CD商业银行作为一家由城市信用社发展起来的城市商业银行,目前已发展为员工3500多名、分支机构120多家、覆盖3省6市、资产规模上千亿元、资本比较雄厚和综合化经营的区域性商业银行。为适应内外经营环境挑战对经营变革的需要,开始深入进行企业信息化全面发展建设。先于CD商业银行开展企业信息化全面建设,并已呈现出“水泥+鼠标”特征的商业银行,近年来频频发生IT风险事件,给企业自身、社会公众甚至国家经济秩序带来了巨大的损失和严重不良影响。而全面实施IT风险管理所需要的不菲成本,又会极大地挤占CD商业银行经营变革所需信息化建设的有限资源,影响企业信息化全面发展速度和经营变革的快速实现。CD商业银行目前的企业信息化发展状况是否有必要全面开展IT风险管理?其现有IT管控体系与成熟完整的IT风险管理体系相比存在哪些差距性问题?对存在的问题又如何提供相应的解决对策?等重要管理问题的回答,将有助于CD商业银行在企业信息化全面发展中实现IT的价值交付,确保其经营变革的成功。本文在国内外商业银行IT风险管理研究现状分析基础上,对商业银行IT风险管理及定义分类进行了总结提炼;借鉴企业信息化发展阶段理论思想,通过德尔菲法构建了银行信息化发展阶段评价体系,以此体系对该银行的信息化阶段状况进行了调查分析,基于调查结果分析其面临的固有IT风险,说明其开展IT风险管理的必要;以S省银监局法人银行业金融机构信息科技监管等级达标标准为成熟完整IT风险管控体系的基准,运用差距分析法分析了该银行IT风险管理存在的主要问题及原因。本文对CD商业银行IT风险管理存在的主要问题,运用CISR((麻省理工学院斯隆管理学院信息技术研究中心))模型理论提出了IT组织治理的对策;采用风险因素关系分析对IT系统交付风险和IT系统运行风险的识别评估方法进行了探索性的构建;并对IT系统服务持续性和IT服务外包提出了具有针对性的解决对策。本文的研究成果也可以对其它商业银行的IT风险管理起到有益的借鉴作用。