现代商业银行的业务运营依赖于信息技术(Information Technology，IT)的支持，同时商业银行必须借力IT进行金融创新以应对竞争。银行信息系统(Information Systems，IS)的复杂度和银行业务对IS的依赖度，使得银行董事会和管理层更加关注IS的风险。与此相对应的是，近年来频频出现银行操纵丑闻均与内部控制和IS相关。 鉴于商业银行业务的特殊性和商业银行IS作为资金交易活动载体的地位，商业银行IS相关的风险受到监管部门的高度关注，《新巴塞尔协议》对操作风险(主要是系统风险和内部控制风险)的关注、《萨班斯法案》对信息技术控制的强调都反映了这一点。 加强IS内部控制，规避不必要的技术风险，对商业银行提高自身竞争力和提供合规的(监管)控制信息具有重要的现实意义。然而目前有关商业银行IS内控体系的研究还比较缺乏，银行业界对IS风险的识别、分析和控制还处于摸索阶段。从国内情况看，我国商业银行的内部控制多以事后的稽查监督为主，缺乏长远的规划和成熟的预防控制体系，针对商业银行IS内部控制及评价的研究相当缺乏。 本文从风险导向的视角，对商业银行IS内部控制及评价进行了研究。论文首先总结了商业银行内控建设和国内外IS控制的研究成果，分析了商业银行IS风险的特点，剖析了商业银行IS的复杂性和特殊性。在此基础上，按照目标驱动的逆向操作原理，构建了商业银行信息系统内部控制框架，该框架涵盖了商业银行多层级的控制目标和控制要素，通过对内部控制目标自上而下的过程分解和控制评价自下而上的层级反馈，实现从银行内部控制总体目标到信息系统控制具体过程风险评价的转换，据此商业银行在信息系统管理中可以实现控制—>评价—>纠偏—>控制的完整循环，保证内部控制的系统性和内部控制评价的可操作性。在此框架下，论文主要研究了商业银行IS的过程控制模型和风险导向的IS内部控制评价方法。 参照国际IS控制标准和商业银行内控规范，构建了基于层级过程的商业银行IS的过程控制模型。该模型立足于IS全生命周期，涵盖了商业银行IS内部控制各个层级的主要控制活动，具体划分了五个过程域，提出了过程风险分级的评估方法，分析了过程域下的关键控制过程及其风险评估因素，设立了相应的评估基准，过程控制模型为建立风险导向的内部控制评价指标体系提供了前提条件。 作为本文所提出的商业银行IS内部控制框架的一项重要内容，风险导向的内控评价，主要基于内部控制目标的过程分解来确定控制目标层次和评价层次，将评价过程划分单项风险评价和综合风险评价两个阶段，采用多种成熟的评价方法，对各层级的IS关键子过程、过程域、风险目标和总体目标进行评价分析，从而为商业银行IS的内部控制提供多层级的风险评估视图，为进一步制定监控措施提供客观的评价依据，有助于商业银行维持IS控制重要性和成本开销之间的平衡。 本文对风险导向的商业银行IS内部控制的研究，采用了目标驱动的逆向操作方法，综合考虑商业银行IS战略和外部环境的影响，对商业银行IS过程的内控质量和相应的风险水平进行了重点剖析，建立了IS过程与风险之间的联系。这种以内控质量和风险水平评价为依据、利用层级反馈的评价控制机制，将IS过程和银行战略目标联系起来，使银行管理层既能把握总体战略的方向，又能关注和控制具体关键过程中的风险，可以保证其战略的实现。 最后，本文选取了一个中小股份制商业银行进行了案例分析，阐述了主要研究成果、不足以及进一步的研究方向。