成也IT、败也IT

    两者之间的这种脱节可能具有极大的破坏性，兴业银行事件证明了这一点。克劳福德说：“兴业银行案把下面这个事实推到了显要的位置，即IT会直接给公司业务带来风险。凯维埃尔涉嫌利用其在中台部门的工作经验和后台部门的IT知识和专长，对公司系统的IT控制机制做了手脚。”

    兴业银行针对这起事件开展的内部调查显示，会计师、风险控制和法规遵从人员在整整两年期间标出了至少75面红旗（注：红旗代表警示信号）。这些警示信号包括“从2006年6月到2008年1月，交易似乎选择在星期六进行；或者出现另一方没有具名或被列为‘未定’的交易，”据《纽约时报》声称，“兴业银行的报告显示，这些交易原本应该让经理们注意到凯维埃尔先生的所作所为。”

    风险管理工具厂商SailPoint Technologies公司在克劳福特的帮助下，编制了一份内容详细的图示，列出了凯维埃尔的违规行为和兴业银行的失误。该图清楚地显示了哪些环节的控制机制原本是如何可以阻止凯维埃尔的行为的。

    比方说，凯维埃尔得以破坏系统的访问和权限控制机制，从而盗用了他同事的用户名和密码，企图掩盖欺骗行为。克劳福德说：“如果在一家组织的高层，使用及管理IT控制机制的人员与负责监管这些机制、确保没被人利用的人员之间的职务分离得不是很明确，那么控制机制就毫无成效。”

    因而SailPoint的这份文档声称，由于“薄弱的访问控制和活动监控机制，兴业银行到头来依靠外部事件而不是自身的控制，才揭露存在已久的欺骗行为。”