浅谈银行业信息科技外包风险及管理
浅谈银行业信息科技外包风险及管理
发表时间:2018-08-13T11:29:51.117Z 来源:《基层建设》2018年第20期作者:蔡志刚
[导读] 摘要:随着社会经济的快速发展,信息技术扮演着越来越重要的作用,而且银行业也对信息技术的依赖不断加深,因此银行业的安全和国家金融体系的稳定直接受到银行信息系统的安全性、稳定性和高效性的影响。
盘谷银行(中国)有限公司 200002
摘要:随着社会经济的快速发展,信息技术扮演着越来越重要的作用,而且银行业也对信息技术的依赖不断加深,因此银行业的安全和国家金融体系的稳定直接受到银行信息系统的安全性、稳定性和高效性的影响。
关键词:银行信息;科技外包;风险;
一、银行信息科技外包策略及现状
随着经济的快速发展,我国银行近几年业务发展迅速,科技力量不足的矛盾日益突出,基于信息科技战略、外包市场环境、自身风险控制能力制定了“保持核心技术能力,适度引进外包,防控外包风险”的科技外包策略。具体来说,在开发外包方面,坚持核心银行系统自主开发,重要系统采用合作开发模式、内部管理系统购买业内成熟产品进行客户化,在安全及运维外包方面,优先考虑国产化的外包服务,如信息安全系统首选国内产品。网络、PC服务器及储存等设备在开发测试环境尝试使用国产化产品,逐步破解“核心技术受制于人”的难题,提高自主可控能力。
信息科技外包工作的开展,解决了银行自身信息科技人员不足的问题,使我行能够在较高的起点实施项目,从而实现信息化建设的跨越式发展提供了有力支撑。与此同时,我们也发现在外包管理工作中,存在信息科技外包管理体系有待完善、外包风险意识需要进一步加强、外包管理相对粗放、对服务商的约束机制还不到位等问题。
二、银行业信息科技外包所面临的风险
2.1 银行业务发展战略与外包服务不匹配的风险
如果银行在选择外包服务商时,并没有实践的进行考察和精密的评估,而任意选择一个外包商,这会致使外包项目以及银行业务想要发展的策略出现不匹配的现象,因此,会给银行的稳定发展带来一定影响,这样的外包项目如果外包出现,银行发现了存在的风险隐患,这时如果想要终止合同,银行就必须要给服务商赔偿很多的违约金作为赔偿,要想再跟服务商建立信息科技外包服务就一定要支付比以前更多的费用,服务商有可能会考虑再次合作的事宜,因此,如果外包与银行业务发展不匹配的战略风险会给银行今后的发展带来很大的影响。
2.2外包服务商提供服务无法达到标准的风险
外包商在提供服务的时候,往往会出现很多不同的问题,对这些存在的问题如果不积极采取有关措施会给银行业务带来风险,经常出现的业务有下文几种:
2.2.1当前,外包服务商的服务水平经常会受到物力和人力以及整体实力等因素的影响,不能达到银行合同标准的服务水平。
2.2.2如果银行没有给客户更优质的服务水平,会致使客户对银行的整体服务标准十分不满意,使银行丢失更多的客户。
2.2.3目前,有个别的服务商在接受工作后,并没有按照银行的要求去做,又或者去做一些违反法律法规的事,给银行的信誉造成很大的不良信誉,严重的导致银行遭受巨大的损失。
2.2.4很多服务商会因为技术问题,又或者是维护时的问题而发生一些不必要的矛盾,从而导致银行系统设备不能正常工作,致使银行的办事效率降低,这样会极大的引起客户的不满意。
2.3选择外包商的风险
该风险的出现主要是由于银行在选择外包商时没有经过充分考察、评估,以及对他们服务水平、技术水平、财力水平等都没有整体进行评估,而是单纯的只关注某一方面的特点,根本没有将IT外包的整体服务水平考虑进去,最后选择了服务水平质量不高的外包服务商。
2.4制定外包合同的风险
银行跟外包商签订合同的时候,一定要进行详细的了解并且实地进行全面的科学考察,如果没有经过全面、科学的考虑,银行将会在遇到意外或问题时处于非常被动的地位,因为这种片面的评估,将会使服务商的服务水平、服务标准以及在将会发生故障时得不到最好的服务。这同样也是我国目前大多银行在外包合同执行期间所面临的共同问题,服务商不能很好的执行服务,甚至有些技术根本就不能过关,对日常的检查也是不能按时执行,这些现象的发生将会在很大程度上导致银行的服务水平降低,工作效率也会出现明显的降低,来给银行的利益造成很大的损失。
2.5重要信息遭到泄露的风险
当前外包服务商受其整体综合实力不高的影响,没有完善的法律法规体系,致使有些工作人员在向银行提供服务时,把银行内部一些非常重要的机密信息泄露出去,给银行的声誉和发展造成巨大损失的潜在风险,即重要信息遭到泄露的风险。由于这种风险的涉及面非常广泛,并且不很难有效控制,因此相对而言其有较高的发生概率。
2.6知识产权的风险
这类风险主要包括以下几个方面:一是外包服务中开发技术的专利;二是版权的归属问题;三是源代码的归属问题,等等这些都是银行在和外包服务商签订协议时没有法律规定的,而且如果合同中存在一些不恰当的规定或者是没有进行详细的规定,这些问题都会给以后的合作过程带来很大的纠纷。
三、银行业信息科技外包风险管理
3.1建立信息科技外包服务管理机构
目前,银行业金融机构在外包过程中,仅当外包商选择或发生了法律纠纷时,才成立临时性机构来处理相关外包事务,管理机构的缺失给外包服务的管理和监督带来不便,无法充分保障外包服务的质量。
信息科技外包服务管理机构应该建立健全外包服务管理相关制度,做到对外包服务相关事务的处理有制度可依循,防范在外包立项、审批、采购、实施、服务过程中出现的各种风险。
控制外包服务项目预算经费;核查外包服务项目与金融机构发展趋势、信息科技外包战略是否一致;在筛选服务供应商时,国产供应
XX银行信息科技外包风险管理办法
XX银行信息科技外包风险管理办法 第一章总则 第一条为了规范XX银行(以下简称“本行”)信息科技外包管理,控制外包服务风险,根据中国银监会《商业银行信息科技风险管理指引》和《银行业金融机构信息科技外包风险监管指引》,结合本行实际,制定本办法。 第二条信息科技外包系指因本行技术人员技术力量不足或特殊情况,将原本由自身负责处理的信息科技活动委托给服务供应商进行处理的行为。 第三条本行外包管理原则包括: (一)自主可控原则。信息科技外包活动以不妨碍核心能力建设、关键技术自主可控为导向。 (二)协调统一原则。符合科技风险管理策略,保持外包风险、成本和效益的平衡。 (三)预防优先原则。审慎管理信息科技外包活动,秉承事前预防重于事后控制、日常防控重于应急处理的原则。 (四)动态优化原则。根据外部监管要求、信息科技发展趋势和本行业务发展需求,持续优化本行信息科技风险外包管理策略和工作机制。 第四条本办法适用于本行与信息科技相关外包活动的管理。 第五条本行的信息科技外包活动应遵守国家相关法律法规及监管部门的相关规定。 第二章组织架构与职责分工 第六条本行外包管理的组织架构包括董事会、信息科技管理委员会、外包风险主管部门、外包管理执行团队、外包管理审计部门。 第七条董事会承担信息科技外包管理的最终责任。主要职责包括: (一)审议批准信息科技外包战略; (二)审议批准外包管理基本制度;
