【文章內(nèi)容簡(jiǎn)介】 下分類 梳理和歸納總結(jié)。 良好的風(fēng)險(xiǎn)管理環(huán)境，是銀行有效開展 IT風(fēng)險(xiǎn)管理的前提。主要涉及信息科 技治理領(lǐng)域中的董事會(huì)等組織層級(jí)的職責(zé)分工、人員配備、人員培 養(yǎng)、信息科技 風(fēng)險(xiǎn)意識(shí)培訓(xùn)和信息科技風(fēng)險(xiǎn)管理領(lǐng)域中的風(fēng)險(xiǎn)應(yīng)對(duì)策略及資源保障。 從上文的評(píng)價(jià)結(jié)果可以發(fā)現(xiàn)存在的主要問題是： CD商業(yè)銀行在 IT風(fēng)險(xiǎn)管理 的組織職責(zé)分工存在嚴(yán)重缺陷，風(fēng)險(xiǎn)管理部門和內(nèi)部審計(jì)部門未能有效參與到 IT 風(fēng)險(xiǎn)管理的工作中，造成 IT風(fēng)險(xiǎn)未能納入到企業(yè)層面進(jìn)行統(tǒng)一管理，仍由信息科 技部自建自管； IT風(fēng)險(xiǎn)管理的人員配備和培養(yǎng)也存在嚴(yán)重不足。 適時(shí)準(zhǔn)確地識(shí)別評(píng)估風(fēng)險(xiǎn)，是商業(yè)銀行 IT風(fēng)險(xiǎn)管理的基礎(chǔ)。主要涉及信息科 技風(fēng)險(xiǎn)管理領(lǐng)域的風(fēng)險(xiǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估。 從上文的評(píng)價(jià)結(jié)果可以發(fā)現(xiàn) 存在的主要問題是： CD商業(yè)銀行缺乏有效的 IT 風(fēng)險(xiǎn)識(shí)別評(píng)估方法。 對(duì)風(fēng)險(xiǎn)采取合理有效的內(nèi)部控制措施，是商業(yè)銀行 IT風(fēng)險(xiǎn)管理的關(guān)鍵。主要 涉及重要 IT 系統(tǒng)開發(fā)投產(chǎn)、 IT系統(tǒng)運(yùn)行、重要 IT系統(tǒng)服務(wù)持續(xù)性、信息科技服 務(wù)外包和信息安全 5個(gè)領(lǐng)域。 從上文的評(píng)價(jià)結(jié)果可以發(fā)現(xiàn)每個(gè)相關(guān)領(lǐng)域都存在不同程度的管理控制缺陷。 相對(duì)而言，控制措施缺陷問題最嚴(yán)重應(yīng)是信息科技服務(wù)外包、 IT系統(tǒng)服務(wù)持續(xù)性 和 IT 系統(tǒng)運(yùn)行監(jiān)控。 可靠及時(shí)充分地 IT相關(guān)信息，是商業(yè)銀行 IT風(fēng)險(xiǎn)管理的保障。主 要涉及信息 科技風(fēng)險(xiǎn)管理領(lǐng)域的風(fēng)險(xiǎn)監(jiān)測(cè)及信息溝通。 從上文的評(píng)價(jià)結(jié)果可以發(fā)現(xiàn)存在的主要問題在于溝通的信息不完整，缺少 IT 風(fēng)險(xiǎn)識(shí)別評(píng)估的結(jié)果信息。 IT 應(yīng)用活動(dòng)的控制狀況被持續(xù)地掌握控制，是商業(yè)銀行 IT 風(fēng)險(xiǎn)管理的重點(diǎn)。 主要涉及信息科技審計(jì)領(lǐng)域。 從上文的評(píng)價(jià)結(jié)果可以發(fā)現(xiàn)存在的主要問題在于內(nèi)部審計(jì)部門缺少相應(yīng)的崗 位人員和 IT 審計(jì)的制度、準(zhǔn)則、工具缺乏。 CD商業(yè)銀行 IT 風(fēng)險(xiǎn)管理問題的原因分析 筆者基于差距分析法對(duì) CD商業(yè)銀行的 IT風(fēng)險(xiǎn)管理現(xiàn)狀進(jìn)行了分析，發(fā)現(xiàn)其 存在的主要問 題。究其問題發(fā)生的根源，筆者分析認(rèn)為主要?dú)w結(jié)為以下三個(gè)方面： 經(jīng)營(yíng)管理意識(shí)問題、組織人員問題和 IT過程控制規(guī)范性問題。 