【IT168 信息化】

　　为进一步加强商业银行信息科技风险管理,银监会于2009年6月1日发布《商业银行信息科技风险管理指引》(以下简称《管理指引》),原《银行业金融机构信息系统风险管理指引》(银监发[2006]63号,以下简称原《指引》)同时废止。

　　近年来,信息科技在商业银行的各项工作中得到了越来越广泛的应用。在促进商业银行提高工作效率、提升服务水平、拓展业务范围、优化组织架构方面,信息科技发挥着不可替代的作用。按照有关规定,2010年到2013年,我国要实施巴塞尔新资本协议。2009年是最后的准备期。新《巴塞尔资本协议》对于信息科技风险有明确的定义,将其作为操作风险中的重点进行防控,并确定把信息科技风险纳入银行总体风险监管框架。

　　银监会于2006年发布的、定位在基本要求的原《指引》,在当时填补了我国银行业信息系统监管领域的空白。但随着银行业信息化的发展,信息科技的作用已经从业务支持逐步走向与业务的融合,成为银行稳健运营和发展的支柱,定位在基本要求上的原《指引》已很难进一步满足商业银行信息科技风险管理的需要,已很难满足商业银行信息科技风险管理的需要。而信息科技方面基础建设滞后、软硬件及核心技术受制于人、管理粗放、尖端人才缺乏等问题日趋显露。另外,原《指引》对信息系统风险管理以原则性要求为主,在商业银行执行、操作层面的指导意义不够完善。为此,银监会决定对原《指引》进行修订,并于2009年6月1日发布新版《管理指引》。

　　《管理指引》具有以下几个特点:一是全面涵盖商业银行的信息科技活动,进一步明确信息科技与银行业务的关系,对于认识和防范风险具有更加积极的作用;二是适用范围由银行业金融机构变为法人商业银行,其他银行业金融机构参照执行;三是信息科技治理作为首要内容提出,充实并细化了对商业银行在治理层面的具体要求;四是重点阐述了信息科技风险管理和内外部审计要求,特别是要求审计贯穿信息科技活动的整个过程之中;五是参照国际国内的标准和成功实践,对商业银行信息科技整个生命周期内的信息安全、业务连续性管理和外包等方面提出高标准、高要求,使操作性更强;六是加强了对客户信息保护的要求。

　　另外,《管理指引》不仅规定了董事会和高级管理层在信息科技风险管理中承担的主要责任,还提出要构建信息科技风险管理的“三道防线”:信息科技管理、信息科技风险管理、信息科技风险审计,并且要求商业银行在决策层设立首席信息官。此举对我国银行业来说无疑是一个创新之举。据了解,首席信息官直接向行长汇报,并参与决策。首席信息官的职责包括直接参与本银行与信息科技运用有关的业务发展决策;确保信息科技战略,尤其是信息系统开发战略符合本银行的总体业务战略和信息科技风险管理策略等。

　　《管理指引》共十一章七十六条,分为总则,信息科技治理,信息科技风险管理,信息安全,信息系统开发、测试和维护,信息科技运行,业务连续性管理,外包,内部审计,外部审计和附则等十一个部分。

　　《管理指引》的发布,将进一步推动我国银行业信息科技风险管理向更高水平迈进,对于正处于发展阶段的银行信息化建设来说具有提前防范的重要意义。面对未来不断增长的业务量,早一步明确责权,建立系统化、专业化的团队,落实信息科技风险管理就可以早一步防范和杜绝信息系统故障的发生,减少不必要的损失,为银行业风险管理水平提高与整体发展提供科技动力。