【正文】 系統(tǒng)；分析型數(shù)據(jù)上，現(xiàn)有 7類中僅 1類全部產(chǎn)生于 IT系統(tǒng)、 2類 部分產(chǎn)生于 IT 系統(tǒng)，其余 4類 IT 系統(tǒng)還不能產(chǎn)生。 (1)IT 應用范圍的評價 IT 定位上，已在企業(yè)戰(zhàn)略規(guī)劃中將 IT應用到企業(yè)管理的知識化決策層面；服 務渠道上， IT已完全覆蓋人工渠道和電子渠道，但電子渠道提供的產(chǎn)品服務還僅 限于存取未、支付結算等基礎性銀行業(yè)務；業(yè)務流程上，現(xiàn)有 7類業(yè)務中，有 3 類業(yè)務（存款、貸款和銀行卡）的全部操作流程被 IT覆蓋，其余 4類業(yè)務僅部分 賬務操作流程被 IT覆蓋；管理決策上，限于數(shù)據(jù)的質量和歷史積累不足，現(xiàn)有 8 類管理決策活動僅 3類的全部功能被 IT應用覆蓋、 3類的部分功能被 IT 應用覆蓋， 還有 2類未被 IT 應用覆蓋。 按照本文先前所構建的銀行信息化發(fā)展階段評價體系中的四個基本指標（ IT 應用范圍、 IT設施平臺、 IT數(shù)據(jù)內容和人員組織），調查內容（參見表 34） 主 要分為如下的幾個方面內容。 在構建了銀行信息化發(fā)展階段評價體系以及不同階段的衡量標準之后，筆者 對 CD商業(yè)銀行的信息化發(fā)展狀況進行了調查。以下是對這三個階段指標的基本特征描 述。本研究中收集意見和信息反饋共進行了三輪， 三輪之后專家之間在指標的重要性排序上取得了較為一致 的結論。 (2)以所確定的 12個基本指標為依據(jù)，筆者選取 了 S省內 5家法人城市銀行 的 5位信息化專業(yè)人士以及電子科技大學 1位企業(yè)信息化管理領域的學者構成專 家小組。德爾菲方法被認為是一種最為有效的判斷 預測法。這樣多次反 復，逐步取得較為一致的預測結果的決策方法。確定了衡量指標， 進而基于衡量指標的不同實現(xiàn)程度，評估某一銀行處于何種信息化發(fā)展階段才能 具有科學性和合理性。 階段二：進行貸款、銀行卡等銀行業(yè)務操作處理流程及客戶自助服務電子渠 道的信息化，并進行應用數(shù)據(jù)的共享整合；建立面向部門使用的獨立數(shù)據(jù)集市， 采集特定業(yè)務的操作處理數(shù)據(jù)并進行歷史積累，實現(xiàn)業(yè)務管理需要的報表統(tǒng)計分 析。因此，有必要對國內商業(yè)銀行的信息化發(fā)展階段構建一個具有針 對性的評估體系。 (2)內部挑戰(zhàn) 該銀行產(chǎn)品單一并缺乏創(chuàng)新能力，資金業(yè)務、銀行卡業(yè)務、電子銀行業(yè)務和 中間業(yè)務發(fā)展緩慢，仍以存貸息差為其主要利潤；客戶管理粗放，缺少精細化的 客戶細分管理和客戶價值管理，未形成核心客戶群體，造成產(chǎn)品營銷能力較弱； 人力資源仍處于傳統(tǒng)人事管理階段，難以集約配置；業(yè)務流程的 內部控制能力不 足，使業(yè)務交易的操作風險較大。 (4)業(yè)務狀況。 (1)組織規(guī)模。CD商業(yè)銀行 IT風險管理 CD商業(yè)銀行簡介 CD商業(yè)銀行作為一家城市商業(yè)銀行，成立于 1996年，其市場定位于服務區(qū) 域經(jīng)濟、中小企業(yè)和城市居民。截止 2021年底，共有員工 3500多名、分支機構 120多家、 省級分行 2個；總行下設有公司業(yè)務部、中小企業(yè)部、個人金融部、國際業(yè)務部、 資金部、會計結算部、信用審批部、計劃財務部、電子銀行部、法律合規(guī)部、人 力資源部、風險管理產(chǎn)、稽核審計部和信息科技部 14個業(yè)務職能部門。