在强调数字化转型和金融科技建设的当下，移动互联网、大数据、人工智能等在一定程度上促进银行业务发展，但信息科技风险也随之而来。

信息科技风险，是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。

虽然银行业在加强信息科技风险管理，但仍存在不足，截至目前已有多家银行因信息科技风险相关问题收到罚单。

因信息科技风险管理不到位等，多家银行被罚

据《银行科技研究社》统计，2020年以来，监管公告中带有“信息科技风险”关键词的罚单（以监管公告时间为准）有：

2024年8月2日，无锡锡商银行因“信息科技风险管理违反审慎经营规则”，被罚款35万元。

2024年7月8日，福建武夷山农商银行因“信息科技风险管理不到位”等2项违法违规事实，被罚款100万元。同时，时任该行董事长刘成建、时任该行行长陈晓、时任该行监事长郑福源、时任该行兴田支行行长张嵬、时任该行兴田支行副行长（主持工作）陈章亮被罚。

2024年5月23日，兰州永登新华村镇银行因“信息科技风险管理不到位”，被罚款30万元。

2023年9月4日，绵阳市商业银行因“信息科技风险管理不审慎，严重违反审慎经营规则”，被罚款120万元。同时，时任该行首席信息官胡雪冰、时任该行信息技术部总经理舒山均被警告，并分别被罚款12万、6万元。

2023年9月4日，平顶山银行因“重要信息系统管理不到位”“发生信息科技突发事件应报未报”等3项违法违规事实，依据《商业银行信息科技风险管理指引》等监管文件，被罚款80万元。

2022年4月12日，青海省农村信用社联合社因“信息科技风险管理不到位”等多项违法违规事实，被罚款155万元。同时，多人被罚。

2022年1月30日，广东顺德农商银行因“信息科技风险管理不到位”，被罚款50万元。

2021年4月27日，曲靖市商业银行因“网络授权访问控制不到位，存在严重的信息科技风险隐患”，被罚款35万元。

2020年12月31日，宁波鄞州农商银行因“信息科技风险管控不力，存在较大风险隐患及违法违规行为”，被罚款35万元，并被责令对相关直接责任人给予纪律处分。

2020年7月8日，沧州银行因“信息科技风险管理不到位，严重违反审慎经营规则”，被责令改正，并被罚款20万元。

2020年1月2日，福建省农村信用社联合社因“收单系统研发和运行管理不到位导致产生大额垫款、收单系统超级权限和测试机具管理失控导致员工利用职务便利从事信用卡套现”，依据《银行业金融机构重要信息系统投产及变更管理办法》《商业银行信息科技风险管理指引》等监管文件，被罚款100万元。同时，1人被罚。

上述罚单，涉及城商行、民营银行、农商行、农信社、村镇银行，均为中小银行。部分罚单为“双罚”，其中有首席信息官、信息技术部总经理被罚。

指向银行重要信息系统、数据中心、信息科技外包问题的罚单

不过，上述罚单只是含有“信息科技风险”关键词的罚单，从广义上来说，并非信息科技风险相关的全部罚单。

信息科技风险概念，是比较宽泛的。农行方面曾指出，结合对历年重大风险发生情况的分析，可将信息科技风险分为业务中断风险、数据安全风险、系统漏洞风险、IT外包风险等4大类。

经《银行科技研究社》查询，还有一些银行罚单涉及重要信息系统、数据中心、信息科技外包等相关问题，或也算入信息科技风险罚单。值得注意的是，相比上述罚单，这些罚单中的被罚对象增加了国有银行、股份制银行、外资银行等。

2024年1月5日，中国银行因重要信息系统、信息科技外包等相关问题，被罚款430万元。其违法违规事实具体包括：

一是部分重要信息系统识别不全面，灾备建设和灾难恢复能力不符合监管要求；二是重要信息系统投产及变更未向监管部门报告，且投产及变更长期不规范引发重要信息系统较大及以上突发事件；三是信息系统运行风险识别不到位、处置不及时，引发重要信息系统重大突发事件；四是监管意见整改落实不到位，引发重要信息系统重大突发事件；五是信息科技外包管理不审慎；六是网络安全域未开展安全评估，网络架构重大变更未开展风险评估且未向监管部门报告；七是信息系统突发事件定级不准确，导致未按监管要求上报；八是迟报重要信息系统重大突发事件；九是错报漏报监管标准化（EAST）数据。

同一天，中信银行因重要信息系统、数据中心等相关问题，被罚款400万元。其违法违规事实包括：

一是部分重要信息系统应认定未认定，相关系统未建灾备或灾难恢复能力不符合监管要求；二是同城数据中心长期存在基础设施风险隐患未得到整改；三是对外包数据中心的准入前尽职调查和日常管理不符合监管要求，部分数据中心存在风险隐患；四是数据中心机房演练流于形式，部分演练为虚假演练，实际未开展；五是数据中心重大变更事项未向监管部门报告；六是运营中断事件报告不符合监管要求。

这2张罚单或是罚款金额较高的信息科技风险罚单。

更早之前，2023年9月26日，北京农商银行因“发生重要信息系统突发事件，但未向监管部门报告，严重违反审慎经营规则；信息系统开发测试管理不到位，严重违反审慎经营规则”，被罚款80万元。

2023年9月8日，北京中关村银行因“发生重要信息系统突发事件但未向监管部门报告，严重违反审慎经营规则”，被罚款20万元。

2023年4月27日，大华银行（中国）因“重要信息系统访问控制管理存在不足”，被责令改正，并被罚款35万元。

2022年9月9日，广西北部湾银行因“迟报重要信息系统突发事件”，被罚款20万元。同时，1人被警告。

2021年11月29日，北京银行因“发生重要信息系统突发事件但未向监管部门报告，严重违反审慎经营规则”，被罚款40万元。

2021年1月29日，农业银行因“发生重要信息系统突发事件未报告；生产网络、分行无线互联网络保护不当；数据安全管理较粗放，存在数据泄露风险；网络信息系统存在较多漏洞；互联网门户网站泄露敏感信息”等多项违法违规事实，被罚款420万元。

2020年6月5日，焦作中旅银行因“业务连续性及运维管理不到位引发重要信息系统中断”，被罚款30万元。

写在最后

从信息科技风险概念上来说，一些信息安全、数据安全等相关罚单或也应列入信息科技风险罚单，因此罚单还有更多。

据《银行科技研究社》了解，《商业银行信息科技风险管理指引》从信息科技治理，信息科技风险管理，信息安全，信息系统开发、测试和维护，信息科技运行，业务连续性管理，外包等多个方面提出要求。另外，原银保监会于2021年发布了《银行保险机构信息科技外包风险监管办法》。

对于信息科技风险管理工作，银行需更加慎重。该工作复杂程度很高，但不得不去做好，这不仅是为了合规，也是为了支撑自身更好地发展。