CD商業(yè)銀行雖然資產(chǎn)規(guī)模上千億元，但其近兩年良好的資產(chǎn)收益主要來源于 信貸資產(chǎn)，受益于國內(nèi)貨幣市場(chǎng)的存貸息差政策、地方政府的政策性傾斜和存貸 款規(guī)模大、經(jīng)濟(jì)實(shí)力強(qiáng)的政企大客戶。 現(xiàn)有的企業(yè)信息化發(fā)展階段狀況，使其 IT給經(jīng)營(yíng)發(fā)展帶來的價(jià)值交付還未能 直接反映在經(jīng)營(yíng)收益的效果上。而現(xiàn)有客戶經(jīng)理關(guān)系營(yíng)銷的經(jīng)營(yíng)模式、存貸息差 為主的盈利模式、部門制為主的管理模式和存貸規(guī) 模帶發(fā)展的增長(zhǎng)模式，使 CD 商 業(yè)銀行的經(jīng)營(yíng)管理意識(shí)與企業(yè)現(xiàn)實(shí)的嚴(yán)峻 IT風(fēng)險(xiǎn)挑戰(zhàn)之間出現(xiàn)了偏差： (1)認(rèn)為 IT 只是業(yè)務(wù)和管理活動(dòng)的工具，工具產(chǎn)生問題不會(huì)對(duì)企業(yè)經(jīng)營(yíng)造成 嚴(yán)重影響，目前自身主要風(fēng)險(xiǎn)在于與業(yè)務(wù)相關(guān)的市場(chǎng)風(fēng)險(xiǎn)、信用風(fēng)險(xiǎn)和操作風(fēng)險(xiǎn)。 沒有看到 IT 與業(yè)務(wù)融合后的風(fēng)險(xiǎn)影響能力。 (2)認(rèn)為信息化只會(huì)給企業(yè)帶來機(jī)遇把握的好處，簡(jiǎn)單認(rèn)為只要把人、財(cái)、物 投入到信息活動(dòng)中，就肯定能得到應(yīng)有的價(jià)值回報(bào)，沒有認(rèn)識(shí)到通過風(fēng)險(xiǎn)管理才 能確保 IT 的價(jià)值回報(bào)。 (3)認(rèn)為 IT 高風(fēng)險(xiǎn)事件發(fā)生的可能性小，對(duì)銀行的直接經(jīng)濟(jì)影響 和經(jīng)營(yíng)者自 身利益的直接損失影響不明顯，造成經(jīng)營(yíng)管理者存在的僥幸心理。 (1)組織架構(gòu)設(shè)計(jì)存在缺陷 據(jù)筆者的調(diào)查，在 CD商業(yè)銀行現(xiàn)有的企業(yè)組織架構(gòu)（參見圖 42）為直線 職能型。 分析以上組織架構(gòu)圖內(nèi)各層級(jí)部門的具體職責(zé)，可進(jìn)一步發(fā)現(xiàn)該組織架構(gòu)在 IT 風(fēng)險(xiǎn)管理上存在的缺陷： IT 管理的職能部門作為企業(yè)信息化建設(shè)和 IT 系統(tǒng)管理的職能部門，同時(shí)獨(dú)自 承擔(dān)了全行 IT 風(fēng)險(xiǎn)的識(shí)別、評(píng)估和監(jiān)測(cè)、應(yīng)對(duì)控制的職責(zé)。但其從 IT系統(tǒng)層面識(shí) 別的系統(tǒng)安全風(fēng)險(xiǎn)，因其職責(zé)所限和職能部門的橫向協(xié)調(diào)機(jī)制缺乏而 不能被進(jìn)一 步納入到企業(yè)層面或業(yè)務(wù)層面進(jìn)行分析和應(yīng)對(duì)控制。 風(fēng)險(xiǎn)管理部作為全行統(tǒng)籌管理企業(yè)風(fēng)險(xiǎn)的職能部門，目前僅承擔(dān)了信用風(fēng)險(xiǎn)、 市場(chǎng)風(fēng)險(xiǎn)和業(yè)務(wù)操作風(fēng)險(xiǎn)的管理職責(zé)， IT風(fēng)險(xiǎn)未能明確納入其管理的職責(zé)范圍內(nèi)。 CTO（首席技術(shù)官或總工程師）作為總行高級(jí)管理層唯一獲取 IT風(fēng)險(xiǎn)信息的 渠道，但其現(xiàn)有的職責(zé)范圍卻不包括 IT風(fēng)險(xiǎn)的管理； 稽核審計(jì)部作為董事會(huì)直接獲取經(jīng)營(yíng)層信息和監(jiān)督?jīng)Q策執(zhí)行的渠道，其現(xiàn)有 職責(zé)范圍卻未明確對(duì) IT應(yīng)用及 IT 風(fēng)險(xiǎn)管理的監(jiān)督職責(zé)。 