劉菲

摘 要：隨著信息化的發(fā)展，出現(xiàn)了許多信息技術(shù)支撐型的企業(yè)，其中銀行就是一個對IT最為依賴的行業(yè)。信息技術(shù)是一把雙刃劍，在給銀行提高工作效率創(chuàng)造巨大利潤的同時，也有可能對銀行的正常運營造成巨大的威脅。IT風(fēng)險具有突發(fā)性和影響面廣的特點，所以，銀行面臨著IT風(fēng)險管理的迫切性和必要性。在分析銀行IT風(fēng)險的內(nèi)涵及特點的基礎(chǔ)上，針對于銀行IT風(fēng)險管理的現(xiàn)狀，提出從IT治理的角度對銀行IT風(fēng)險進行管理，并給出相應(yīng)的策略。

關(guān)鍵詞：IT治理；IT風(fēng)險；IT風(fēng)險管理

中圖分類號：F83

文獻標(biāo)識碼：A

文章編號：1672-3198（2014）11-0123-02

0 引言

我國商業(yè)銀行頻繁發(fā)生的IT風(fēng)險事件，使商業(yè)銀行的投資方、經(jīng)營方、監(jiān)控方和國家、企事業(yè)單位及公民個人等利益相關(guān)者都強烈地意識到，信息技術(shù)已經(jīng)成為影響我國商業(yè)銀行經(jīng)營穩(wěn)健、業(yè)務(wù)安全和客戶及公眾正常經(jīng)濟活動的重要風(fēng)險因素。

銀行IT風(fēng)險是銀行在運用信息技術(shù)的過程中產(chǎn)生的對企業(yè)目標(biāo)實現(xiàn)的負面影響。銀行IT風(fēng)險不僅具有突發(fā)性強和影響面廣的特點，還具有一些與業(yè)務(wù)相關(guān)聯(lián)或與銀行這種組織相關(guān)的其他特點。IT風(fēng)險與傳統(tǒng)的風(fēng)險有何區(qū)別，在面對IT風(fēng)險時，我們應(yīng)該怎樣去降低風(fēng)險損失到可接受的水平，這些問題都在信息化的過程中不斷展現(xiàn)出來。

本文在梳理了之前研究銀行IT風(fēng)險的相關(guān)文章的基礎(chǔ)上，對銀行IT風(fēng)險的管理現(xiàn)狀進一步分析，提出了基于IT治理的銀行IT風(fēng)險管理的建議。

1 目前銀行IT風(fēng)險管理的研究現(xiàn)狀

風(fēng)險是“一個事項將會發(fā)生并給目標(biāo)實現(xiàn)帶來負面影響的可能性”。楊峰將商業(yè)銀行IT風(fēng)險的概念概括為：信息科技在商業(yè)銀行運用過程中，由于自然因素、人為因素、技術(shù)漏洞和管理缺陷引發(fā)的信息技術(shù)失效以及該失效對銀行業(yè)務(wù)造成的負面影響的可能性和影響程度。它除了具有一般風(fēng)險的特征之外，還具有如下的特征：IT風(fēng)險的誘發(fā)因素多、發(fā)生的偶然性、影響的廣泛性、后果的多樣性、傳播的瞬時性和評估的難度大。IT風(fēng)險已經(jīng)成為影響當(dāng)今企業(yè)效益的重要因素，對IT風(fēng)險的研究也在快速的發(fā)展著。

近幾年來，國家有關(guān)部委、監(jiān)管機構(gòu)和其他金融、證券機構(gòu)不斷加強和重視對商業(yè)銀行等金融機構(gòu)的業(yè)務(wù)風(fēng)險、經(jīng)營風(fēng)險、市場風(fēng)險、信譽風(fēng)險等等的監(jiān)管，對商業(yè)銀行IT風(fēng)險管理也提出了更為嚴厲的監(jiān)管和要求，頒布了一系列的商業(yè)銀行管理，特別是風(fēng)險管理（包括IT風(fēng)險管理）方面的法律、法規(guī)、條令和指引。

雖然，IT風(fēng)險的巨大危害性已引起相關(guān)部門的重視，但從我們銀行的實際狀況來看，我們的風(fēng)險管理工作和銀行與監(jiān)管部門的要求相比，還存在很大差距。具體的表現(xiàn)如下。

1.1 信息科技風(fēng)險仍然存在

目前，針對于信息科技風(fēng)險的問題，銀行通常已經(jīng)做出了很多可執(zhí)行的管理辦法、指引、制度，并制定了相應(yīng)的流程，能夠基本支撐日常業(yè)務(wù)的運營，但這些制度并沒有按照一定的合理的框架去梳理歸納。針對于信息科技風(fēng)險，大多數(shù)銀行還未從銀行整體的角度去把握，更多的處在治標(biāo)不治本的階段。

