从现场检查的情况来看，无论是大型商业银行还是中小型商业银行，都存在不同程度的信息科技风险，人员、制 度、流程都存在一些问题，特别是有些银行高管层的IT治理意识比较薄弱，对信息科技风险管理重视不够。不过，可喜的是，通过贯彻落实新《指引》，一些银行 已经开展了全面的信息科技风险评估，并制定了长远的发展规划，管理力度明显加大。” ??? 从近1年来新《指引》的落实情况来看，成效是显而易见的。 ??? 首先，信息科技治理开始引起重视。公开的资料显示，一些银行已经设立了信息科技管理委员会、首席信息官或功能类似的部门，其中有些是原来就设有的，有些则 是按新《指引》的要求设立的。例如，中国工商银行的信息科技管理委员会，中国农业银行的电子化建设委员会，招商银行的信息规划委员会，中信银行的信息技术 委员会，华夏银行的科技与创新委员会，渤海银行的资讯科技委员会；交通银行、华夏银行、渤海银行、吉林银行等设立了首席信息官。同时，一些银行还明确了风 险管理部门和审计部门的信息科技风险管理职责。 ??? 其次，灾备体系建设取得新进展。大型银行进一步完善了同城和异地灾备中心建设，初步实现了同城中心间业务处理的切换和接管，基本建成全面的灾备体系。一些 中小银行也建成了同城灾备中心，实现了重要信息系统的切换和接管，并开始着手建设异地灾备中心。此外，一些外资银行的生产中心和灾备中心也相继落成。 ??? 再次，应急管理体系不断完善。银行应急预案更加完善，应急演练更加注重规范性、真实性和非计划性，灾难恢复演练范围也从核心业务系统、信用卡等重要信息系统扩大到网银、自助业务灾难恢复处理，应急管理水平进一步提高。 ??? 据银监会信息中心信息科技风险监管处陈文雄处长介绍，银监会预计用3年时间，按照属地监管的原则，对全国的商业银行按照新《指引》进行一遍现场检查，具体检查信息科技风险管理状况，以推动我国银行业信息科技风险防控水平不断提高。 ? 中小银行：“鱼”与“熊掌”能兼得 ? ??? 2009年的6