張淮清

“細(xì)”、“嚴(yán)”體現(xiàn)風(fēng)險監(jiān)管新形勢

當(dāng)前，信息技術(shù)、網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展沖擊著各個行業(yè)，而銀行業(yè)由于其自身服務(wù)特點成為廣泛引入信息技術(shù)的行業(yè)之一。從業(yè)務(wù)流程的電子化到服務(wù)渠道的網(wǎng)絡(luò)化，從客戶資源的系統(tǒng)化到?jīng)Q策支持的智能化，信息技術(shù)正逐步改變著傳統(tǒng)銀行業(yè)的運營模式。新技術(shù)的大量采用必然引入了新的風(fēng)險，給銀行業(yè)帶來了新的挑戰(zhàn)。

為了保障中國銀行業(yè)健康有序發(fā)展，加強(qiáng)商業(yè)銀行信息科技風(fēng)險管理，規(guī)范銀行業(yè)金融機(jī)構(gòu)的信息科技外包活動，銀監(jiān)會先后制定和發(fā)布了相關(guān)監(jiān)管指引。

2009年，針對商業(yè)銀行信息科技的風(fēng)險管理，銀監(jiān)會發(fā)布《商業(yè)銀行信息科技風(fēng)險管理指引》，在信息科技治理、信息科技風(fēng)險管理、信息安全等八個方面提出了明確的要求，強(qiáng)調(diào)要加強(qiáng)信息科技風(fēng)險監(jiān)管。

2010年，面對日益發(fā)展的銀行外包服務(wù)市場，銀監(jiān)會發(fā)布《銀行業(yè)金融機(jī)構(gòu)外包風(fēng)險管理指引》，在組織架構(gòu)、風(fēng)險管理和監(jiān)督管理等三個方面提出細(xì)致要求，強(qiáng)化外包風(fēng)險監(jiān)管。

2013年，針對商業(yè)銀行信息科技外包，銀監(jiān)會發(fā)布《銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險監(jiān)管指引》，在外包管理組織架構(gòu)、信息科技外包戰(zhàn)略與風(fēng)險管理、信息科技外包管理等七個方面提出了專項要求，深化了信息科技外包風(fēng)險的監(jiān)管要素。

由此可見，“細(xì)”和“嚴(yán)”體現(xiàn)了銀監(jiān)會對商業(yè)銀行的風(fēng)險監(jiān)管趨勢。

“細(xì)”主要體現(xiàn)在：2010年發(fā)布的監(jiān)管指引在組織架構(gòu)、風(fēng)險管理和監(jiān)督管理三個方面提出監(jiān)管要求，每個方面提出的監(jiān)管要求力度比較粗；2013年發(fā)布的監(jiān)管指引，明確針對商業(yè)銀行信息科技業(yè)務(wù)外包，從外包管理組織架構(gòu)、信息科技外包戰(zhàn)略及風(fēng)險管理、信息科技外包管理、機(jī)構(gòu)集中度風(fēng)險管理、跨境及非駐場外包管理、銀行業(yè)重點外包服務(wù)機(jī)構(gòu)管理要求及監(jiān)督管理七個方面提出細(xì)致要求。如在2010年監(jiān)管指引中，沒有對外包管理執(zhí)行團(tuán)隊的職責(zé)進(jìn)行要求，而2013年指引中明確做了要求。

“嚴(yán)”主要體現(xiàn)在：銀監(jiān)會發(fā)布的指引隨著時間的推移在具體要求上更加量化和嚴(yán)格。如在2010年的指引中只是提到進(jìn)行定期的風(fēng)險評價，而在2013年發(fā)布的指引中更加明確和量化了監(jiān)管要求，“銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險管理部門應(yīng)當(dāng)至少每年開展一次全面的外包風(fēng)險管理評估”，相比原來新發(fā)布的監(jiān)管指引更加嚴(yán)格，對商業(yè)銀行提出了更高的要求。