(三)审议批准本机构的外包范围及相关安排; (四)定期审阅本机构外包活动相关报告; (五)银监会信息科技外包风险监管指引要求的其它工作。 第八条高级管理层设信息科技管理委员会,负责全行科技外包工作的日常决策工作。主要职责包括: (一)制定外包战略发展规划; (二)确定外包业务的范围及相关安排; (三)确定科技外包管理团队职责,并对其行为进行有效监督; (四)定期审阅本行外包活动相关报告; (五)指导内部审计部门独立开展外包审计工作; (六)董事会确定的其它职责。 第九条风险管理部门负责制定外包风险管理的制度,组织识别和评估信息科技外包风险,监督、评价外包管理工作,对外包执行情况进行监督检查,定期向高级管理层汇报信息科技外包活动相关风险情况。 第十条外包管理执行团队由信息科技部、计划财务部、法律合规部等相关部门组成。外包管理执行团队具体负责科技外包项目的执行和管理工作,主要职责包括: (一)信息科技部门实施全行信息科技外包管理战略;执行供应商准入、评价和退出管理;制定保障外包服务连续性的应急管理措施;分析和评估外包存在的潜在风险,制定相应的风险防范措施,监督和管理外包实施过程,定期或不定期向风险管理部提交有关外包风险报告、进行风险事件报告。 (二)业务需求部门负责业务需求的整体规划与编写、外包业务可行性评估分析、业务功能及范围选型、业务验收测试、业务推广等工作,并参与项目的实施。 (三)计划财务部门是全行信息科技外包项目招投标工作的组织单位,负责科技外包项目的招投标活动的组织协调工作。
金融业信息科技风险管理
信息科技风险管理办法 第一章总则 第一条为有效防范运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险,促进我行各项业务安全、持续、稳健运行,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《商业银行信息科技风险管理指引》、《营口沿海银操作风险管理指引》,以及国家信息安全相关要求和有关法律法规,制定本管理办法。 第二条本管理办法所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在我行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。 第三条本管理办法所称信息科技风险,是指信息科技在我行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 第四条信息科技风险管理的目标是通过建立有效的机制,实现对我行信息科技风险的识别、计量、监测和控制,促进我行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章机构职责 第五条根据我行信息科技治理的要求,法定代表人是本机构信息科技风险管理的第一责任人,负责组织本管理办法的贯彻落实, 董事会应履行以下信息科技管理职责: (一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。 (二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。 (三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。 (四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。 (五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。 (六)在建立良好的公司治理的基础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设,建立人才激励机制。
银行信息科技外包风险管理办法
. .. . .. .. 大洼恒丰村镇银行信息科技外包 风险管理办法 大洼恒丰村镇银行信息科技部
变更履历 *变化状态:C——创建,A——增加,M——修改,D——删除
目录 第一章总则 (4) 第二章外包管理组织架构 (5) 第三章信息科技外包战略及风险管理 (6) 第一节信息科技外包战略 (6) 第二节信息科技外包风险管理 (7) 第四章信息科技外包管理 (8) 第一节外包风险评估及准入 (8) 第二节服务提供商尽职调查 (10) 第三节外包服务合同及要求 (10) 第四节外包服务安全管理 (12) 第五节外包服务监控与评价 (13) 第六节外包服务中断与终止 (14) 第八章监督管理 (17) 第九章附则 (18)
第一章总则 第一条为规范我行的信息科技外包活动,降低信息科技外包风险,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《银行业金融机构信息科技外包风险监管指引》等法律法规,制定本办法。 第二条本办法所称信息科技外包是指我行将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为,包含项目外包、人力资源外包等形式。包括以下类型:(一)研发咨询类外包:科技管理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包; (二)系统运行维护类外包:包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包; (三)业务外包中的信息科技活动:市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。 第三条我行应将信息科技外包管理纳入全面风险管理体系,建立与本行信息科技战略目标相适应的外包管理体系,控制或降低由于外包而引发的风险。 第四条我行在实施信息科技外包时应当坚持以下原则:(一)以不妨碍核心能力建设、积极掌握关键技术为导向; (二)保持外包风险、成本和效益的平衡;
全面风险管理手册.
