完善信息科技治理架构提升IT风险管理水平.pdfVIP

完善信息科技治理架构提升IT

风险管理水平

记者近日采访了广东发展银行股份(以下简称“广发行”)信息

技术部负责人徐徽，通过她的介绍可深入了解目前国内商业银

行的风险规避之道。

记者：为什么说信息科技风险管理对于商业银行是特别重

要的一环

徐徽：近年来，风险管理已成为商业银行经营管理活动的

主旋律，信息科技风险作为银行风险的重要组成部分，受到越

来越多的重视。从商业银行的角度看，这源于两方面的驱动因

素。

一是内在驱动因素。目前信息技术已深入到商业银行经营

管理的各个领域，几乎所有的改革发展任务都与信息技术密切

相关，不管是业务的发展，还是管理的提升，都需要信息技术

的配套支持。但是，信息技术固有的风险，包括信息系统软硬

件本身的脆弱性、数据集中导致的风险集中等，是客观存在且

难以完全规避的。由于技术原因造成区域性和系统性的金融风

险进而带来严重的社会影响，在国内外都有很多案例。因此，

信息技术在促进银行业务发展、推动金融创新的同时，也使银

行业务面临巨大的安全隐患，信息科技风险牵一发而动全身，

信息系统的安全性和可靠性关系到商业银行整体经营管理活动

的稳定，应该得到而且已经得到了所有商业银行的重视。

二是外在驱动因素。近几年，中国人民银行、银监会等监

管机构对于商业银行信息科技风险的监管要求越来越严、越来

越细。银监会3月下发的《商业银行信息科技风险管理指

引》，从IT治理、风险管理策略、信息安全、开发测试和生

产运行管理等方面对商业银行提出了具体而细致的风险管理要

求，对于商业银行加强信息安全管理、防范信息技术风险起到

了重要的指导作用。同时，银监会将商业银行的信息系统纳入

现场和非现场监管，大力开展信息科技风险现场检查，对商业

银行的信息科技风险防范工作提出了更髙的标准和要求。监管

力度的加大，促使商业银行针对信息技术风险防控制定出更强

有力的措施，不断提髙信息安全风险管理水平。

在上述内部要求和外部环境的双重要求和驱动下，商业银

行信息科技风险管理的重要性日益凸显，信息安全管理成了各

行科技工作的主题。

记者：现阶段，我国金融机构面临的信息科技风险主要来

源于哪些方面

徐徽：要严控信息科技风险，就要先弄清楚风险的来源，

并根据不同来源对症下药。概括来说，信息科技风险主要来自

四个方面：一是自然原因导致的风险，包括地震、台风等自然

灾害造成的风险，这类风险往往很难主动防范，只能被动防

御，通过事前建立完善的业务连续性方案和应急预案，事后及

时启动应急方案和补救措施来弥补;二是系统风险，是由信息

系统相关软硬件的缺陷引起的，包括基础设施和硬件设备老

化、系统软件缺陷、应用软件开发测试质量缺陷等，需要通过

改善软硬件环境、完善应用软件来防范;三是管理缺陷导致的

风险，是由管理制度的缺失或组织架构的制衡机制不完善引起

的，需要从IT治理架构和管理机制上弥补管理和制度的空白

及漏洞;四是人员违规操作风险，是由人员有意或无意的违规

操作引起的，需要加强员工的安全培训和操作培训，提髙人员

的信息安全意识和操作水平。其中，后三类风险需要以主动防

范为主要安全管理措施，要建立风险事前防范、事中控制、事

后监督和纠正的机制。

记者：为保障银行业务的安全，广发行信息科技风险管控

采取了哪些具体措施

徐徽：严控风险是我行工作的主旋律之一，这也是行长辛

迈豪在1月全行工作会议上确立的指导思想，在信息技术方面

的定位就是“加强信息技术风险管控，将信息技术风险纳入银

行全面风险管理体系”。信息安全管理工作是全行科技工作的

重点任务，是优先投入资源、重点保障的工作目标。由此可见

我行对于信息科技风险管理的重视。

现阶段，根据我行技术和管理的实际情况，信息科技风险

管理采用“广度优先、逐步提升”的策略，重点在管理、技

术、人员等方面提升信息安全管理水平和管理能力，建立管理

与技术结合的全方位的风险管理体系，变被动应对为主动防

范。具体说来，主要采取以下几方面的措施开展信息安全工

作。

第一，将信息科技风险管理和信息安全纳入我行五年科技

战略规划的实施目标。为了提髙信息技术整体核心竞争力，提

升信息技术对业务战略发展的长期可持续支持能力，我行于完

成了五年科技战略规划目标和实施路径的制定，信息科技风险

管理和信息安全是科技规划的重要组成部分之一。科技规划中

明确了信息安全工作的中长期目标，定义了信息安