完善的IT風(fēng)險治理架構(gòu)是基礎(chǔ)和保障

商業(yè)銀行IT風(fēng)險治理架構(gòu)意義

隨著商業(yè)銀行對信息系統(tǒng)依賴性不斷增加，由此帶來的風(fēng)險、利益和機(jī)會使得IT風(fēng)險治理成為商業(yè)銀行治理中至為關(guān)鍵的一個方面，完善的IT風(fēng)險治理架構(gòu)是商業(yè)銀行風(fēng)險管理體系的基礎(chǔ)和保障。

一個成功的IT風(fēng)險治理架構(gòu)可以幫助商業(yè)銀行達(dá)到以下目標(biāo)：

監(jiān)管合規(guī)。建立健全I(xiàn)T風(fēng)險治理架構(gòu)，實現(xiàn)對IT風(fēng)險的有效識別和管理，滿足不斷提高的監(jiān)管要求，滿足未來銀行信用評級的剛性需求。

目標(biāo)一致。IT風(fēng)險治理必須與商業(yè)銀行戰(zhàn)略目標(biāo)一致，是銀行戰(zhàn)略規(guī)劃的重要組成部分，因此IT風(fēng)險治理要從組織目標(biāo)和信息化戰(zhàn)略中抽取信息安全需求和功能需求，形成總體的IT風(fēng)險治理框架，保證信息技術(shù)跟上持續(xù)變化的業(yè)務(wù)目標(biāo)。

降低風(fēng)險。IT風(fēng)險治理強(qiáng)調(diào)風(fēng)險管理，通過制訂信息資源的保護(hù)級別，強(qiáng)化關(guān)鍵的信息技術(shù)資源，有效地進(jìn)行實施監(jiān)控和事故處理，此外它還能保護(hù)利益相關(guān)者的權(quán)益，使風(fēng)險透明化，指導(dǎo)和控制IT投資、規(guī)劃、建設(shè)、運營。

資源高效。IT風(fēng)險治理可以合理利用與協(xié)調(diào)商業(yè)銀行的信息資源，并進(jìn)行有效管理，以確保IT及時按照目標(biāo)交付，且有合適的功能和期望的收益，另外也要盡量避免信息化工程超期、IT客戶的需求沒有滿足、IT平臺不支持業(yè)務(wù)應(yīng)用等問題的發(fā)生。

商業(yè)銀行IT風(fēng)險治理標(biāo)準(zhǔn)架構(gòu)

商業(yè)銀行IT治理是圍繞著IT投資決策的治理過程，一個優(yōu)秀和標(biāo)準(zhǔn)的IT風(fēng)險治理架構(gòu)主要包含如下四個方面：一是組織結(jié)構(gòu)，即由誰負(fù)責(zé)決策，組織結(jié)構(gòu)的形式如何，組織結(jié)構(gòu)中各成員的責(zé)任分別是什么；二是流程，即如何規(guī)范和執(zhí)行日常業(yè)務(wù)操作，針對每個操作相應(yīng)的流程是什么；三是制度，即制訂哪些方面的IT風(fēng)險管理制度；四是技術(shù)，即采用什么樣的技術(shù)措施固化IT風(fēng)險管理流程和制度，保障商業(yè)銀行業(yè)務(wù)系統(tǒng)安全可靠的運行。

銀行IT風(fēng)險治理架構(gòu)方案探討

我國商業(yè)銀行信息系統(tǒng)風(fēng)險特點

國有商業(yè)銀行——“風(fēng)險程度大，抗風(fēng)險能力強(qiáng)”——系統(tǒng)大多依靠自身力量完成，IT風(fēng)險治理的重點聚焦在“完善自身組織的IT治理架構(gòu)”。一方面，國有商業(yè)銀行由于信息技術(shù)架構(gòu)龐大、設(shè)施復(fù)雜、涉及的內(nèi)容繁多，因而可能存在的脆弱性種類多，范圍大；其在國家金融體系、公眾生活中所處的舉足輕重的地位，往往又使其成為黑客攻擊的首選目標(biāo)，其面臨的外部威脅種類多，危害大。另一方面，由于業(yè)務(wù)規(guī)模大，且具有國家信用背景，國有商業(yè)銀行具有較強(qiáng)的抗風(fēng)險能力；同時，國有商業(yè)銀行資金實力雄厚，信息化基礎(chǔ)好，技術(shù)力量強(qiáng)大，系統(tǒng)的開發(fā)、建設(shè)和運維一般都自行完成，國有商業(yè)銀行的IT風(fēng)險治理的重點是建立和完善自身組織的IT治理架構(gòu)。

