【正文】 據(jù)新加坡金融管理局調(diào)查 IT服務(wù)以外包為主的銀行情況表明，銀行核心業(yè)務(wù) 系統(tǒng)之類高度知識(shí)化系統(tǒng)的外包服務(wù)回退時(shí)間平均兩年。 對(duì)外包服務(wù)商進(jìn)入生產(chǎn)環(huán)境的服務(wù)人員和自帶信息化設(shè)備，實(shí)行嚴(yán)格的安全 控制；按照“必需知道”和“最小授權(quán)”原則，對(duì)外包商的服務(wù)人員進(jìn)行系統(tǒng)和數(shù)據(jù)訪 問權(quán)限范圍的限制；建立外包商服務(wù)人員服務(wù)檔案信息，記錄其服務(wù)人員參與外 包服務(wù)活動(dòng)事項(xiàng)的服務(wù)時(shí)間、內(nèi)容及完成結(jié)果；確保外包服務(wù)商保留應(yīng)有的服務(wù) 工作信息和系統(tǒng)操作痕跡，其內(nèi)容及保存期限應(yīng)滿足事件分析、安全取證和審計(jì) 監(jiān)督的需要。主要包括外包商在 IT服務(wù)外包市場(chǎng)的地位、在銀行業(yè)的客戶集中 度、 IT 服務(wù)相關(guān)資質(zhì)認(rèn)證等級(jí)、 IT服務(wù)管理體系規(guī)范化成熟度、服務(wù)團(tuán)隊(duì)人員數(shù) 量及專業(yè)技術(shù)資質(zhì)水平、服務(wù)所需設(shè)施設(shè)備數(shù)質(zhì)量。但該項(xiàng)服務(wù)與核心競(jìng)爭(zhēng)力的關(guān)聯(lián)性大， 完全外包將可能影響發(fā)展。 演練方式可根據(jù)演練條件選擇采用沙盤演練和真實(shí)業(yè)務(wù)接管演練。 ①應(yīng)急預(yù)案準(zhǔn)備 應(yīng)急場(chǎng)景事件的分類分級(jí)設(shè)定。 ③ RTO（即恢復(fù)時(shí)間目標(biāo)）指標(biāo)確定。筆者通過查 閱相關(guān)文獻(xiàn)資料 [3031]和結(jié)合自身從業(yè)經(jīng)驗(yàn)，提 出以下解決對(duì)策。 CD商業(yè)銀行在 IT系統(tǒng)交付的項(xiàng)目開發(fā)投產(chǎn)活動(dòng)中可能存在的脆弱點(diǎn)主要來 源于項(xiàng)目的資源、外包合同、章程計(jì)劃和活動(dòng)過程。 依據(jù)筆者多年從事銀行 IT風(fēng)險(xiǎn)管理的經(jīng)驗(yàn)來看，此方法可以較好的對(duì)銀行面 臨的 IT 風(fēng)險(xiǎn)進(jìn)行識(shí)別評(píng)估。 (3)IT 部 門。 (4)稽核審計(jì)部門。 CD商業(yè)銀行在企業(yè)信息化活動(dòng)中要做到有效落實(shí) IT風(fēng)險(xiǎn)防范及 IT 價(jià)值交 付，配置勝任的人力資源尤為關(guān)鍵。實(shí)際形成 IT決策在人員、組織與權(quán)責(zé)上的統(tǒng)一。往往 會(huì)過于關(guān)注 IT 系統(tǒng)的技術(shù)先進(jìn)性，容易造成 IT 投資成本過高。 CD商業(yè)銀行董事會(huì)和經(jīng)營(yíng)管理層的人員作為企業(yè)信息的關(guān)鍵使用者，參與 IT 架構(gòu)的決策能較好地關(guān)注企業(yè)信息需求，協(xié)調(diào)業(yè)務(wù) 部門和 IT部門共同確保數(shù)據(jù)質(zhì) 量。因此 CD商業(yè)銀行可以主要從組織的職責(zé) 分工、人力資源配置以及教育培訓(xùn)等三個(gè)方面進(jìn)行 IT的組織治理改進(jìn)。 稽核審計(jì)部門作為全行獨(dú)立的監(jiān)督約束部門，應(yīng)當(dāng)為 IT及其風(fēng)險(xiǎn)管理活動(dòng)的 有效開展提供獨(dú)立的審查評(píng)價(jià)，并及時(shí)向企業(yè)董事會(huì)和高管層報(bào)告。