保利建设集团有限公司全面风险管理手册 二0一三年十二月
第一章总则 1.1编制目的 本手册作为保利建设集团有限公司(以下简称“公司”)开展全面风险管理工作的指导性文件,旨在通过建立并运行系统的风险管理机制(即全面风险管理体系),提升公司风险管理水平,有效防范、化解,并合理承担或利用所面临的风险,简化管理行为、整合管理资源、降低管理成本、提高管理效率的目的,在公司管理各项系统进行有效整合促进公司持续、健康、稳定发展,为公司实现既定目标提供充分的保障。 1.2依据 国资委《中央企业全面风险管理指引》 《国资委2013年度中央企业全面风险管理报告(模板)》、 财政部等五部委《企业内部控制基本规范》(财会[2008]7 号)
财政部等五部委《企业内部控制配套指引》(财会[2010]11 号)《中国保利公司全面风险管理手册》 GB/T 2453-2009《风险管理原则与实施指南》;ISO31000:2009《风险管理原则和指导方针》 GB/T19001-2008/ISO9001:2008 质量管理体系;GB/T50430 工程建设施工企业质量管理规范;GB/T50380:2006 工程建设设计企业质量管理规范 GB/T24001-2004/ISO14001:2004 环境管理体系 OHSMS18000;GB/T28001-2011:职业健康安全管理体系 1.3适用范围 本手册适用于公司范围内,所有人员应当遵循手册要求,开展全面风险管理工作。 本手册对控股子公司具有指导意义,各控股子公司应根据本手册的基本框架,结合自身特点参照实施,开展全面风险管理工作。1.4手册的颁布 本手册于2013年月经公司董事会审议批准后颁布,自颁布之日起生效。
商业银行信息科技风险管理解决方案
商业银行信息科技风险管理解决方案 本帖最后由 infosec123 于 2009-9-23 17:16 编辑 背景 为加强商业银行的信息科技风险管理,提升信息科技风险管理能力,09年3月份银监会正式发布了《商业银行信息科技风险管理指引》(以下简称《指引》),这是继出台有关《商业银行操作风险管理指引》、《商业银行市场风险管理指引》和《商业银行合规风险管理指引》等一系列的监管文件之后,银监会发布的又一重要风险管理指引。该指引适用于在中华人民共和国境内依法设立的法人商业银行。政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。 信息科技风险是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。它和操作风险、信用风险、市场风险一样,是商业银行面临的主要风险。现阶段商业银行已经基本完成了信息化建设,在金融管制放松、业务全球化、金融创新步伐加快以及信息技术的迅猛发展的大背景下,国际银行业金融机构的信息科技风险有增大的趋势,国际银行业和监管当局都日益重视信息科技与操作风险的管理和监管。目前,国际上宣布实施新资本协议的国家和地区都按照新协议的要求,明确将操作风险纳入资本监管的范畴,而信息科技风险是操作风险的重要组成部分。 需求分析合规性需求: 近年来,国家各部门不断推出了各种监管要求,对IT管控领域也提出了明确的要求。其中与银行业信息科技风险相关的法律、法规与行业监管指引有: 2002年,美国国会发布了SOX《萨班斯[url=; 2004年9月30日,中国银监会发布了[url=; 2006年,银监会发布《电子银行安全评估指引》、《[url=;
(整理)信息科技外包风险监管指引.
银行业金融机构信息科技外包风险监管指引 第一章总则 第一条为规范银行业金融机构的信息科技外包活动,降低信息科技外包风险,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规,制定本指引。 第二条在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省(自治区)农村信用社联合社适用本指引。银监会监管的其他金融机构参照本指引执行。 第三条本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为,包含项目外包、人力资源外包等形式。原则上包括以下类型: (一)研发咨询类外包:科技管理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包; (二)系统运行维护类外包:包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包; (三)业务外包中的信息科技活动:市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。 第四条本指引所称关联外包是指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构提供信息科技外包。 第五条信息科技外包可能产生如下风险,并导致银行业金融机构的战略、声誉、合规风险: (一)科技能力丧失:银行业金融机构过度依赖外部资源导致失去科技控制及创新能力,影响业务创新与发展; (二)业务中断:支持业务运营的外包服务无法持续提供导致业务中断; (三)信息泄露:包含客户信息在内的银行业金融机构非公开数据