電子銀行部等業(yè)務(wù)條線管理部門和分支機(jī)構(gòu)作為 IT資源的使用部門， 直接能 夠了解其業(yè)務(wù)運(yùn)營(yíng)目標(biāo)對(duì) IT系統(tǒng)應(yīng)用服務(wù)中斷、 IT系統(tǒng)應(yīng)用數(shù)據(jù)損毀泄露等風(fēng)險(xiǎn) 影響的容忍能力，卻未在其職責(zé)范圍內(nèi)明確對(duì) IT風(fēng)險(xiǎn)管理的相應(yīng)職責(zé)。 董事會(huì)作為全行長(zhǎng)期戰(zhàn)略發(fā)展政策的制定和監(jiān)督者，其職責(zé)內(nèi)容卻未明確 IT 及其風(fēng)險(xiǎn)管理的決策監(jiān)督內(nèi)容，造成 IT及其風(fēng)險(xiǎn)管理政策缺乏企業(yè)全局戰(zhàn)略性依據(jù)。 因此，在該組織架構(gòu)體系下的職責(zé)分工，造成 CD商業(yè)銀行的 IT風(fēng)險(xiǎn)管理仍 局限于 IT 部門范圍內(nèi)和 IT系統(tǒng)安全層面，難以實(shí)行以企業(yè)目標(biāo)為導(dǎo)向的 IT風(fēng)險(xiǎn) 管理和將 IT 風(fēng)險(xiǎn)納入到企業(yè)整體風(fēng)險(xiǎn)管理體系中。 (2)人力資源存在不 足 風(fēng)險(xiǎn)管理部門作為全行獨(dú)立的風(fēng)險(xiǎn)統(tǒng)籌管理部門，應(yīng)當(dāng)能夠有效識(shí)別 IT風(fēng)險(xiǎn) 這一新的風(fēng)險(xiǎn)要素，并及時(shí)將 IT風(fēng)險(xiǎn)整合到企業(yè)整體風(fēng)險(xiǎn)管理體系中。但現(xiàn)有人 員的配備缺乏具備 IT風(fēng)險(xiǎn)管理專業(yè)能力的人員。 稽核審計(jì)部門作為全行獨(dú)立的監(jiān)督約束部門，應(yīng)當(dāng)為 IT及其風(fēng)險(xiǎn)管理活動(dòng)的 有效開展提供獨(dú)立的審查評(píng)價(jià)，并及時(shí)向企業(yè)董事會(huì)和高管層報(bào)告。但現(xiàn)有人員 的配備缺乏專業(yè)性的 IT審計(jì)人員。 信息科技部安全科作為全行唯一承擔(dān) IT風(fēng)險(xiǎn)管理職責(zé)的部門，目前配備 2名 人員的主要工作內(nèi)容基本都投入到 IT系統(tǒng)安全體系的建設(shè)維護(hù)工作上，難以承擔(dān) 企業(yè)層面 IT 風(fēng)險(xiǎn)管理的全部職責(zé)內(nèi)容。 業(yè)務(wù)部門人員的信息化素質(zhì)不足，難以立足于本職工作有效分析其業(yè)務(wù)運(yùn)營(yíng) 可能遭受的 IT 風(fēng)險(xiǎn)影響。 IT 應(yīng)用活動(dòng)過程控制規(guī)范性問題 通過筆者對(duì) CD商業(yè)銀行 IT應(yīng)用活動(dòng)過程控制措施的調(diào)查了解，其 IT 應(yīng)用 活動(dòng)的整個(gè)控制過程主要依賴于組織中個(gè)人的經(jīng)驗(yàn)?zāi)芰Γ?IT項(xiàng)目開發(fā)能部分遵 從軟件項(xiàng)目管理成熟度模型的規(guī)范性要求外，整體上其 IT應(yīng)用活動(dòng)的過程控制表 現(xiàn)得粗放而缺少規(guī)范性。因此，造成其 IT應(yīng)用活動(dòng)中的過程控制缺陷層出不窮， 使 IT 應(yīng)用活動(dòng)過程中的風(fēng)險(xiǎn)控制有效性不足。 第五章 CD商業(yè)銀行 IT風(fēng)險(xiǎn)管理的對(duì)策 IT 的組織治理 IT 風(fēng)險(xiǎn)管理最大的問題就是組織的責(zé)權(quán)不清。通過在組織的職責(zé)分工、人力 資源配置和教育培訓(xùn)等協(xié)調(diào)活動(dòng)，將能實(shí)現(xiàn)企業(yè)內(nèi)部 IT利益相關(guān)者協(xié)同參與 IT 風(fēng)險(xiǎn)管理活動(dòng)的良好風(fēng)險(xiǎn)管理環(huán)境。