摘要
CD商业银行作为一家由城市信用社发展起来的城市商业银行，目前已发展
为员工3500多名、分支机构120多家、覆盖3省6市、资产规模上千亿元、资本
比较雄厚和综合化经营的区域性商业银行。为适应内外经营环境挑战对经营变革
的需要，开始深入进行企业信息化全面发展建设。

先于CD商业银行开展企业信息化全面建设，并已呈现出“水泥+鼠标”特征的
商业银行，近年来频频发生IT风险事件，给企业自身、社会公众甚至国家经济秩
序带来了巨大的损失和严重不良影响。而全面实施IT风险管理所需要的不菲成本，
又会极大地挤占CD商业银行经营变革所需信息化建设的有限资源，影响企业信息
化全面发展速度和经营变革的快速实现。

CD商业银行目前的企业信息化发展状况是否有必要全面开展IT风险管理？
其现有IT管控体系与成熟完整的IT风险管理体系相比存在哪些差距性问题？对存
在的问题又如何提供相应的解决对策？等重要管理问题的回答，将有助于CD商业
银行在企业信息化全面发展中实现IT的价值交付，确保其经营变革的成功。

本文在国内外商业银行IT风险管理研究现状分析基础上，对商业银行IT风险
管理及定义分类进行了总结提炼；借鉴企业信息化发展阶段理论思想，通过德尔
菲法构建了银行信息化发展阶段评价体系，以此体系对该银行的信息化阶段状况
进行了调查分析，基于调查结果分析其面临的固有IT风险，说明其开展IT风险管
理的必要；以S省银监局法人银欧亿·体育（中国）有限公司金融机构信息科技监管等级达标标准为成熟
完整IT风险管控体系的基准，运用差距分析法分析了该银行IT风险管理存在的主
要问题及原因。

本文对CD商业银行IT风险管理存在的主要问题，运用CISR（(麻省理工学
院斯隆管理学院信息技术研究中心)）模型理论提出了IT组织治理的对策；采用风
险因素关系分析对IT系统交付风险和IT系统运行风险的识别评估方法进行了探索
性的构建；并对IT系统服务持续性和IT服务外包提出了具有针对性的解决对策。

本文的研究成果也可以对其它商业银行的IT风险管理起到有益的借鉴作用。

关键词：商业银行，IT风险，风险管理，企业信息化，德尔菲方法