- 快捷搜索
- 全站搜索
为落实全面风险管理理念和要求,加强信息科技风险管理,保障信息系统安全运行,浙商银行于2007年建立信息科技风险监控官制度,由行长向信息科技部派驻信息科技风险监控官,实施驻地办公,兼任总行信息科技部副总经理职务,独立开展相关信息科技风险管理工作。
从职位和工作职责上看,浙商银行信息科技风险监控官类似于首席信息安全官(CISO,Chief Information Security Officer),也称信息科技安全主管、信息科技风险主管等,主要负责机构内的信息科技风险策略制定、风险识别、风险评估和风险控制等,通常直接向首席执行官(CEO)、首席信息官(CIO)、首席风险官(CRO)或董事会报告。据报道,早在10年前,IBM就宣布任命了其全球首任“首席信息安全官”。目前,越来越多的企业开始设置相关的职位,如微软、柯达、花旗、Facebook、宝洁等,韩国从2009年开始已要求大型企业必须设置CISO职位,而对于中国企业而言,首席信息安全官制度尚在起步阶段。
一、信息科技风险监控官制度建设
如何在有效控制信息科技风险的同时,促进信息科技建设和业务发展是银行信息科技管理工作的重点。浙商银行在实践中不断推进信息科技风险监控官制度建设,取得了一定成效。
一是制度安排。信息科技风险监控官对行长负责,岗位设置在风险管理部。信息科技风险监控官在制度框架内,负责组织开展全行信息科技风险的识别、计量、监测、控制和报告,拥有相应的评判权、评价权、知情权、同意权等。
二是日常履职。总行实行信息科技风险监控官例会制度,每季度向行长或分管风险管理的行领导报告全行信息科技风险评价与管理状况;总行实行风险监控官参加行务例会制度,每月向高级管理层报告信息科技风险管理情况。风险监控官参加信息科技部的月度工作例会及相关部门会议,有权随时对风险管理和信息安全工作进行指导、检查和监督。
三是独立评判与执行。信息科技风险监控官负责向全行传播信息科技风险管理理念和文化,通过对运行管理、开发过程管理等的评判以及现场风险监控与识别,及时发现或预警风险,并有针对性地提出相关防范建议,化解风险。
四是独立考核。对信息科技风险监控官的考核,由人力资源部会同风险管理部在综合信息科技部意见,形成考核评价报告,提交总行分管风险管理行领导审查后,报行长审定。
二、信息科技风险监控官制度的实施成效
浙商银行信息科技风险监控官制度实施5年多来,取得较好成效,主要体现在以下几个方面。
一是建立了良好的风险信息传导机制。信息科技风险监控官以其独特的地位和视角,既领会银行高层领导的风险理念和风险偏好,又了解银行信息科技风险的实际情况;能将风险控制的理念通过培训、讲座、宣传等方式传播到全行,培育全员信息科技风险理念,又能将信息科技相关风险隐患、故障、风险事件及时汇报给高层领导。
二是实施全面的信息科技风险管理。总行通过派驻风险监控官与风险管理部共同执行对信息科技风险的全面管理,将信息科技风险纳入全行全面风险管理体系范围,实施对信息科技风险的监测、监控、评估、控制与报告。风险监控官作为风险管理现场驻点人员,负责获取第一手材料,全面了解信息科技风险的真实情况,开展现场风险评判,既能避免风险被忽视,又能避免过度的风险控制,量力而行,适度控制,有效提高了“二道防线”执行和防控的有效性、及时性,实现风险把关前移,强化了风险的事中控制和监督。
如何在有效控制信息科技风险的同时,促进信息科技建设和业务发展是银行信息科技管理工作的重点。浙商银行于2007年建立信息科技风
如何在有效控制信息科技风险的同时,促进信息科技建设和业务发展是银行信息
如何在有效控制信息科技风险的同时,促进信息科技建设和业务发展是银行信息