商业银行信息科技风险现场检查指南

商业银行信息科技风险现场检查指南

目录

第一部分概述

1. 指南说明

1.1 目的及适用范围

信息科技与银行业务高度融合，已成为银行业金融机构提高运营效率、实现经营战略和加快金融创新的重要手段。与此同时，银行业对信息科技的高度依赖，使得信息科技风险成为影响银行业稳健运行的主要隐患之一。银监会按照科学发展观要求，与时俱进，大力加强信息科技风险监管，充分利用现场检查这一监管手段，深入检查银行机构在信息科技治理、风险管理、信息安全、业务连续性、电子银行等领域的科技风险及管理情况，发现问题、排查隐患，督促银行及时整改。商业银行信息科技风险现场检查工作，既是银监会深入掌握银行信息化建设、科技管理整体情况的有效方法，也是对银行机构信息科技风险状况进行准确分析和评价的重要手段，对及时预警风险，提高银行机构信息科技风险管控能力和水平，保护存款人和公众利益，维护金融体系安全和稳定有着重要的意义。

为提高信息科技风险现场检查质量，规范检查行为，银监会在“管法人、管风险、管内控、提高透明度”监管理念指导下，全面总结信息科技现场检查经验，充分借鉴国外监管机构的检查规范和最佳实践，编写了《商业银行信息科技风险现场检查指南》（以下简称《指南》）。《指南》编制的主要目的在于：一是明确了商业银行目前主要的信息科技风险领域、主要风险点，阐明了检查思路和主要方法，帮助检查人员明确检查目标，从而提高信息科技风险现场检查的有效性和针对性，提升现场检查质量，为银监会及各级派出机构开展信息科技风险现场检查提供全面和有针对性的指导。二是提供了评价银行信息科技风险管理各领域状况的参考标准，并提出了具体的检查要求和步骤，进一步规范了信息科技风险现场检查的程序、手段和行为，是银监会及各级派出机构实施现场检查工作的一个重要参考依据和检查指导工具。三是指明了商业银行信息科技风险防控的重点领域、方向和关键风险点，提出了风险识别、预警和控制的具体手段，商业银行可以充分借鉴《指南》内的信息科技风险防控原则和指导思想，应用到银行信息科技建设和管理实践中，成为指导银行全面开展科技风险防控、提升管理能力的有力武器。

《指南》主要适用于在中华人民共和国境内依法设立的国有商业银行、股份制商业银行、城市商业银行的信息科技风险现场检查。政策性银行、农村商业银行、农村合作银行、城市信用社、农村信用社的信息科技风险现场检查，应考虑区域经济水平、机构规模与公司治理结构差异，按照本指南的风险防控原则，结合实际情况进行检查。村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构的信息科技风险现场检查可参考本《指南》。

1.2 编写原则

一、突出风险为本的监管理念。《指南》坚持法人监管、风险为本的监管理

二、坚持分类监管的原则。《指南》参照相关行业标准和规范，指出了商业银行信息科技风险控制所应达到的标准，同时兼顾不同类型银行机构的特点体现分类监管原则，针对不同的被检查主体，在检查目标上有所区别和侧重，以便于监管人员正确把握检查标准和尺度，对商业银行的指导更具有针对性。

三、体现监管引领作用。《指南》借鉴了国际银行业信息科技风险管理和监管的最新理念，也充分吸收了国内先进银行的成功经验，商业银行可以对照《指南》分析差距，将《指南》要求作为持续提高信息科技风险管控水平的目标。

1.3 指南框架

《指南》强调：商业银行信息科技风险管理应以科技治理为核心，通过完善科技治理架构，形成有效内控机制，将信息科技风险管控理念贯穿于系统开发、测试和运营维护的信息系统生命周期管理全过程。

