【正文】 ③外包服務(wù)的監(jiān)督考核。 應(yīng)用系統(tǒng)開(kāi)發(fā)服務(wù)。 應(yīng)急處置流程的規(guī)范。 ②災(zāi)難備份恢復(fù)系統(tǒng)結(jié)構(gòu)選擇。 威脅利用資源、合同、章程和活動(dòng)過(guò)程上存在的脆弱點(diǎn)，形成對(duì) IT系統(tǒng)交付 時(shí)間、質(zhì)量和成本要求的具體影響。 (1)董事會(huì)、高管層。 因此，應(yīng)由 CD商業(yè)銀行的稽核審計(jì)部門(mén)負(fù)責(zé) IT監(jiān)督的權(quán)責(zé)。 ④業(yè)務(wù)應(yīng)用需求選擇企業(yè)聯(lián)邦式?jīng)Q策模式的主要原因是： CD商業(yè) 銀行董事會(huì)和經(jīng)營(yíng)管理層人員參與決策，能有效確保企業(yè)戰(zhàn)略需要業(yè) 務(wù)能優(yōu)先得到 IT資源的支持。 IT 應(yīng)用活動(dòng)過(guò)程控制規(guī)范性問(wèn)題 通過(guò)筆者對(duì) CD商業(yè)銀行 IT應(yīng)用活動(dòng)過(guò)程控制措施的調(diào)查了解，其 IT 應(yīng)用 活動(dòng)的整個(gè)控制過(guò)程主要依賴(lài)于組織中個(gè)人的經(jīng)驗(yàn)?zāi)芰Γ?IT項(xiàng)目開(kāi)發(fā)能部分遵 從軟件項(xiàng)目管理成熟度模型的規(guī)范性要求外，整體上其 IT應(yīng)用活動(dòng)的過(guò)程控制表 現(xiàn)得粗放而缺少規(guī)范性。 (2)認(rèn)為信息化只會(huì)給企業(yè)帶來(lái)機(jī)遇把握的好處，簡(jiǎn)單認(rèn)為只要把人、財(cái)、物 投入到信息活動(dòng)中，就肯定能得到應(yīng)有的價(jià)值回報(bào)，沒(méi)有認(rèn)識(shí)到通過(guò)風(fēng)險(xiǎn)管理才 能確保 IT 的價(jià)值回報(bào)。 對(duì)風(fēng)險(xiǎn)采取合理有效的內(nèi)部控制措施，是商業(yè)銀行 IT風(fēng)險(xiǎn)管理的關(guān)鍵。 指標(biāo)精簡(jiǎn)的方法主要是專(zhuān)家訪談法，即指標(biāo)的選取主要是基于和 IBM（中國(guó)）、 德勤華永（中國(guó)）、畢馬威（中國(guó)）、綠盟科技等 IT咨詢(xún)公司的 IT風(fēng)險(xiǎn)管理專(zhuān)家的 訪談。 但 IT 規(guī)劃與企業(yè)發(fā)展戰(zhàn)略規(guī)劃是否匹配一致，將給 CD商業(yè)銀行經(jīng)營(yíng)變革的 順利實(shí)施帶來(lái) IT風(fēng)險(xiǎn)挑戰(zhàn)。 筆者在本文首先基于德?tīng)柗品椒?gòu)建了銀行的信息化階段評(píng)價(jià)體系，并通過(guò) 現(xiàn)場(chǎng)查看、資料查閱和人員訪談等方式調(diào)查了 CD商業(yè)銀行信息化四個(gè)指標(biāo)的具體 情況。將六位專(zhuān)家第一 次判斷意見(jiàn)匯總，繪制成圖表，再一次分發(fā)給六位專(zhuān)家，讓各個(gè)專(zhuān)家比較自己同 他人的不同意見(jiàn)，修改自己的意見(jiàn)和判斷。 上述的三個(gè)階段代表了 IT與銀行業(yè)務(wù)及管理的不同融合程度，代表了不同銀 行信息化發(fā)展階段的水平。 (2)資產(chǎn)規(guī)模。 雖然，該銀行借助區(qū)域優(yōu)勢(shì)在十余年間取得了引人注目的發(fā)展，但目前隨著 區(qū)域金融市場(chǎng)壁壘被打破，其經(jīng)營(yíng)發(fā)展面臨無(wú)法回避 的挑戰(zhàn)： (1)外部挑戰(zhàn) 銀行業(yè)面臨日趨激烈的市場(chǎng)同質(zhì)化競(jìng)爭(zhēng)和資本市場(chǎng)及第三方支付帶來(lái)的“金 融脫媒”和“技術(shù)脫媒”嚴(yán)重威脅；國(guó)家為抑制經(jīng)濟(jì)過(guò)熱和流動(dòng)性過(guò)剩，嚴(yán)格控制了 銀行的信貸規(guī)模，使銀行傳統(tǒng)的規(guī)模發(fā)展模式受到了嚴(yán)重制約。