城市商業(yè)銀行——“風(fēng)險區(qū)域化，抗風(fēng)險能力弱”——系統(tǒng)或多或少需要借助外部力量，IT風(fēng)險治理的重點不僅需要“完善自身組織的IT治理架構(gòu)”，同時還要聚焦在“IT外包組織的IT治理架構(gòu)”。一方面，城市商業(yè)銀行業(yè)務(wù)具有明顯的區(qū)域性與地方性，因而其信息風(fēng)險也具有地域性。很多城市商業(yè)銀行在當(dāng)?shù)負(fù)碛虚T類齊全的業(yè)務(wù)，受關(guān)注度較高，甚至超過國有商業(yè)銀行，因而在局部地區(qū)，其面臨的信息風(fēng)險種類繁多，風(fēng)險度大。另一方面，城商行信息化資金投入少，技術(shù)人員不足，其風(fēng)險管理水平比較低下，需要借助專業(yè)信息科技外包服務(wù)提供商，增強(qiáng)信息化支撐力量，因此其IT風(fēng)險治理的重點不僅需要完善自身組織的IT治理結(jié)構(gòu)，同時還要強(qiáng)化外包組織的IT風(fēng)險治理，符合監(jiān)管機(jī)構(gòu)的合規(guī)性要求。

鑒于兩類商業(yè)銀行規(guī)模實力、組織架構(gòu)、信息系統(tǒng)風(fēng)險特點、抗風(fēng)險能力以及IT治理的聚焦不同，下面我們分別就國有商業(yè)銀行和城市商業(yè)銀行進(jìn)行IT風(fēng)險治理架構(gòu)淺析。

國有商業(yè)銀行IT風(fēng)險治理架構(gòu)

國有商業(yè)銀行IT風(fēng)險治理架構(gòu)是參照商業(yè)銀行IT風(fēng)險治理標(biāo)準(zhǔn)架構(gòu)從組織架構(gòu)、流程、制度和技術(shù)等方面進(jìn)行構(gòu)建和完善。

組織架構(gòu)

國有商業(yè)銀行應(yīng)由董事會、高管層、信息技術(shù)委員會、風(fēng)險管理委員會負(fù)責(zé)信息科技風(fēng)險戰(zhàn)略和政策制訂、治理結(jié)構(gòu)建立、資源配置等工作，明確IT風(fēng)險管理機(jī)構(gòu)在全行風(fēng)險管理組織體系中的定位，明確各業(yè)務(wù)條線、各業(yè)務(wù)支持保障部門、各級機(jī)構(gòu)的IT風(fēng)險管理職責(zé)，構(gòu)建職能部門參與全行的IT風(fēng)險“三道防線”的管理。具體組織機(jī)構(gòu)設(shè)置如圖1所示。

風(fēng)險管理委員會。風(fēng)險管理委員會設(shè)置在總行，由高級管理者和內(nèi)部專家組成，是一個獨立的組織機(jī)構(gòu)。主要負(fù)責(zé)銀行所有風(fēng)險的管理、監(jiān)督和指導(dǎo)，以及負(fù)責(zé)制訂符合企業(yè)發(fā)展戰(zhàn)略的風(fēng)險管理制度及風(fēng)險應(yīng)對決策。

IT風(fēng)險管理部門。銀行中領(lǐng)導(dǎo)并負(fù)責(zé)IT風(fēng)險管理的機(jī)構(gòu)，一般由首席信息官（CIO）負(fù)責(zé)領(lǐng)導(dǎo)。其主要職責(zé)為制訂IT風(fēng)險管理流程，在事故發(fā)生時負(fù)責(zé)業(yè)務(wù)的恢復(fù)。IT風(fēng)險管理部分別在總行、分行及支行設(shè)置，并配備相應(yīng)人員。

