在接受采访的商业银行中，超过半数的银行认为，CIO一职是否设立并非重要，关键在于属于CIO的这些职权能否有人承担。

    自2009年6月1日，《商业银行信息科技管理风险指引》（下简称”《指引》“）颁布以来，各商业银行纷纷采取措施，积极配合各银监局进行首次审查工作。

    针对《指引》中提到的关于商业银行 ”在决策层设立首席信息官“、”设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会“、”设立或指派一个特定部门负责信息科技风险管理工作“等实际操作问题，《CIO INSIGHT/信息方略》记者采访8家商业银行（其中5家城市商业银行、3家股份制商业银行及国有银行）了解相关情况。

    某位不愿意透露姓名的商业银行科技部经理表示，他会根据《指引》做逐步的调整，例如在科技部外，设立独立的审计和独立的风险管理部门来共同管控风险，但对于CIO一职，则认为CIO只是个名义，只要有人来承担这个责任就行。而在整个采访过程中，笔者发现，有超过半数的商业银行都表达了相似的态度，看来要全面建立起商业银行CIO一职，尚待时日。

    石家庄市商业银行科技部经理 杜晓洁

    《指引》涵盖内容比较全面，完全按部就班做不大好说，但具体的比如规划、信息组织架构的设计，对城商行规范管理非常有好处，我们肯定还要尽量参照要求，根据行里实际情况，分步骤实施。现在还是要在管理制度上逐步调整。CIO正在招聘，觉得用社会公开招聘的方式比较能选到好的人才。独立部门没有设，IT审计有原先的内审部门来兼管。

    邯郸市商业银行科技部总经理 高雪清

    目前就《指引》而言，困难倒是谈不上，很多内控的制度、基础建设都是按照《指引》来完成的。现在已经完成了IT风险的自我评估，下一步我们要做的是查漏补缺。今年9月份我们会专门请外部公司来做一次审计，同时也购入一套风险评估软件，这样能更方便地帮忙查找目前存在的漏洞，有目的地进行弥补。至于CIO，从去年开始我们已经外聘了一位，外聘的方式能让他站在中立的角度来指导我们工作，避免了内部提拔的倾向性。

    宁波银行科技部总经理 葛伟国

    这次《指引》指导意义很大，现在我们的稽核部有专门的IT稽核人员，但是尚未实现深入到系统内部的稽核。除此之外，我们每年请安永事务所来帮助进行专门的IT审计。CIO的设立我觉得本意是希望提高整个行内科技部的地位，让IT部门更有发言权，但同时CIO只是个职务，其实组成一个专门的智囊团来代替CIO行使权利，这部分职责有人去担当就可以了。

    招商银行信息科技部总经理助理 贾俊刚

    招商银行是副行长主管信息化，虽然名称不是CIO，但履行了CIO的相关职责，同时还有一个CTO职位。

    《指引》中强调了信息科技部门、IT风险管理以及IT审计部门的设立，这三个部门应当是三权分立、相互制衡。《指引》中提出设立或指派一个部门负责IT风险管理，但过去银行都把它设立在信息科技部门下面，实际上应该分开，我们也在按照新《指引》逐步调整。

    2009年的《指引》很全面，我们需要逐条学习，到底控制什么风险，根据我们的实际情况进行调整，了解自己的差距。但实际操作与《指引》之间存在一定鸿沟。同时，《指引》参照了很多国际标准，较为全面，但没有明确说明要在风险管控上具体做到什么程度。

    中国银行IT规划蓝图办公室主任 王世辉

    过去银行的风险管理多是针对信贷风险，忽视了操作风险，其实IT风险管理也属于操作风险的范畴。《指引》中提出专门设立或指派一个部门负责信息风险管理很有必要，不应只是关注信贷风险，而应该站在更全面的角度来看待风险。CIO职位的设立是从IT治理的角度考虑，CIO应该是来自企业高管层，能够参与到企业重大决策的核心领导者，同时他需要具备一定的IT背景，更了解行里的业务。

    我认为核心业务系统在风险管控中存在以下难点：

    在核心系统实施的决策阶段，究竟是选择内部开发、外包还是外购，不同的实施模式风险不一样。都需要考核企业自己内部人才队伍的状况以及外部实施环境，是否有合适的技术合作伙伴等因素。

    不管采用什么样的模式，都需要银行有一支完善、强大的人才队伍做支撑，对于人才队伍提出了更高的要求。不同实施模式只是导致人才结构不同而已。

    不能忽视项目管理，目前项目失败率很高，很大程度上归因于项目管理重视不够。项目管理应当遵循公开、透明、标准化以及规范化的原则。

    IT建设是”一把手“工程，需要高层领导的支持，更需要领导对于信息化的理解，上下思想要一致。

    温州市商业银行科技部经理 吴文忠

    目前我们正在按照《指引》制定实施方案，并在实施当中。主要的几个过程有风险评估（自评估）；制度、流程、策略的重新梳理（聘请外部专业公司完成）。IT审计每年都做，也设有专门的IT审计岗位，不过按照《指引》的要求来看深度、广度还有欠缺。CIO职务暂时没有增设。

    中信银行总行信息技术部总经理 张斌

    CIO职位源于国外，在中国是否一定要设立CIO这个岗位，我认为可以根据各个银行的实际情况而定。目前一些银行中管理业务的副行长可能不是很精通IT，但是管理信息科技一样很有成效，因此CIO这个名称不一定要有，关键是要设立信息科技职能。

    要保证IT系统获得必要的收益，我认为从IT部门来说很难量化。一个项目的成本很好计算，但收益难以量化，尤其是IT生产的收益。这期间会有很多主观判断在里面，需要有一个机制或者模板来引导IT的ROI，而实际中IT的收益很多时候是估算出来的。

    2008年中信银行设立信息安全部门，目前在信息科技部门下面，按照2009年的《指引》，我们内部会做一些调整。信息风险管理除了自我监管外，外部监管很重要，这本身也是公司治理的一部分。中信银行针对IT审计成立了合规稽核部门。

    2009年的《指引》比2006年更加完善，突出IT治理层面，而且指引的粗细度取舍较为合理，有较强的指导意义，且更符合现在中国银行业的发展水平。但不同银行对于这个《指引》会有不同的理解，如果能有进一步详细的具体操作，可能实施起来方向更明晰。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。