產(chǎn)品上，已初步建立起了銀行基礎產(chǎn)品架構；營銷上，建立了 二級營銷的組織體系；在渠道上，形成了物理網(wǎng)點為主， ATM/POS、電話 銀行、 網(wǎng)上銀行等電子銀行為輔的渠道多樣化布局；品牌上，通過長期根植 CD市，獲得 了市場上良好的客戶滿意度和社會認知度，具有一定的品牌聲譽。 因此，其經(jīng)營發(fā)展模式不得不從“規(guī)模擴張型”向“業(yè)務創(chuàng)新型”轉變，從“產(chǎn)品 為中心”向“客戶為中心”轉變，從“部門銀行”向“流程銀行”轉變。 結合筆者在銀行業(yè)從業(yè)多年所觀察了解到的銀行信息化發(fā)展的實際情況和 查閱相關文獻資料 [1][1922]，筆者認為目前國內商業(yè)銀行信息化發(fā)展的基本實施路 線可以劃分成如下的三個階段。 階段三：建立面向全行范圍所有管理主題的中央數(shù)據(jù)倉庫，收集提取銀行內 部所有業(yè)務操作處理數(shù)據(jù)庫及外部信息，并通過基于聯(lián)機分析處理和數(shù)據(jù)挖掘技 術的管理系統(tǒng)， 實現(xiàn)銀行客戶、金融產(chǎn)品、企業(yè)風險、資產(chǎn)負債、運營績效等管 理主題的決策分析。在本文研究中筆者采用了德爾菲方法確定用于銀行信息化 發(fā)展階段評價體系的指標。德爾菲法按照較為系統(tǒng)的流程， 采用匿名發(fā)表意見的方式，專家之間不互相討論，不發(fā)生聯(lián)系，只能與調查人員 通過通訊方式發(fā)生關系。德爾菲方法也是銀行業(yè)中 IT評估的一種較為常用的決策方法。筆者首先向各個專家介紹課題的背景，由其從 12個基本指標中選取出其 認為的最為重要的前五個因素，各個專家提出自己的獨立意見。 (3)筆者對專家的結論進行了整理。 (1)業(yè)務數(shù)據(jù)電算化階段（參見表 31） 件不僅能造成銀行業(yè)務服務中斷、金融資產(chǎn)數(shù)據(jù)被破壞和業(yè)務操作失敗，還能引 發(fā)銀行的管理決策錯誤。通過對 CD商業(yè)銀行的信息化發(fā)展 狀況進行調查將有助于采取更為有針對性的 IT風險管理措施。 IT 系統(tǒng)運行維護和 IT規(guī)劃；部門人員總數(shù) 81人，其中絕大多數(shù)為 IT專業(yè)人員， 大專以上學歷人員占比 100%，項目開發(fā)人員 50%以上。 因此，在 IT 應用 范圍指標上具備業(yè)務流程信息化階段的主要特征和管理決策 知識化階段的少部分特征。但由于數(shù)據(jù)架構等質量標準體 系的未建立而操作型數(shù)據(jù)的質量不佳、積累不足，且企業(yè)級數(shù)據(jù)倉庫平臺缺乏， 其管理決策所需的分析型數(shù)據(jù)嚴重缺乏。 因此，在人員組織方面具備業(yè)務流程信息化階段的主要特征。通過 IT 規(guī)劃來實現(xiàn) CD商業(yè)銀行企業(yè)信息 化整體向管理決策知識化階段發(fā)展已成為經(jīng)營變革發(fā)展的必然。若 IT系統(tǒng)的產(chǎn)品購買或項目開發(fā)過程出現(xiàn) 問題，使 IT系統(tǒng)未能 在成本承受范圍內、按計劃規(guī)定的時間及質量標準交付成果并投產(chǎn)上線，將使 CD 商業(yè)銀行經(jīng)營變革的順利實施面臨 IT風險的挑戰(zhàn)。 該銀行現(xiàn)有 IT 系統(tǒng)已承載有極具客戶隱私性和商業(yè)敏感性的客戶及業(yè)務數(shù) 據(jù)，對該銀行及其客戶的金融資產(chǎn)安全的風險影響巨大，特別對已開通網(wǎng)上銀行 渠道服務業(yè)務的 11 萬客戶的銀行資產(chǎn)能夠產(chǎn)生災難性的破壞。 