被服务提供商非法获得或泄露; (四)服务水平下降:由于外包服务质量问题或内外部协作效率低下,使得银行业金融机构信息科技服务水平下降。 第六条本指引所称机构集中度风险是指银行业金融机构将信息科技外包服务集中交由少量服务提供商承接而产生的风险,该风险可能造成集中性的服务中断、质量下降、安全事件等。 第七条本指引所称同业托管机构是指作为外包服务提供商为其他同行业金融机构提供信息科技外包服务的银行业金融机构。 第八条银行业金融机构应当将信息科技外包管理纳入全面风险管理体系,建立与本机构信息科技战略目标相适应的外包管理体系,控制或降低由于外包而引发的风险。 第九条银行业金融机构应当建立信息科技外包管理组织架构,制定外包管理战略,定期进行外包风险评估,通过服务提供商准入、评价、退出等手段建立及维护符合自身战略目标的供应商关系管理策略。 第十条银行业金融机构在实施信息科技外包时应当坚持以下原则: (一)以不妨碍核心能力建设、积极掌握关键技术为导向; (二)保持外包风险、成本和效益的平衡; (三)强调外包风险的事前控制,保持管控力度; (四)根据外包管理及技术发展趋势,持续改进外包策略和措施。 第十一条银行业金融机构在实施信息科技外包时,不得将信息科技管理责任外包。 第十二条对于不涉及银行客户及内部信息转移的信息科技产品采购、维保,及通讯线路租用、支付或清算系统接入等信息科技公共基础设施服务,银行业金融机构应当充分评估其信息科技风险,按照本指引第五章要求进行管理。 第二章外包管理组织架构 第十三条银行业金融机构董事会及高级管理层应当严格落实信息科技外包风险管理的相关职责, 明确信息科技外包风险管理的主管
全面风险管理指引
全面风险管理体系指引 目录 第一章总则 第二章风险管理组织体系 第三章风险信息的收集和识别 第四章风险评估 第五章风险应对 第六章内部控制管理 第七章全面风险风险管理信息系统 第八章风险管理文化 第九章全面风险管理考核与责任追究 第十章附则
第一章总则 第一条为指导集团各中心及各分子公司落实《天明全面风险管理制度》,实施开展集团全面风险管理工作,增强企业竞争力,提高投资回 报,促进企业持续、健康、稳健发展,根据《中国人民共和国公 司法》、《全面风险管理制度》等相关法律法规,制定本指引 第二条集团各中心及分子公司根据自身情况贯彻执行本指引。由集团决策委员会负责督导本指引的实施 第三条本指引所称的企业风险,是指未来的内外部不确定性对企业实现经营目标的影响 第四条本指引所称呼的集团为XXXXX集团有限责任公司 第五条本指引所称的全面风险管理,是指集团围绕总体战略经营目标,通过在各个管理环节和日常经营过程中执行风险管理的基本流 程;培育良好的风险管理文化;建立健全全面风险管理体系 第六条本指引所称的风险管理基本流程指: 1收集风险管理的初始信息 2对风险信息的识别 3进行风险评估 4制定风险管理策略 5提出和实施风险管理解决方案 6风险管理的监督和改进 第七条本指引所称的内部控制系统,是指根据风险管理策略目标以及集团相关规定,针对集团战略、投融资、财务、审计监察、法律事 务、人力资源、招采、加工制造、销售、物流、质量、安全生产、 环境保护等各项业务管理及其重要业务流程,以及其他外部可能 影响企业的因素等,通过执行风险管理基本流程,制定并执行的 规章制度、程序和措施 第八条集团开展全面风险管理要实现的风险管理目标如下: 1确保将风险控制在与总体目标相适应并可承受的范围内 2确保企业内外部,尤其是企业与股东之间实现真实、可靠的信息沟通,包括编制和提供真实、可靠的财务报告确保遵守
最新浅谈我国商业银行风险管理存在的问题及其对策
浅谈我国商业银行风险管理存在的问题及 其对策 [论文关键词]商业风险银行业 [论文摘要]随着商业银行改革的不断深入,如何在提高效益的同时有效地防范与化解风险,已经成为我们不可忽视的重要问题。商业银行的经营实际上是在风险和收益之间寻找平衡,通过对风险的有效管理而创造价值。本文依据我国商业银行经营风险的特点及主要表现形式,结合我国银行业内外部,对如何有效管理,防范风险进行初步探讨。 银行业作为经营货币的企业与生俱来就规定了其风险的本质,与其说银行是经营货币的企业,更不如说是为了获取利润而经营风险的组织。所以,风险和利润对银行来说是一个硬币的两面,不可分割,同为一体。过分强调哪一方都会为发展带来阻碍。只有充分掌握风险在银行经营中的特点将风险经营,管理与防范结合起来,在硬币的两面寻找有效的平衡,才能收到利润增长与风险防范的最佳效果。众所周知,我国银行是从过去国家专业银行演变而来的,商业化进程较为缓慢,粗放落后经营观念在国有商业银行信贷管理中并未完全消除。我国的风险管理观念是以信用风险管理为主,风险、操作风险则不够重视。 一、我国商业银行风险管理存在的问题 (一)资本充足率水平不高,风险资产规模较大 由于国内银行资产质量比较差,不良资产的规模比官方公布的数字要大得多,因此按实际风险资产计算的资本充足率实际上大多低于巴塞尔协议8%的最低水平,同时由于资本充足率水平较低且资本补充渠道较窄,能够为分支机构风险
敞口配置的资本相当有限,不可能为高规模的风险敞口提供足够的资本支撑,这种情况必然导致分支机构风险敞口规模与资本匹配失衡。在资本补充有限的情况下,要提高资本充足率必须在降低信贷资产的风险敞口规模上做文章。而我国目前包括大型企业在内的绝大部分企业尚未取得外部评级,在标准法下其风险权重为100%或者150%,且国内银行尚不具备内部评级的客观条件,不能对企业进行内部评级,在呆账准备金提取能力不足的情况下,资本充足率的这种逆向配置效应几乎意味着商业银行降低风险敞口规模的途径就是降低信贷存量规模,甚至是减少一些优质客户的信贷业务。 (二)风险管理落后,风险管理意识不强 虽然我国商业银行高级管理层的风险意识初步形成,但风险管理没有作为风险文化根植于所有员工的心中,贯穿到业务拓展的全过程,全面风险管理理念还没有树立,没有形成全行认同的风险管理文化,系统而完整的风险管理战略还有待于加强,风险管理侧重于后台管理,没有将其作为信贷决策、风险敞口限额控制、贷款定价、资本资源配置的有利工具。同时,部分人员将风险片面地等同为违规、案件和损失,一些风险管理人员将风险管理简单解为控制,部分业务人员将风险管理看作是业务拓展绊脚石,注重信用风险的控制和计量,对市场风险、操作风险、风险等仅有一定的理性认识,还谈不上统筹考虑、系统管理。 (三)风险承担主体不明确 在西方发达的制度下,代表全体股东利益的董事会明确地承担起银行在其全部经营过程中的所有风险,并以银行的全部资本金作为承担风险的最终边界。董事会因此负责制定有关风险管理的重大政策,并在银行内部建立起有效的风险内控体系。我国城市商业银行均是股份制,在我国《股份制商业银行公司治理指引》