1.2 IT風(fēng)險與信息安全的關(guān)系未理清

IT的應(yīng)用是為了支持銀行的業(yè)務(wù)運營的，與業(yè)務(wù)聯(lián)系緊密，因此，對于IT風(fēng)險的研究更多的體現(xiàn)在對業(yè)務(wù)運營的影響上，但IT本身的風(fēng)險卻沒有得到應(yīng)有的重視。2006年的《銀行業(yè)金融機構(gòu)信息系統(tǒng)風(fēng)險管理指引》中的“信息系統(tǒng)風(fēng)險管理”已經(jīng)為“信息科技風(fēng)險管理”打下了一定的基礎(chǔ)。到2009年的《商業(yè)銀行信息科技風(fēng)險管理指引》，已經(jīng)將“信息科技風(fēng)險”的概念清晰化了，將“信息科技風(fēng)險”作為銀行整體風(fēng)險的一部分來看待。但是，在銀行IT風(fēng)險管理實踐中，信息安全還是信息安全問題，歸IT部門管；風(fēng)險管理還是風(fēng)險管理問題，歸風(fēng)險管理部門管。兩個部門工作上沒有交互，這說明在管理實踐中，沒有真正認清IT風(fēng)險與信息安全的涵義及其之間的關(guān)系。

1.3 缺乏具有實際指導(dǎo)意義的標(biāo)準(zhǔn)

國外對于IT風(fēng)險管理的相關(guān)研究比較早且較為深入，至今為之，已經(jīng)出臺了多種IT風(fēng)險管理國際標(biāo)準(zhǔn)。主要有如下幾種：COBIT（Control Objectives for Information and related Technology，信息及相關(guān)技術(shù)的控制標(biāo)準(zhǔn)）、ITIL（Information Technology Infrastructure Library，IT基礎(chǔ)架構(gòu)庫）、ISO/IEC17799（信息安全管理的國際標(biāo)準(zhǔn)）、PRINCE2（Projects IN Controlled Environments，受控環(huán)境下的項目）、ITBSC（Information Technology Balanced Scorecard，IT平衡記分卡）等。目前，國內(nèi)針對于IT風(fēng)險管理的標(biāo)準(zhǔn)還比較少，而且現(xiàn)有的也更多的關(guān)注于權(quán)責(zé)的界定。

1.4 缺乏具體的IT風(fēng)險管理基礎(chǔ)技術(shù)手段

國內(nèi)對IT風(fēng)險管理相關(guān)理論研究仍側(cè)重在IT風(fēng)險概念的定義分類、原因及特點分析上，而識別評估的研究缺乏，風(fēng)險控制主要以應(yīng)用研究為主。目前，銀行的IT風(fēng)險管理手段基本停留在制度檢查層面，沒有相應(yīng)的技術(shù)手段支撐。更多的問題都是在事后發(fā)現(xiàn)，事前預(yù)防的能力有限，事中控制更是薄弱。

1.5 缺乏相應(yīng)的風(fēng)險文化和IT人員

IT風(fēng)險具有突發(fā)性和影響面廣的特征，同時，信息技術(shù)模糊化了地域界限，從而使得危機的傳遞更加廣闊并且難以隔離開來。IT風(fēng)險貫穿于企業(yè)的戰(zhàn)略、策略和操作層面，所以，IT風(fēng)險在企業(yè)內(nèi)部的擴散會從縱向和橫向兩個方向同時進行，加大了處理危機時的難度。在一定程度上，IT風(fēng)險未引起銀行相關(guān)人士的足夠重視，不嚴謹?shù)墓ぷ鲬B(tài)度導(dǎo)致危機的發(fā)生。同時，信息技術(shù)的應(yīng)用，需要更加專業(yè)的人才進行實際的操作。

IT風(fēng)險的突發(fā)性及其破壞性之大，決定了IT風(fēng)險控制的必要，同時，也決定對其的控制不能只停留在某一個環(huán)節(jié)，要從整體的角度去把握。就目前國內(nèi)的銀行IT風(fēng)險管理現(xiàn)狀來看，還存在著種種問題。所以，在此基礎(chǔ)上引入了IT治理的概念，從IT治理的角度來把握IT風(fēng)險的管理問題。