隨后將該綜合意見(jiàn)再一次分別反饋給各個(gè)專(zhuān)家，再次征詢(xún)專(zhuān)家的意見(jiàn)，各專(zhuān) 家依據(jù)綜合意見(jiàn)保留或者修改自己上一輪的意見(jiàn)，然后再整理匯總。 依據(jù)國(guó)內(nèi)商業(yè)銀行信息化發(fā)展的基本實(shí)施路線，筆者將銀行的信息化階段對(duì) 應(yīng)著劃分為業(yè)務(wù)數(shù)據(jù)電算化、業(yè)務(wù)流程信息化和管理決策知識(shí)化三個(gè)階段，并依 據(jù)德?tīng)柗品椒ㄋ〉玫慕Y(jié)果從 IT應(yīng)用范圍、 IT設(shè)施平臺(tái)、 IT數(shù)據(jù)內(nèi)容和人員組織 等 四個(gè)指標(biāo)的內(nèi)容來(lái)劃分不同發(fā)展階段。 因此，在 IT 設(shè)施平臺(tái)指標(biāo)上具備完整的業(yè)務(wù)流程信息化階段特征 和極少的管 理決策知識(shí)化階段特征。 該銀行現(xiàn)有 IT 系統(tǒng)上的業(yè)務(wù)及管理應(yīng)用已承載了 3個(gè)省 6個(gè)大中型城市 360 多萬(wàn)客戶(hù)每天上千億元涉及生產(chǎn)投資及生活消費(fèi)活動(dòng)的資金正常流動(dòng)性需求。依 據(jù)對(duì)不同評(píng)價(jià)標(biāo)準(zhǔn)的符合程度的調(diào)查測(cè)量，分別給予 0、 1 3作為量化分值，其 中 0表示完全不符合、 12表示部分符合、 3表示完全符合。主 要涉及信息 科技風(fēng)險(xiǎn)管理領(lǐng)域的風(fēng)險(xiǎn)監(jiān)測(cè)及信息溝通。 風(fēng)險(xiǎn)管理部作為全行統(tǒng)籌管理企業(yè)風(fēng)險(xiǎn)的職能部門(mén)，目前僅承擔(dān)了信用風(fēng)險(xiǎn)、 市場(chǎng)風(fēng)險(xiǎn)和業(yè)務(wù)操作風(fēng)險(xiǎn)的管理職責(zé)， IT風(fēng)險(xiǎn)未能明確納入其管理的職責(zé)范圍內(nèi)。 CD商業(yè)銀行內(nèi)部 IT利益相關(guān)者主要包括董事會(huì)、高級(jí)管理層（業(yè)務(wù)高管和 IT 高管）、信息科技部、各業(yè)務(wù)部門(mén)、風(fēng)險(xiǎn)管理部和稽核審計(jì)部。 業(yè)務(wù)部門(mén)作為 IT資源的使用者，往往會(huì)從自身業(yè)務(wù)需求來(lái)提出 IT投資要求。 (1)IT 部門(mén) 人員。應(yīng)提升 IT 項(xiàng)目的開(kāi)發(fā)交付能力和 IT系統(tǒng)的高效安全運(yùn)營(yíng)能力， 增強(qiáng) IT 系統(tǒng)安全隱患的識(shí)別控制。其中項(xiàng)目資源，主要 包括人 員在數(shù)量、能力上存在的不足，經(jīng)費(fèi)預(yù)算上的不足，專(zhuān)業(yè)工具的不足，時(shí)間安排 上的不合理；外包合同，主要包括雙方責(zé)權(quán)利約定和產(chǎn)品服務(wù)標(biāo)準(zhǔn)等關(guān)鍵內(nèi)容存 在缺陷；章程計(jì)劃，主要包括項(xiàng)目人員職責(zé)分工、項(xiàng)目交付成果、項(xiàng)目驗(yàn)收標(biāo)準(zhǔn)、 任務(wù)分解及進(jìn)度計(jì)劃、變更原則存在缺失缺陷；活動(dòng)過(guò)程，主要包括項(xiàng)目發(fā)起立 項(xiàng)、開(kāi)發(fā)實(shí)施和測(cè)試驗(yàn)收過(guò)程存在控制缺陷。 RTO是指 IT系統(tǒng)從服務(wù)中斷到服務(wù)恢復(fù)正常的時(shí)間要求。對(duì) CD商業(yè) 銀行這樣的跨省域經(jīng)營(yíng)的銀行，每年應(yīng)至少進(jìn)行一次災(zāi)備中心切換、網(wǎng)絡(luò)演練。 