因此 CD商業(yè)銀行可以主要從組織的職責(zé) 分工、人力資源配置以及教育培訓(xùn)等三個(gè)方面進(jìn)行 IT的組織治理改進(jìn)。 CD商業(yè)銀行內(nèi)部 IT利益相關(guān)者主要包括董事會(huì)、高級(jí)管理層（業(yè)務(wù)高管和 IT 高管）、信息科技部、各業(yè)務(wù)部門、風(fēng)險(xiǎn)管理部和稽核審計(jì)部。 目前， CD商業(yè)銀行的信息化發(fā)展已經(jīng)進(jìn)入到業(yè)務(wù)流程的 IT再造和管理決策 知識(shí)化初期的階段， IT的規(guī)劃組織、項(xiàng)目開發(fā)投產(chǎn)和系統(tǒng)運(yùn)行支持活動(dòng)已觸及企 業(yè)各層級(jí)部門人員的利益，應(yīng)從企業(yè)組織層面按照內(nèi)部 IT利益相關(guān)者相互制衡、 利益相容的原則對(duì) IT的決策、執(zhí)行和監(jiān)督等職責(zé)進(jìn)行組織分工，以在平衡 IT風(fēng)險(xiǎn) 的基礎(chǔ)上確保 IT對(duì)企業(yè)目標(biāo)的價(jià)值交付。 （ 1） IT 決策的分工 CISR(麻省理工學(xué)院斯隆管理學(xué)院信息技術(shù)研究中心 )的模型理論 將企業(yè) IT 決策的模式和內(nèi)容歸納為以下方面： IT 決策模式分為六類：企業(yè)君主式，由企業(yè)經(jīng)營(yíng)管理層獨(dú) 立進(jìn)行 IT 決策； IT 君主式，由企業(yè) IT部門獨(dú)立進(jìn)行 IT決策；業(yè)務(wù)領(lǐng)地式，各業(yè)務(wù)部門各自獨(dú)立 進(jìn)行 IT 決策；企業(yè)聯(lián)邦式，由企業(yè)高管層和各職能部門共同進(jìn)行 IT決策； IT雙 寡頭式，由 IT 部門負(fù)責(zé)人和至少一個(gè)業(yè)務(wù)部門的負(fù)責(zé)人共同進(jìn)行 IT決策；無政府 式，企業(yè)內(nèi)的個(gè)體或小群體自行進(jìn)行 IT決策。 IT 決策內(nèi)容分為五類： IT原則，明確 IT的企業(yè)定位（愿景）及使命任務(wù)； IT 架構(gòu)，明確 IT在系統(tǒng)數(shù)據(jù)、應(yīng)用、基礎(chǔ)設(shè)施上邏輯組織的愿景及中長(zhǎng)期目標(biāo)； IT 基礎(chǔ)設(shè)施，明確企業(yè)需要的 IT資源能力；業(yè)務(wù)應(yīng)用需求，明確企業(yè)業(yè)務(wù)對(duì) IT 支持的需求； IT投資， IT資源投入的方向、領(lǐng)域、額度及優(yōu)先順序。 筆者通過對(duì) CD商業(yè)銀行的情況調(diào)查，結(jié)合 CISR的研究成果，將 CD商業(yè)銀 行在各 IT 決策內(nèi)容的決策模式（參見表 51）作以下選擇。 ① IT 原則選擇企業(yè)聯(lián)邦式?jīng)Q策模式的主要原因是： CD商業(yè)銀行董事會(huì)、高級(jí)管理層目前對(duì)企業(yè)信息化的理解不充分，雖然在 高級(jí)管理層配備了 1名類 CTO（首席技術(shù)官）角色的總工程師，但仍難以把握 IT 應(yīng)用對(duì)經(jīng)營(yíng)發(fā)展的價(jià)值作用； CD商業(yè)銀行業(yè)務(wù)部門負(fù)責(zé)人（除電子銀行部）普遍信息化素質(zhì)不足，對(duì) IT 技術(shù)發(fā)展趨勢(shì)掌握不清 楚，難以從業(yè)務(wù)發(fā)展角度主動(dòng)提出技術(shù)需求，但其負(fù)責(zé)運(yùn) 營(yíng)的業(yè)務(wù)對(duì) IT 需求強(qiáng)烈； 通過企業(yè)核心決策人員、業(yè)務(wù)部門和 IT部門負(fù)責(zé)人的共同參與，能夠在 IT 原則決策上形成智力資源的互補(bǔ)，確保 IT戰(zhàn)略與