银行信息科技风险管理架构及实施建议

上海华瑞银行（筹）信息科技部陈勤伟

【期刊名称】中国金融电脑

【年(卷),期】2015(000)003

【总页数】3

随着金融信息科技的发展，银行业务对信息科技的依赖逐渐加深，目前已发展到没有信息科技的支持银行将无法开展业务、信息系统一旦发生大面积瘫痪甚至会导致银行无法正常营业的风险，因此，对于信息科技风险的有效控制和管理成了商业银行内生的强大动力。事实上，在《新巴塞尔资本协议中》，信息科技风险是银行操作风险中“系统、人员、流程”中最为重要的组成部分，中国银监会更是将信息科技风险作为单独的风险予以监督和管理，并在2009年专门出台了《商业银行信息科技风险管理指引》（以下简称“《指引》”），要求将信息科技风险管理纳入银行全面风险管理框架，对银行业信息科技风险的治理、组织架构和职责、管理措施进行了详细的规定。

银监会已于2012年在银监会和地方银监局两个层面分别成立了专门的银行业信息科技监管部门，致力于通过现场检查和非现场监控等方式，加强银行业信息科技的风险监管。

根据《指引》第十条“商业银行应设立或指派一个特定部门负责信息科技风险管理工作，并直接向首席信息官或首席风险官（风险管理委员会）报告工作”，银行业金融机构为确保符合监管对信息科技风险管理的监管要求，应降低因控制缺失给银行自身带来的信息科技风险及由此引发的合规、操作和声誉等风险。

一、整体思路和目标