完善信息科技治理架构提升IT风险管理水平论文.docVIP

完善信息科技治理架构提升IT风险管理水平论文

记者近日采访了广东开展银行股份(以下简称“广发行”)信息技术部负责人徐徽，通过她的介绍可深入了解目前国内商业银行的风险躲避之道。

徐徽：近年来，风险管理已成为商业银行经营管理活动的主旋律，信息科技风险作为银行风险的重要组成局部，受到越来越多的重视。从商业银行的角度看，这源于两方面的驱动因素。

一是内在驱动因素。目前信息技术已深入到商业银行经营管理的各个领域，几乎所有的改革开展任务都与信息技术密切相关，不管是业务的开展，还是管理的提升，都需要信息技术的配套支持。但是，信息技术固有的风险，包括信息系统软硬件本身的脆弱性、数据集中导致的风险集中等，是客观存在且难以完全躲避的。由于技术原因造成区域性和系统性的金融风险进而带来严重的社会影响，在国内外都有很多案例。因此，信息技术在促进银行业务开展、推动金融创新的同时，也使银行业务面临巨大的平安隐患，信息科技风险牵一发而动全身，信息系统的平安性和可靠性关系到商业银行整体经营管理活动的稳定，应该得到而且已经得到了所有商业银行的重视。

二是外在驱动因素。近几年，民银行、银监会等监管机构对于商业银行信息科技风险的监管要求越来越严、越来越细。银监会xx年3月下发的《商业银行信息科技风险管理指引》，从IT治理、风险管理策略、信息平安、开发测试和生产运行管理等方面对商业银行提出了具体而细致的风险管理要求，对于商业银行加强信息平安管理、防范信息技术风险起到了重要的指导作用。同时，银监会将商业银行的信息系统纳入现场和非现场监管，大力开展信息科技风险现场检查，对商业银行的信息科技风险防范工作提出了更髙的标准和要求。监管力度的加大，促使商业银行针对信息技术风险防控制定出更强有力的措施，不断提髙信息平安风险管理水平。

在上述内部要求和外部环境的双重要求和驱动下，商业银行信息科技风险管理的重要性日益凸显，信息平安管理成了各行科技工作的主题。

记者：现阶段，我国金融机构面临的信息科技风险主要哪些方面?

徐徽：要严控信息科技风险，就要先弄清楚风险的，并根据不同对症下药。概括来说，信息科技风险主要四个方面：一是自然原因导致的风险，包括地震、台风等自然灾害造成的风险，这类风险往往很难主动防范，只能被动防御，通过事前建立完善的业务连续性方案和应急预案，事后及时启动应急方案和补救措施来弥补;二是系统风险，是由信息系统相关软硬件的缺陷引起的，包括根底设施和硬件设备老化、系统软件缺陷、应用软件开发测试质量缺陷等，需要通过改善软硬件环境、完善应用软件来防范;三是管理缺陷导致的风险，是由管理制度的缺失或组织架构的制衡机制不完善引起的，需要从IT治理架构和管理机制上弥补管理和制度的空白及漏洞;四是人员违规操作风险，是由人员有意或无意的违规操作引起的，需要加强员工的平安培训和操作培训，提髙人员的信息平安意识和操作水平。其中，后三类风险需要以主动防范为主要平安管理措施，要建立风险事前防范、事中控制、事后监视和纠正的机制。

徐徽：严控风险是我行xx年工作的主旋律之一，这也是行长辛迈豪在1月全行工作会议上确立的指导思想，在信息技术方面的定位就是“加强信息技术风险管控，将信息技术风险纳入银行全面风险管理体系”。信息平安管理工作是xx年全行科技工作的重点任务，是优先投入资源、重点保障的工作目标。由此可见我行对于信息科技风险管理的重视。

现阶段，根据我行技术和管理的实际情况，信息科技风险管理采用“广度优先、逐步提升”的策略，重点在管理、技术、人员等方面提升信息平安管理水平和管理能力，建立管理与技术结合的全方位的风险管理体系，变被动应对为主动防范。具体说来，主要采取以下几方面的措施开展信息平安工作。

第一，将信息科技风险管理和信息平安纳入我行五年科技战略规划的实施目标。为了提髙信息技术整体核心竞争力，提升信息技术对业务战略开展的长期可持续支持能力，我行于xx年完成了五年科技战略规划目标和实施路径的制定，信息科技风险管理和信息平安是科技规划的重要组成局部之一。科技规划中明确了信息平安工作的中长期目标，定义了信息平安机制建立、信息平安相关系统和管理平台建立等多方面的信息平安管理实施路径，我行在未来几年内将根据科技规划的实施路径逐步开展信息平安建立，提升信息风险防控能力。

第二，完善信息科技治理，大力开展信息科技风险管理机制建立，建立信息科技风险管理制度根底。以前，国内商业银行的信息平安管理普遍存在一个误区，认为部署了髙性能的硬件设备、实现了双机热备份、做好了生产运行风险控制，就算完成了信息科技风险控制的工作。其实不然，因为信息平安不单是技术问题，更是管理问题，只有持续完善信息科技治理架构，从组织架构和制度等管理层面采取防范措施，才能真正实现信息