2 基于IT治理的角度看銀行IT風(fēng)險

20世紀90年代興起的IT治理理論，是一種將信息技術(shù)與公司治理理論相融合的理論，一方面強調(diào)引入公司治理理論提升IT投資決策績效、控制風(fēng)險，另一方面強調(diào)借助IT提升公司治理績效。IT治理是控制、指導(dǎo)、協(xié)調(diào)組織戰(zhàn)略目標(biāo)和IT目標(biāo)的系統(tǒng)；是IT治理主體、客體、IT治理結(jié)構(gòu)、IT治理機制的總稱；是內(nèi)部IT治理、外部IT治理的融合，是IT治理方法、過程、目標(biāo)與結(jié)果的統(tǒng)稱，是為了實現(xiàn)IT治理目標(biāo)所有制度安排與機制的集合。IT治理系統(tǒng)的目標(biāo)是提供IT決策機制的科學(xué)化，決策過程的協(xié)調(diào)交互性和決策結(jié)果的創(chuàng)新性。IT治理，不僅要在企業(yè)內(nèi)部建立IT管理控制架構(gòu)，完善企業(yè)對信息的內(nèi)部控制，還要在更深層面上解決體制和機制問題，減小信息化和透明化所導(dǎo)致的不一致利益沖突所造成的成本。

本文從治理的角度來探討銀行IT風(fēng)險管理的問題，將IT風(fēng)險管理提升到一個宏觀的概念。本文在此提出了從IT治理的視角，旨在形成一種合理的機制和架構(gòu)，能夠在組織運營的全過程中對風(fēng)險進行實時監(jiān)控，而不是只在風(fēng)險發(fā)生之后采取挽救措施，通過合理機制的構(gòu)建，更能在一定程度上在風(fēng)險發(fā)生之前降低風(fēng)險發(fā)生的可能性。所以，本文基于IT治理的角度，針對銀行IT風(fēng)險管理提出以下建議。

2.1 需要建立合理的IT治理架構(gòu)

IT治理架構(gòu)主要包括三部分的內(nèi)容：IT組織，IT治理流程，IT制度。IT組織：一個成功的IT治理首先要有一個清晰的IT治理組織架構(gòu)，并且組織架構(gòu)中的各個部門（包括人員）都有明確的角色和相關(guān)職責(zé)的定義。銀行董事會、監(jiān)事會和管理執(zhí)行層都必須要對整個信息科技風(fēng)險負責(zé)，其責(zé)任必須覆蓋系統(tǒng)自上而下的信息科技風(fēng)險管理體系。出了問題，董事會、監(jiān)事會和管理執(zhí)行層必須負責(zé)。IT治理流程：IT治理流程是保證企業(yè)的相關(guān)部門采用合理的步驟進行IT治理活動，本部分的流程可分為了項目管理流程（屬于不定期流程）和日常維護流程兩大類進行描述；IT制度：IT制度是將日常的流程進行固化并形成針對企業(yè)的規(guī)范，需要每個員工都加以遵循的一種措施。

IT治理要從組織目標(biāo)和信息化戰(zhàn)略中抽取信息需求和功能需求，形成總體的IT治理框架和系統(tǒng)整體模型，為進一步系統(tǒng)設(shè)計和實施奠定基礎(chǔ)，保證信息技術(shù)跟上持續(xù)變化的業(yè)務(wù)目標(biāo)。所以說，合理的IT治理架可以使信息技術(shù)的應(yīng)用和銀行的業(yè)務(wù)目標(biāo)保持一致性。

2.2 重視IT本身的風(fēng)險

IT是為了支持銀行業(yè)務(wù)而運用的，而且與業(yè)務(wù)緊密聯(lián)系，因此，IT風(fēng)險主要體現(xiàn)在對業(yè)務(wù)的影響上。在實施IT治理的基礎(chǔ)上，可以保證IT和業(yè)務(wù)目標(biāo)的一致性。我們將因信息技術(shù)與業(yè)務(wù)目標(biāo)不一致導(dǎo)致的風(fēng)險歸為IT風(fēng)險，可我們忽略了IT本身存在的風(fēng)險。我們在保證業(yè)務(wù)與IT目標(biāo)一致的基礎(chǔ)上要相應(yīng)的重視IT本身的風(fēng)險。比如說：信息系統(tǒng)本身的風(fēng)險，操作風(fēng)險，信息資產(chǎn)的風(fēng)險等等。

2.3 加強IT風(fēng)險合規(guī)性管理

IT治理的IT架構(gòu)中有一部分內(nèi)容是IT制度。IT制度：IT制度是將日常的流程進行固化并形成針對企業(yè)的規(guī)范，需要每個員工都加以遵循的一種措施。同時，針對于銀行業(yè)，銀監(jiān)會等管理組織會發(fā)布相關(guān)的標(biāo)準(zhǔn)或規(guī)章制度進行約束。如2009年，銀監(jiān)會發(fā)布《商業(yè)銀行信息科技風(fēng)險治理指引》，從諸多方面對信息科技風(fēng)險進行限定。制度的建立可以在一定程度上有效的約束風(fēng)險的發(fā)生，讓那些明顯的不符合操作程度，不滿足需求的會對組織造成影響的風(fēng)險扼殺在搖籃中。

