构建商业银行IT风险治理架构

1、构建商业银行it风险治理架构“细”、“严”体现风险监管新形势当前，信息技术、网络技术的迅猛发展冲击着各个行业，而银行业由于其自身服务特点成为广泛引入信息技术的行业之一。从业务流程的电子化到服务渠道的网络化，从客户资源的系统化到决策支持的智能化，信息技术正逐步改变着传统银行业的运营模式。新技术的大量采用必然引入了新的风险，给银行业带来了新的挑战。为了保障中国银行业健康有序发展，加强商业银行信息科技风险管理，规范银行业金融机构的信息科技外包活动，银监会先后制定和发布了相关监管指引。2009年，针对商业银行信息科技的风险管理，银监会发布商业银行信息科技风险管理指引，在信息科技治理、信息科技风险管理、

2、信息安全等八个方面提出了明确的要求，强调要加强信息科技风险监管。2010年，面对日益发展的银行外包服务市场，银监会发布银行业金融机构外包风险管理指引，在组织架构、风险管理和监督管理等三个方面提出细致要求，强化外包风险监管。2013年，针对商业银行信息科技外包，银监会发布银行业金融机构信息科技外包风险监管指引，在外包管理组织架构、信息科技外包战略与风险管理、信息科技外包管理等七个方面提出了专项要求，深化了信息科技外包风险的监管要素。由此可见，“细”和“严”体现了银监会对商业银行的风险监管趋势。“细”主要体现在：2010年发布的监管指引在组织架构、风险管理和监督管理三个方面提出监管要求，每个方面提

3、出的监管要求力度比较粗；2013年发布的监管指引，明确针对商业银行信息科技业务外包，从外包管理组织架构、信息科技外包战略及风险管理、信息科技外包管理、机构集中度风险管理、跨境及非驻场外包管理、银行业重点外包服务机构管理要求及监督管理七个方面提出细致要求。如在2010年监管指引中，没有对外包管理执行团队的职责进行要求，而2013年指引中明确做了要求。“严”主要体现在：银监会发布的指引随着时间的推移在具体要求上更加量化和严格。如在2010年的指引中只是提到进行定期的风险评价，而在2013年发布的指引中更加明确和量化了监管要求，“银行业金融机构信息科技外包风险管理部门应当至少每年开展一次全面的外包风

4、险管理评估”，相比原来新发布的监管指引更加严格，对商业银行提出了更高的要求。完善的it风险治理架构是基础和保障商业银行it风险治理架构意义随着商业银行对信息系统依赖性不断增加，由此带来的风险、利益和机会使得it风险治理成为商业银行治理中至为关键的一个方面，完善的it风险治理架构是商业银行风险管理体系的基础和保障。一个成功的it风险治理架构可以帮助商业银行达到以下目标：监管合规。建立健全it风险治理架构，实现对it风险的有效识别和管理，满足不断提高的监管要求，满足未来银行信用评级的刚性需求。目标一致。it风险治理必须与商业银行战略目标一致，是银行战略规划的重要组成部分，因此it风险治理要从组织目

5、标和信息化战略中抽取信息安全需求和功能需求，形成总体的it风险治理框架，保证信息技术跟上持续变化的业务目标。降低风险。it风险治理强调风险管理，通过制订信息资源的保护级别，强化关键的信息技术资源，有效地进行实施监控和事故处理，此外它还能保护利益相关者的权益，使风险透明化，指导和控制it投资、规划、建设、运营。资源高效。it风险治理可以合理利用与协调商业银行的信息资源，并进行有效管理，以确保it及时按照目标交付，且有合适的功能和期望的收益，另外也要尽量避免信息化工程超期、it客户的需求没有满足、it平台不支持业务应用等问题的发生。商业银行it风险治理标准架构商业银行it治理是围绕着it投资决策的

6、治理过程，一个优秀和标准的it风险治理架构主要包含如下四个方面：一是组织结构，即由谁负责决策，组织结构的形式如何，组织结构中各成员的责任分别是什么；二是流程，即如何规范和执行日常业务操作，针对每个操作相应的流程是什么；三是制度，即制订哪些方面的it风险管理制度；四是技术，即采用什么样的技术措施固化it风险管理流程和制度，保障商业银行业务系统安全可靠的运行。银行it风险治理架构方案探讨我国商业银行信息系统风险特点国有商业银行“风险程度大，抗风险能力强”系统大多依靠自身力量完成，it风险治理的重点聚焦在“完善自身组织的it治理架构”。一方面，国有商业银行由于信息技术架构庞大、设施复杂、涉及的内容繁

7、多，因而可能存在的脆弱性种类多，范围大；其在国家金融体系、公众生活中所处的举足轻重的地位，往往又使其成为黑客攻击的首选目标，其面临的外部威胁种类多，危害大。另一方面，由于业务规模大，且具有国家信用背景，国有商业银行具有较强的抗风险能力；同时，国有商业银行资金实力雄厚，信息化基础好，技术力量强大，系统的开发、建设和运维一般都自行完成，国有商业银行的it风险治理的重点是建立和完善自身组织的it治理架构。城市商业银行“风险区域化，抗风险能力弱”系统或多或少需要借助外部力量，it风险治理的重点不仅需要“完善自身组织的it治理架构”，同时还要聚焦在“it外包组织的it治理架构”。一方面，城市商业银行业务

