【IT168 信息化】要说什么是让CIO最恐怖的噩梦，那就是流程缺乏监管和系统出现故障这双重致命打击：相关人员对流氓交易员杰洛米•凯维埃尔（Jerome Kerviel）在法国兴业银行（Societe Generale）的欺骗行为作了调查，结果发现：这家银行的财务和内部IT控制机制明显被这名拥有IT知识和系统访问权限的员工肆意破坏了。

IT与风险的关系

    凯维埃尔的违规行为导致银行损失超过70亿美元，这个事件为每个公司都敲响了警钟。安全专家兼企业管理协会（EMA）的调研主任斯科特•克劳福德（Scott Crawford）表示，许多公司主管如今在问自己：我们可以采取哪些措施来确保公司本身面临的风险能够得到有效管理？另外，IT部门应当扮演什么样的角色？

    不过，要回答这个问题并非易事。克劳福德表示，其实许多公司主管对在哪些方面面临风险还缺乏足够深入的了解，因而不知道需要在哪些方面加强控制机制。

    让情况更为糟糕的是这个事实：一些公司主管可能不想知道本公司的风险。克劳福德说：“一旦你知道了面临的风险，就再也不是一无所知了。而如果你对某个已知风险进行解决，或者至少未着手应对这个风险，那可能变成一种玩忽职守。”（这可以说明为什么像《萨班斯－奥克斯利法案》这些法规要求高层主管在本公司的财务文件上签名。）

    正如《CIO》杂志之前，《华尔街日报》提到了这家银行的几名前任风险控制主管，他们表示，众所周知，各种各样的金融机构在形势大好、利润滚滚而来的时候，都会放松风险管理程序。《华尔街日报》的这篇文章提到美国几大银行和证券公司遭受“长达几个月的悲惨境遇”――这些金融机构如今被抵押贷款危机冲得东倒西歪，就证明这种松懈的风险控制酿成了苦果。

    此外，克劳福德表示，即使公司主管们知道了风险，他们也很难在高风险行为带来的潜在收益与潜在损失之间作一平衡。他强调：“利用机会获益与进行有效的IT风险管理之间始终存在这种微妙的平衡。明白IT会带来业务风险这个概念，对整个业务部门来说仍是一大挑战，对CIO来说更是如此。”

    克劳福德强调，兴业银行的主要业务系列之一是衍生工具，这种金融工具让交易员可以就众多资产（比如股票、债券或大宗商品）订立合同，试图为交易的一方减少（或规避）金融风险。然而，进行衍生工具交易势必需要一些积极大胆的举动，可能充满了风险（臭名昭著的尼克•利森案就经常被人提及，这位昔日的衍生工具交易员在未获得授权的情况下从事投机性交易，结果导致英国的老牌金融机构巴林银行倒闭）。

    这也许一直是兴业银行面前的绊脚石。克劳福德问：“他们果真认识到实际的风险大小吗？他们原本是应该清楚的。”

    克劳福德表示，最后一点是，就在前不久，业务风险经理和IT风险经理之间的“关系还很有限”。他说：“大家的感觉是，一方其实不明白另一方的意思。业务风险经理觉得，IT人员说的是不同语言；而IT人员觉得，业务经理其实不懂得与IT有关的风险大小。”