【文章內(nèi)容簡介】 下分類 梳理和歸納總結(jié)。 良好的風(fēng)險管理環(huán)境，是銀行有效開展 IT風(fēng)險管理的前提。主要涉及信息科 技治理領(lǐng)域中的董事會等組織層級的職責(zé)分工、人員配備、人員培 養(yǎng)、信息科技 風(fēng)險意識培訓(xùn)和信息科技風(fēng)險管理領(lǐng)域中的風(fēng)險應(yīng)對策略及資源保障。 從上文的評價結(jié)果可以發(fā)現(xiàn)存在的主要問題是： CD商業(yè)銀行在 IT風(fēng)險管理 的組織職責(zé)分工存在嚴(yán)重缺陷，風(fēng)險管理部門和內(nèi)部審計部門未能有效參與到 IT 風(fēng)險管理的工作中，造成 IT風(fēng)險未能納入到企業(yè)層面進行統(tǒng)一管理，仍由信息科 技部自建自管； IT風(fēng)險管理的人員配備和培養(yǎng)也存在嚴(yán)重不足。 適時準(zhǔn)確地識別評估風(fēng)險，是商業(yè)銀行 IT風(fēng)險管理的基礎(chǔ)。主要涉及信息科 技風(fēng)險管理領(lǐng)域的風(fēng)險識別和風(fēng)險評估。 從上文的評價結(jié)果可以發(fā)現(xiàn) 存在的主要問題是： CD商業(yè)銀行缺乏有效的 IT 風(fēng)險識別評估方法。 對風(fēng)險采取合理有效的內(nèi)部控制措施，是商業(yè)銀行 IT風(fēng)險管理的關(guān)鍵。主要 涉及重要 IT 系統(tǒng)開發(fā)投產(chǎn)、 IT系統(tǒng)運行、重要 IT系統(tǒng)服務(wù)持續(xù)性、信息科技服 務(wù)外包和信息安全 5個領(lǐng)域。 從上文的評價結(jié)果可以發(fā)現(xiàn)每個相關(guān)領(lǐng)域都存在不同程度的管理控制缺陷。 相對而言，控制措施缺陷問題最嚴(yán)重應(yīng)是信息科技服務(wù)外包、 IT系統(tǒng)服務(wù)持續(xù)性 和 IT 系統(tǒng)運行監(jiān)控。 可靠及時充分地 IT相關(guān)信息，是商業(yè)銀行 IT風(fēng)險管理的保障。主 要涉及信息 科技風(fēng)險管理領(lǐng)域的風(fēng)險監(jiān)測及信息溝通。 從上文的評價結(jié)果可以發(fā)現(xiàn)存在的主要問題在于溝通的信息不完整，缺少 IT 風(fēng)險識別評估的結(jié)果信息。 IT 應(yīng)用活動的控制狀況被持續(xù)地掌握控制，是商業(yè)銀行 IT 風(fēng)險管理的重點。 主要涉及信息科技審計領(lǐng)域。 從上文的評價結(jié)果可以發(fā)現(xiàn)存在的主要問題在于內(nèi)部審計部門缺少相應(yīng)的崗 位人員和 IT 審計的制度、準(zhǔn)則、工具缺乏。 CD商業(yè)銀行 IT 風(fēng)險管理問題的原因分析 筆者基于差距分析法對 CD商業(yè)銀行的 IT風(fēng)險管理現(xiàn)狀進行了分析，發(fā)現(xiàn)其 存在的主要問 題。究其問題發(fā)生的根源，筆者分析認(rèn)為主要歸結(jié)為以下三個方面： 經(jīng)營管理意識問題、組織人員問題和 IT過程控制規(guī)范性問題。 CD商業(yè)銀行雖然資產(chǎn)規(guī)模上千億元，但其近兩年良好的資產(chǎn)收益主要來源于 信貸資產(chǎn)，受益于國內(nèi)貨幣市場的存貸息差政策、地方政府的政策性傾斜和存貸 款規(guī)模大、經(jīng)濟實力強的政企大客戶。 現(xiàn)有的企業(yè)信息化發(fā)展階段狀況，使其 IT給經(jīng)營發(fā)展帶來的價值交付還未能 直接反映在經(jīng)營收益的效果上。而現(xiàn)有客戶經(jīng)理關(guān)系營銷的經(jīng)營模式、存貸息差 為主的盈利模式、部門制為主的管理模式和存貸規(guī) 模帶發(fā)展的增長模式，使 CD 商 業(yè)銀行的經(jīng)營管理意識與企業(yè)現(xiàn)實的嚴(yán)峻 IT風(fēng)險挑戰(zhàn)之間出現(xiàn)了偏差： (1)認(rèn)為 IT 只是業(yè)務(wù)和管理活動的工具，工具產(chǎn)生問題不會對企業(yè)經(jīng)營造成 嚴(yán)重影響，目前自身主要風(fēng)險在于與業(yè)務(wù)相關(guān)的市場風(fēng)險、信用風(fēng)險和操作風(fēng)險。 沒有看到 IT 與業(yè)務(wù)融合后的風(fēng)險影響能力。 (2)認(rèn)為信息化只會給企業(yè)帶來機遇把握的好處，簡單認(rèn)為只要把人、財、物 投入到信息活動中，就肯定能得到應(yīng)有的價值回報，沒有認(rèn)識到通過風(fēng)險管理才 能確保 IT 的價值回報。 (3)認(rèn)為 IT 高風(fēng)險事件發(fā)生的可能性小，對銀行的直接經(jīng)濟影響 和經(jīng)營者自 身利益的直接損失影響不明顯，造成經(jīng)營管理者存在的僥幸心理。 (1)組織架構(gòu)設(shè)計存在缺陷 據(jù)筆者的調(diào)查，在 CD商業(yè)銀行現(xiàn)有的企業(yè)組織架構(gòu)（參見圖 42）為直線 職能型。 分析以上組織架構(gòu)圖內(nèi)各層級部門的具體職責(zé)，可進一步發(fā)現(xiàn)該組織架構(gòu)在 IT 風(fēng)險管理上存在的缺陷： IT 管理的職能部門作為企業(yè)信息化建設(shè)和 IT 系統(tǒng)管理的職能部門，同時獨自 承擔(dān)了全行 IT 風(fēng)險的識別、評估和監(jiān)測、應(yīng)對控制的職責(zé)。但其從 IT系統(tǒng)層面識 別的系統(tǒng)安全風(fēng)險，因其職責(zé)所限和職能部門的橫向協(xié)調(diào)機制缺乏而 不能被進一 步納入到企業(yè)層面或業(yè)務(wù)層面進行分析和應(yīng)對控制。 風(fēng)險管理部作為全行統(tǒng)籌管理企業(yè)風(fēng)險的職能部門，目前僅承擔(dān)了信用風(fēng)險、 市場風(fēng)險和業(yè)務(wù)操作風(fēng)險的管理職責(zé)， IT風(fēng)險未能明確納入其管理的職責(zé)范圍內(nèi)。 CTO（首席技術(shù)官或總工程師）作為總行高級管理層唯一獲取 IT風(fēng)險信息的 渠道，但其現(xiàn)有的職責(zé)范圍卻不包括 IT風(fēng)險的管理； 稽核審計部作為董事會直接獲取經(jīng)營層信息和監(jiān)督?jīng)Q策執(zhí)行的渠道，其現(xiàn)有 職責(zé)范圍卻未明確對 IT應(yīng)用及 IT 風(fēng)險管理的監(jiān)督職責(zé)。 電子銀行部等業(yè)務(wù)條線管理部門和分支機構(gòu)作為 IT資源的使用部門， 直接能 夠了解其業(yè)務(wù)運營目標(biāo)對 IT系統(tǒng)應(yīng)用服務(wù)中斷、 IT系統(tǒng)應(yīng)用數(shù)據(jù)損毀泄露等風(fēng)險 影響的容忍能力，卻未在其職責(zé)范圍內(nèi)明確對 IT風(fēng)險管理的相應(yīng)職責(zé)。 董事會作為全行長期戰(zhàn)略發(fā)展政策的制定和監(jiān)督者，其職責(zé)內(nèi)容卻未明確 IT 及其風(fēng)險管理的決策監(jiān)督內(nèi)容，造成 IT及其風(fēng)險管理政策缺乏企業(yè)全局戰(zhàn)略性依據(jù)。 因此，在該組織架構(gòu)體系下的職責(zé)分工，造成 CD商業(yè)銀行的 IT風(fēng)險管理仍 局限于 IT 部門范圍內(nèi)和 IT系統(tǒng)安全層面，難以實行以企業(yè)目標(biāo)為導(dǎo)向的 IT風(fēng)險 管理和將 IT 風(fēng)險納入到企業(yè)整體風(fēng)險管理體系中。 (2)人力資源存在不 足 風(fēng)險管理部門作為全行獨立的風(fēng)險統(tǒng)籌管理部門，應(yīng)當(dāng)能夠有效識別 IT風(fēng)險 這一新的風(fēng)險要素，并及時將 IT風(fēng)險整合到企業(yè)整體風(fēng)險管理體系中。但現(xiàn)有人 員的配備缺乏具備 IT風(fēng)險管理專業(yè)能力的人員。 稽核審計部門作為全行獨立的監(jiān)督約束部門，應(yīng)當(dāng)為 IT及其風(fēng)險管理活動的 有效開展提供獨立的審查評價，并及時向企業(yè)董事會和高管層報告。但現(xiàn)有人員 的配備缺乏專業(yè)性的 IT審計人員。 信息科技部安全科作為全行唯一承擔(dān) IT風(fēng)險管理職責(zé)的部門，目前配備 2名 人員的主要工作內(nèi)容基本都投入到 IT系統(tǒng)安全體系的建設(shè)維護工作上，難以承擔(dān) 企業(yè)層面 IT 風(fēng)險管理的全部職責(zé)內(nèi)容。 業(yè)務(wù)部門人員的信息化素質(zhì)不足，難以立足于本職工作有效分析其業(yè)務(wù)運營 可能遭受的 IT 風(fēng)險影響。 