由此可以看到， CD商業(yè)銀行面臨嚴峻的固有 IT風險挑戰(zhàn)，亟需通過構建成 熟完整的 IT 風險管控體系來有效管理其 IT 規(guī)劃、 IT系統(tǒng)交付和 IT 系統(tǒng)運行活動 帶來的風險。 指標精簡的原則是在能夠對 CD商業(yè)銀行進行 IT風險管理現(xiàn)狀評估基礎上盡 可能少的保留指標體系的內容數(shù)量。 作為一個 CD商業(yè)銀行內部的 IT風險管理現(xiàn)狀的評估，精簡之后的指標體系 完全能夠用于了解 CD商業(yè)銀行的 IT風險管理現(xiàn)狀。 1表示符合的衡量標準條數(shù)少于一半， 2表示符合的衡量標準條數(shù)達一半以 上。主要涉及信息科 技治理領域中的董事會等組織層級的職責分工、人員配備、人員培 養(yǎng)、信息科技 風險意識培訓和信息科技風險管理領域中的風險應對策略及資源保障。 從上文的評價結果可以發(fā)現(xiàn) 存在的主要問題是： CD商業(yè)銀行缺乏有效的 IT 風險識別評估方法。 相對而言，控制措施缺陷問題最嚴重應是信息科技服務外包、 IT系統(tǒng)服務持續(xù)性 和 IT 系統(tǒng)運行監(jiān)控。 IT 應用活動的控制狀況被持續(xù)地掌握控制，是商業(yè)銀行 IT 風險管理的重點。究其問題發(fā)生的根源，筆者分析認為主要歸結為以下三個方面： 經(jīng)營管理意識問題、組織人員問題和 IT過程控制規(guī)范性問題。 沒有看到 IT 與業(yè)務融合后的風險影響能力。 分析以上組織架構圖內各層級部門的具體職責，可進一步發(fā)現(xiàn)該組織架構在 IT 風險管理上存在的缺陷： IT 管理的職能部門作為企業(yè)信息化建設和 IT 系統(tǒng)管理的職能部門，同時獨自 承擔了全行 IT 風險的識別、評估和監(jiān)測、應對控制的職責。 電子銀行部等業(yè)務條線管理部門和分支機構作為 IT資源的使用部門， 直接能 夠了解其業(yè)務運營目標對 IT系統(tǒng)應用服務中斷、 IT系統(tǒng)應用數(shù)據(jù)損毀泄露等風險 影響的容忍能力，卻未在其職責范圍內明確對 IT風險管理的相應職責。但現(xiàn)有人 員的配備缺乏具備 IT風險管理專業(yè)能力的人員。 業(yè)務部門人員的信息化素質不足，難以立足于本職工作有效分析其業(yè)務運營 可能遭受的 IT 風險影響。通過在組織的職責分工、人力 資源配置和教育培訓等協(xié)調活動，將能實現(xiàn)企業(yè)內部 IT利益相關者協(xié)同參與 IT 風險管理活動的良好風險管理環(huán)境。 （ 1） IT 決策的分工 CISR(麻省理工學院斯隆管理學院信息技術研究中心 )的模型理論 將企業(yè) IT 決策的模式和內容歸納為以下方面： IT 決策模式分為六類：企業(yè)君主式，由企業(yè)經(jīng)營管理層獨 立進行 IT 決策； IT 君主式，由企業(yè) IT部門獨立進行 IT決策；業(yè)務領地式，各業(yè)務部門各自獨立 進行 IT 決策；企業(yè)聯(lián)邦式，由企業(yè)高管層和各職能部門共同進行 IT決策； IT雙 寡頭式，由 IT 部門負責人和至少一個業(yè)務部門的負責人共同進行 IT決策；無政府 式，企業(yè)內的個體或小群體自行進行 IT決策。 ② IT 架構選擇企業(yè)聯(lián)邦式?jīng)Q策模式的主要原因是： IT 架構的內容既包括了企業(yè)信息、業(yè)務應用的應用架構和數(shù)據(jù)架構，又包括了技術設施的架構，涉及了業(yè)務和技術兩方面的需求。 絕大多數(shù) IT 資產(chǎn)是由 IT 部門獨自負責管理使用，業(yè)務部門及企業(yè)高級管理 人