浙商银行信息科技风险监控官 骆鉴

　　为落实全面风险管理理念和要求，加强信息科技风险管理，保障信息系统安全运行，浙商银行于2007年建立信息科技风险监控官制度，由行长向信息科技部派驻信息科技风险监控官，实施驻地办公，兼任总行信息科技部副总经理职务，独立开展相关信息科技风险管理工作。

　　从职位和工作职责上看， 浙商银行信息科技风险监控官类似于首席信息安全官(CISO，ChiefInformation Security Officer)，也称信息科技安全主管、信息科技风险主管等，主要负责机构内的信息科技风险策略制定、风险识别、风险评估和风险控制等，通常直接向首席执行官(CEO)、首席信息官(CIO)、首席风险官(CRO)或董事会报告。据报道， 早在1 0 年前，IBM就宣布任命了其全球首任“首席信息安全官”。目前，越来越多的企业开始设置相关的职位，如微软、柯达、花旗、Facebook、宝洁等，韩国从2009年开始已要求大型企业必须设置CISO职位，而对于中国企业而言，首席信息安全官制度尚在起步阶段。

　　一、信息科技风险监控官制度建设

　　如何在有效控制信息科技风险的同时，促进信息科技建设和业务发展是银行信息科技管理工作的重点。浙商银行在实践中不断推进信息科技风险监控官制度建设，取得了一定成效。

　　一是制度安排。信息科技风险监控官对行长负责，岗位设置在风险管理部。信息科技风险监控官在制度框架内，负责组织开展全行信息科技风险的识别、计量、监测、控制和报告，拥有相应的评判权、评价权、知情权、同意权等。

　　二是日常履职。总行实行信息科技风险监控官例会制度，每季度向行长或分管风险管理的行领导报告全行信息科技风险评价与管理状况;总行实行风险监控官参加行务例会制度，每月向高级管理层报告信息科技风险管理情况。风险监控官参加信息科技部的月度工作例会及相关部门会议，有权随时对风险管理和信息安全工作进行指导、检查和监督。

　　三是独立评判与执行。信息科技风险监控官负责向全行传播信息科技风险管理理念和文化，通过对运行管理、开发过程管理等的评判以及现场风险监控与识别，及时发现或预警风险，并有针对性地提出相关防范建议，化解风险。

　　四是独立考核。对信息科技风险监控官的考核，由人力资源部会同风险管理部在综合信息科技部意见，形成考核评价报告，提交总行分管风险管理行领导审查后，报行长审定。

　　二、信息科技风险监控官制度的实施成效

　　浙商银行信息科技风险监控官制度实施5年多来，取得较好成效，主要体现在以下几个方面。

　　一是建立了良好的风险信息传导机制。信息科技风险监控官以其独特的地位和视角，既领会银行高层领导的风险理念和风险偏好，又了解银行信息科技风险的实际情况;能将风险控制的理念通过培训、讲座、宣传等方式传播到全行，培育全员信息科技风险理念，又能将信息科技相关风险隐患、故障、风险事件及时汇报给高层领导。

　　二是实施全面的信息科技风险管理。总行通过派驻风险监控官与风险管理部共同执行对信息科技风险的全面管理，将信息科技风险纳入全行全面风险管理体系范围，实施对信息科技风险的监测、监控、评估、控制与报告。风险监控官作为风险管理现场驻点人员，负责获取第一手材料，全面了解信息科技风险的真实情况，开展现场风险评判，既能避免风险被忽视，又能避免过度的风险控制，量力而行，适度控制，有效提高了“二道防线”执行和防控的有效性、及时性，实现风险把关前移，强化了风险的事中控制和监督。

　　三是全面推动全行业务连续性管理。业务连续性管理涉及风险管理部门、业务主管部门、信息科技部门、后勤保障部门、新闻宣传部门等各条线管理职责与业务联动，通过风险监控官协调与推动,从理念、工作机制、应急响应机制、恢复机制、危机处理机制等方面层层推进落实，做细各项预案，做实各项措施，有效提升了银行业务连续性管理能力。

　　四是有效开展信息科技风险识别、计量、处置和监控。风险监控官直接面对业务一线、信息科技一线工作，能全面、完整、准确地获取相关信息，从源头上控制系统风险，使信息科技风险管理的半径缩短，项目评判更加贴近实际，沟通交流更加顺畅，方案更加优化，风险管控的有效性得到提高。更可通过结合实际，分析判断各类风险隐患的苗头、趋势、业务影响情况，及时提出相应的安全策略与建议，提前预警或堵塞风险漏洞，有效规避重大风险隐患或事件的发生。