IT 應(yīng)用活動過程控制規(guī)范性問題 通過筆者對 CD商業(yè)銀行 IT應(yīng)用活動過程控制措施的調(diào)查了解，其 IT 應(yīng)用 活動的整個控制過程主要依賴于組織中個人的經(jīng)驗?zāi)芰?，?IT項目開發(fā)能部分遵 從軟件項目管理成熟度模型的規(guī)范性要求外，整體上其 IT應(yīng)用活動的過程控制表 現(xiàn)得粗放而缺少規(guī)范性。因此，造成其 IT應(yīng)用活動中的過程控制缺陷層出不窮， 使 IT 應(yīng)用活動過程中的風(fēng)險控制有效性不足。 第五章 CD商業(yè)銀行 IT風(fēng)險管理的對策 IT 的組織治理 IT 風(fēng)險管理最大的問題就是組織的責(zé)權(quán)不清。通過在組織的職責(zé)分工、人力 資源配置和教育培訓(xùn)等協(xié)調(diào)活動，將能實現(xiàn)企業(yè)內(nèi)部 IT利益相關(guān)者協(xié)同參與 IT 風(fēng)險管理活動的良好風(fēng)險管理環(huán)境。因此 CD商業(yè)銀行可以主要從組織的職責(zé) 分工、人力資源配置以及教育培訓(xùn)等三個方面進行 IT的組織治理改進。 CD商業(yè)銀行內(nèi)部 IT利益相關(guān)者主要包括董事會、高級管理層（業(yè)務(wù)高管和 IT 高管）、信息科技部、各業(yè)務(wù)部門、風(fēng)險管理部和稽核審計部。 目前， CD商業(yè)銀行的信息化發(fā)展已經(jīng)進入到業(yè)務(wù)流程的 IT再造和管理決策 知識化初期的階段， IT的規(guī)劃組織、項目開發(fā)投產(chǎn)和系統(tǒng)運行支持活動已觸及企 業(yè)各層級部門人員的利益，應(yīng)從企業(yè)組織層面按照內(nèi)部 IT利益相關(guān)者相互制衡、 利益相容的原則對 IT的決策、執(zhí)行和監(jiān)督等職責(zé)進行組織分工，以在平衡 IT風(fēng)險 的基礎(chǔ)上確保 IT對企業(yè)目標(biāo)的價值交付。 （ 1） IT 決策的分工 CISR(麻省理工學(xué)院斯隆管理學(xué)院信息技術(shù)研究中心 )的模型理論 將企業(yè) IT 決策的模式和內(nèi)容歸納為以下方面： IT 決策模式分為六類：企業(yè)君主式，由企業(yè)經(jīng)營管理層獨 立進行 IT 決策； IT 君主式，由企業(yè) IT部門獨立進行 IT決策；業(yè)務(wù)領(lǐng)地式，各業(yè)務(wù)部門各自獨立 進行 IT 決策；企業(yè)聯(lián)邦式，由企業(yè)高管層和各職能部門共同進行 IT決策； IT雙 寡頭式，由 IT 部門負責(zé)人和至少一個業(yè)務(wù)部門的負責(zé)人共同進行 IT決策；無政府 式，企業(yè)內(nèi)的個體或小群體自行進行 IT決策。 IT 決策內(nèi)容分為五類： IT原則，明確 IT的企業(yè)定位（愿景）及使命任務(wù)； IT 架構(gòu)，明確 IT在系統(tǒng)數(shù)據(jù)、應(yīng)用、基礎(chǔ)設(shè)施上邏輯組織的愿景及中長期目標(biāo)； IT 基礎(chǔ)設(shè)施，明確企業(yè)需要的 IT資源能力；業(yè)務(wù)應(yīng)用需求，明確企業(yè)業(yè)務(wù)對 IT 支持的需求； IT投資， IT資源投入的方向、領(lǐng)域、額度及優(yōu)先順序。 筆者通過對 CD商業(yè)銀行的情況調(diào)查，結(jié)合 CISR的研究成果，將 CD商業(yè)銀 行在各 IT 決策內(nèi)容的決策模式（參見表 51）作以下選擇。 ① IT 原則選擇企業(yè)聯(lián)邦式?jīng)Q策模式的主要原因是： CD商業(yè)銀行董事會、高級管理層目前對企業(yè)信息化的理解不充分，雖然在 高級管理層配備了 1名類 CTO（首席技術(shù)官）角色的總工程師，但仍難以把握 IT 應(yīng)用對經(jīng)營發(fā)展的價值作用； CD商業(yè)銀行業(yè)務(wù)部門負責(zé)人（除電子銀行部）普遍信息化素質(zhì)不足，對 IT 技術(shù)發(fā)展趨勢掌握不清 楚，難以從業(yè)務(wù)發(fā)展角度主動提出技術(shù)需求，但其負責(zé)運 營的業(yè)務(wù)對 IT 需求強烈； 通過企業(yè)核心決策人員、業(yè)務(wù)部門和 IT部門負責(zé)人的共同參與，能夠在 IT 原則決策上形成智力資源的互補，確保 IT戰(zhàn)略與