信息科技风险专项检查自查报告总结.doc
********商业银行行股份有限公司********银行信息科技风险专项自查报告 ************中心: 为认真贯彻《关于开展2019年度信息科技风险专项检查的通知》精神,充分做好做好国庆期间金融网络和信息系统安全保障工作,防范我行信息科技风险,保障计算机系统运行和操作安全,建立和完善信息科技风险管理机制。根据《****农商银行系统重点业务风险点排查指引(试行)》规定及人民银行、银保监局和公安局关于网络安全保障工作要求。我行由分管信息科技领导、信息技术部组成自查工作小组,于8月19日-23日开展自查工作。现将自查情况汇报如下: 一、总体情况 随着当前信息化建设步伐不断加快,我行各项业务对于信息系统的依赖日益加深,随之而来的系统和网络安全已成为安全管理的关键环节,其中薄弱环节成为信息科技风险的重要内容,网络安全运行工作事关经营、管理大局。从防范科技风险的高度充分认识到加强系统和网络安全运行工作的必要性和重要意义,正确处理了发展与安全的关系,一手抓信息化建设,一手抓风险防范。截至报告日,全行上下已经按照统一标准建立起较完善的网络和信息安全风险防范体系。
二、组织架构、制度建设及管理情况 (一)信息科技治理组织架构 1.强化“三会一层”履职。成立了以高管层和主要业务部门参加的信息科技管理委员会,定期或不定期履行职责,审议信息科技相关重大事件,本年度共计召开信息科技管理会议2次。 2.加大专业人员配备。设立首席信息官。参与我行与信息科技运用有关的业务发展决策,确保信息科技发展战略符合本行的总体业务战略和信息科技风险管理策略。 3.明确部门职责分工。明晰信息科技实施、风险管理及审计职责。信息技术部负责信息科技实施、管理工作,各支行设立兼职或专职计算机管理员,配合信息技术部开展应用推广、故障处理、设备维护工作;合规与风险管理部负责协调制定有关信息科技风险管理策略,尤其是在涉及信息安全、业务连续性计划和合规性风险等方面;内部审计部负责信息科技审计制度和流程的实施,制订和执行信息科技审计计划。 (二)信息科技管理制度建设 1.安全管理方面。对安全管理活动中的各类管理内容建立安全管理制度,制定了由安全策略、管理制度等构成的全面的信息安全管理总则《********商业银行行计算机信息安全管理办法》,安全管理办法经信息科技管理委员会审定,审定周期为一年一次,并且及时发现缺漏或不足对制度进行修订。 2.应急管理方面。建立了较为完善的信息系统应急管理办法《********商业银行行计算机信息系统应急管理办法》,
信息科技风险管理策略分析
附件:信息科技风险管理分类应对策略 根据信息科技风险分类情况,以二级风险为限,制定信息科技风险分类应对策略如下: A1.信息科技治理风险应对策略 信息科技治理风险包括三个二级风险:信息科技组织风险、道德文化风险以及人员管理风险。每个二级风险的内容和应对策 略如下: 风险 编号 风险名称风险描述风险应对策略 1.1信息科技组织 在信息科技风险管理机构及专建立完善的信息科技治理架构。以法风险业委员会设置、履职等方面的定代表人为第一责任人,囊括理事 不确定因素,以及在部门/岗位 会、监事会、风险管理委员会、信息 设置、职责划分、垂直归口管 科技风险管理委员会、信息科技部、理等方面的不确定因素所带来 稽核审计部、风险管理部、人力资源的影响。 部、监察部等部门。明确各部门在信 息科技风险管理工作中的职责; 每个部门根据在信息科技风险管 理中的职责设立相应的岗位,合理 分配相应的责、权、利,执行信息 科技风险管理工作; 省联社各部门应指导、监督办事 处、各县级农村合作金融机构相应 部门的信息科技风险管理工作。 1.2道德文化风险在文化培育、融合、再造等过 在建立道德、诚信、公正的氛围,对 程中的不确定因素,以及员工 员工进行相关的培训,作为员工日常 在价值观认同、行为规范遵循 工作的行为准则之一; 等方面的不确定因素所带来的影响。建立畅通的沟通渠道,任何与陕西省农村合作金融机构道德文化标 准的偏离都得到及时和充分的反映,并被立即调查和纠正。 1.3人员管理风险在从人员聘用到离职整个服务 建立完善的人员招聘、培训、考核、 期间内的不确定因素所带来的激励、离职等制度和流程,并确保得 影响。 到有效执行; 加强信息科技风险管理专业人员 配备,提高信息科技风险管理水 平;
集团公司风险管理办法(正式发文稿)
中国国有集团公司全面风险管理办法(试行) 第一章总则 第一条为加强中国国有集团公司(以下简称集团公司)全面风险管理和内部控制体系建设,提高风险管理水平,增强抗风险能力,促进集团公司持续、健康、稳定发展,根据国务院国资委《中央企业全面风险管理指引》、财政部《企业内部控制基本规范》等规范性文件,结合集团公司实际情况,制定本办法。 第二条本办法适用于集团公司、分支机构、区域公司、产业公司和基层企业(以下统称“企业”)的全面风险管理工作。 第三条本办法所称风险,是指未来的不确定性对企业实现其经营发展目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等五大类。 第四条本办法所称全面风险管理包括内部控制体系建设的工作,具体是指企业围绕总体经营发展目标,在管理的各环节和经营过程中执行风险管理基本流程,建立健全全面风险管理体系(包括组织机构、制度流程和方法技术等),
