導語：信息科技風險管理構建一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

隨著銀行業對信息技術的依賴程度日益提升，信息科技風險亦隨之上升。信息科技風險具有影響范圍廣、突發性強、技術含量高、復雜度高、隱藏性深等特點，直接影響商業銀行的穩健經營，關乎商業銀行聲譽、金融安全和社會穩定，是商業銀行面臨的主要風險。如何在快速推進信息系統建設的同時，加強信息科技風險管理，減少或杜絕銀行因信息科技而給自身或客戶帶來損失，是銀行目前信息化建設需要研究的重要課題。信息科技風險管理現狀作為第一家從農信社成功改制的北京農商銀行，與四大行及股份制商業銀行相比，信息科技基礎十分薄弱。

近幾年來，在領導高度重視下，我們加大了信息科技建設的推進力度，大大縮小了與同業科技差距：建成了現代化、高標準的信息系統數據中心，初步形成同城生產和災備兩中心模式；全面開展網絡改造，將廣域網三級架構改為二級架構，各營業網點配置2條專線，分別直接上聯生產中心和同城災備中心，實現了業務網與互聯網專網進行物理隔離，增強了網絡系統的穩定性和安全性；建設完善了網上銀行、銀行卡系統、資金債券系統、信貸系統等應用系統，形成了結構清晰、業務功能基本滿足業務發展和經營管理需要的應用系統體系。相對于信息化建設發展水平的快速提高，我行的信息科技風險管理水平略顯滯后，也與監管當局的要求存在一定的差距。開發測試體系建設需進一步完善，代碼質量管理、Bug管理、開發過程管理、測試管理需進一步加強；系統運行管理有待改進，生產系統監控和流程管理自動化管理手段不足，邏輯訪問控制有待加強；業務連續性管理及應急體制建設有待加強，應制訂全行性的業務連續性規劃及應急演練方案，并定期更新，切實發揮相關部門職能，按要求組織開展應急預案的演練，提高應急演練的有效性和覆蓋面。李秀生:北京農商銀行的信息科技風險管理制度體系涵蓋開發測試、運行維護、設備管理、安全管理、風險管理等方面計31項制度，每年進行一次評估和修訂，并在全行范圍內印發執行，確保制度的科學性、合理性和可操作性。信息科技風險管理進展為了提升信息科技風險管理水平，北京農商銀行根據監管要求，結合信息科技建設實際情況，不斷完善科技風險管理治理架構，初步建立了科技風險防控體系，有效預防和消除了科技風險事件的發生，確保了生產安全穩定運行和信息安全。

1.完善信息科技風險治理結構，明確信息科技風險“三道防線”的職責。成立了信息科技管理委員會，除了審議信息科技戰略規劃、推動信息科技建設的職能外，著重加強審議信息科技風險管理、信息安全策略、信息安全重大事項和信息安全評估報告等科技風險管理職能，強化了科技風險管理體系建設中高層的推動作用；設置了首席信息官，直接參與跟信息科技運用有關的業務發展決策，確保信息科技各項工作的有效開展和落實；形成了由信息科技部門、風險管理部門及審計部門組成的信息科技風險“三道防線”。

2.持續建立健全信息科技風險管理制度體系。對現有信息科技制度體系進行了整體評估，重新梳理確定信息科技制度體系架構，建立包括制度、實施細則及技術規范（標準）三層架構的制度體系。同時規范對現有制度的管理，形成了《信息科技制度匯編》，涵蓋開發測試、運行維護、設備管理、安全管理、風險管理等方面計31項制度，每年進行一次評估和修訂，并在全行范圍內印發執行，確保制度的科學性、合理性和可操作性，有效指導信息化建設和風險管理工作的開展。

