基于對當(dāng)前銀行業(yè)金融機(jī)構(gòu)，尤其是中小銀行業(yè)金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理的現(xiàn)狀較為深入的了解，盛邦安全將在本年度陸續(xù)發(fā)布針對中小金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理現(xiàn)狀觀察的系列文章，旨在基于對中小銀行信息科技風(fēng)險(xiǎn)管理整體現(xiàn)狀的認(rèn)知，提煉和分享當(dāng)前行業(yè)信息科技風(fēng)險(xiǎn)管理體系建設(shè)面臨的問題和良好實(shí)踐，以期啟發(fā)更多的行業(yè)思考和討論。

本期討論的主題是金融行業(yè)信息科技治理，將圍繞《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》（以下簡稱《指引》）第二章信息科技治理中的幾個(gè)關(guān)鍵監(jiān)管要求，分享當(dāng)前中小銀行信息科技治理的現(xiàn)狀和行業(yè)內(nèi)的一些卓有成效的實(shí)踐。

《指引》中的要求一：商業(yè)銀行法定代表人是本機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理的第一責(zé)任人

理論上商業(yè)銀行法定代表人（通常是董事長）是該機(jī)構(gòu)所有事務(wù)的第一責(zé)任人， 但是商業(yè)銀行業(yè)務(wù)復(fù)雜而繁瑣，法定代表人關(guān)注的管理領(lǐng)域必然會有輕重緩急，如何讓第一責(zé)任人真正關(guān)注和重視信息科技風(fēng)險(xiǎn)？

監(jiān)管機(jī)構(gòu)推動(dòng)的信息科技監(jiān)管評級是推動(dòng)金融機(jī)構(gòu)開展信息科技風(fēng)險(xiǎn)管理的重要制度保障，也是有力的“監(jiān)管抓手”。我們在同中小銀行客戶溝通的過程中發(fā)現(xiàn)，監(jiān)管評級雖然在一定程度上會促進(jìn)機(jī)構(gòu)的決策和管理層重視信息科技風(fēng)險(xiǎn)，但是管理層的意識仍然停留在保證“合規(guī)”的層面，目的是不讓信息科技風(fēng)險(xiǎn)拉低機(jī)構(gòu)整體評級。這種意識造成的結(jié)果是信息科技風(fēng)險(xiǎn)管理從頂層設(shè)計(jì)上是面向“合規(guī)”而不是面向“業(yè)務(wù)需要”，這樣會造成機(jī)構(gòu)的信息科技風(fēng)險(xiǎn)管理工作缺乏一個(gè)重要的推動(dòng)引擎，就是“保障業(yè)務(wù)”。

推動(dòng)決策層和高管層重視信息科技風(fēng)險(xiǎn)管理，首先要提升高層的信息科技風(fēng)險(xiǎn)管理意識。由于銀行運(yùn)營對金融科技的高度依賴，信息科技風(fēng)險(xiǎn)是可以導(dǎo)致銀行業(yè)金融機(jī)構(gòu)瞬間停業(yè)的風(fēng)險(xiǎn)因素，最近幾年已經(jīng)發(fā)生過多起因?yàn)樾畔⑾到y(tǒng)故障或數(shù)據(jù)中心機(jī)房運(yùn)維事故而導(dǎo)致的銀行業(yè)務(wù)停擺事件，少則幾個(gè)小時(shí)，多則幾天，不僅直接影響業(yè)務(wù)收入，也給銀行帶來聲譽(yù)、法律、合規(guī)等一系列間接風(fēng)險(xiǎn)。發(fā)生重大中斷事件的機(jī)構(gòu)也不可避免地面臨罰款和高管撤職等監(jiān)管處罰，給銀行正常運(yùn)營帶來重大影響。