培育良好的风险管理文化,从而为实现风险管理总体目标提供合理保证的过程和方法。 第五条风险管理基本流程主要包括以下工作: (一)风险初始信息收集; (二)风险识别; (三)风险评估; (四)风险应对; (五)风险管理的监督与改进。 第六条企业开展全面风险管理要努力实现以下风险管理总体目标: (一)确保将风险控制在与企业总体经营发展目标相适应并可承受的范围内,促进企业实现战略目标; (二)确保企业实现内外部真实、可靠和有效的信息沟通; (三)确保遵守有关法律法规,履行相应的社会责任; (四)确保经营管理的有效性,提高经营活动的效率和效果; (五)确保企业建立针对各项重大风险发生后的危机处理计划,保护企业不因灾害性风险或人为失误而遭受重大损失。 第七条风险管理是企业的基础管理工作和日常经营管理活动的重要内容。企业开展全面风险管理应与其他职能管
《商业银行外包风险管理指引》分析及意义
《商业银行外包风险管理指引》分析及意义 华道数据行业研究中心 | 2008-02-19 | 吴庶段明珠 经过二十年左右的发展,外包已成为成熟的商业模式,而金融服务业一直是外包重镇。在我国,金融外包尤其是业务流程外包(BPO)已呈现蓬勃发展之势:市场容量迅速扩大,企业规模和数量急剧增长,前景颇为可观。但法律法规的缺失使得行业的不确定性大大增加,经济学智库(EIU)2006年对全球300名金融业高级管理人员的调研及深入访谈后出台的一份报告指出,“法规不明确”已经成为在中国推行业务流程转型的最主要的障碍。 依据巴塞尔协议,中国银监会在2005年开始允许国内金融机构外包,2006年发布《电子银行业务管理办法》(以下简称《办法》)与《银行金融机构信息系统管理指引》(以下简称《信管指引》,这两文件的某些章节对外包风险有所提及,但并不深入。 近日中国银监会发布《商业银行外包风险管理指引》(征求意见稿)(以下简称《指引》),共六章三十二条,分为总则、外包范围、组织架构、风险管理、监督管理和附则等六个部分。尽管该文件针对商业银行外包风险而制定的,但由于“风险控制”乃金融行业核心所在,《指引》涵盖了外包方方面面。可以说,这是我国第一份专门针对商业银行外
包进行规范的文件。在此,我们将简单对比这几部文件中对外包的相关规定,以飨读者。 外包定义 最早的《办法》中,仅给出电子银行业务外包的涵义;《信管指引》中则介绍了什么是外包风险,并没有对商业银行外包做出定义。《指引》首次明确定义了商业银行外包的涵义:“是指商业银行将原本应由自身负责处理的某些事务或某些业务委托给服务提供商进行处理的经营行为。服务提供商包括独立第三方,商业银行或其所属集团设立在中国境内或者境外的子公司、关联公司或附属机构。” 外包范围 随着外包市场在中国的日益扩大,中国银监会对这一新兴领域的了解也越来越深入。《办法》与《信管指引》中对外包范围都未做明确规定,而仅表示要“合理确定外包的原则和范围”。最新《指引》中则提及“确定与其风险管理水平相适宜的外包活动范围,尤其是重要业务的外包活动范围”,其中对“重要业务”又给出了评估的因素和参考的事项。更为重要的是明确表示“商业银行涉及到战略管理和风险管理职能的业务不宜外包。商业银行涉及到内部审计职能
2019年度信息科技风险管理报告
信息科技风险管理报告 根据《银行业金融机构全面风险管理指引》《**农村商业银行股份有限公司董事会议事规则》及有关要求,现将**(以下简称“本行”)2019年度信息科技风险管理报告报告如下。 一、2019年基本情况 按照《**农村商业银行股份有限公司岗位职责》,本行信息科技管理工作归口于电子金融部,设信息系统维护岗2人。成立了计算机信息安全管理工作领导小组和信息系统重大突发事件应急管理领导小组等,组织架构齐全。 二、2019年主要工作 (一)内部控制工作。本行结合内部控制评价工作对相关的科技管理制度和操作规程进行梳理和归类,及时修改相关制度办法,使其具有系统性、可操作性。现执行的制度有《**农村商业银行股份有限公司信息系统设施设备管理办法(试行)》、《**农村商业银行股份有限公司信息系统数据安全管理办法(试行)》、《**农村商业银行股份有限公司员工介质管理办法》、《**农村商业银行股份有限公司信息系统突发事件应急预案(试行)》、《**农村商业银行股份有限公司便携式移动金融服务终端管理暂行办法》等规章制度。 (二)系统管理工作。信息系统由**省农村信用合作联社开发、测试和维护,我行对全辖机具设备和线路进行调试、维护和管理,确保信息系统的正常运行。一是省中心已对数据建立异地
灾备,保证极端情况下生产系统正常运行。本行进行了各系统在不同运营商线路切换的演练。二是关注系统安全漏洞最新情况,及时对新发现的安全漏洞打上安全补丁,目前系统已是最新最完整版本,已安装了最新补丁。三是系统均安装了省联社指定桌面管理系统和病毒查杀软件,对病毒、恶意代码进行安全防护。同时,严格控制操作人员在机器上运行可能携带恶意代码、病毒的脚本的外来第三方软件。 (三)设备管理工作。本行对业务设备领用、报废进行全流程管理。设置有一名专职科技人员对业务设备进行日常巡检、维护、更换,确保业务设备不掉线及正常工作。科技人员按照规定对计算机进行必要的设备日常监测、检查、记录,并及时掌握设备的运行状况。通过查阅ITSM管理平台,及时受理各网点提交的系统运行故障、业务处理差错、业务需求申请等业务工单,对其审核后,提交相关部门处理。对营业网点上报的网络故障信息及时给予电话指导或现场处理。 (四)机房管理工作。本行使用电信、移动、联通终端设备,路由器和交换机均放置总行三楼机房,机房场地、安全通道、防水等符合机房建设要求,灾害防御措施完善、设备齐全,供配电系统、空调系统、机房防雷和消防系统符合相关技术要求。 (五)安全管理工作 1.网络安全工作。我行将外网与生产网络实行物理隔离,对所有进入内网的终端均进行绑定,路由器远程登录采取ssh认
浅谈银行业信息科技外包风险及管理