IT風(fēng)險經(jīng)理。負(fù)責(zé)對具體的IT風(fēng)險節(jié)點進(jìn)行管控，同時根據(jù)IT風(fēng)險預(yù)測制訂相應(yīng)的操作規(guī)范及應(yīng)急措施。從本質(zhì)上講IT風(fēng)險經(jīng)理是銀行內(nèi)部負(fù)責(zé)具體風(fēng)險管理操作的人員。

信息技術(shù)管理部。協(xié)助IT風(fēng)險經(jīng)理完成對項目風(fēng)險的監(jiān)控與管理。信息技術(shù)管理分別在總行、分行及支行設(shè)置，并配備相應(yīng)人員。

其他相關(guān)部門。這些部門包括審計部門以及各業(yè)務(wù)部門和資產(chǎn)評估部門。主要職責(zé)是配合進(jìn)行IT風(fēng)險治理。

流程

IT治理流程是保證相關(guān)部門采用規(guī)范與合理的步驟進(jìn)行IT活動。根據(jù)信息系統(tǒng)生命周期的特點，IT治理流程可分為事前、事中和事后三類，事前主要指信息系統(tǒng)規(guī)劃和建設(shè)階段，事中主要指信息系統(tǒng)運營、維護(hù)階段，主要包括三個類別：一是IT運維管理類，主要從銀行的數(shù)據(jù)（系統(tǒng)）中心運維的角度出發(fā)設(shè)計主要的信息系統(tǒng)維護(hù)流程，包括系統(tǒng)監(jiān)控流程、安全管理流程、備份管理流程、系統(tǒng)升級/維護(hù)流程；二是IT服務(wù)管理類，主要根據(jù)ITIL的理念并結(jié)合銀行的實際情況設(shè)計服務(wù)臺/事件管理流程、問題管理流程、配置管理流程、變更管理流程和發(fā)布管理流程；三是IT綜合管理類，主要包括設(shè)備采購管理流程、設(shè)備報廢流程、檔案管理流程和外包管理流程。事后包括管理階段（審計、評價），每個階段都需要設(shè)計和制訂相應(yīng)的IT治理流程，用于規(guī)范本階段的IT活動。

制度

按照信息化工作涵蓋的幾個方面，即信息系統(tǒng)規(guī)劃、建設(shè)、整合、維護(hù)、管理，信息資源管理和開發(fā)利用，需要制訂相應(yīng)IT風(fēng)險管理制度。包括：信息分級與保護(hù)風(fēng)險管理制度；信息系統(tǒng)開發(fā)、測試和維護(hù)管理制度；信息科技運行和維護(hù)管理制度；訪問控制管理制度；物理安全管理制度；人員安全管理制度；業(yè)務(wù)連續(xù)性與應(yīng)急處置管理制度。

技術(shù)

國有商業(yè)銀行應(yīng)該構(gòu)建全面的信息科技風(fēng)險監(jiān)測和保障體系，給信息系統(tǒng)建立一道抵御風(fēng)險的有力屏障。一方面，商業(yè)銀行應(yīng)該對信息系統(tǒng)的運行狀況進(jìn)行全程監(jiān)控，主干網(wǎng)絡(luò)是否通暢、自助設(shè)備是否正常運行、數(shù)據(jù)庫系統(tǒng)是否正常服務(wù)、是否有網(wǎng)絡(luò)遭受外部非法入侵等都必須納入實時監(jiān)控范圍，以保障在發(fā)生故障的第一時間作出響應(yīng)。另一方面，商業(yè)銀行必須未雨綢繆，制訂應(yīng)急預(yù)案，做好業(yè)務(wù)連續(xù)性規(guī)劃、業(yè)務(wù)恢復(fù)機(jī)制、風(fēng)險化解和轉(zhuǎn)移措施、數(shù)據(jù)備份方案等多方面的工作，并加強(qiáng)災(zāi)備演練，以保障在突如其來的災(zāi)難性事故面前，能從容應(yīng)對，迅速恢復(fù)生產(chǎn)，盡可能降低事故造成的損失。

