【IT168 信息化】

　　风险管理一直是CIO做信息化最关心的话题之一，无论是任何大企业，还是小企业，对于安全的关注往往是第一位的，尤其是以服务化为主的企业如银行、保险等金融类企业对于信息安全已经成为信息化的头等重要的事情。我们知道，风险管理是指如何在一个肯定有风险的环境里把风险减至最低的管理过程。当中包括了对风险的量度、评估和应变策略。理想的风险管理，是一连串排好优先次序的过程，使当中的可以引致最大损失及最可能发生的事情优先处理、而相对风险较低的事情则押后处理。 但现实情况里，这优化的过程往往很难决定，因为风险和发生的可能性通常并不一致，所以要权衡两者的比重，以便作出最合适的决定。

　　对于银业的的风险管理历来非常重要，在经历了危机以后，银业的企业不仅仅加强了日常管理，同时，还加强了对于外部的风险管理。我们知道，风险管理离不开信息技术的支持，那么，在后危机时代，金融业如何来做好风险管理以及信息科技的风险管理呢？现阶段的信息科技风险管理部署又有哪些要点？记者从“风险防控与信息安全”金融高峰论坛了解到，中国银行业监督管理委员会信息中心处长陈文雄对于信息科技风险进行详细了分析讲解，诠释了信息科技状以及防范要点。

　　中国银行业监督管理委员会信息中心处长 陈文雄

　　信息科技的现状

　　据陈文雄介绍，银监会现在对信息科技风险监管逐步在开展之中，信息科技现状分为以下几个方面：

　　第一、我国银行业从电子化到信息化经历了二三十年的发展，但是银行业的水平现在差别很大。

　　第二、信息化又面临着很多的挑战，比如银行业的水平发展时间久，但是很不均匀，大型的企业，大型的银行已经在全世界找不着可以相比拟的如此之大的企业，我们引领世界。像四大行用户数达到几个亿，日均处理量都达到几千万、上亿，这已经找不着相比拟的了。

　　第三、信息化到了一定程度，还存在几方面问题

　　1、信息科技的治理不到位，治理文化的形成需要一个过程，我们在整体治理方面，开展了公司治理，但是信息科技的治理才刚刚起步，一些银行虽然有了架子，但是架构是否完善，是否到位还有很长的路要走。
　　2、信息价值体现不充分，从信息资产方面来讲，信息资产跟财务资产相比没有标准，没有计量的单位，这样本身对信息化风险的管理就产生了影响。

　　3、在巴塞尔新协议里只是把信息科技风险定义为操作风险的一部分，但是信息科技风险比其他风险大许多。

　　信息科技风险的误区及面临的挑战

　　银行信息科技存在这样的现状，有没有防范的措施？陈文雄指出， 对于信息科技风险管理现在还有很多误区主要有以下几个方面：

　　第一、认为信息技术是功能较多的。信息技术发展到现在确实有很大的进步，好象什么都可以做，也可以有很多的机器人，实现很多的人工智能，通过我们现在软件、硬件的发展，可以花很少的资金买运算能力很强的计算机，有很强的储存功能，可以使计算机记忆无限，随着网络不断的普遍，我们计算机系统的覆盖面越来越广，无所不在。我们所有的信息系统实现的功能都是我们的需求打了很大折扣的实现。这里面就是不具备很高的智能，所有智能都是我们需求时设定的、想到的，想不到的它不可能在做。

　　第二、信息科技风险跟其他的业务风险存在很多的不同，但是很多机构都会把它用同样的方式来做防范，这样的防范对风险本身的特性不了解、不清晰，这种防范反而是有害无益的。比如说在历史上来讲，我们很多的业务风险防控开始要有，银行从成立之初就有，但现在依然在做。信息科技也就这二十年的时间，但是信息科技风险对银行已经产生了巨大的影响。

　　第三、从领域上讲，业务风险的领域，不管从哪方面，包括公司治理，主要是在金融、经济领域，但是IT涵盖了很多，有强点弱点，有硬件软件，里面很多都是相互独立的。

　　第四、从领导层的认知来讲，对业务风险，对银行业的影响很清晰，很熟悉，但IT风险对银行的影响知晓度不高，参与度不够。

　　第五、机构的差异，在业务方面，不管机构的大与小，存款、贷款、理财业务、流程、规范都是相对统一的，但是在实现这些业务后台的IT系统，在不同的机构里面差异性很大。同一个机构也是如此，今天做的业务实现的系统在明天可能就升级换代了，银行的标准化的问题在IT方面很难做到规范。

　　第六、是业务的变化在不断发展，但是实现业务发展的这些技术是日新月异，变化非常快，更新换代比业务的发展强很多，实现业务系统的变化三年一小变五年一大变，所以，信息科技风险的变化就随着整体的不同，要有清醒的认识。

　　第七、对于风险的计量来讲，业务风险的计量比较容易计量，产生了业务风险，存在了多少资金的损失，有多少坏账、呆帐，我们对它的管理产生了多少效益都可以计量出来，但是IT风险恰恰不是如此，对IT风险的计量往往很虚，没有出问题我们很难说它造成了多大风险，出问题以后才会发现，IT对将会产生致命的损失。

　　第八、从风险的变化角度来看，业务风险变化有，但是发展很慢，IT风险，随着网络的普及，业务对系统的依赖速度非常快，出现问题瞬间把全域影响到。从风险来讲，主观因素的影响，在IT里面，更多是客观因素直接产生作用。

　　第九、从设计面来讲，业务风险的设计面有限但是IT恰恰相反，所有网络的参与者系统的参与者都是一员，对风险的控制都需要全员的参与。

　　第九、业务风险在交流方面是不乐于交流的，一交流会把核心的竞争力透露出去，所以大家互相之间藏着躲着，但是IT风险因为各个企业、各个行大家实现的手段不一样，它的交流就会有益于系统的强大、风险的防范，不会产生核心利益的冲突，所以大家都乐于交流。