8、具有明显的区域性与地方性，因而其信息风险也具有地域性。很多城市商业银行在当地拥有门类齐全的业务，受关注度较高，甚至超过国有商业银行，因而在局部地区，其面临的信息风险种类繁多，风险度大。另一方面，城商行信息化资金投入少，技术人员不足，其风险管理水平比较低下，需要借助专业信息科技外包服务提供商，增强信息化支撑力量，因此其it风险治理的重点不仅需要完善自身组织的it治理结构，同时还要强化外包组织的it风险治理，符合监管机构的合规性要求。鉴于两类商业银行规模实力、组织架构、信息系统风险特点、抗风险能力以及it治理的聚焦不同，下面我们分别就国有商业银行和城市商业银行进行it风险治理架构浅析。国有商业银行

9、it风险治理架构国有商业银行it风险治理架构是参照商业银行it风险治理标准架构从组织架构、流程、制度和技术等方面进行构建和完善。组织架构国有商业银行应由董事会、高管层、信息技术委员会、风险管理委员会负责信息科技风险战略和政策制订、治理结构建立、资源配置等工作，明确it风险管理机构在全行风险管理组织体系中的定位，明确各业务条线、各业务支持保障部门、各级机构的it风险管理职责，构建职能部门参与全行的it风险“三道防线”的管理。具体组织机构设置如图1所示。风险管理委员会。风险管理委员会设置在总行，由高级管理者和内部专家组成，是一个独立的组织机构。主要负责银行所有风险的管理、监督和指导，以及负责制订符

10、合企业发展战略的风险管理制度及风险应对决策。it风险管理部门。银行中领导并负责it风险管理的机构，一般由首席信息官（cio）负责领导。其主要职责为制订it风险管理流程，在事故发生时负责业务的恢复。it风险管理部分别在总行、分行及支行设置，并配备相应人员。it风险经理。负责对具体的it风险节点进行管控，同时根据it风险预测制订相应的操作规范及应急措施。从本质上讲it风险经理是银行内部负责具体风险管理操作的人员。信息技术管理部。协助it风险经理完成对项目风险的监控与管理。信息技术管理分别在总行、分行及支行设置，并配备相应人员。其他相关部门。这些部门包括审计部门以及各业务部门和资产评估部门。主要职责

11、是配合进行it风险治理。流程it治理流程是保证相关部门采用规范与合理的步骤进行it活动。根据信息系统生命周期的特点，it治理流程可分为事前、事中和事后三类，事前主要指信息系统规划和建设阶段，事中主要指信息系统运营、维护阶段，主要包括三个类别:一是it运维管理类，主要从银行的数据（系统）中心运维的角度出发设计主要的信息系统维护流程，包括系统监控流程、安全管理流程、备份管理流程、系统升级/维护流程；二是it服务管理类，主要根据itil的理念并结合银行的实际情况设计服务台/事件管理流程、问题管理流程、配置管理流程、变更管理流程和发布管理流程；三是it综合管理类，主要包括设备采购管理流程、设备报废流程

12、、档案管理流程和外包管理流程。事后包括管理阶段（审计、评价），每个阶段都需要设计和制订相应的it治理流程，用于规范本阶段的it活动。制度按照信息化工作涵盖的几个方面，即信息系统规划、建设、整合、维护、管理，信息资源管理和开发利用，需要制订相应it风险管理制度。包括：信息分级与保护风险管理制度；信息系统开发、测试和维护管理制度；信息科技运行和维护管理制度；访问控制管理制度；物理安全管理制度；人员安全管理制度；业务连续性与应急处置管理制度。技术国有商业银行应该构建全面的信息科技风险监测和保障体系，给信息系统建立一道抵御风险的有力屏障。一方面，商业银行应该对信息系统的运行状况进行全程监控，主干网络是

13、否通畅、自助设备是否正常运行、数据库系统是否正常服务、是否有网络遭受外部非法入侵等都必须纳入实时监控范围，以保障在发生故障的第一时间作出响应。另一方面，商业银行必须未雨绸缪，制订应急预案，做好业务连续性规划、业务恢复机制、风险化解和转移措施、数据备份方案等多方面的工作，并加强灾备演练，以保障在突如其来的灾难性事故面前，能从容应对，迅速恢复生产，尽可能降低事故造成的损失。城市商业银行it风险治理架构城市商业银行在参照标准的商业银行it风险治理架构外，还需重点对信息科技外包的风险进行管控，并在如下几个方面进行改进和完善。组织机构方面的调整城市商业银行的it风险组织架构除了设置风险管理委员会、it风