3.事前、事中、事后管理并重，提升信息科技風險管理水平。一是強化風險防控意識，防范于未然。持續對全體科技員工進行風險意識教育，樹立對風險防控的高度敏感性和責任心，積極向員工傳導遵守法律法規和實施內部控制的重要性，培養員工的誠信和道德，規范員工職業行為，從源頭上控制、減少潛在風險的發生。二是健全內控機制，規范事中管理。科學合理設置科技崗位，明確每個崗位的職責、權限，建立了逐級授權和審批機制，并制定相應控制措施；規范崗位操作流程，重要操作如版本遷移、數據修改等實行雙人制，一人操作，一人復核，防止出現控制真空，產生風險；同時重視利用技術手段來強化風險管理，如批量作業自動化系統、系統和網絡監控系統監控系統的建成有效地提升了系統運維風險管理水平。三是加強信息科技風險的識別和檢查，持續督促、跟蹤整改，深入挖掘信息科技運行及管理存在的問題和潛在風險，制訂整改措施并積極整改。建立內部定期專項檢查機制，根據每年年初制訂檢查計劃，進行檢查，詳細記錄檢查結果，建立風險整改臺賬，定期對整改情況進行監督及跟蹤。除加強上述自查工作之外，還積極配合監管當局開展各項檢查，積極借助外部的力量幫助發現問題，查找隱患，從而提升科技風險防范能力。

4.加強信息安全體系建設，強化信息安全管理。完成了信息安全體系規劃，建立科學合理的信息安全體系框架，制定較為完善的信息安全策略；通過實施網絡邊界控制、內網與互聯網隔離、全面病毒防護、桌面系統監控、數據分級與使用保護等系列安全項目，建設形成覆蓋數據安全、網絡安全、系統安全和應用安全的綜合信息安全體系，確保生產系統安全和客戶信息安全，防范科技風險。未來的工作重點通過以上科技風險管理工作的開展，有效消除和防范了科技運行及科技管理中的風險隱患，近幾年我行未發生信息科技風險事件，科技風險管理水平和防控能力得到顯著提升。針對目前科技風險管理中存在的薄弱環節，未來信息科技風險管理的工作重點將體現在以下幾個方面。

1.進一步完善信息科技風險治理結構，持續推進科技風險“三道防線”建設。進一步明確信息科技風險治理結構中各級主體的工作職責，充分發揮各級主體的職能作用，形成職責明確、結構合理的信息科技風險管理架構；特別是加強風險管理部門對信息科技風險的管控，形成一個職責明確、功能互補、相互監督、相互制約、共同發展的信息科技風險防范的有機整體。

2.加強軟件開發質量管理體系建設，強化開發過程中風險的管理。建成基于我行現在的CMMI3級的軟件研發規范體系，通過CMMI3級驗收，全面推廣體系的應用，整個體系涵蓋了軟件的需求、設計、開發、測試等各環節，有效規范了整個開發過程的管理；落實需求歸口管理機制，推行重大項目需求評審機制，進行重要系統組織級方案評審，提高項目計劃管理和風險管理水平；全面推行軟件配置管理，提高軟件版本管理水平；強化外包管理，規范外包人員工作量評估，加強外包人員工作環境管理。

3.進一步推進運維體系建設。加強對生產變更的風險評估，嚴格變更過程管理，嚴控變更風險；確保事件分級制度的落地執行，形成有效的事件升級和響應機制；進一步加強對問題的快速解決，并逐步深化問題的后續管理，從多維度進行生產問題分析，提高生產管理水平；充分發揮系統監控、網絡監控工具的作用，完成應用監控建設，全面了解系統運行狀態，及時定位故障；全面提高運維管理水平及風險防控能力。

4.加強業務連續性規劃和應急管理工作。強化業務連續性規劃及應急體制建設的重要性，根據應用系統規模和復雜程度有針對性地制訂業務持續性保障規劃，根據風險發生的部位、概率和危害程度分級制訂應急預案，并經過評估和測試，及時進行維護、調整和更新，確保應急啟動時的有效性，切實提升業務連續性管理及應急管理水平。

信息科技風險管理工作是一項長期的、艱巨的工程，因此要不斷提高認識，強化危機意識、責任意識。從實際情況出發，充分借鑒相關國際標準和最佳實踐，不斷探索和改進，建立有效的信息科技風險的識別、計量、監測和控制機制，提升風險管理水平和防控能力，努力通過風險管理水平的提升推動信息化建設，為業務的發展、創新和管理提升提供堅實的保障。