工商银行信息科技风险管理的思考和实践__

工商银行信息科技风险管理的思考和实践

中国工商银行首席信息官林晓轩

随着信息科技在商业银行发展中的作用日益凸现，商业银行在面临传统的信用风险、市场风险和操作风险的同时，又面临信息技术与银行业务交融引发的新型风险——商业银行信息科技风险。信息技术的发展，一方面大力促进了银行客户服务和管理水平，降低了银行的管理成本和交易费用；另一方面，银行对信息科技的依赖以及由此产生的风险日益加剧。近年来，监管部门对信息科技风险管理高度重视，提出了明确的要求。国内各商业银行在信息系统软硬件建设和安全管理方面投入了大量资源，注意防范各类信息科技风险。在步入“十二五”信息科技发展新阶段之际，如何进一步提高信息科技风险管理水平，是各家商业银行在规划未来一段时期信息化建设过程中需要思考和解决的一项重要课题。

一、商业银行加强信息科技风险管理的重要性

信息系统的安全性、可靠性和有效性不仅是商业银行赖以生存和发展的重要基础，还事关整个银行业的安全和国家金融体系的稳定，因此国家对银行信息科技风险管理日益重视，各监管机构均对银行信息科技风险管理提出了明确要求，各商业银行也普遍提高了对信息科技风险管理的关注程度。

1.加强信息科技风险管理是金融监管部门关注的重要内容

随着国内银行纷纷上市并在全球金融格局中扮演日益重要的角色，

对于包括系统运行风险在内的信息科技风险管理工作，得到了监管部门越来越多的关注和各家上市商业银行的日益重视。2009年3月，银监会颁布了《商业银行信息科技风险管理指引》（以下简称《指引》），从信息科技治理、信息科技风险管理、信息安全、信息系统开发测试和维护、信息科技运行、业务连续性管理、外包、内部审计、外部审计等方面，对商业银行信息科技风险管理工作提出了全面要求。国家有关监管部门这些卓有成效的管理措施对银行不断改进和完善信息科技风险管理工作具有十分重要的指导意义，充分体现出了我国政府对银行业信息科技风险管理的高度重视。

2.加强信息科技风险管理是商业银行自身发展和提高IT治理水平的需要

根据IT治理模型，信息科技风险管理与战略一致性、资源管理、绩效评估等一起构成IT治理总体架构，是其中一个重要方面。随着各家银行信息化建设的深入，对信息科技风险的认识也在逐步深入，从单一的信息安全转变为涵盖生产运行、应用研发、信息安全等方面的全面信息科技风险管理，信息科技风险管理水平体现了银行的信息化程度和整体的风险管理水平。在商业银行完成股份制改革和上市之后，商业银行更是普遍认识到信息科技一旦发生风险事件，不仅会影响业务的正常办理，还可能会对银行的声誉和市值产生负面影响，因此更为重视信息科技风险，这也相应对加强信息科技风险管理提出了更高要求。

3.加强信息科技风险管理是新《巴塞尔资本协议》的基本要求

2004年正式公布的新《巴塞尔资本协议》（BaselⅡ,）以及后续公布的BaselⅢ中，对银行风险的分类和定义进行了明确，强调银行在进行风险管理的时候，不仅要重视传统的信用风险、市场风险、流动性风险，而且要将操作风险放在一个重要的地位，并将信息科技风险明确划归至操作风险的范畴，从而使得信息科技风险管理成为了银行全面风险管理体系中的重要组成部分。

二、商业银行加强信息科技风险管理的有关举措

根据国际权威机构“信息系统审计与控制委员会”（ISACA）发布的信息系统风险控制和IT审计工作的最佳实践指南，信息科技风险管理应关注IT治理、软件生命周期管理（即项目开发与变更）、IT服务交付与支持（即系统运行维护）、信息安全、业务连续性管理等几大领域。银监会《指引》规定，“信息科技风险是指信息科技业务在商业银行应用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险”，同时明确了商业银行信息科技风险管理覆盖了信息科技治理、信息科技风险管理、信息安全、信息系统开发、测试与维护、信息科技运行、业务连续性管理等内容。总体而言，商业银行在具体实践过程中主要从科技治理、生产运行、应用研发、信息安全等四个方面落实信息科技风险管理措施。

多年来，工商银行坚持“科技兴行”、“科技引领”发展战略，建立了集约化的信息科技组织管理体系，并逐步建立了与国际大银行相适应的先进的科技体系和技术平台。自2006年起，工商银行将信息科技风险纳入了全行风险管理体系，作为操作风险管理的重要组成部分，围绕上述四个领域在信息科技风险管理方面开展了大量工作。

1.建立健全信息科技管理组织体系和信息科技风险管理体系，是加强信息科技风险管理的基础

根据银监会《指引》要求，工商银行成立了由行长任主任委员、主管副行长和首席风险官任副主任委员、各相关部门参加的信息科技管理委员会，负责审议信息科技战略、科技制度和技术规范体系建设规划、信息科技重大决策事项及信息科技风险管理、信息安全管理等工作，推动信息科技治理建设，并定期向董事会、高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体工作情况。同时，信息科技管理委员会下设技术审查委员会，负责重大科技项目方案的审查，确保全行信息科技架构体系的合理性和延续性。此外，近期工商银行设立了首席信息官，信息科技管理体系得到进一步完善。

依靠自行科技管理所积累的经验，工商银行建立了较为完善的信息科技管理制度及技术标准规范体系，其中总行层面的信息科技管理制度达到126项，包括信息安全、系统、应用等七大类的技术规范超过100项，有效提升了全行信息科技管理的标准化和规范化水平。除了

制度和规范约束外，工商银行将各项管理要求体现到系统平台中，实现了科技管理的自动化，确保各项既定管理要求得到有效落实。同时，工商银行还建立了信息科技现场检查和非现场检查机制，面向各级科技部门每年开展2次现场检查，每月利用各类技术管理平台定期开展1次非现场检查，并对检查发现问题的整改进展进行持续的跟踪、管理和考核，确保整改措施落实到位。

2.认真落实信息科技风险管理三道防线职能是加强信息科技风险管理的保障

根据银监会《指引》的有关规定，商业银行应设立或指派一个特定部门负责信息科技风险管理工作，建立由信息科技部门、信息科技风险管理部门、内部审计部门三道防线组成的信息科技风险管理体系，共同防范和控制信息科技风险。

近年来，工商银行逐步形成并确立了由信息科技部门、风险管理部门和内部审计部门组成的信息科技风险管理三道防线，相关部门在信息化建设、信息科技管理、风险监测、风险控制和评估、信息科技审计等方面分别相应落实有关职责，持续提升了全行信息科技风险管理水平，有效控制了信息科技风险。特别是，根据银监会《指引》内容和全面风险管理的有关要求，参考借鉴国内外信息科技风险管理和内部控制与审计等领域的最佳实践，2010年以来工商银行对第二道防线的工作职责进行了全面梳理，并从信息科技风险管理策略、信息科技风