商业银行科技风险管理第二道防线的“矛”与“盾”

杨贵院  上海农商银行总法律顾问、风险管理部总经理

在当今数字化时代，商业银行的科技风险管理显得尤为重要。本文旨在探讨商业银行科技风险管理中的第二道防线，如何以“矛”与“盾”的哲学思维，应对信息科技风险带来的挑战。

一、信息科技风险管理的现状与挑战

近年来关于商业银行信息科技风险管理的处罚事件屡见不鲜。从福建某农商银行因信息风险管理不到位被罚款100万元，到无锡某银行因信息风险管理违反审慎经营规则被罚款35万元，再到兰州某村镇银行及某股份制银行和某国有大行因类似问题被重罚，可见监管的处罚力度正在逐年提升，凸显了信息科技风险管理的重要性。

二、信息科技风险管理的目标

根据《商业银行信息科技风险管理指引》（银监发〔2009〕19号）信息科技风险管理的目标是通过建立有效的机制，实现对商业银行信息科技风险的识别、计量、监测和控制，促进商业银行安全、持续、稳健运行。这包括推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。

而商业银行第二道防线是实现这一目标的“掌舵人”，第二道防线应创新风险管理模式，做强风险防范基础，主动预防风险。

三、第二道防线的“盾”：夯实基础，勤练内功

（一）构建完善的信息科技风险管理组织体系

商业银行应建立完善组织体系，明确组织架构和职责。信息科技风险管理三道防线的建立是信息科技风险管理工作的基础，通过三道防线各司其职，相互协作，形成强大的风险防控网。

同时三道防线间应建立有效的沟通和共享机制，促进各道防线的融合和风险意识统一，确保信息科技风险的及时发现和有效应对。尤其第二道防线应适当融入各项科技活动中，参与及时掌握科技动态，如：建立培训和风险政策解读机制、建立二道防线联席机制、建立二道防线沟通交流机制。

（二）加强制度建设和人才培养

商业银行应制定全面的、多层级的信息科技风险管理制度，自顶向下地明确风险管理战略规划、策略、总体要求和实施管理流程等。

同时，建立一支专业的信息科技风险管理团队，团队成员应具备不同IT领域的背景，并定期参与同业交流和技术培训，以提高团队的专业素养和应对能力。

四、第二道防线的“矛”：主动识别，降低风险

（一）建立风险评估机制

商业银行应建立行之有效的风险评估机制，加强风险评估的标准化和精细化管理，如建立风险评估指标库，构建风险评估模型，对固有风险的风险等级进行合理评估。

同时，可采用由“面”至“点”的方式进行全方位的风险评估，充分发挥第二道防线的风控力量，兼顾风险评估的全面性和深入性，确保风险得到全面识别和有效控制。

（二）强化风险监测与预警

商业银行风险预防能力取决于风险监测能力，通过建立具有敏感度、覆盖面广、实用性强的风险监测指标库和定期的监测指标更新机制，结合数据采集和分析技术，商业银行可以实现对风险的实时动态监测和预警，掌握风险动态，对风险进行及时排查和整改，确保风险在萌芽状态就能被发现和处置。

五、数字化转型赋能第二道防线

随着数字化转型的深入推进，商业银行的风险管控能力与数字化转型息息相关，传统的线下管理模式往往存在管理效率低下、沟通成本大、数据难以分享等问题。信息科技风险管理数智化建设可以实现高效协作、标准管理、直观展示，加强“三道防线”彼此协同，风控理念和管理标准统一，并为银行提供丰富的知识积累。

通过构建信息科技风险管控平台，可实现包括风险评估、风险监控、风险处置、监管报送、事件报送、风险排查、知识库等完整的风险管控功能，形成“事前预警、事中管控、事后分析”的风险防控体系。并可充分利用大数据、AI等技术手段，进一步实现风险实时监测和预警的智能化，辅助风控人员聚焦风险和处置风险。

六、未来展望

展望未来，商业银行在信息科技风险管理方面将面临更多挑战和机遇。一方面，随着技术的不断发展，新的风险点将不断涌现；另一方面，监管要求也将更加严格和复杂。因此，商业银行需要不断创新和完善科技风险管理机制，提升风险管理的专业性和学术性。同时，加强风险文化建设，将风险管理融入企业文化意识中，形成浓厚的学习氛围和考核奖惩机制，确保科技风险管理的持续性和有效性。

综上所述，商业银行科技风险管理中的第二道防线需要同时具备“矛”与“盾”的功能。既要像盾一样坚实可靠，能够抵御和化解风险；又要像矛一样敏锐犀利，能够主动识别和降低风险。只有这样，才能在数字化时代中确保商业银行的安全、持续和稳健运行。

来源：TGES 2024（第二十届）中国金融风险经理年度总论坛（2024年11月）