浅谈银行业信息科技外包风险及管理 发表时间:2018-08-13T11:29:51.117Z 来源:《基层建设》2018年第20期作者:蔡志刚 [导读] 摘要:随着社会经济的快速发展,信息技术扮演着越来越重要的作用,而且银行业也对信息技术的依赖不断加深,因此银行业的安全和国家金融体系的稳定直接受到银行信息系统的安全性、稳定性和高效性的影响。 盘谷银行(中国)有限公司 200002 摘要:随着社会经济的快速发展,信息技术扮演着越来越重要的作用,而且银行业也对信息技术的依赖不断加深,因此银行业的安全和国家金融体系的稳定直接受到银行信息系统的安全性、稳定性和高效性的影响。 关键词:银行信息;科技外包;风险; 一、银行信息科技外包策略及现状 随着经济的快速发展,我国银行近几年业务发展迅速,科技力量不足的矛盾日益突出,基于信息科技战略、外包市场环境、自身风险控制能力制定了“保持核心技术能力,适度引进外包,防控外包风险”的科技外包策略。具体来说,在开发外包方面,坚持核心银行系统自主开发,重要系统采用合作开发模式、内部管理系统购买业内成熟产品进行客户化,在安全及运维外包方面,优先考虑国产化的外包服务,如信息安全系统首选国内产品。网络、PC服务器及储存等设备在开发测试环境尝试使用国产化产品,逐步破解“核心技术受制于人”的难题,提高自主可控能力。 信息科技外包工作的开展,解决了银行自身信息科技人员不足的问题,使我行能够在较高的起点实施项目,从而实现信息化建设的跨越式发展提供了有力支撑。与此同时,我们也发现在外包管理工作中,存在信息科技外包管理体系有待完善、外包风险意识需要进一步加强、外包管理相对粗放、对服务商的约束机制还不到位等问题。 二、银行业信息科技外包所面临的风险 2.1 银行业务发展战略与外包服务不匹配的风险 如果银行在选择外包服务商时,并没有实践的进行考察和精密的评估,而任意选择一个外包商,这会致使外包项目以及银行业务想要发展的策略出现不匹配的现象,因此,会给银行的稳定发展带来一定影响,这样的外包项目如果外包出现,银行发现了存在的风险隐患,这时如果想要终止合同,银行就必须要给服务商赔偿很多的违约金作为赔偿,要想再跟服务商建立信息科技外包服务就一定要支付比以前更多的费用,服务商有可能会考虑再次合作的事宜,因此,如果外包与银行业务发展不匹配的战略风险会给银行今后的发展带来很大的影响。 2.2外包服务商提供服务无法达到标准的风险 外包商在提供服务的时候,往往会出现很多不同的问题,对这些存在的问题如果不积极采取有关措施会给银行业务带来风险,经常出现的业务有下文几种: 2.2.1当前,外包服务商的服务水平经常会受到物力和人力以及整体实力等因素的影响,不能达到银行合同标准的服务水平。 2.2.2如果银行没有给客户更优质的服务水平,会致使客户对银行的整体服务标准十分不满意,使银行丢失更多的客户。 2.2.3目前,有个别的服务商在接受工作后,并没有按照银行的要求去做,又或者去做一些违反法律法规的事,给银行的信誉造成很大的不良信誉,严重的导致银行遭受巨大的损失。 2.2.4很多服务商会因为技术问题,又或者是维护时的问题而发生一些不必要的矛盾,从而导致银行系统设备不能正常工作,致使银行的办事效率降低,这样会极大的引起客户的不满意。 2.3选择外包商的风险 该风险的出现主要是由于银行在选择外包商时没有经过充分考察、评估,以及对他们服务水平、技术水平、财力水平等都没有整体进行评估,而是单纯的只关注某一方面的特点,根本没有将IT外包的整体服务水平考虑进去,最后选择了服务水平质量不高的外包服务商。 2.4制定外包合同的风险 银行跟外包商签订合同的时候,一定要进行详细的了解并且实地进行全面的科学考察,如果没有经过全面、科学的考虑,银行将会在遇到意外或问题时处于非常被动的地位,因为这种片面的评估,将会使服务商的服务水平、服务标准以及在将会发生故障时得不到最好的服务。这同样也是我国目前大多银行在外包合同执行期间所面临的共同问题,服务商不能很好的执行服务,甚至有些技术根本就不能过关,对日常的检查也是不能按时执行,这些现象的发生将会在很大程度上导致银行的服务水平降低,工作效率也会出现明显的降低,来给银行的利益造成很大的损失。 2.5重要信息遭到泄露的风险 当前外包服务商受其整体综合实力不高的影响,没有完善的法律法规体系,致使有些工作人员在向银行提供服务时,把银行内部一些非常重要的机密信息泄露出去,给银行的声誉和发展造成巨大损失的潜在风险,即重要信息遭到泄露的风险。由于这种风险的涉及面非常广泛,并且不很难有效控制,因此相对而言其有较高的发生概率。 2.6知识产权的风险 这类风险主要包括以下几个方面:一是外包服务中开发技术的专利;二是版权的归属问题;三是源代码的归属问题,等等这些都是银行在和外包服务商签订协议时没有法律规定的,而且如果合同中存在一些不恰当的规定或者是没有进行详细的规定,这些问题都会给以后的合作过程带来很大的纠纷。 三、银行业信息科技外包风险管理 3.1建立信息科技外包服务管理机构 目前,银行业金融机构在外包过程中,仅当外包商选择或发生了法律纠纷时,才成立临时性机构来处理相关外包事务,管理机构的缺失给外包服务的管理和监督带来不便,无法充分保障外包服务的质量。 信息科技外包服务管理机构应该建立健全外包服务管理相关制度,做到对外包服务相关事务的处理有制度可依循,防范在外包立项、审批、采购、实施、服务过程中出现的各种风险。 控制外包服务项目预算经费;核查外包服务项目与金融机构发展趋势、信息科技外包战略是否一致;在筛选服务供应商时,国产供应
公司全面风险管理办法
xxxx有限公司全面风险管理办法 第一章总则 第一条为加强及规范xxxx有限公司(以下简称“xxxx公司”或“公司”)及其属下各级企业的风险管理工作,建立规范、有效的风险控制体系,防范、控制和化解在复杂多变的经营环境中随时可能发生或出现的风险与危机,促进公司战略的实现和经营的持续、稳定、健康发展,根据国务院国资委《中央企业全面风险管理指引》和财政部等五部委《企业内部控制基本规范》及相关配套指引,结合xxxx公司实际,制订本办法。 第二条本办法适用于xxxx公司和属下全资子公司,控股和参股公司可参照执行。 第三条本办法所称“风险”,是指在公司发展过程中各种不确定性对实现公司战略及经营目标的影响。企业风险一般可分为战略风险、运营风险、财务风险、市场风险和法律风险等。 第四条本办法所称的“全面风险管理”,是指围绕公司总体经营目标,通过在管理各环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化等,建立健全风险管理体系,从而为实现风险管理总体目标提供保证的过程和方法。 第五条风险管理基本流程包括以下主要工作: (一)收集风险管理初始信息; (二)进行风险评估; (三)制订并实施风险管控方案; (四)风险监控报告及预警;
