浙商银行IT风险监控官制度初探

　　为落实全面风险管理理念和要求，加强信息科技风险管理，保障信息系统安全运行，浙商银行于2007年建立信息科技风险监控官制度，由行长向信息科技部派驻信息科技风险监控官，实施驻地办公，兼任总行信息科技部副总经理职务，独立开展相关信息科技风险管理工作。

　　从职位和工作职责上看， 浙商银行信息科技风险监控官类似于首席信息安全官(CISO，ChiefInformation Security Officer)，也称信息科技安全主管、信息科技风险主管等，主要负责机构内的信息科技风险策略制定、风险识别、风险评估和风险控制等，通常直接向首席执行官(CEO)、首席信息官(CIO)、首席风险官(CRO)或董事会报告。据报道， 早在1 0 年前，IBM就宣布任命了其全球首任“首席信息安全官”。目前，越来越多的企业开始设置相关的职位，如微软、柯达、花旗、Facebook、宝洁等，韩国从2009年开始已要求大型企业必须设置CISO职位，而对于中国企业而言，首席信息安全官制度尚在起步阶段。

　　信息科技风险监控官制度建设

　　如何在有效控制信息科技风险的同时，促进信息科技建设和业务发展是银行信息科技管理工作的重点。浙商银行在实践中不断推进信息科技风险监控官制度建设，取得了一定成效。

　　一是制度安排。信息科技风险监控官对行长负责，岗位设置在风险管理部。信息科技风险监控官在制度框架内，负责组织开展全行信息科技风险的识别、计量、监测、控制和报告，拥有相应的评判权、评价权、知情权、同意权等。

　　二是日常履职。总行实行信息科技风险监控官例会制度，每季度向行长或分管风险管理的行领导报告全行信息科技风险评价与管理状况;总行实行风险监控官参加行务例会制度，每月向高级管理层报告信息科技风险管理情况。风险监控官参加信息科技部的月度工作例会及相关部门会议，有权随时对风险管理和信息安全工作进行指导、检查和监督。

　　三是独立评判与执行。信息科技风险监控官负责向全行传播信息科技风险管理理念和文化，通过对运行管理、开发过程管理等的评判以及现场风险监控与识别，及时发现或预警风险，并有针对性地提出相关防范建议，化解风险。

　　四是独立考核。对信息科技风险监控官的考核，由人力资源部会同风险管理部在综合信息科技部意见，形成考核评价报告，提交总行分管风险管理行领导审查后，报行长审定。

　　信息科技风险监控官制度的实施成效

　　浙商银行信息科技风险监控官制度实施5年多来，取得较好成效，主要体现在以下几个方面。

　　一是建立了良好的风险信息传导机制。信息科技风险监控官以其独特的地位和视角，既领会银行高层领导的风险理念和风险偏好，又了解银行信息科技风险的实际情况;能将风险控制的理念通过培训、讲座、宣传等方式传播到全行，培育全员信息科技风险理念，又能将信息科技相关风险隐患、故障、风险事件及时汇报给高层领导。

　　二是实施全面的信息科技风险管理。总行通过派驻风险监控官与风险管理部共同执行对信息科技风险的全面管理，将信息科技风险纳入全行全面风险管理体系范围，实施对信息科技风险的监测、监控、评估、控制与报告。风险监控官作为风险管理现场驻点人员，负责获取第一手材料，全面了解信息科技风险的真实情况，开展现场风险评判，既能避免风险被忽视，又能避免过度的风险控制，量力而行，适度控制，有效提高了“二道防线”执行和防控的有效性、及时性，实现风险把关前移，强化了风险的事中控制和监督。

　　三是全面推动全行业务连续性管理。业务连续性管理涉及风险管理部门、业务主管部门、信息科技部门、后勤保障部门、新闻宣传部门等各条线管理职责与业务联动，通过风险监控官协调与推动,从理念、工作机制、应急响应机制、恢复机制、危机处理机制等方面层层推进落实，做细各项预案，做实各项措施，有效提升了银行业务连续性管理能力。

　　四是有效开展信息科技风险识别、计量、处置和监控。风险监控官直接面对业务一线、信息科技一线工作，能全面、完整、准确地获取相关信息，从源头上控制系统风险，使信息科技风险管理的半径缩短，项目评判更加贴近实际，沟通交流更加顺畅，方案更加优化，风险管控的有效性得到提高。更可通过结合实际，分析判断各类风险隐患的苗头、趋势、业务影响情况，及时提出相应的安全策略与建议，提前预警或堵塞风险漏洞，有效规避重大风险隐患或事件的发生。

　　五是银行高层及时掌握信息科技风险状况。风险监控官通过信息安全周报、信息安全月报、信息科技风险评价报告(季报)、重大风险提示报告、重大事项请求报告等，及时向高层领导汇报相关风险情况。董事会和高级管理层能及时全面掌握全行信息科技风险管理状况。
(本文不涉密)
责任编辑：

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。