城市商業(yè)銀行IT風(fēng)險治理架構(gòu)

城市商業(yè)銀行在參照標(biāo)準(zhǔn)的商業(yè)銀行IT風(fēng)險治理架構(gòu)外，還需重點對信息科技外包的風(fēng)險進(jìn)行管控，并在如下幾個方面進(jìn)行改進(jìn)和完善。

組織機(jī)構(gòu)方面的調(diào)整

城市商業(yè)銀行的IT風(fēng)險組織架構(gòu)除了設(shè)置風(fēng)險管理委員會、IT風(fēng)險管理部和信息技術(shù)部之外，還需新設(shè)立三個專家組，重點實現(xiàn)IT外包管理和風(fēng)險控制，分別是發(fā)展戰(zhàn)略組、法律事務(wù)組、實施監(jiān)察組，分工合作對IT外包的實施進(jìn)行不同階段控制。其組織架構(gòu)調(diào)整如圖2所示。

這三個組的具體人員構(gòu)成和職責(zé)如下：

發(fā)展戰(zhàn)略組。發(fā)展戰(zhàn)略組由行內(nèi)戰(zhàn)略規(guī)劃專家、各部門熟悉本行業(yè)務(wù)信息流關(guān)系的代表、信息技術(shù)專家以及資源外包咨詢銀行的人員組成，組織機(jī)構(gòu)設(shè)置在總行。IT外包的管理過程中發(fā)展戰(zhàn)略組主要負(fù)責(zé)實施前調(diào)查研究國內(nèi)外行業(yè)、競爭對手以及自身的信息化現(xiàn)狀；找出實施信息化的自身優(yōu)勢、制約因素；辨識本行信息技術(shù)的核心競爭能力；在收益、成本和風(fēng)險之間進(jìn)行平衡并進(jìn)行外包決策，明確IT外包范圍；把IT外包部分納入本行的信息化總體架構(gòu)和信息技術(shù)應(yīng)用架構(gòu)中，包括外包的指導(dǎo)思想、總體目標(biāo)、分階段目標(biāo)；制訂IT外包的建設(shè)技術(shù)標(biāo)準(zhǔn)，保證信息系統(tǒng)建設(shè)的連貫性和一致性；設(shè)計外包方案避免重復(fù)投資與信息孤島，保障信息安全，評價外包服務(wù)商的技術(shù)等級、發(fā)展能力，選擇外包服務(wù)商；制訂經(jīng)費預(yù)算，建立組織保障體系、評價指標(biāo)體系；制訂培訓(xùn)工作計劃。發(fā)展戰(zhàn)略組在整個IT外包的過程中的作用，概括起來主要是“把握命運，尋找方向，制訂規(guī)劃，明確范圍”。

法律事務(wù)組。法律事務(wù)組由對IT外包業(yè)務(wù)非常熟悉的高級管理人員負(fù)責(zé)，由深入理解行內(nèi)需求和發(fā)展戰(zhàn)略的專家（指發(fā)展戰(zhàn)略組成員或代表）、外包咨詢專家、實施監(jiān)察組代表、費用預(yù)算人員和法律顧問組成，組織機(jī)構(gòu)設(shè)置在總行。法律事務(wù)組的主要職責(zé)包括：在外包范圍明確后，協(xié)助發(fā)展戰(zhàn)略組，根據(jù)本行信息技術(shù)要求，所需的硬件、軟件、服務(wù)、成本與時間等提出量化和測度的要求，制訂項目建議書；在外包談判中，將外包實施方案、實施戰(zhàn)略變成可操作的、可控制的、具有法律意義的、適應(yīng)性強(qiáng)的協(xié)議或合同，明確銀行與外包服務(wù)商的職責(zé)范圍、信息系統(tǒng)質(zhì)量指標(biāo)、性能測量度以及性能達(dá)標(biāo)期限，在每個重要的階段未能履約的罰款，服務(wù)水平的保障措施，爭議的解決和合同的解釋協(xié)議條款；在外包實施過程中，協(xié)助實施監(jiān)察組工作，解決實施過程中爭議，處理相應(yīng)法律事務(wù)，避免由于合同設(shè)計中出現(xiàn)的漏洞而陷入無窮無盡的糾紛中。