但其從 IT系統(tǒng)層面識(shí) 別的系統(tǒng)安全風(fēng)險(xiǎn)，因其職責(zé)所限和職能部門的橫向協(xié)調(diào)機(jī)制缺乏而 不能被進(jìn)一 步納入到企業(yè)層面或業(yè)務(wù)層面進(jìn)行分析和應(yīng)對(duì)控制。 CD商業(yè)銀行雖然資產(chǎn)規(guī)模上千億元，但其近兩年良好的資產(chǎn)收益主要來源于 信貸資產(chǎn)，受益于國(guó)內(nèi)貨幣市場(chǎng)的存貸息差政策、地方政府的政策性傾斜和存貸 款規(guī)模大、經(jīng)濟(jì)實(shí)力強(qiáng)的政企大客戶。 可靠及時(shí)充分地 IT相關(guān)信息，是商業(yè)銀行 IT風(fēng)險(xiǎn)管理的保障。 從上文的評(píng)價(jià)結(jié)果可以發(fā)現(xiàn)存在的主要問題是： CD商業(yè)銀行在 IT風(fēng)險(xiǎn)管理 的組織職責(zé)分工存在嚴(yán)重缺陷，風(fēng)險(xiǎn)管理部門和內(nèi)部審計(jì)部門未能有效參與到 IT 風(fēng)險(xiǎn)管理的工作中，造成 IT風(fēng)險(xiǎn)未能納入到企業(yè)層面進(jìn)行統(tǒng)一管理，仍由信息科 技部自建自管； IT風(fēng)險(xiǎn)管理的人員配備和培養(yǎng)也存在嚴(yán)重不足。 基于以上對(duì)衡量指標(biāo)選擇和精簡(jiǎn)結(jié)果，通過現(xiàn)場(chǎng)查看、資料整理查閱和人員 訪談等方式 的調(diào)查分析，本小節(jié)列出了商業(yè)銀行 IT風(fēng)險(xiǎn)管理現(xiàn)狀分析 8個(gè)衡量指 標(biāo)的具體衡量標(biāo)準(zhǔn)和 CD 商業(yè)銀行 IT風(fēng)險(xiǎn)管理差距分析法所得到的分析結(jié)果。 第四章 CD商業(yè)銀行 IT風(fēng)險(xiǎn)管理現(xiàn)狀分 析 CD商業(yè)銀行 IT 風(fēng)險(xiǎn)管理差距分析法實(shí)施過程 通過廣泛的資料文獻(xiàn)查閱和對(duì)國(guó)內(nèi)外商業(yè)銀行 IT風(fēng)險(xiǎn)管理實(shí)踐狀況的調(diào)查了 解，筆者發(fā)現(xiàn) CD商業(yè)銀行屬地監(jiān)管機(jī)構(gòu)（ S省銀監(jiān)局）的法人銀行業(yè)金融機(jī)構(gòu)信 息科技監(jiān)管等級(jí)達(dá)標(biāo)框架的主要內(nèi)容能比較完整地覆蓋銀行整體風(fēng)險(xiǎn)管理要素內(nèi) 容和企業(yè)信息化活動(dòng)內(nèi)容（參見表 41），且較好兼顧了合規(guī)性要求和國(guó)內(nèi)外 IT管 理相關(guān)標(biāo)準(zhǔn)體系的要求，具備成熟完整 IT風(fēng)險(xiǎn)管控體系的基本特征。 (3)CD商業(yè)銀行的 IT系統(tǒng)運(yùn)行風(fēng)險(xiǎn) 該銀行信息化發(fā)展階段狀況的調(diào)查結(jié)果表明，其 IT系統(tǒng)已與現(xiàn)有所有業(yè)務(wù)的 賬務(wù)處理流程、主要操作過程及部分經(jīng)營(yíng)管理決策過程緊密融合，并承載了大量 的企業(yè)經(jīng)營(yíng)管理數(shù)據(jù)。 (5)總體評(píng)價(jià) 該銀行的企業(yè)信息化發(fā)展整體處于業(yè)務(wù)流程信息化階段的全面發(fā)展期，但已初 步涉及管理決策知識(shí)化階段的內(nèi)容。 (2)IT 設(shè)施平臺(tái)的評(píng)價(jià) IT 基礎(chǔ)設(shè)施上，數(shù)據(jù)中心機(jī)房基礎(chǔ)設(shè)施仍不完全具備冗余性；網(wǎng)絡(luò)平臺(tái)系統(tǒng)， 已實(shí)現(xiàn)內(nèi)外部的廣泛互聯(lián)；主機(jī)、存儲(chǔ)平臺(tái)系統(tǒng)實(shí)現(xiàn)了資源的統(tǒng)一整合，規(guī)模龐 大、技術(shù)復(fù)雜，并能通過 ESB（企業(yè)實(shí)時(shí)數(shù)據(jù)交換平臺(tái)）實(shí)現(xiàn)系統(tǒng)應(yīng)用集成；面 向主題的 ODS及數(shù)據(jù)集市系統(tǒng)，實(shí)現(xiàn)部分業(yè)務(wù)的數(shù)據(jù)集中及個(gè)別主題的數(shù)據(jù)集市， 但數(shù)據(jù)架構(gòu)缺乏統(tǒng)一、歷史積累不足，數(shù)據(jù)分析價(jià)值不高。 CD商業(yè)銀行信息化發(fā)展階段狀況的調(diào)查 在調(diào)查中主要使用了現(xiàn)場(chǎng)查看、人員訪談和資料查閱等調(diào)查方式?？紤]到各專家對(duì)前四個(gè)指標(biāo)認(rèn)識(shí)較為統(tǒng)一 而第五個(gè)指標(biāo)差異較大，因而筆者只選取了最前面的四個(gè)指標(biāo)（ IT應(yīng)用范圍、 IT 設(shè)施平臺(tái)、 IT數(shù)據(jù)內(nèi)容和人員組織）作為最終的銀行信息化發(fā)展階段評(píng)價(jià)體系中 使用的指標(biāo)。 因此，筆者采用了德爾菲方法進(jìn)行指標(biāo)的選取。 德爾菲法也稱專家調(diào)查法，是一種分別將所需解決的問題單獨(dú)發(fā)送到各專家 手中，征詢專家意見和建議，然后回收匯總所有專家意見，并分析整理出綜合意 見。 階段一：進(jìn)行銀行核心業(yè)務(wù)（圍繞客戶賬戶和財(cái)務(wù)賬目的會(huì)計(jì)處理）、客 戶服 務(wù)柜面渠道和銀行內(nèi)外支付結(jié)算的信息化。 截止 2021年底，該銀行公私客戶賬戶達(dá) 360多萬個(gè)、日均業(yè)務(wù)交易筆數(shù)達(dá) 25 萬多筆、日均交易金額達(dá) 1000多億元人民幣；資本充足率為 %，資產(chǎn)收益率 為 %，其中利息收入占比 93%、投資收入占比 6%、手續(xù)費(fèi)收入占比 1%。從城市信用社起步，經(jīng)過十多年的發(fā)展，由 S省 較小的城市商業(yè)銀行成長(zhǎng)為綜合化經(jīng)營(yíng)、資產(chǎn)質(zhì)量較高、資本比較雄厚和資產(chǎn)規(guī) 模上千億元的省際區(qū)域性商業(yè)銀行，目前經(jīng)營(yíng)規(guī)模和綜合實(shí)力居西部城市商業(yè)銀 行首位。近 5年的資產(chǎn)規(guī)模連續(xù)呈現(xiàn)出高速增長(zhǎng)勢(shì)態(tài)，具體情況參見圖 11，截止 2021年底達(dá) 1512億元人民幣。 第三章 CD商業(yè)銀行 IT風(fēng)險(xiǎn)管理的必要性分析 國(guó)內(nèi)商業(yè)銀行的信息化發(fā)展過程，雖然也具有諾蘭等企業(yè)信息化發(fā)展理論模 型所描述的特征， 但限于外部市場(chǎng)及技術(shù)環(huán)境和內(nèi)部董事會(huì)及管理層的認(rèn)識(shí)、人 員素質(zhì)、經(jīng)濟(jì)實(shí)力、管理控制需要等因素的不同影響，其信息化發(fā)展表現(xiàn)出不同 的階段性特征。 在上一小節(jié)筆者將銀行信息化發(fā)展的實(shí)施路線劃分為三個(gè)階段，但是如果需 要構(gòu)建銀行信息化發(fā)展階段評(píng)價(jià)體系，必須確定若干衡量指標(biāo)。這 種方法具有廣泛的代表性，較為可靠。筆者對(duì)第二輪所得到的意見再次進(jìn)行 收集和匯總，再次分發(fā)給各位專家。因此， IT應(yīng)用數(shù)據(jù)的風(fēng)險(xiǎn)事件 不僅對(duì) 業(yè)務(wù)服務(wù)持續(xù)運(yùn)營(yíng)、金融資產(chǎn)及知識(shí)資產(chǎn)造成直接損失影響，還進(jìn)一步影響企業(yè) 核心競(jìng)爭(zhēng)力的成長(zhǎng)發(fā)展。