經(jīng)營(yíng)能力。（資料來(lái)源：銀監(jiān)會(huì)內(nèi)部 資料） 因此，對(duì) CD商業(yè)銀行知識(shí)化程 度高的外包服務(wù)，應(yīng)要求外包商將 IT服務(wù)的 相關(guān)知識(shí)通過(guò)文檔、 IT系統(tǒng)平臺(tái)等方式及時(shí)共享出來(lái)。 (2)外包服務(wù)交付 ①外包服務(wù)日常管理。 CD商業(yè)銀行缺乏既能懂業(yè)務(wù)發(fā)展又懂 IT發(fā)展高端規(guī)劃人才， 對(duì)外部專(zhuān)業(yè)咨詢(xún)機(jī)構(gòu)服務(wù)的需求難以回避。 (2)應(yīng)急管理體系完善 CD商業(yè)銀行應(yīng)從應(yīng)急預(yù)案準(zhǔn)備、應(yīng)急預(yù)案演練兩個(gè)方面來(lái)完善應(yīng)急管理體 系，實(shí)現(xiàn) IT 系統(tǒng)服務(wù)中斷突發(fā)性事件甚至是災(zāi)難性事件發(fā)生后， IT 系統(tǒng)服務(wù)能有 效實(shí)現(xiàn)恢復(fù)持續(xù)運(yùn)行。 CD商業(yè)銀行應(yīng)通過(guò)對(duì)災(zāi)難恢復(fù)能力的構(gòu)建和應(yīng)急管理體系的完善，確保 IT 系統(tǒng)突發(fā)服務(wù)中斷事件后能及時(shí)控制服務(wù)中斷損失和恢復(fù)正常服務(wù)。 因素關(guān)系分析方法的主要研究思路是根據(jù)風(fēng)險(xiǎn)的分類(lèi)，找出引發(fā)這類(lèi)風(fēng)險(xiǎn)事 件共同的因素及關(guān)系，然后分析因素對(duì)該類(lèi)風(fēng)險(xiǎn)事件發(fā)生可能性的影響作用和圍 繞企業(yè)目標(biāo)評(píng)價(jià)風(fēng)險(xiǎn)事件的可能影響程度。需補(bǔ)充配置熟悉金融相關(guān)法律、法規(guī)和金融風(fēng)險(xiǎn)管理制度， 掌握 IT 風(fēng)險(xiǎn)管理、信息安全等專(zhuān)業(yè)知識(shí)的人員。 筆者認(rèn)為，可采用矩陣式組織模式，在 CD 商業(yè)銀行經(jīng)營(yíng)管理層下設(shè)立 IT管 理委員會(huì)，由經(jīng)營(yíng)管理層的 IT高管或董事人員牽頭負(fù)責(zé)和業(yè)務(wù)部門(mén)及風(fēng)險(xiǎn)管理部 負(fù)責(zé)人參與負(fù)責(zé)。 ② IT 架構(gòu)選擇企業(yè)聯(lián)邦式?jīng)Q策模式的主要原因是： IT 架構(gòu)的內(nèi)容既包括了企業(yè)信息、業(yè)務(wù)應(yīng)用的應(yīng)用架構(gòu)和數(shù)據(jù)架構(gòu)，又包括了技術(shù)設(shè)施的架構(gòu)，涉及了業(yè)務(wù)和技術(shù)兩方面的需求。但現(xiàn)有人 員的配備缺乏具備 IT風(fēng)險(xiǎn)管理專(zhuān)業(yè)能力的人員。究其問(wèn)題發(fā)生的根源，筆者分析認(rèn)為主要?dú)w結(jié)為以下三個(gè)方面： 經(jīng)營(yíng)管理意識(shí)問(wèn)題、組織人員問(wèn)題和 IT過(guò)程控制規(guī)范性問(wèn)題。主要涉及信息科 技治理領(lǐng)域中的董事會(huì)等組織層級(jí)的職責(zé)分工、人員配備、人員培 養(yǎng)、信息科技 風(fēng)險(xiǎn)意識(shí)培訓(xùn)和信息科技風(fēng)險(xiǎn)管理領(lǐng)域中的風(fēng)險(xiǎn)應(yīng)對(duì)策略及資源保障。 由此可以看到， CD商業(yè)銀行面臨嚴(yán)峻的固有 IT風(fēng)險(xiǎn)挑戰(zhàn)，亟需通過(guò)構(gòu)建成 熟完整的 IT 風(fēng)險(xiǎn)管控體系來(lái)有效管理其 IT 規(guī)劃、 IT系統(tǒng)交付和 IT 系統(tǒng)運(yùn)行活動(dòng) 帶來(lái)的風(fēng)險(xiǎn)。 