目前各級監(jiān)管機(jī)構(gòu)發(fā)布的風(fēng)險(xiǎn)提示，尤其是行業(yè)內(nèi)重大的風(fēng)險(xiǎn)事件，很多時(shí)候并不能傳遞給銀行決策層和高管層，這也是影響銀行高層提升意識和更好決策的一個(gè)因素。行業(yè)內(nèi)領(lǐng)先的銀行業(yè)機(jī)構(gòu)會借助行內(nèi)信息科技風(fēng)險(xiǎn)管理相關(guān)溝通機(jī)制（如全行風(fēng)險(xiǎn)管理委員會、行長辦公會、信息科技管理委員會等）及時(shí)準(zhǔn)確地開展內(nèi)外部信息的溝通，推動(dòng)銀行高層在信息科技風(fēng)險(xiǎn)管理領(lǐng)域的意識提升，對于同業(yè)中發(fā)生的重大事件組織專項(xiàng)研討和臨時(shí)組織擴(kuò)大會議，用別人的“教訓(xùn)”警醒自己。通過采取這些活動(dòng)，也可以從另外一個(gè)層面作為印證高層在信息科技風(fēng)險(xiǎn)管理領(lǐng)域履職和作為的證據(jù)，以便提供給監(jiān)管和外部評估和審計(jì)機(jī)構(gòu)。

《指引》中的要求二：應(yīng)設(shè)立信息科技管理委員會

《指引》在董事會應(yīng)履行的信息科技職責(zé)里明確要求，要設(shè)立一個(gè)由來自高級管理層、信息科技部門和主要業(yè)務(wù)部門的代表組成的專門信息科技管理委員會，負(fù)責(zé)監(jiān)督各項(xiàng)職責(zé)的落實(shí)，定期向董事會和高級管理層匯報(bào)信息科技戰(zhàn)略規(guī)劃的執(zhí)行、信息科技預(yù)算和實(shí)際支出、信息科技的整體狀況。

盛邦安全發(fā)現(xiàn)，幾乎所有的中小銀行業(yè)金融機(jī)構(gòu)都設(shè)置了信息科技管理委員會，部分機(jī)構(gòu)不僅在經(jīng)營管理層，也在董事會下設(shè)置了信息科技管理委員會，并制定了相關(guān)的議事規(guī)則。但以信息科技管理委員會名義發(fā)起的專題會議普遍不是很多，會議頻率也比較低。很多中小銀行業(yè)金融機(jī)構(gòu)的信息科技相關(guān)議題是通過行長辦公會決議和審批的，“虛擬”機(jī)構(gòu)信息科技管理委員會徹底變“虛無”了。一些外部機(jī)構(gòu)開展的信息科技評估或?qū)徲?jì)，可能連一份信息科技管理委員會的會議紀(jì)要或者決議都找不到。

此外，監(jiān)管機(jī)構(gòu)在信息科技的一些專項(xiàng)監(jiān)管指引或辦法里明確要求，銀行業(yè)金融機(jī)構(gòu)要成立相關(guān)專題的管理委員會或者領(lǐng)導(dǎo)小組，涉及的專題包括但不限于業(yè)務(wù)連續(xù)性管理、信息安全管理、應(yīng)急管理等。部分中小銀行在設(shè)置相關(guān)專題委員會方面普遍存在滯后和不到位的情況；滯后的原因是，各個(gè)專業(yè)委員會或者領(lǐng)導(dǎo)小組成員基本都是銀行的中高層成員，再分別設(shè)置會導(dǎo)致委員會過多，同時(shí)會議舉行的頻率又不高，因此沒有得到應(yīng)有的重視。嚴(yán)格來說這存在合規(guī)的風(fēng)險(xiǎn)，尤其是如果發(fā)生類似相關(guān)事件或者事故，這個(gè)責(zé)任就要管理層來承擔(dān)了。

針對類似顧慮，有些中小銀行在這方面有些善巧的方法，即按照合規(guī)要求或者業(yè)務(wù)需求發(fā)文成立監(jiān)管要求的相關(guān)委員會或者領(lǐng)導(dǎo)小組，明確規(guī)定哪些議題必須通過委員會組織商議，同時(shí)在相關(guān)的議事規(guī)則中明確可以同其他會員或領(lǐng)導(dǎo)小組共同組織聯(lián)席會議，一個(gè)會議可能會涉及多個(gè)相關(guān)專題，會后形成聯(lián)席會議紀(jì)要；這樣既保證了合規(guī)，又解決了多個(gè)委員會或領(lǐng)導(dǎo)小組分別牽頭組織專題會議的問題。

《指引》中的要求三：商業(yè)銀行應(yīng)設(shè)立首席信息官（CIO）

《指引》第八條中要求商業(yè)銀行應(yīng)設(shè)立首席信息官，直接向行長匯報(bào)并參與決策；并明確了首席信息官的職責(zé)，包括但不限于參與本銀行與信息科技運(yùn)用有關(guān)的業(yè)務(wù)發(fā)展決策；確?？萍紤?zhàn)略與業(yè)務(wù)戰(zhàn)略同步；負(fù)責(zé)建立信息科技部門；確保信息科技風(fēng)險(xiǎn)管理有效性等。

