中国银监会信息中心处长骆絮飞演讲

　　各位来宾，女士们、先生们，大家下午好！很高兴参加今年的中国金融科技发展论坛，这已经是第四届论坛了，经过这几年的发展，论坛的规模不断发展壮大，信息交流和合作不断的增多，成为我们金融业各方在科技发展方面非常重要的交流窗口和一个互动的平台，积极推动了金融业信息化建设和发展。

　　这次会议的主题是金融企业的IT治理，围绕这个主题我把银行业IT治理的一些情况和我们的信息科技监管有关情况向大家做一个简单的介绍。大家知道，在改革开放三十年来，借助信息科技的不断进步和有效运用，我国的银行业发生了根本性的变革，信息科技和银行业务高度融合，已经成为银行业金融机构实现经营战略和业务运营最重要的平台。

　　与此同时，信息科技风险也成为影响业稳健发展的关键因素，有效的防范和化解信息科技风险，在改革发展的过程中，保障安全稳健的运转，使现代的信息科技服务支持银行业的可持续健康发展，提高国际竞争力，这已经成为当前促进银行业信息科技工作整体协调科学发展的非常重要的课题，更是银行业金融机构和监管部门必须面对的考验和严峻的挑战。

　　建立银行业全面的风险管理机制，重点是要解决信息科技的体制机制问题和核心的竞争力问题。另一方面，在当前金融危机的背景下，银行业面临的风险显著上升，在这特殊时期，银行业既要加强风险的防控，积极应对金融危机的冲击，同时又要监管观测国家的宏观调控政策，加大对经济增长的支持力度，这对银行业信息化建设提出了更高的要求。加强银行业风险管理需要信息科技的有效支持，银行业需要信息技术发现出一套监测和决策体系。

　　银行必须保证这些信息系统的可靠性和有效性，可靠性和有效性从哪来呢？必须提高信息合同和管理水平来实现，管理水平的上升本问题还是在于IT治理机制，IT治理机制是公司治理的非常重要的组成部分，也是公司治理结构体制机制的体现，IT治理要解决信息化建设深层次的机制问题，建立一整套明确决策、权属、责任承担的安排，建立相互促进、相互制约的组织框架，建立起规范的领导责任体系和权利制衡机制，使银行业的董事会、高管层以及所有对信息技术决策负有责任的人员，来理解如何应对科技风险，构建良好的IT治理结构是抵御风险的第一步，也是最重要一步。

　　在组织架构方面，不少的银行成立了行长牵头的信息化建设和信息化安全生产的领导小组，有的银行还成立信息科技战略委员会，这是属于做得比较好的银行，建立了风险管理，IT五的风险管理、信息科技审计的风险体系，并且将信息科技风险纳入全面的信息风险内。建立了一步三中心的机制。

　　部分银行明确了三到五年的IT发展和治理的工作目标，逐步推进了数据方面、应用方面和架构方面的建设，另外在激励约束机制建设方面建立了一些激励机制，为了激励科技人员，稳定科技队伍，有的银行还建立了对技术人员市场化的管理机制，这都是做得比较好的。但是在IT治理领域，银行还存在着不少问题，总体来看主要是IT治理的水平整体比较低，治理结构不完善。从整个银行业来看，IT治理建设还处在起步阶段，不少高管层对信息技术建设认识程度、管控程度都不够。大部分机构还是把信息科技单纯看成技术手段，没有从战略发展高度来认识科技技术的重要性。

　　没有建立起系统的、完善的信息科技治理架构，信息科技风险也没有全面纳入到银行的风险管理体系之内。目前有少数大中型银行已经建立起类似的信息技术管理委员会IT决策机构，但是董事会、高管层里面，比较缺乏具备信息科技技术的人员，总体信息科技战略规划、发展决策还不是十分到位，对信息科技风险管理还是简单停留在技术层面上。另外在IT审计还存在不少问题，IT审计的人员也不足，本生专业也比较缺乏。

　　另外在监督制度不健全方面都是普遍存在的，在这方面，尤其是区域性的商业银行和农村的金融机构，问题比较突出。在这方面基本是处于空白的状态。另外广泛机制，还存在着很大不足和缺陷，很多银行的科技风险管控机制、管理制度都比较欠缺，内部措施不太完善，执行落实还有不到位现象，个别银行在关键的岗位缺岗也比较严重，在有些银行内部的审计部门还没有开展IT风险方面的审计，或者是说没有设立相关的IT风险金融集合的岗位，有的银行从来没做过IT审计和评估，这都存在着很多问题。

　　由于没有形成分工合理、职责明确的信息科技治理的结构，有一些银行战略规划缺位，有的是有战略规划，但是和业务的战略没有协调起来，没有一致起来，由于战略规划的缺位，导致信息科技方面的重新建设，信息的分割，缺乏信息的统一标准，管理上的滞后，这种现象比较普遍，所以系统很难整合。银行在建设方面投资确实也非常大，存在资源浪费，不能很好的适应银行业务发展的需要的问题。

　　面对这些复杂的严峻的金融形势，不断放大的系统运营风险，怎么样持续的强化银行信息科技风险的管控要求，来切实防范操作风险，如何指导督促银行业金融机构加强IT治理的建设，来促进它的信息化能力，全面风险管理能力的提升，对我们银行业信息科技的监管工作来讲也是非常大的挑战。银监会非常重视银行业的信息科技治理问题，在今年年初发布了商业银行信息风险管理指引，明确提出IT治理的要求，明确了董事会的信息科技的治理原则，要求董事会要清楚了解银行要承担多大的信息科技风险，同时银监会也正在协调商业银行首席信息官得管理办法。

　　我们看到，随着公司治理的深化，一些银行在高管体制建设上已经取得比较好的成功经验，首席风险官、首席信息官，对完善公司治理起到很好的作用，所以首席信息官的设立是信息技术的日益扩展化、深入化的要求，也是信息安全管理越来越重要的体现，对银行而言，首席信息官既是银行信息科技战略的制订者，也是战略的参与者、贯彻执行者，要求他具有非常清晰的发展思路，确定战略重点，确定实施路线。

　　此外银监会也在起草商业银行的信息科技治理的指导意见，这个办法正在制订，要求商业银行建立起相关的管理委员会，并且要求商业银行建立合理的内部IT方面的组织架构，完善内部控制机构，建立合规管理框架，这都是改进治理水平的非常重要内容。

　　下一步，银监会还将积极构建覆盖全局的信息科技整体的监管制度体系，积极推进银行业信息科技的治理，信息化建设和全面信息科技风险管理工作，加大支持和监管力度，促进银行业信息化建设整体提升和风险化管理的整体提升。