商业银行是信息化应用水平高、经营业务对信息科技应用高度依赖的企业。截止2010年上半年,国内商业银行各IT系统承载运营的金融资产总额达到八十多万亿元。2009年平均每天经国内商业银行IT系统处理的金融业务交易量达4亿多笔。信息技术是一把“双刃剑”!信息技术在给商业银行带来业务创新和变革的同时,也给商业银行的业务运作带来了极大的风险和安全隐患。据“中国银行业监督管理委员会”2009年度的统计资料,全国各银行支撑重要业务的IT系统全年共发生系统服务中断事件近3000次之多。信息技术已经成为影响我国商业银行经营稳健、信息安全和客户及公众正常经济活动的重要风险要素。科学、准确的IT风险评估,是IT风险管理工作中重要工作,也是IT风险管理工作中的难点。而有效、全面的IT风险识别和科学、合理、有效的IT风险评估指标体系构建，是做好IT风险评估的基础。本文正是针对商业银行IT风险评估的三个关键性问题：(1)商业银行IT风险识别、(2)商业银行IT风险评估指标体系构建、(3)商业银行IT风险定量评估,进行了探索性和创新性的研究,主要的研究内容包括：(1)针对商业银行IT风险因素来源广、难以有效识别的现状,IT风险因素具有复杂性和不确定性的特点,研究了商业银行IT风险识别方法,提出了将情景分析法、SWOT分析法应用于商业银行IT风险识别的方法,并以案例的形式阐述了其方法应用的可行性和有效性。研究中发现,IT风险识别是一项难以准确把握和识别的工作,必须结合商业银行自身的IT应用和管理环境以及企业的业务环境,运用多种方法,方可有效识别其IT风险因素。(2)应用思维导图工具,研究了商业银行“IT风险形成机理”,构建了“IT风险要素关系模型”。以商业银行IT风险形成机理为出发点,研究和分析了商业银行IT风险的识别与构成来源,从八个方面(IT治理类、IT人员类、信息安全类、应用软件类、物理安全类、网络安全性、外包服务类、系统变更类)对IT风险进行了分类和识别。(3)在对商业银行IT风险识别与分类研究的成果基础上,研究了商业银行IT风险评估指标体系的构建。以调查问卷为研究工具,以西南某省15家商业银行为调研对象,运用SPSS统计学软件定量分析了关键IT风险因素,构建了商业银行IT风险定量评估指标体系。(4)对商业银行IT风险定量评估方法和其应用进行了研究。运用所构建的商业银行IT风险定量评估指标体系,以某一家商业银行为例,应用了“云模型”理论和云重心评判法对该商业银行IT风险进行了定量评估,给出了评估模型和方法、整个工作思路以及实施的过程描述。除此之外,本文还对商业银行IT风险管理的相关问题进行了研究,包括：(5)归纳和梳理了已有的有关风险及IT风险的研究文献与理论研究成果、IT风险管理标准与框架及行业的最佳实践指南等研究成果,对其相关研究的内容及研究成果进行了全面的分析和总结。对风险和IT风险的内涵与外延进行了界定和分析,分析了风险的特征和IT风险与其他风险的区别,为后续的研究工作做了理论上的铺垫和准备。(6)基于COSO的ERM整合框架和IT全生命周期理论,从商业银行IT风险管理的需求和IT风险管理的内部环境因素分析着手,给出了IT风险控制基线的模型和框架,探讨了IT风险控制基线的组成要素和构建方法。将IT风险控制基线模型应用到商业银行的IT风险管理工作之中,使其成为企业IT风险管理强有力的工具和手段。