　　五是银行高层及时掌握信息科技风险状况。风险监控官通过信息安全周报、信息安全月报、信息科技风险评价报告(季报)、重大风险提示报告、重大事项请求报告等，及时向高层领导汇报相关风险情况。董事会和高级管理层能及时全面掌握全行信息科技风险管理状况。

　　六是信息科技风险信息更加透明。信息科技风险监控官对外联系监管部门，了解相关监管政策，将相关监管要求融入本行的安全策略、日常管理工作之中，有效满足监管合规性要求;对内掌握本行信息系统运行的第一手资料与信息，一旦发生风险事件，可以及时了解事件的真实原因、根源、影响范围等，及时报告和处置，避免事态的进一步扩散或恶化。在这种管理体制下，由于信息透明、处置过程规范化，即使发生风险事件，也有助于信息科技部门与高层领导的沟通，有助于银行与监管机构的沟通。

　　三、信息科技风险监控官制度建设的探索与完善

　　浙商银行通过信息科技风险监控官制度，在信息科技风险主管履职和实践上进行了探索。然而，由于理念、观念、环境、体制、机制等主客观条件的限制，信息科技风险监控官的作用还有待进一步提升，该项制度本身也有一些需要进一步完善的地方，主要表现在以下几方面。

　　一是如何提高风险监控官的履职能力?信息科技风险监控官的履职需要相应的制度保障，离不开高层领导，特别是一把手的支持;同时，信息科技风险监控官需要具有较高的职业素养，既要熟谙银行业务、信息科技、风险管理等知识，又要具备对内对外、对上对下的沟通与管理能力，这需要实践积累、总结提升。

　　二是如何建立全面风险管理体系?现代银行离不开信息系统，信息科技风险也已渗透到各业务条线、各工作岗位，任何新业务、新产品的推出均涉及系统建设、业务安全、敏感信息保护、业务连续性等方面的风险，尤其是涉及互联网应用的网上银行、手机银行、网上支付等的新业务应用。信息科技风险监控官应适应当前的风险形势，建立一套完整的工作机制，参与到各相关部门的业务需求、业务审查和运行监控工作中，持续性地开展信息安全和风险评估，全过程地有效识别、预警、监控、防范风险。

　　三是如何确保风险管理机制的独立性?信息科技风险的识别与控制策略必须依据银行的风险偏好和管理原则，依据银行业务发展战略需要， 既不能脱离实际过度强调风险，更不能为了业务发展忽视风险，对风险的分析和评判要保持独立性，坚持实事求是、客观公正，不畏惧权威、不盲目跟风、不人云亦云。因此，信息科技风险监控官应坚持原则、公正独立地开展工作。与此同时，银行应建立完善的信息科技风险管理机制，营造独立监督信息科技风险开展的工作氛围，确保高级管理层通过信息科技风险监控官第一时间获知信息科技风险隐患和风险事件。

　　四是如何平衡业务发展与风险控制的关系?风险防范的目的是为了促发展，不发展是最大的风险，故银行应通过建立绩效考核机制，规范风险监控官行为准则，在评判风险时，既要从业务角度了解信息科技风险带来的影响，更要注意信息科技风险控制不能背离业务发展需求，开展适度的风险控制。

　　五是如何协调与相关部门的关系?信息科技风险监控官作为信息科技风险主管，需要与各相关部门协同开展工作，其中与风险管理部和信息科技部的联系最为紧密。风险管理部作为信息科技风险控制的“第二道防线”，负责信息科技风险的督查、评估、跟踪和报告，而风险监控官作为现场驻点人员，掌握第一手材料，通过信息科技风险监控官的现场风险评判，进一步增强了风险管理部对信息科技风险的监控能力，增强了“二道防线”执行和防控的有效性、及时性;信息科技部作为信息科技风险控制的“第一道防线”，应更多地注重系统功能的可用性、技术性控制和信息安全管理，而信息科技风险监控官更应关注系统的保密性和完整性，并通过不同的视角，评判系统控制有效性和对业务产生的风险影响，防范相关风险信息在信息科技部门形成“孤岛”，及时揭示与预警风险隐患，提升“一道防线”控制的有效性和安全性。