【IT168 信息化】要说什么是让CIO最恐怖的噩梦，那就是流程缺乏监管和系统出现故障这双重致命打击：相关人员对流氓交易员杰洛米•凯维埃尔（Jerome Kerviel）在法国兴业银行（Societe Generale）的欺骗行为作了调查，结果发现：这家银行的财务和内部IT控制机制明显被这名拥有IT知识和系统访问权限的员工肆意破坏了。

IT与风险的关系

    凯维埃尔的违规行为导致银行损失超过70亿美元，这个事件为每个公司都敲响了警钟。安全专家兼企业管理协会（EMA）的调研主任斯科特•克劳福德（Scott Crawford）表示，许多公司主管如今在问自己：我们可以采取哪些措施来确保公司本身面临的风险能够得到有效管理？另外，IT部门应当扮演什么样的角色？

    不过，要回答这个问题并非易事。克劳福德表示，其实许多公司主管对在哪些方面面临风险还缺乏足够深入的了解，因而不知道需要在哪些方面加强控制机制。

    让情况更为糟糕的是这个事实：一些公司主管可能不想知道本公司的风险。克劳福德说：“一旦你知道了面临的风险，就再也不是一无所知了。而如果你对某个已知风险进行解决，或者至少未着手应对这个风险，那可能变成一种玩忽职守。”（这可以说明为什么像《萨班斯－奥克斯利法案》这些法规要求高层主管在本公司的财务文件上签名。）

    正如《CIO》杂志之前，《华尔街日报》提到了这家银行的几名前任风险控制主管，他们表示，众所周知，各种各样的金融机构在形势大好、利润滚滚而来的时候，都会放松风险管理程序。《华尔街日报》的这篇文章提到美国几大银行和证券公司遭受“长达几个月的悲惨境遇”――这些金融机构如今被抵押贷款危机冲得东倒西歪，就证明这种松懈的风险控制酿成了苦果。

    此外，克劳福德表示，即使公司主管们知道了风险，他们也很难在高风险行为带来的潜在收益与潜在损失之间作一平衡。他强调：“利用机会获益与进行有效的IT风险管理之间始终存在这种微妙的平衡。明白IT会带来业务风险这个概念，对整个业务部门来说仍是一大挑战，对CIO来说更是如此。”

    克劳福德强调，兴业银行的主要业务系列之一是衍生工具，这种金融工具让交易员可以就众多资产（比如股票、债券或大宗商品）订立合同，试图为交易的一方减少（或规避）金融风险。然而，进行衍生工具交易势必需要一些积极大胆的举动，可能充满了风险（臭名昭著的尼克•利森案就经常被人提及，这位昔日的衍生工具交易员在未获得授权的情况下从事投机性交易，结果导致英国的老牌金融机构巴林银行倒闭）。

    这也许一直是兴业银行面前的绊脚石。克劳福德问：“他们果真认识到实际的风险大小吗？他们原本是应该清楚的。”

    克劳福德表示，最后一点是，就在前不久，业务风险经理和IT风险经理之间的“关系还很有限”。他说：“大家的感觉是，一方其实不明白另一方的意思。业务风险经理觉得，IT人员说的是不同语言；而IT人员觉得，业务经理其实不懂得与IT有关的风险大小。”
 

成也IT、败也IT

    两者之间的这种脱节可能具有极大的破坏性，兴业银行事件证明了这一点。克劳福德说：“兴业银行案把下面这个事实推到了显要的位置，即IT会直接给公司业务带来风险。凯维埃尔涉嫌利用其在中台部门的工作经验和后台部门的IT知识和专长，对公司系统的IT控制机制做了手脚。”

    兴业银行针对这起事件开展的内部调查显示，会计师、风险控制和法规遵从人员在整整两年期间标出了至少75面红旗（注：红旗代表警示信号）。这些警示信号包括“从2006年6月到2008年1月，交易似乎选择在星期六进行；或者出现另一方没有具名或被列为‘未定’的交易，”据《纽约时报》声称，“兴业银行的报告显示，这些交易原本应该让经理们注意到凯维埃尔先生的所作所为。”

    风险管理工具厂商SailPoint Technologies公司在克劳福特的帮助下，编制了一份内容详细的图示，列出了凯维埃尔的违规行为和兴业银行的失误。该图清楚地显示了哪些环节的控制机制原本是如何可以阻止凯维埃尔的行为的。

    比方说，凯维埃尔得以破坏系统的访问和权限控制机制，从而盗用了他同事的用户名和密码，企图掩盖欺骗行为。克劳福德说：“如果在一家组织的高层，使用及管理IT控制机制的人员与负责监管这些机制、确保没被人利用的人员之间的职务分离得不是很明确，那么控制机制就毫无成效。”

    因而SailPoint的这份文档声称，由于“薄弱的访问控制和活动监控机制，兴业银行到头来依靠外部事件而不是自身的控制，才揭露存在已久的欺骗行为。”
 

IT部门要做的事情

    如果说凯维埃尔涉嫌违规以及兴业银行对此视而不见还有什么好处的话，那就是这起事件会促使公司主管们谈论各自公司内部的风险管理和IT控制。

    克劳福德表示，这种讨论会从一些简单的话题开始，比如询问一系列假设性问题。这些问题包括：
 

    •你能够察觉表明实际面临风险比你所认识的还要大的异常情况吗？有没有出现什么不良事件？IT部门能察觉表明你可能遭受这种性质的事件吗？如果这样，你应当关注哪种异常情况？
 

    •为高风险的高层员工提供的授权和权限是不是过于宽松？提供给每个角色或每个用户的授权是不是基本上使明确的职务分离毫无成效？公司有没有足够到位的机制来监控这种行为？确保落实职务分离的控制机制效果又如何？
 

    •有什么异常行为表明你可能面临比较大的风险？你的控制系统或者指标本身可能受到破坏的风险有多大？你有什么办法可以落实更有效的控制机制、又仍能利用新的商业机遇？

    克劳福德强调：“要对人员能做的事情进行限制，还要对技术能做的事情进行限制。”不过眼下有好多问题需要公司加以关注，比如高层员工共享访问权限。
 

    他说：“技能娴熟的专业人员熟悉系统架构，尤其熟悉如何潜入进去，这个问题是兴业银行案所暴露出来的最大风险之一。”
说到底，公司明白自己所作的取舍，以及愿意自己的公司可以承受多大的风险，这点至关重要。
 

    克劳福德说：“许多公司只是现在才开始认识到IT环境里面的控制。如果你把整个公司和发展战略都寄托在IT控制身上，那么公司就应该确保这些控制拥有相当强的抗破坏能力。”