實施監(jiān)察組。實施監(jiān)察組主要由信息技術(shù)專業(yè)人員、合同協(xié)議管理人員、協(xié)調(diào)人員組成。實施監(jiān)察組充當(dāng)?shù)氖呛贤芾砣藛T、服務(wù)人員的角色，組織機(jī)構(gòu)設(shè)置在總行和各支行。實施監(jiān)察組的主要職責(zé)是在簽署外包合同后，項目實施過程中對外包服務(wù)過程進(jìn)行全面監(jiān)督、協(xié)調(diào)和控制管理。一方面要嚴(yán)格堅持合同條款，確認(rèn)外包服務(wù)商提供的產(chǎn)品、服務(wù)是否符合合同規(guī)定或協(xié)議要求，是否滿足需要，確保外包服務(wù)到位，自身利益不受損害；監(jiān)督評價外包項目各階段進(jìn)展情況以及外包服務(wù)商對合同的實施狀況。另一方面協(xié)調(diào)業(yè)務(wù)部門和外包服務(wù)商之間的關(guān)系，與外包服務(wù)商建立爭議解決機(jī)制，隨時糾正外包服務(wù)商偏離合同的行為，避免使用經(jīng)濟(jì)和法律制裁等消極合作手段。

流程方面的調(diào)整

城市商業(yè)銀行由于自身條件所限，通常會采用信息科技外包服務(wù)，這就要求城市商業(yè)銀行加強(qiáng)對外包服務(wù)商的風(fēng)險管理，同時配合銀監(jiān)會的監(jiān)管和檢查。需要增加針對信息科技外包相關(guān)的IT風(fēng)險治理流程，包括對服務(wù)提供商的評價流程、服務(wù)提供商盡職調(diào)查流程、外包服務(wù)法律事務(wù)流程，對服務(wù)提供商安全檢查流程、外包服務(wù)監(jiān)控與評價流程。

制度方面的調(diào)整

建立外包服務(wù)提供商的評級準(zhǔn)入制度。選擇合適的外包服務(wù)商無疑是外包成功的關(guān)鍵。通過資格認(rèn)證建立市場準(zhǔn)入的硬性條件，有利于保證服務(wù)質(zhì)量實現(xiàn)外包目標(biāo)。對外包服務(wù)商的考察主要從技術(shù)能力、經(jīng)營管理能力、發(fā)展能力這三個主要方面：一是技術(shù)能力，外包服務(wù)商提供的信息技術(shù)產(chǎn)品是否具備創(chuàng)新性、開放性、安全性、兼容性，是否擁有較高的市場占有率，能否實現(xiàn)信息數(shù)據(jù)的共享；是否具有信息技術(shù)方面的資格認(rèn)證；是否了解金融行業(yè)特點，能夠拿出真正適合商業(yè)銀行業(yè)務(wù)的解決方案；信息系統(tǒng)的設(shè)計方案中是否應(yīng)用了穩(wěn)定、成熟的信息技術(shù)，是否符合銀行發(fā)展的要求，與充分體現(xiàn)了銀行以客戶為中心的服務(wù)理念；是否具備對大型設(shè)備的運行、維護(hù)、管理經(jīng)驗和多系統(tǒng)整合能力；是否擁有對高新技術(shù)深入理解的技術(shù)專家和項目管理人員。二是經(jīng)營管理能力，了解外包服務(wù)商的領(lǐng)導(dǎo)層結(jié)構(gòu)、員工素質(zhì)、客戶數(shù)量、社會評價；項目管理水平，如軟件工程工具、質(zhì)量保證體系、成本控制、配置管理方法、管理和技術(shù)人員的老化率或流動率；是否具備能夠證明其良好運營管理能力的成功案例；員工間是否具備團(tuán)隊合作精神，外包服務(wù)商客戶的滿意程度。三是發(fā)展能力，通過考察外包服務(wù)商的各項財務(wù)指標(biāo)，了解其盈利能力；考察外包服務(wù)商的外包市場份額；在信息技術(shù)領(lǐng)域內(nèi)的產(chǎn)品創(chuàng)新率等。