在中小銀行，我們發(fā)現(xiàn)明確設(shè)立了首席信息官的金融機(jī)構(gòu)占比很小，大多數(shù)中小銀行業(yè)機(jī)構(gòu)還是由傳統(tǒng)的（副）行長分管的模式，而分管信息科技管理的高層領(lǐng)導(dǎo)，絕大多數(shù)并不具備信息科技的背景，這樣《指引》要求的對于首席信息官的職責(zé)的落地就很難達(dá)到理想的治理效果，信息科技建設(shè)停留在信息科技部門的高度。

此外，我們發(fā)現(xiàn)已經(jīng)設(shè)立了首席信息官的中小金融機(jī)構(gòu)存在兩個(gè)情況：一是首席信息官并不直接分管信息科技部門，很多時(shí)候成為一個(gè)“咨詢”的角色，并不具備推動(dòng)和把握信息科技建設(shè)的權(quán)限，也并不能實(shí)質(zhì)性協(xié)調(diào)業(yè)務(wù)和科技的關(guān)系；二是，首席信息官雖然負(fù)責(zé)信息科技部門的一部分管理工作，但是和信息科技部門負(fù)責(zé)人存在管理邊界和職責(zé)分工，在具體工作的協(xié)調(diào)和目標(biāo)的一致性方面存在分歧，或者存在各自為政的現(xiàn)象，尤其是在CIO和分管科技的行長角色并存的情況下。

我們發(fā)現(xiàn)，設(shè)立了首席信息官職位并且首席信息官分管信息科技部門或兼任信息科技部門負(fù)責(zé)人的銀行業(yè)金融機(jī)構(gòu)，在開展信息科技規(guī)劃和推動(dòng)信息科技建設(shè)過程中，發(fā)揮科技和業(yè)務(wù)協(xié)調(diào)的橋梁作用的機(jī)制就會順暢很多。同時(shí)，首席信息官承擔(dān)了科技規(guī)劃支撐業(yè)務(wù)規(guī)劃的戰(zhàn)略任務(wù)和職責(zé)，信息科技部門的執(zhí)行力將大大提高。

《指引》中的要求四：商業(yè)銀行應(yīng)設(shè)立或指派一個(gè)特定部門負(fù)責(zé)信息科技風(fēng)險(xiǎn)管理工作

《指引》第十條規(guī)定商業(yè)銀行應(yīng)設(shè)立或指派一個(gè)特定部門負(fù)責(zé)信息科技風(fēng)險(xiǎn)管理工作。信息科技風(fēng)險(xiǎn)管理部門承擔(dān)的信息科技風(fēng)險(xiǎn)管理工作，歸納起來包括協(xié)調(diào)制定信息科技風(fēng)險(xiǎn)管理策略、提供信息科技風(fēng)險(xiǎn)管控建議、實(shí)施風(fēng)險(xiǎn)評估、問題整改跟蹤、日常威脅監(jiān)控等核心職能。

通過對監(jiān)管要求的解讀我們可以發(fā)現(xiàn)，首先，金融機(jī)構(gòu)要制定一個(gè)特定的部門來負(fù)責(zé)信息科技風(fēng)險(xiǎn)管理，至于這個(gè)部門設(shè)在銀行的科技部門還是風(fēng)險(xiǎn)管理部門，在監(jiān)管要求中并沒有明確，存在執(zhí)行的彈性；這個(gè)彈性從監(jiān)管要求的直接匯報(bào)對象中也能看出來，就是直接向首席信息官或首席風(fēng)險(xiǎn)官匯報(bào)，監(jiān)管為機(jī)構(gòu)留下了執(zhí)行過程中的可選項(xiàng)。

同時(shí)，我們觀察到一部分銀行業(yè)金融機(jī)構(gòu)把信息科技風(fēng)險(xiǎn)管理部門設(shè)置在信息科技部，由單獨(dú)的部門和崗位來承擔(dān)這部分職責(zé)，或者由負(fù)責(zé)安全管理的部門來承擔(dān)信息科技風(fēng)險(xiǎn)管理的職責(zé)；這種設(shè)置更多的工作重心是面向監(jiān)管合規(guī)層面的工作落實(shí)；這種機(jī)制的優(yōu)點(diǎn)是風(fēng)險(xiǎn)管理沒有脫離一線業(yè)務(wù)，弊端主要是信息科技風(fēng)險(xiǎn)管理工作的開展會或多或少缺乏一定的獨(dú)立自主性。

