銀監(jiān)會規(guī)定銀行設CIO 90%不達標

申請免費試用、咨詢電話：400-8352-114

  6月1日，銀監(jiān)會在其官方網(wǎng)站上全文發(fā)布了《商業(yè)銀行信息科技風險管理指引》（以下簡稱新《指引》），原《銀行業(yè)金融機構信息系統(tǒng)風險管理指引》（銀監(jiān)發(fā)［2006］63號，以下簡稱原《指引》）同時廢止。新指引要求，商業(yè)銀行在決策層設立首席信息官（簡稱CIO），有利于商業(yè)銀行加強信息科技治理。而有關專家介紹，目前我國僅有交通銀行等少數(shù)幾家銀行設有首席信息官崗位，90%的銀行沒有設立該崗位。中國信息主管網(wǎng)記者在銀行官方網(wǎng)站查詢發(fā)現(xiàn)，僅有交通銀行、渤海銀行等少數(shù)幾家銀行的高管介紹里有首席信息官一職，大部分銀行的高管介紹里無任何有關首席信息官的信息。

　　銀監(jiān)會有關負責人表示，隨著銀行業(yè)信息化的發(fā)展，信息科技的作用已經從業(yè)務支持逐步走向與業(yè)務的融合，成為銀行穩(wěn)健運營和發(fā)展的支柱，定位在基本要求上的原《指引》已很難進一步滿足商業(yè)銀行信息科技風險管理的需要。另外，原《指引》對信息系統(tǒng)風險管理以原則性要求為主，在商業(yè)銀行執(zhí)行、操作層面的指導意義不夠完善。為此，銀監(jiān)會決定對原《指引》進行修訂，并重新定名為《商業(yè)銀行信息科技風險管理指引》。

　　新指引 新理念

　　名稱變化反映了實質內容的變化。與《銀行業(yè)金融機構信息系統(tǒng)風險管理指引》相比，新指引在名稱上有兩個變化：銀行業(yè)金融機構改為了商業(yè)銀行，信息系統(tǒng)改為了信息科技。銀監(jiān)會信息中心信息科技風險監(jiān)管處處長陳文雄在接受中國信息主管網(wǎng)記者采訪時表示，從信息系統(tǒng)改為信息科技，反映了監(jiān)管理念正在轉變。在起草新《指引》過程中，銀監(jiān)會貫徹了新的銀行監(jiān)管理念，即“管法人、管風險、管內控、提高透明度”的銀行監(jiān)管理念，表現(xiàn)在以下幾個方面：一是從堅持法人監(jiān)管出發(fā)，指出商業(yè)銀行法定代表人是本機構信息科技風險管理的第一責任人。二是從堅持風險監(jiān)管出發(fā)，要求商業(yè)銀行建立有效的機制，實現(xiàn)對信息科技風險的識別、計量、監(jiān)測和控制，提高信息技術使用水平。三是從內控監(jiān)管要求出發(fā)，要求商業(yè)銀行建立完整的管理組織架構，制訂完善的管理制度和流程，以相互制約的管理機制對信息科技各環(huán)節(jié)進行控制。四是從保護廣大儲戶利益出發(fā)，要求商業(yè)銀行在信息系統(tǒng)開發(fā)、測試和維護，以及服務外包過程中加強對客戶信息的保護，防止敏感信息泄露，對業(yè)務連續(xù)性管理也加以規(guī)范，保障客戶數(shù)據(jù)安全和服務連續(xù)。

　　從銀行業(yè)金融機構改為商業(yè)銀行，則反映了我國銀行業(yè)發(fā)展的不均衡性。陳文雄說，由于銀行業(yè)金融機構之間的差異很大，既有工行這樣的巨無霸，也有很小的信用社。為此，新的指引主要是針對商業(yè)銀行。但陳文雄指出，從銀行業(yè)金融機構改為商業(yè)銀行，主要是考慮商業(yè)銀行比較成熟。這并等于說，監(jiān)管的范圍縮小了。商業(yè)銀行之外的銀行業(yè)金融機構，應該參照執(zhí)行。

　　六大特點  三道防線

　　新《指引》具有以下六個較鮮明的特點：一是管理范疇由信息系統(tǒng)風險拓展至信息科技風險，全面覆蓋了商業(yè)銀行信息科技活動的各個環(huán)節(jié)，進一步明確了信息科技與銀行業(yè)務的關系；二是適用范圍由銀行業(yè)金融機構變?yōu)榉ㄈ松虡I(yè)銀行，其他銀行業(yè)金融機構參照執(zhí)行；三是信息科技治理作為首要內容提出，充實并細化了對商業(yè)銀行在治理層面的具體要求；四是以三個獨立章節(jié)的內容闡述了信息科技風險管理和內外部審計要求，特別是要求審計貫穿信息科技活動的整個過程之中；五是參照國際國內的標準和成功實踐，對商業(yè)銀行信息科技整個生命周期內的信息安全、業(yè)務連續(xù)性管理和外包等方面提出高標準、高要求，使操作性更強；六是加強了對客戶信息保護的要求。

　　原指引是對IT風險管理的最低標準，新指引可謂高標準高要求，是對信息科技風險管理的全面細化的闡述。難能可貴的是，新指引不僅提出了風險管理的高要求，還考慮了如何落實這個高要求。陳文雄說，僅靠銀行IT部門，是無法搞好信息科技風險管理的。新指引將為信息科技風險管理設計三道防線——信息科技管理、信息科技風險管理、信息科技風險審計。這三道防線應該分由銀行不同部門從不同角度來控制信息科技風險的，而不是由IT部門一個部門來做。

　　據(jù)介紹，今后銀監(jiān)會將繼續(xù)加強對商業(yè)銀行信息科技風險的監(jiān)管。一是對銀行業(yè)金融機構執(zhí)行新《指引》情況進行跟蹤，對不同類型機構的信息科技風險狀況進行分析，研究完善信息科技風險監(jiān)管制度體系；二是逐步開展以防范化解銀行業(yè)信息科技風險為目標的現(xiàn)場檢查；三是加強對銀行業(yè)信息科技風險的非現(xiàn)場監(jiān)管，研究建立信息科技風險評級體系，實現(xiàn)分類監(jiān)管和差別監(jiān)管，鼓勵商業(yè)銀行不斷提升信息科技風險管理水平。