(五)风险管理的监督与考核。 第六条公司在制订并实施战略规划、年度经营计划过程中应当充分考虑风险及制订应对措施,在投融资、市场运营、财务、人力资源、法律事务、安全生产等各项经营管理活动中应执行风险管理基本流程,制订并执行相应的制度、程序和措施。 第七条企业内部控制是全面风险管理的重要组成部分,内部控制以风险管理为导向,公司及属下各级企业应按照财政部等五部委颁布的《企业内部控制基本规范》及相关配套指引,结合实际,建立健全企业内部控制体系。 第八条公司及属下各级企业应根据自身经营规模、业务特点和所处的发展阶段等因素,确定风险偏好。应选择若干能够衡量风险的具体指标(如资产负债率等)作为预警指标,并明确风险的最低限度和不能超过的最高限度,作为量化的风险容忍边界。 xxxx公司现阶段实行稳健的经营理念,对风险采取谨慎的态度。 第九条公司大力培育和塑造良好的风险管理文化,树立正确的风险管理理念,增强员工风险管理意识,将风险管理意识转化为员工的共同认知和自觉行动,促进企业风险管理目标的实现。 第二章风险管理的目标、原则 第十条公司开展全面风险管理要努力实现以下总体目标: (一)确保将风险控制在与公司总体目标相适应并可承受的范围内; (二)确保遵守有关法律法规;
中国农业银行平顶山分行业务外包风险评估工作实施方案
中国农业银行平顶山分行 业务外包风险评估工作实施方案 为深入了解和掌握业务外包风险状况,促进业务外包健康发展,同时推动巴塞尔新资本协议实施,推广使用操作风险管理工具,总行决定对我行业务外包进行风险评估。根据总行《关于开展2011年下半年专项风险评估工作的通知》(农银办发【2011】726号)及《中国农业银行河南省分行业务外包风险评估工作实施方案》要求,结合我行业务外包实际,特制定本实施方案。 一、评估的背景和目标 (一)开展业务外包风险评估的背景。 一是总行《中国农业银行2011年风险管理工作要点》明确制定了上半年开展清算中心业务风险评估,下半年开展后台中心风险评估总体工作布署,但鉴于全行“三大中心”建设各行进度不同,大部分行下半年“三大中心”建设未全面完成,不能在全行进行后台中心风险评估,总行决定在后台中心、业务外包、小额农贷三个板块领域开展专项风险评估,我行被总行划分在业务外包板块进行风险评估。二是实施操作风险经济资本高级计量法的要求。总行已将经济资本分配到各部门、各级行,为确保计量数据的准确,“让数据和事实说话”,总行逐步在主要业务条线开展风险评估,通过有步骤的、循序渐进的推进各条线风险评估,全面识别不同条线面临的主要风险和潜在风险,针对不同环节风险和风险程度及时采取措施,有效防控风险,构建科学的风险管理机制。 (二)开展业务外包风险评估的意义。 通过开展业务外包风险评估,可以从制度、流程、协议等方面查
找并发现我行主要外包业务存在的缺陷和不足,并通过完善制度、优化流程、修改协议等措施,提高我行业务外包整体风险防控能力。 (三)评估目标。 1、清查业务外包领域已发生的各类风险事件,收集损失数据,深入分析导致风险事件发生的内外部原因。 2、以风险为导向,全面排查业务运行中存在的各类风险隐患,查找风险管理中存在的各种问题。 3、在定性定量分析风险事件和损失、风险隐患、风险管理情况的基础上,判断未来内外部环境改变后风险变化趋势,多角度、系统性地提出整改意见,建立健全风险控制机制,强化风险防范,促进业务优化和发展。 二、评估对象及范围 结合总行评估要点所涉及的主要业务领域及我行业务外包实际,本次业务外包风险评估仅限运营管理、信用卡和安全保卫3个业务条线外包活动,具体业务产品或管理活动详见风险评估内容及要点(见附件2)。 (一)评估对象。 我行业务外包风险评估对象为市分行运营管理部、电子银行部(信用卡业务)、安全保卫部及各县级支行与三个条线业务外包相关的业务管理部门。 (二)评估范围。 一是风险事件及损失评估。收集范围为2008年1月1日至2011年9月30日发生的业务外包类风险事件和损失。主要为:操作风险事件及损失、外包供应商违约事件及损失等。 二是风险隐患评估。包括:产品、设备、流程、系统、人员、制度、操作、管理、监督检查、体制机制等方面存在的问题和隐患;外
信息科技风险管理指引
商业银行信息科技风险管理指引 第一章总则 第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。wDgzD9M。 第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。 政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。3XFlI8Z。 第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。yyLvG1t。
第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。mI8D41d。 第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。W8L5hSm。 第二章信息科技治理 第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。 第七条商业银行的董事会应履行以下信息科技管理职责: (一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。k2W6Tcn。