银监会规定银行设CIO 90%不达标

发布时间：2009年11月18日点击数： 作者：佚名 来源：支点网

【字体：小 大】 【收藏】 【打印文章】 【查看评论( 0 )】

摘要:
银监会有关负责人表示，随着银行业信息化的发展，信息科技的作用已经从业务支持逐步走向与业务的融合，成为银行稳健运营和发展的支柱，定位在基本要求上的原《指引》已很难进一步满足商业银行信息科技风险管理的需要。

2009年6月1日，银监会在其官方网站上全文发布了《商业银行信息科技风险管理指引》（以下简称新《指引》），原《银行业金融机构信息系统风险管理指引》（银监发［2006］63号，以下简称原《指引》）同时废止。新指引要求，商业银行在决策层设立首席信息官（简称CIO），有利于商业银行加强信息科技治理。而有关专家介绍，目前我国仅有交通银行等少数几家银行设有首席信息官岗位，90%的银行没有设立该岗位。中国信息主管网记者在银行官方网站查询发现，仅有交通银行、渤海银行等少数几家银行的高管介绍里有首席信息官一职，大部分银行的高管介绍里无任何有关首席信息官的信息。
         银监会有关负责人表示，随着银行业信息化的发展，信息科技的作用已经从业务支持逐步走向与业务的融合，成为银行稳健运营和发展的支柱，定位在基本要求上的原《指引》已很难进一步满足商业银行信息科技风险管理的需要。另外，原《指引》对信息系统风险管理以原则性要求为主，在商业银行执行、操作层面的指导意义不够完善。为此，银监会决定对原《指引》进行修订，并重新定名为《商业银行信息科技风险管理指引》。
        

新指引 新理念
         名称变化反映了实质内容的变化。与《银行业金融机构信息系统风险管理指引》相比，新指引在名称上有两个变化：银行业金融机构改为了商业银行，信息系统改为了信息科技。银监会信息中心信息科技风险监管处处长陈文雄在接受中国信息主管网记者采访时表示，从信息系统改为信息科技，反映了监管理念正在转变。在起草新《指引》过程中，银监会贯彻了新的银行监管理念，即“管法人、管风险、管内控、提高透明度”的银行监管理念，表现在以下几个方面：一是从坚持法人监管出发，指出商业银行法定代表人是本机构信息科技风险管理的第一责任人。二是从坚持风险监管出发，要求商业银行建立有效的机制，实现对信息科技风险的识别、计量、监测和控制，提高信息技术使用水平。三是从内控监管要求出发，要求商业银行建立完整的管理组织架构，制订完善的管理制度和流程，以相互制约的管理机制对信息科技各环节进行控制。四是从保护广大储户利益出发，要求商业银行在信息系统开发、测试和维护，以及服务外包过程中加强对客户信息的保护，防止敏感信息泄露，对业务连续性管理也加以规范，保障客户数据安全和服务连续。
         从银行业金融机构改为商业银行，则反映了我国银行业发展的不均衡性。陈文雄说，由于银行业金融机构之间的差异很大，既有工行这样的巨无霸，也有很小的信用社。为此，新的指引主要是针对商业银行。但陈文雄指出，从银行业金融机构改为商业银行，主要是考虑商业银行比较成熟。这并等于说，监管的范围缩小了。商业银行之外的银行业金融机构，应该参照执行。
        

六大特点  三道防线
         新《指引》具有以下六个较鲜明的特点：一是管理范畴由信息系统风险拓展至信息科技风险，全面覆盖了商业银行信息科技活动的各个环节，进一步明确了信息科技与银行业务的关系；二是适用范围由银行业金融机构变为法人商业银行，其他银行业金融机构参照执行；三是信息科技治理作为首要内容提出，充实并细化了对商业银行在治理层面的具体要求；四是以三个独立章节的内容阐述了信息科技风险管理和内外部审计要求，特别是要求审计贯穿信息科技活动的整个过程之中；五是参照国际国内的标准和成功实践，对商业银行信息科技整个生命周期内的信息安全、业务连续性管理和外包等方面提出高标准、高要求，使操作性更强；六是加强了对客户信息保护的要求。
         原指引是对IT风险管理的最低标准，新指引可谓高标准高要求，是对信息科技风险管理的全面细化的阐述。难能可贵的是，新指引不仅提出了风险管理的高要求，还考虑了如何落实这个高要求。陈文雄说，仅靠银行IT部门，是无法搞好信息科技风险管理的。新指引将为信息科技风险管理设计三道防线——信息科技管理、信息科技风险管理、信息科技风险审计。这三道防线应该分由银行不同部门从不同角度来控制信息科技风险的，而不是由IT部门一个部门来做。
         据介绍，今后银监会将继续加强对商业银行信息科技风险的监管。一是对银行业金融机构执行新《指引》情况进行跟踪，对不同类型机构的信息科技风险状况进行分析，研究完善信息科技风险监管制度体系；二是逐步开展以防范化解银行业信息科技风险为目标的现场检查；三是加强对银行业信息科技风险的非现场监管，研究建立信息科技风险评级体系，实现分类监管和差别监管，鼓励商业银行不断提升信息科技风险管理水平。