调查显示中国银行业尚缺乏信息科技风险管理战略

　　中证网讯 一份2007年德勤全球金融服务业安全调查报告显示，信息安全已成为金融机构面临的风险中的重要一环。而当前中国银行业金融机构面临的主要信息科技风险包括缺乏有效的信息科技风险管理战略、信息科技治理结构还不够完善、高级管理层重视不够、信息安全管理工作更多强调技术层面以及合规风险。

　　这份调查报告范围覆盖全球169个主要金融机构的主管信息安全和IT的专业人士，其中银行业占68%、保险占18%、投资和证券占12%、支付处理占2%。

　　报告还指出，总体上，中国的金融机构都制定了业务发展战略，但缺乏与业务发展战略相一致的信息科技发展战略，也缺乏信息科技风险战略，以指导信息科技风险管控工作。

　　金融机构内部大多数部门都认为信息科技工作是信息科技部门的事情，同样信息科技风险管理也只是信息科技部门的责任，导致了信息科技治理结构不够完善，信息科技风险管理缺乏业务、风险管理、内部审计部门的有效支持。高级管理层在“口头上”都很重视，但高级管理层很少履行切实的承诺，在资金上给与足够的支持。

　　今天，更多金融机构注重从技术层面加强边界保护，而很少从流程、技术、人员三个不可分离的层面从事信息安全管理工作。由于当前在信息科技风险管控方面不能够满足外部监管机构的要求，从而给金融机构带来合规风险。

　　报告最后提出了关于加强金融机构信息科技风险管理的建议，即使金融机构应结合自身业务发展战略，在对信息科技风险评估的基础上，借鉴先进金融机构的良好做法和国际标准基础上，制定出与业务发展目标保持一致的信息科技风险管理战略。加强信息科技风险治理结构建设，设计出包括高级管理层、业务部门、信息科

　　技部门、风险管理部门、审计和合规部门在内的信息科技风险治理架构，以满足信息科技风险管理对治理结构的要求。

　　从业务需求出发，从人员、技术和流程三个角度加强信息科技风险管控程序建设，逐步提高信息科技风险管控能力，满足外部监管要求。还要持续地加强高级管理层、管理层以及一般人员，并包括合作伙伴等人员的信息安全意识教育和培训。