《指南》包含4个部分和附录，共26章节。第一部分“概述”主要介绍了编制《指南》的目的和适应范围、阐述了《指南》的编写原则等内容。第二部分“科技管理”包含12个章节，提出了对商业银行信息科技治理、信息科技风险管理、信息安全管理、信息系统生命周期管理、信息系统运行管理、业务连续性管理、应急管理、灾难备份管理、数据管理、外包管理、内部审计、外部审计的基本要求、检查内容和检查方法、步骤等。第三部分“基础设施”包含5个章节，提出了对商业银行计算机房、网络通讯、操作系统、数据库管理系统、第三方中间件等基础设施的基本要求、检查内容和检查方法、步骤等。第四部分“应用系统”包含4个章节，提出了对商业银行核心业务系统、电子银行系统、银行卡系统、第三方存管系统的基本要求、检查内容和检查方法、步骤等。

附录包含4个章节，收录了常用检查方法和常用操作命令，常用操作命令包括主要网络设备常用操作命令、主要操作系统常用操作命令、主要数据库管理系统常用操作命令等。

第二部分科技管理

2. 信息科技治理

商业银行的董事会和高级管理层应根据本银行的发展战略，运用先进管理理念加强信息科技治理，提高信息技术使用效益，推动商业银行的业务创新，增强核心竞争力和可持续发展能力。

提示：在对商业银行的信息科技治理情况进行检查和评价时，可根据银行机构的实际情况，按照分类监管、循序渐进的原则，合理把握标准与尺度。如，有的银行机构还不具备建立专门信息科技管理委员会的条件时，可以指定其他委员会暂时代行其职责，也可以由一个专门的管理协调小组或由一个已存在的机构（例如董事会）承担其职责。又如：在监管部门没有对商业银行首席信息官制度作出更加明确的规定或银行机构还不具备设立首席信息官的条件时，可以指定一位具有科技从业背景或工作经验的高管人员承担首席信息官的工作职责。

2.1 董事会及高级管理层

检查项1 ：董事会

基本要求：（1）董事会应对银行的信息科技治理负有最终责任。(2)董事会应及时听取信息科技管理委员会和首席信息官的汇报,了解主要的信息科技风险。

(3)信息科技重大事项的决策应经过董事会审议。

检查方法、步骤：(1)访谈董事会成员/董事会秘书,了解:(a)董事会在银行信息科技管理领域的角色和职责;(b)董事会是否了解本行所面临的主要信息科技风险;(c)董事会对信息科技重大事项和决策职责的界定,以及董事会信息科技重大决策的流程;(d)经过董事会讨论和决议的信息科技重大事项的落实情况;(e)董事会如何对信息科技的建设和管理情况进行监督。(2)查阅相关资料,如董事会章程,董事会会议纪要,对重大信息科技事项的审批决议的记录等,对上述信息进行验证。

检查项2 ：信息科技管理委员会

基本要求：（1）银行应建立信息科技管理委员会,该委员会成员应包括银行高级管理层、信息科技部门和主要业务部门的代表。(2) 信息科技管理委员会的职责应包括:(a)设定全行IT战略目标，指导IT方面的资金投入，对IT规划进行审批；(b)合理运用现有资源，指导信息科技部门提供高质量的IT服务，同时要监督IT成本管理情况；(c)通过调整IT项目和活动的优先级解决资源短缺造成的冲突；(d)确保IT战略的及时更新；(e)对主要的IT政策、标准、原则进行审批；(f)对重要的IT项目和活动进行监控；(g)监督和管理IT绩效，确保达到预期IT服务水平；(h)对重大IT项目进行审批。（3）定期向董事会和高级管理层汇报信息科技战略规划的执行情况、信息科技预算和实际支出情况、信息科技的整体管理状况, 面临的主要风险及其应对措施等。

检查方法、步骤：（1）访谈信息科技管理委员会成员,了解信息科技管理委员会的主要职责和开展的主要工作。如(a)是否确保信息科技战略与业务战略的一致性;(b)信息科技管理委员会是否了解本行主要的信息科技风险并制定了应对措施;(c)重大信息科技项目投资的审批情况;(e)预算和执行情况;(f)IT绩效等。(2)调阅信息科技管理委员会相关文件,如信息科技管理委员会章程/政策,会议纪要,对重大