從行業(yè)實(shí)踐來看，大多數(shù)中小銀行業(yè)金融機(jī)構(gòu)把信息科技風(fēng)險(xiǎn)管理工作職責(zé)分配給風(fēng)險(xiǎn)管理部門承擔(dān)，這也符合銀行業(yè)金融機(jī)構(gòu)“三道防線”的頂層設(shè)計(jì)原則，做到了咨詢、監(jiān)督、實(shí)施等職責(zé)的分離；目前出現(xiàn)比較多的一個(gè)機(jī)制是“一二道防線融合”，風(fēng)險(xiǎn)管理部門將信息科技風(fēng)險(xiǎn)管理?xiàng)l線派駐到信息科技部門開展工作，向風(fēng)險(xiǎn)管理部門和信息科技部門雙線或單線匯報(bào)，這種機(jī)制對于貼近信息科技部門業(yè)務(wù)開展信息科技風(fēng)險(xiǎn)管理、與時(shí)俱進(jìn)的了解當(dāng)前行內(nèi)金融科技的新技術(shù)和新架構(gòu)并研究相關(guān)風(fēng)險(xiǎn)控制機(jī)制提供了環(huán)境和土壤；不脫離一線業(yè)務(wù)，對于提升信息科技風(fēng)險(xiǎn)管理能力有更大的幫助。

對于信息科技風(fēng)險(xiǎn)管理部門的崗位設(shè)置和人員配備，對于中小銀行業(yè)金融機(jī)構(gòu)一直是一個(gè)比較大的挑戰(zhàn)，需要既精通風(fēng)險(xiǎn)管理體系，又有比較強(qiáng)的信息科技背景的復(fù)合型人才；要跨部門和跨崗位溝通，對溝通協(xié)調(diào)能力也有一定的要求。這樣的人才在行業(yè)內(nèi)比較緊缺，需要金融機(jī)構(gòu)通過時(shí)間去培養(yǎng)和積累或者從外部引入。

人才的積累和培養(yǎng)依賴于金融機(jī)構(gòu)的決策者和高層管理者的高度重視。從合規(guī)的角度看，很多銀行設(shè)置了信息科技風(fēng)險(xiǎn)管理崗（大多是從信息科技部門選擇適合人員跨部門調(diào)動(dòng)的方式），但是在實(shí)際工作中這些崗位又存在兼職兼崗的情況，對人才的培訓(xùn)和培養(yǎng)也缺乏相應(yīng)機(jī)制；這從一個(gè)側(cè)面反映了部分管理者對這個(gè)領(lǐng)域還是沒有引起足夠的重視。我們發(fā)現(xiàn)在人才培養(yǎng)方面，很多銀行已經(jīng)針對性地采取一些措施，例如信息科技風(fēng)險(xiǎn)崗位參加職業(yè)認(rèn)證考試，促進(jìn)一線技術(shù)部門的技術(shù)交流，了解當(dāng)前的技術(shù)演進(jìn)和具體風(fēng)險(xiǎn)管控機(jī)制，參加外部機(jī)構(gòu)組織的行業(yè)研討和交流，加入行業(yè)協(xié)會獲取相關(guān)培訓(xùn)和資源等。

金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理體系的建設(shè)和運(yùn)營非一朝一夕之功，是需要信息科技風(fēng)險(xiǎn)管理專業(yè)人員在監(jiān)管機(jī)構(gòu)的引領(lǐng)和監(jiān)督下，在金融機(jī)構(gòu)自身業(yè)務(wù)安全穩(wěn)定運(yùn)營的內(nèi)需推動(dòng)下，持續(xù)投入和建設(shè)，不斷優(yōu)化，不斷進(jìn)步。

本文內(nèi)容來自盛邦安全對中小金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理現(xiàn)狀的觀察與調(diào)研，難免管中窺豹，其中不全面或不當(dāng)之處歡迎大家交流指正，也請各位不要對號入座。針對中小金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理現(xiàn)狀觀察的系列文章將陸續(xù)發(fā)布，敬請期待。