6月1日，銀監(jiān)會在其官方網(wǎng)站上全文發(fā)布了《商業(yè)銀行信息科技風(fēng)險管理指引》（以下簡稱新《指引》），原《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險管理指引》（銀監(jiān)發(fā)［2006］63號，以下簡稱原《指引》）同時廢止。新指引要求，商業(yè)銀行在決策層設(shè)立首席信息官（簡稱CIO），有利于商業(yè)銀行加強(qiáng)信息科技治理。而有關(guān)專家介紹，目前我國僅有交通銀行等少數(shù)幾家銀行設(shè)有首席信息官崗位，90%的銀行沒有設(shè)立該崗位。中國信息主管網(wǎng)記者在銀行官方網(wǎng)站查詢發(fā)現(xiàn)，僅有交通銀行、渤海銀行等少數(shù)幾家銀行的高管介紹里有首席信息官一職，大部分銀行的高管介紹里無任何有關(guān)首席信息官的信息。

銀監(jiān)會有關(guān)負(fù)責(zé)人表示，隨著銀行業(yè)信息化的發(fā)展，信息科技的作用已經(jīng)從業(yè)務(wù)支持逐步走向與業(yè)務(wù)的融合，成為銀行穩(wěn)健運營和發(fā)展的支柱，定位在基本要求上的原《指引》已很難進(jìn)一步滿足商業(yè)銀行信息科技風(fēng)險管理的需要。另外，原《指引》對信息系統(tǒng)風(fēng)險管理以原則性要求為主，在商業(yè)銀行執(zhí)行、操作層面的指導(dǎo)意義不夠完善。為此，銀監(jiān)會決定對原《指引》進(jìn)行修訂，并重新定名為《商業(yè)銀行信息科技風(fēng)險管理指引》。

新指引 新理念

名稱變化反映了實質(zhì)內(nèi)容的變化。與《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險管理指引》相比，新指引在名稱上有兩個變化：銀行業(yè)金融機(jī)構(gòu)改為了商業(yè)銀行，信息系統(tǒng)改為了信息科技。銀監(jiān)會信息中心信息科技風(fēng)險監(jiān)管處處長陳文雄在接受中國信息主管網(wǎng)記者采訪時表示，從信息系統(tǒng)改為信息科技，反映了監(jiān)管理念正在轉(zhuǎn)變。在起草新《指引》過程中，銀監(jiān)會貫徹了新的銀行監(jiān)管理念，即“管法人、管風(fēng)險、管內(nèi)控、提高透明度”的銀行監(jiān)管理念，表現(xiàn)在以下幾個方面：一是從堅持法人監(jiān)管出發(fā)，指出商業(yè)銀行法定代表人是本機(jī)構(gòu)信息科技風(fēng)險管理的第一責(zé)任人。二是從堅持風(fēng)險監(jiān)管出發(fā)，要求商業(yè)銀行建立有效的機(jī)制，實現(xiàn)對信息科技風(fēng)險的識別、計量、監(jiān)測和控制，提高信息技術(shù)使用水平。三是從內(nèi)控監(jiān)管要求出發(fā)，要求商業(yè)銀行建立完整的管理組織架構(gòu)，制訂完善的管理制度和流程，以相互制約的管理機(jī)制對信息科技各環(huán)節(jié)進(jìn)行控制。四是從保護(hù)廣大儲戶利益出發(fā)，要求商業(yè)銀行在信息系統(tǒng)開發(fā)、測試和維護(hù)，以及服務(wù)外包過程中加強(qiáng)對客戶信息的保護(hù)，防止敏感信息泄露，對業(yè)務(wù)連續(xù)性管理也加以規(guī)范，保障客戶數(shù)據(jù)安全和服務(wù)連續(xù)。

從銀行業(yè)金融機(jī)構(gòu)改為商業(yè)銀行，則反映了我國銀行業(yè)發(fā)展的不均衡性。陳文雄說，由于銀行業(yè)金融機(jī)構(gòu)之間的差異很大，既有工行這樣的巨無霸，也有很小的信用社。為此，新的指引主要是針對商業(yè)銀行。但陳文雄指出，從銀行業(yè)金融機(jī)構(gòu)改為商業(yè)銀行，主要是考慮商業(yè)銀行比較成熟。這并等于說，監(jiān)管的范圍縮小了。商業(yè)銀行之外的銀行業(yè)金融機(jī)構(gòu)，應(yīng)該參照執(zhí)行。

六大特點  三道防線

新《指引》具有以下六個較鮮明的特點：一是管理范疇由信息系統(tǒng)風(fēng)險拓展至信息科技風(fēng)險，全面覆蓋了商業(yè)銀行信息科技活動的各個環(huán)節(jié)，進(jìn)一步明確了信息科技與銀行業(yè)務(wù)的關(guān)系；二是適用范圍由銀行業(yè)金融機(jī)構(gòu)變?yōu)榉ㄈ松虡I(yè)銀行，其他銀行業(yè)金融機(jī)構(gòu)參照執(zhí)行；三是信息科技治理作為首要內(nèi)容提出，充實并細(xì)化了對商業(yè)銀行在治理層面的具體要求；四是以三個獨立章節(jié)的內(nèi)容闡述了信息科技風(fēng)險管理和內(nèi)外部審計要求，特別是要求審計貫穿信息科技活動的整個過程之中；五是參照國際國內(nèi)的標(biāo)準(zhǔn)和成功實踐，對商業(yè)銀行信息科技整個生命周期內(nèi)的信息安全、業(yè)務(wù)連續(xù)性管理和外包等方面提出高標(biāo)準(zhǔn)、高要求，使操作性更強(qiáng)；六是加強(qiáng)了對客戶信息保護(hù)的要求。

原指引是對IT風(fēng)險管理的最低標(biāo)準(zhǔn)，新指引可謂高標(biāo)準(zhǔn)高要求，是對信息科技風(fēng)險管理的全面細(xì)化的闡述。難能可貴的是，新指引不僅提出了風(fēng)險管理的高要求，還考慮了如何落實這個高要求。陳文雄說，僅靠銀行IT部門，是無法搞好信息科技風(fēng)險管理的。新指引將為信息科技風(fēng)險管理設(shè)計三道防線——信息科技管理、信息科技風(fēng)險管理、信息科技風(fēng)險審計。這三道防線應(yīng)該分由銀行不同部門從不同角度來控制信息科技風(fēng)險的，而不是由IT部門一個部門來做。

據(jù)介紹，今后銀監(jiān)會將繼續(xù)加強(qiáng)對商業(yè)銀行信息科技風(fēng)險的監(jiān)管。一是對銀行業(yè)金融機(jī)構(gòu)執(zhí)行新《指引》情況進(jìn)行跟蹤，對不同類型機(jī)構(gòu)的信息科技風(fēng)險狀況進(jìn)行分析，研究完善信息科技風(fēng)險監(jiān)管制度體系；二是逐步開展以防范化解銀行業(yè)信息科技風(fēng)險為目標(biāo)的現(xiàn)場檢查；三是加強(qiáng)對銀行業(yè)信息科技風(fēng)險的非現(xiàn)場監(jiān)管，研究建立信息科技風(fēng)險評級體系，實現(xiàn)分類監(jiān)管和差別監(jiān)管，鼓勵商業(yè)銀行不斷提升信息科技風(fēng)險管理水平。