随着经济全球化发展，世界经济和政治格局正在发生巨大变革，包括中国在内的世界各国金融体系和风险管理体系都面临着前所未有的挑战。2008年美国金融危机引起了各国政府和金融界的广泛关注，也让中国金融业充分认识到了风险管理体系建设的重要性和紧迫性。尤其是巴塞尔协议III实施之後，风险管理成为金融业维稳工作的重点。

在中国金融机构的合规建设方面，相对证券业和保险业而言，银行业具有较为丰富的实践经验。早在2002年，中国银行就参考香港分行合规管理制度，改革其“法律事务部”为“法律合规部”，并设立了首席合规官。

在监管方面，自2003年11月4日中国银监会在“银行业金融机构监管信息系统建设”主席办公会和监管信息系统建设领导小组会议上决定启动银行业金融机构监督信息系统起，银监会投入了大量的资源建设监管信息系统。

2005年，上海银监局发布了《上海银行业金融机构合规风险管理机制建设的指导意见》，这也是中国银行业监管机构出台的第一个针对合规管理的专门文件；2006年，中国银监会正式出台了银行业合规管理的核心文件——《商业银行合规风险管理指引》。

监管指导升级

随着银行业信息化的发展，信息科技的作用已经从业务支持逐步走向与业务的融合，成为银行稳健运营和发展的支柱，原《指引》定位在信息系统风险管理的基本、原则性要求，已难以满足商业银行信息科技风险管理的需要。为此，2009年银监会在原《指引》的基础上，广泛征求业内机构意见，制定了新《管理指引》。

新《管理指引》共十一章七十六条，分为总则，信息科技治理，信息科技风险管理，信息安全，信息系统开发、测试和维护，信息科技运行，业务连续性管理，外包，内部审计，外部审计和附则等十一个部分。新《管理指引》的发布，将进一步推动我国银行业信息科技风险管理向更高水平迈进。

新《管理指引》规定了董事会和高级管理层在信息科技风险管理中承担的主要责任，提出要构建信息科技风险管理的“三道防线”（即信息科技管理、信息科技风险管理、信息科技风险审计），要求商业银行在决策层设立首席信息官；同时，新《管理指引》对敏感信息保护要求的提出，特别是对外包服务环节信息保护的要求，将促使商业银行进一步加强客户信息保护，为广大储户提供更加安全的服务。

此外，新《管理指引》具有以下几个特点：一是全面涵盖商业银行的信息科技活动，进一步明确信息科技与银行业务的关系，对于认识和防范风险具有更加积极的作用；二是适用范围由银行业金融机构变为法人商业银行，其他银行业金融机构参照执行；三是信息科技治理作为首要内容提出，充实并细化了对商业银行在治理层面的具体要求；四是重点阐述了信息科技风险管理和内外部审计要求，特别是要求审计贯穿信息科技活动的整个过程之中；五是参照国际国内的标准和成功实践，对商业银行信息科技整个生命周期内的信息安全、业务连续性管理和外包等方面提出高标准、高要求，使操作性更强；六是加强了对客户信息保护的要求。

机构设置提升

除了监管法规得到进一步加强外，监管机构本身的机构设置也将信息科技的地位凸显出来。2012年8月中国银监会信息中心升级为信息科技监管部，银监会党委书记、主席尚福林强调说要加强银行业信息科技监管督导和专项排查，维护银行业稳健运行。

尚福林指出，银行业信息科技系统的安全、稳健运行关系银行业自身可持续发展，更关系金融安全。在当前银行业务快速发展与信息科技高度融合的背景下，在银监会设立专门部门对银行业信息科技风险加强监管，充分表明了党中央、国务院对银行业信息科技监管工作的高度重视，也体现了新形势下不断加强银行业专业化监管能力建设的决心。银监会系统要进一步强化银行业信息科技风险监管工作，加强信息科技风险的监测和预警，深入开展信息科技现场检查，做到风险早发现、早报告、早处置，进一步提升信息科技风险监管的及时性、前瞻性。

他强调，各银行业金融机构要做到风险排查到位、管理措施到位、整改落实到位，要从维护银行业稳健运行的全局出发，加强银行业信息科技监管督导和专项排查，督促提高信息系统可靠性和稳定性。

新设立的信息科技监管部负责制定银行业信息科技监管政策，指导银行业信息科技发展规划，开展信息科技非现场监管和现场检查，处置信息科技突发事件，开展银行业标准化相关工作以及银监会信息科技风险防范工作归口管理。下一步，信息科技监管部将全面落实各项职责，持续完善银行业信息科技监管制度和标准体系建设，创新、丰富信息科技监管方法和工具体系，加强信息科技监管专业队伍建设，深入开展风险评估、监测、评级和现场检查工作，加强内、外部协同协作，促进银行业信息化建设和信息科技风险管控工作协调、有序、健康地发展。

对外开放、混业经营、加大业务创新是银行业发展的大势所趋，目前中国银行机构自身在合规经营、风险管控上还有很大不足。而信息科技的进一步发展，不仅为银行业务创新、服务创新创造了机遇，同时也要注意严把风险关，充分贡献出信息科技对风险管控的力量。