因此，在人員組織方面具備業(yè)務(wù)流程信息化階段的主要特征。通過(guò)對(duì) CD商業(yè)銀行的信息化發(fā)展 狀況進(jìn)行調(diào)查將有助于采取更為有針對(duì)性的 IT風(fēng)險(xiǎn)管理措施。德?tīng)柗品椒ㄒ彩倾y行業(yè)中 IT評(píng)估的一種較為常用的決策方法。 結(jié)合筆者在銀行業(yè)從業(yè)多年所觀察了解到的銀行信息化發(fā)展的實(shí)際情況和 查閱相關(guān)文獻(xiàn)資料 [1][1922]，筆者認(rèn)為目前國(guó)內(nèi)商業(yè)銀行信息化發(fā)展的基本實(shí)施路 線可以劃分成如下的三個(gè)階段。CD商業(yè)銀行 IT風(fēng)險(xiǎn)管理 CD商業(yè)銀行簡(jiǎn)介 CD商業(yè)銀行作為一家城市商業(yè)銀行，成立于 1996年，其市場(chǎng)定位于服務(wù)區(qū) 域經(jīng)濟(jì)、中小企業(yè)和城市居民。因此，有必要對(duì)國(guó)內(nèi)商業(yè)銀行的信息化發(fā)展階段構(gòu)建一個(gè)具有針 對(duì)性的評(píng)估體系。德?tīng)柗品椒ū徽J(rèn)為是一種最為有效的判斷 預(yù)測(cè)法。 在構(gòu)建了銀行信息化發(fā)展階段評(píng)價(jià)體系以及不同階段的衡量標(biāo)準(zhǔn)之后，筆者 對(duì) CD商業(yè)銀行的信息化發(fā)展?fàn)顩r進(jìn)行了調(diào)查。信息化素質(zhì)較高的員工主要集中在操作執(zhí)行 層面，管理決策層面的信息化素質(zhì)欠缺。因此，其 IT系統(tǒng)發(fā)生 不可用、非法訪問(wèn)、不完整等安全性風(fēng)險(xiǎn)事件的可能性越來(lái)越大。 良好的風(fēng)險(xiǎn)管理環(huán)境，是銀行有效開(kāi)展 IT風(fēng)險(xiǎn)管理的前提。 CD商業(yè)銀行 IT 風(fēng)險(xiǎn)管理問(wèn)題的原因分析 筆者基于差距分析法對(duì) CD商業(yè)銀行的 IT風(fēng)險(xiǎn)管理現(xiàn)狀進(jìn)行了分析，發(fā)現(xiàn)其 存在的主要問(wèn) 題。 (2)人力資源存在不 足 風(fēng)險(xiǎn)管理部門(mén)作為全行獨(dú)立的風(fēng)險(xiǎn)統(tǒng)籌管理部門(mén)，應(yīng)當(dāng)能夠有效識(shí)別 IT風(fēng)險(xiǎn) 這一新的風(fēng)險(xiǎn)要素，并及時(shí)將 IT風(fēng)險(xiǎn)整合到企業(yè)整體風(fēng)險(xiǎn)管理體系中。 ① IT 原則選擇企業(yè)聯(lián)邦式?jīng)Q策模式的主要原因是： CD商業(yè)銀行董事會(huì)、高級(jí)管理層目前對(duì)企業(yè)信息化的理解不充分，雖然在 高級(jí)管理層配備了 1名類(lèi) CTO（首席技術(shù)官）角色的總工程師，但仍難以把握 IT 應(yīng)用對(duì)經(jīng)營(yíng)發(fā)展的價(jià)值作用； CD商業(yè)銀行業(yè)務(wù)部門(mén)負(fù)責(zé)人（除電子銀行部）普遍信息化素質(zhì)不足，對(duì) IT 技術(shù)發(fā)展趨勢(shì)掌握不清 楚，難以從業(yè)務(wù)發(fā)展角度主動(dòng)提出技術(shù)需求，但其負(fù)責(zé)運(yùn) 營(yíng)的業(yè)務(wù)對(duì) IT 需求強(qiáng)烈； 通過(guò)企業(yè)核心決策人員、業(yè)務(wù)部門(mén)和 IT部門(mén)負(fù)責(zé)人的共同參與，能夠在 IT 原則決策上形成智力資源的互補(bǔ)，確保 IT戰(zhàn)略與企業(yè)戰(zhàn)略的一致性和 IT政策的明 確。雖然有效發(fā)揮了決策權(quán)力協(xié)調(diào)和信息溝通的 作用，但也會(huì)造成因無(wú)具體責(zé)任而決策效率低下的局面。 (3)風(fēng)險(xiǎn)管理部門(mén)。 IT 風(fēng)險(xiǎn)的識(shí)別評(píng)估方法 由于