14、险管理部和信息技术部之外，还需新设立三个专家组，重点实现it外包管理和风险控制，分别是发展战略组、法律事务组、实施监察组，分工合作对it外包的实施进行不同阶段控制。其组织架构调整如图2所示。这三个组的具体人员构成和职责如下：发展战略组。发展战略组由行内战略规划专家、各部门熟悉本行业务信息流关系的代表、信息技术专家以及资源外包咨询银行的人员组成，组织机构设置在总行。it外包的管理过程中发展战略组主要负责实施前调查研究国内外行业、竞争对手以及自身的信息化现状；找出实施信息化的自身优势、制约因素；辨识本行信息技术的核心竞争能力；在收益、成本和风险之间进行平衡并进行外包决策，明确it外包范围；把it外

15、包部分纳入本行的信息化总体架构和信息技术应用架构中，包括外包的指导思想、总体目标、分阶段目标；制订it外包的建设技术标准，保证信息系统建设的连贯性和一致性；设计外包方案避免重复投资与信息孤岛，保障信息安全，评价外包服务商的技术等级、发展能力，选择外包服务商；制订经费预算，建立组织保障体系、评价指标体系；制订培训工作计划。发展战略组在整个it外包的过程中的作用，概括起来主要是“把握命运，寻找方向，制订规划，明确范围”。法律事务组。法律事务组由对it外包业务非常熟悉的高级管理人员负责，由深入理解行内需求和发展战略的专家（指发展战略组成员或代表）、外包咨询专家、实施监察组代表、费用预算人员和法律顾问

16、组成，组织机构设置在总行。法律事务组的主要职责包括：在外包范围明确后，协助发展战略组，根据本行信息技术要求，所需的硬件、软件、服务、成本与时间等提出量化和测度的要求，制订项目建议书；在外包谈判中，将外包实施方案、实施战略变成可操作的、可控制的、具有法律意义的、适应性强的协议或合同，明确银行与外包服务商的职责范围、信息系统质量指标、性能测量度以及性能达标期限，在每个重要的阶段未能履约的罚款，服务水平的保障措施，争议的解决和合同的解释协议条款；在外包实施过程中，协助实施监察组工作，解决实施过程中争议，处理相应法律事务，避免由于合同设计中出现的漏洞而陷入无穷无尽的纠纷中。实施监察组。实施监察组主要由

17、信息技术专业人员、合同协议管理人员、协调人员组成。实施监察组充当的是合同管理人员、服务人员的角色，组织机构设置在总行和各支行。实施监察组的主要职责是在签署外包合同后，项目实施过程中对外包服务过程进行全面监督、协调和控制管理。一方面要严格坚持合同条款，确认外包服务商提供的产品、服务是否符合合同规定或协议要求，是否满足需要，确保外包服务到位，自身利益不受损害；监督评价外包项目各阶段进展情况以及外包服务商对合同的实施状况。另一方面协调业务部门和外包服务商之间的关系，与外包服务商建立争议解决机制，随时纠正外包服务商偏离合同的行为，避免使用经济和法律制裁等消极合作手段。流程方面的调整城市商业银行由于自身

18、条件所限，通常会采用信息科技外包服务，这就要求城市商业银行加强对外包服务商的风险管理，同时配合银监会的监管和检查。需要增加针对信息科技外包相关的it风险治理流程，包括对服务提供商的评价流程、服务提供商尽职调查流程、外包服务法律事务流程，对服务提供商安全检查流程、外包服务监控与评价流程。制度方面的调整建立外包服务提供商的评级准入制度。选择合适的外包服务商无疑是外包成功的关键。通过资格认证建立市场准入的硬性条件，有利于保证服务质量实现外包目标。对外包服务商的考察主要从技术能力、经营管理能力、发展能力这三个主要方面：一是技术能力，外包服务商提供的信息技术产品是否具备创新性、开放性、安全性、兼容性，是

19、否拥有较高的市场占有率，能否实现信息数据的共享；是否具有信息技术方面的资格认证；是否了解金融行业特点，能够拿出真正适合商业银行业务的解决方案；信息系统的设计方案中是否应用了稳定、成熟的信息技术，是否符合银行发展的要求，与充分体现了银行以客户为中心的服务理念；是否具备对大型设备的运行、维护、管理经验和多系统整合能力；是否拥有对高新技术深入理解的技术专家和项目管理人员。二是经营管理能力，了解外包服务商的领导层结构、员工素质、客户数量、社会评价；项目管理水平，如软件工程工具、质量保证体系、成本控制、配置管理方法、管理和技术人员的老化率或流动率；是否具备能够证明其良好运营管理能力的成功案例；员工间是否具备团队合作精神，外包服务商客户的满意程度。三是发展能力，通过考察外包服务商的各项财务指标，了解其盈利能力；考察外包服务商的外包市场份额；在信息技术领域内的产品创新率等。建立外包业务风险监控机制。保障外包服务商行为规范的基本方法是监督和控制。监督是观察、收集资料，对照已经建立起来的标准和尺度分析外包服务商是否在做他应该做的事情。如果发现外包服务商偏离了预定的行为目标，就需要采取控制措施，使外包服务商重新回到正确的轨道上去。监督可以从宏观和微观两个层面上进行，宏观上密切关注信息技术