建立外包業(yè)務(wù)風(fēng)險監(jiān)控機(jī)制。保障外包服務(wù)商行為規(guī)范的基本方法是監(jiān)督和控制。監(jiān)督是觀察、收集資料，對照已經(jīng)建立起來的標(biāo)準(zhǔn)和尺度分析外包服務(wù)商是否在做他應(yīng)該做的事情。如果發(fā)現(xiàn)外包服務(wù)商偏離了預(yù)定的行為目標(biāo)，就需要采取控制措施，使外包服務(wù)商重新回到正確的軌道上去。監(jiān)督可以從宏觀和微觀兩個層面上進(jìn)行，宏觀上密切關(guān)注信息技術(shù)、外包市場的發(fā)展，以及銀行自身經(jīng)營環(huán)境、競爭對手外包策略、外包服務(wù)商經(jīng)營狀況的變化，防范技術(shù)市場、風(fēng)險微觀層面上，聽取外包服務(wù)商在項目實施不同階段的報告，了解與外包服務(wù)商直接接觸的銀行有關(guān)部門對外包服務(wù)商的評價，高層經(jīng)理們對外包的反映，考察外包成本是否控制在預(yù)期范圍內(nèi)，業(yè)務(wù)需求是否得到滿足；通過對客戶的滿意度調(diào)查，以及將外包服務(wù)商的服務(wù)水平與其競爭對手的服務(wù)水平相比較，了解外包服務(wù)是否及時，服務(wù)質(zhì)量、服務(wù)水平是否得到提高，防范交易和信譽(yù)風(fēng)險。

技術(shù)方面的完善

城市商業(yè)銀行安全風(fēng)險防范的對象從內(nèi)部擴(kuò)大到外包服務(wù)商，需要建立和完善針對外包服務(wù)監(jiān)控、檢查和審計技術(shù)措施。外包服務(wù)風(fēng)險監(jiān)控與檢查技術(shù)平臺是對全行網(wǎng)絡(luò)、應(yīng)用的安全日志和外包服務(wù)人員的行為記錄進(jìn)行收集、分析，及時監(jiān)控全行信息風(fēng)險狀態(tài)，為信息安全威脅提供預(yù)警，縮短發(fā)現(xiàn)安全事件的時間，提高響應(yīng)速度。另外還需強(qiáng)化對外包服務(wù)商的監(jiān)督機(jī)制，借助審計工具提供真實審計數(shù)據(jù)，快速定位問題根源。

結(jié)束語

目前，我國商業(yè)銀行對信息科技風(fēng)險逐步開始重視，但I(xiàn)T風(fēng)險治理架構(gòu)仍然沒有全面有效地建立起來，商業(yè)銀行普遍存在缺乏有效的IT風(fēng)險管理戰(zhàn)略、IT治理結(jié)構(gòu)不夠完善、高級管理層重視不夠等問題。在商業(yè)銀行日益發(fā)展壯大的今天，商業(yè)銀行應(yīng)當(dāng)要充分認(rèn)識信息科技風(fēng)險監(jiān)管的緊迫性和重要性，在借鑒國際先進(jìn)金融機(jī)構(gòu)的良好做法，符合監(jiān)管合規(guī)的前提下，制訂出與業(yè)務(wù)發(fā)展目標(biāo)保持一致的IT風(fēng)險治理戰(zhàn)略，結(jié)合商業(yè)銀行的特點構(gòu)建相應(yīng)的IT風(fēng)險治理架構(gòu)，最大限度地減少信息科技風(fēng)險的發(fā)生，提高銀行核心競爭力服務(wù)。

（作者單位：北京智控美信信息技術(shù)有限公司）