2.4 建立風(fēng)險度量制度，實施實時監(jiān)控

在組織內(nèi)部，建立相應(yīng)的風(fēng)險度量制度，對IT流程或IT項目進行評估，設(shè)立一定的標(biāo)準(zhǔn)，當(dāng)越過標(biāo)準(zhǔn)的時候，應(yīng)及時的對流程進行改造或終止項目的進行。我們知道在銀行中，隨著業(yè)務(wù)的持續(xù)進行，風(fēng)險隨時都可能發(fā)生，并沒有一勞永逸的方式阻止風(fēng)險的發(fā)生。所以，我們只能實時對我們所進行的工作進行監(jiān)控，才能降低風(fēng)險發(fā)生的可能性，盡量在風(fēng)險發(fā)生前阻止風(fēng)險的發(fā)生，降低組織的損失。對于IT投資風(fēng)險，可以從投資項目的初始就進行測評，在項目的實施過程中也一直進行測控，并對照標(biāo)準(zhǔn)，及時發(fā)現(xiàn)問題，及時阻止風(fēng)險的發(fā)生。

2.5 注重人員的培養(yǎng)與管理，形成重視IT風(fēng)險的文化

在信息化程度越來越高的銀行中，需要更多的懂得信息技術(shù)的人員。對于高層的管理人員，需要了解信息技術(shù)的各個方面，同時要對IT治理的概念有清晰的理解，在運用IT治理去管理IT風(fēng)險時，能有清晰的思路，并能很好的向下層領(lǐng)導(dǎo)及員工詮釋IT治理的理念。對于中層管理者，要能清晰的理解上層領(lǐng)導(dǎo)下達的關(guān)于IT治理的任務(wù)，并能制定出相應(yīng)的措施，分解工作，將其繼續(xù)傳達給下層工作人員。針對于在一線工作的操作人員。一定要熟練操作流程，同時對相應(yīng)的規(guī)章制度有明確的概念，降低操作的風(fēng)險。在整個企業(yè)當(dāng)中，各個崗位都應(yīng)配備具有相應(yīng)技能的工作人員，同時，在組織中，應(yīng)形成風(fēng)險意識，要明確風(fēng)險管理不是某個人或某個部門的責(zé)任，而是靠企業(yè)整體的工作人員共同努力的，也不是一時的治理就一勞永逸，而是要時刻關(guān)注的問題。

3 結(jié)論

針對于IT風(fēng)險的突發(fā)性和影響面廣的特點以及其對銀行的重大影響，銀行IT風(fēng)險管理對銀行的重要性和必要性不容忽視。IT風(fēng)險的產(chǎn)生是伴隨著銀行的運營持續(xù)存在的，并不能一次性解決，所以，要想實時監(jiān)控著銀行IT風(fēng)險發(fā)生的可能性，必須設(shè)立一定的機制，在此，提出基于IT治理的銀行IT風(fēng)險管理。從宏觀整體的角度實施監(jiān)控，在整個組織中形成風(fēng)險意識，在過程中持續(xù)監(jiān)控，努力將IT風(fēng)險降低到可接受水平。

參考文獻

[1]周穎，周明.IT治理：管控IT風(fēng)險的治本之策[J].中國金融電腦，2008，（10）：20-26.

[2]徐剛，高靜，梁淑靜.基于公司治理的IT治理研究概述[J].財會月刊，2012，（30）：85-86.

[3]楊峰.商業(yè)銀行IT風(fēng)險識別與評估研究[D].電子科技大學(xué)，2012.

[4]周常蘭，陳寶峰.IT風(fēng)險管理研究的新發(fā)展——ISACA的IT風(fēng)險管理框架解讀與啟示[J].管理現(xiàn)代化，2010，（05）：6-8.

[5]應(yīng)里孟，鄭煦平.信息技術(shù)對企業(yè)內(nèi)部控制影響分析[J].財會通訊，2013，（05）：85-86.

[6]韓玲，郭宗文.基于IT治理的信息系統(tǒng)內(nèi)部控制對策研究[J].會計之友，2011，（21）：118-120.

[7]楊濤.商業(yè)銀行的信息科技風(fēng)險及其防范[J].金融論壇，2010，（11）：55-60.