郭利根在银行业信息科技风险奥运专项自查部署会上讲话

发布时间：2008年02月07日点击数： 作者：郭利根 来源：本站原创

【字体：小 大】 【收藏】 【打印文章】 【查看评论( 0 )】

摘要:
在年终岁尾的时候，专门召集大家来开会，主要是研究银行业信息科技风险管理问题，重点就如何确保2008年奥运会期间信息系统安全、深入开展IT风险专项检查工作进行部署。春节前，大家工作都很忙，但这件事又非常重要，并且时间已经非常紧了，必须早安排、早行动。下面我先讲几点意见：

三）以三大机制建设为重点，切实提高银行业信息科技风险管控能力。

一是建立信息科技风险管理保障机制。各行董事会和高管层要不断提高全面风险管理意识，把信息科技风险管控工作摆上议事日程，建立健全信息科技风险管理机构和岗位责任制度，层层抓好落实。要吸纳国内外高层次专家充实信息科技队伍，加强培训工作，提高风险管控能力和应变能力。要强化信息科技合规建设，把信息科技合规管理纳入到全行合规管理框架之中，充分发挥技术部门安全检查、风险部门风险监控、IT审计部门审计监督“三道防线”的约束作用，形成完备的违规监测和纠错体系。加大违规行为处罚力度，提高管控措施的约束力。

二是建立信息科技风险评估和预警机制。要全面落实风险评估制度，建立信息科技风险监测体系，及时识别风险因素，排查隐患，彻查各类问题的根源。要将信息科技风险控制前移，从业务部门需求管理开始，把风险管控贯穿于信息流动的整个过程，加强追踪控制。要在充分分析信息科技风险对银行业务影响的基础上，建立良好的风险分类分级制度，实施重点监控。从法律法规、国家政策、业务经营和客户利益等多角度区分各类信息科技风险，落实监测和保障措施。要完善风险报告机制，加强信息科技部门与业务管理部门、银行高管层以及监管机构之间的沟通协调，建立清晰的内外部报告路线，努力把信息科技风险识别体系改造成“体内循环”通畅、外部报告及时、“整体触觉”灵敏的有机体。

三是建立并完善信息科技风险应急处置机制。当前，突发事件频繁，加强风险应急和处置机制建设已成为当务之急。各行都要按照《突发事件应对法》的要求，加强风险应急和处置机制建设。要认真研究制定本单位信息科技风险应急管理的中长期规划，结合本行实际，稳步提高应急管理水平。要加强信息备份、灾难恢复以及业务连续性的管理，彻底改变灾备中心成为摆设的局面。要定期进行各类应急预案的培训和演练，把应急和灾备工作从技术管理层面提升到全方位、多部门齐抓共管、协调一致的全行工作层面，确保极端事件发生时，能够在最短的时间内按照既定方案有序处置。

三、全力以赴做好信息科技风险奥运专项自查工作

从现在开始到今年七月份，银监会将采取“先自查、后进场，边检查、边整改”的方式，开展奥运专项检查工作。这次会议结束后，各主要商业银行和各级监管机构要分头行动，迅速展开自查。具体安排一会儿请林丽同志讲，我在这里先讲一下总体的思路和要求。

（一）自查工作的总体思路。

距离奥运会开幕已进入倒计时阶段。形势严峻、时间紧迫、任务重大，我们要从国家大局出发，争分夺秒，扎实开展自查工作，尽早消除风险隐患，确保信息系统安全。这次自查的总体思路是：风险为本，防范在先，明确责任，迅速落实。

风险为本，就是要从防范风险的角度考虑问题，提前发现风险、分析风险、及时化解风险。同时，也要准备好万一风险爆发的应对措施。防范在先，就是要将风险消灭在萌芽状态，早发现，早消除。绝不能把问题带到奥运会上，把风险扩散到业界之外。明确责任，就是各单位一把手要负总责，实行严格的问责制度，出了问题，严肃追究。要明确每一系统、每一业务种类、每个工作岗位的责任，认真自查。迅速落实，就是要立即开展这项工作，边查边改。从现在开始，各银行要集中力量大干三个月，把工作做深、做细、做扎实。要全面排查风险隐患，彻底分析隐患成因，落实整改完善措施，提高信息系统健康水平。