下面將基于調(diào)查結(jié)果對(duì) CD 商業(yè)銀行信息化發(fā)展階段狀況進(jìn)行評(píng)價(jià)，并結(jié)合 調(diào)查及評(píng)價(jià)結(jié)果分析其面臨的固有 IT風(fēng)險(xiǎn)。 (4)人員組織的評(píng) 價(jià) 雖然員工電腦配備率達(dá)到 100%，但主要用于行政辦公和業(yè)務(wù)操作處理上，員 工在管理決策活動(dòng)上的 IT應(yīng)用較少。若在 I T 戰(zhàn)略規(guī)劃制定過程中，存在 IT系統(tǒng)架構(gòu)的選 擇不當(dāng)，將可 能使企業(yè)發(fā)展得不到所需要的 IT資源及能力，甚至給企業(yè)經(jīng)營(yíng)帶來 巨大的運(yùn)營(yíng)成本并形成負(fù)資產(chǎn)；若在制定 IT實(shí)施計(jì)劃中，存在對(duì)企業(yè)的 IT現(xiàn)狀分 析不清，安排的 IT項(xiàng)目沒有與企業(yè)戰(zhàn)略實(shí)施計(jì)劃安排的優(yōu)先順序和時(shí)間進(jìn)度相匹 配，將使企業(yè)戰(zhàn)略計(jì)劃實(shí)施因無法適時(shí)得到需要的 IT資源而難以實(shí)現(xiàn)。 該銀行現(xiàn)有 IT 系統(tǒng)依存的設(shè)施平臺(tái)的技術(shù)復(fù)雜度及運(yùn)營(yíng)規(guī)模已十分龐大，相 應(yīng)的系統(tǒng)脆弱性越來越多并且相互關(guān)聯(lián)、復(fù)雜作用，其網(wǎng)絡(luò)平臺(tái)系統(tǒng)對(duì)外互聯(lián)的 國(guó)際化、公眾化使其 IT系統(tǒng)脆弱性面臨的威脅也越來越多。 指標(biāo)精簡(jiǎn)的結(jié)果主要保留了對(duì) IT風(fēng)險(xiǎn)管 理現(xiàn)狀識(shí)別能力較強(qiáng)的指標(biāo)。筆者結(jié)合銀行完整風(fēng)險(xiǎn)管理的風(fēng) 險(xiǎn)管理環(huán)境、風(fēng)險(xiǎn)識(shí)別評(píng)估方法、風(fēng)險(xiǎn)內(nèi)部控制措施、信息交流溝通和監(jiān)督評(píng)價(jià) 糾正 5個(gè)要素，將 CD商業(yè)銀行 IT風(fēng)險(xiǎn)管理存在的主要問題進(jìn)行如下分類 梳理和歸納總結(jié)。主要 涉及重要 IT 系統(tǒng)開發(fā)投產(chǎn)、 IT系統(tǒng)運(yùn)行、重要 IT系統(tǒng)服務(wù)持續(xù)性、信息科技服 務(wù)外包和信息安全 5個(gè)領(lǐng)域。 從上文的評(píng)價(jià)結(jié)果可以發(fā)現(xiàn)存在的主要問題在于內(nèi)部審計(jì)部門缺少相應(yīng)的崗 位人員和 IT 審計(jì)的制度、準(zhǔn)則、工具缺乏。 (3)認(rèn)為 IT 高風(fēng)險(xiǎn)事件發(fā)生的可能性小，對(duì)銀行的直接經(jīng)濟(jì)影響 和經(jīng)營(yíng)者自 身利益的直接損失影響不明顯，造成經(jīng)營(yíng)管理者存在的僥幸心理。 因此，在該組織架構(gòu)體系下的職責(zé)分工，造成 CD商業(yè)銀行的 IT風(fēng)險(xiǎn)管理仍 局限于 IT 部門范圍內(nèi)和 IT系統(tǒng)安全層面，難以實(shí)行以企業(yè)目標(biāo)為導(dǎo)向的 IT風(fēng)險(xiǎn) 管理和將 IT 風(fēng)險(xiǎn)納入到企業(yè)整體風(fēng)險(xiǎn)管理體系中。因此，造成其 IT應(yīng)用活動(dòng)中的過程控制缺陷層出不窮， 使 IT 應(yīng)用活動(dòng)過程中的風(fēng)險(xiǎn)控制有效性不足。 筆者通過對(duì) CD商業(yè)銀行的情況調(diào)查，結(jié)合 CISR的研究成果，將 CD商業(yè)銀 行在各 IT 決策內(nèi)容的決策模式（參見表 51）作以下選擇。 業(yè)