基于IT治理的銀行IT風(fēng)險(xiǎn)管理策略探討

劉菲

摘 要：隨著信息化的發(fā)展，出現(xiàn)了許多信息技術(shù)支撐型的企業(yè)，其中銀行就是一個對IT最為依賴的行業(yè)。信息技術(shù)是一把雙刃劍，在給銀行提高工作效率創(chuàng)造巨大利潤的同時(shí)，也有可能對銀行的正常運(yùn)營造成巨大的威脅。IT風(fēng)險(xiǎn)具有突發(fā)性和影響面廣的特點(diǎn)，所以，銀行面臨著IT風(fēng)險(xiǎn)管理的迫切性和必要性。在分析銀行IT風(fēng)險(xiǎn)的內(nèi)涵及特點(diǎn)的基礎(chǔ)上，針對于銀行IT風(fēng)險(xiǎn)管理的現(xiàn)狀，提出從IT治理的角度對銀行IT風(fēng)險(xiǎn)進(jìn)行管理，并給出相應(yīng)的策略。

關(guān)鍵詞：IT治理；IT風(fēng)險(xiǎn)；IT風(fēng)險(xiǎn)管理

中圖分類號：F83

文獻(xiàn)標(biāo)識碼：A

文章編號：1672-3198（2014）11-0123-02

0 引言

我國商業(yè)銀行頻繁發(fā)生的IT風(fēng)險(xiǎn)事件，使商業(yè)銀行的投資方、經(jīng)營方、監(jiān)控方和國家、企事業(yè)單位及公民個人等利益相關(guān)者都強(qiáng)烈地意識到，信息技術(shù)已經(jīng)成為影響我國商業(yè)銀行經(jīng)營穩(wěn)健、業(yè)務(wù)安全和客戶及公眾正常經(jīng)濟(jì)活動的重要風(fēng)險(xiǎn)因素。

銀行IT風(fēng)險(xiǎn)是銀行在運(yùn)用信息技術(shù)的過程中產(chǎn)生的對企業(yè)目標(biāo)實(shí)現(xiàn)的負(fù)面影響。銀行IT風(fēng)險(xiǎn)不僅具有突發(fā)性強(qiáng)和影響面廣的特點(diǎn)，還具有一些與業(yè)務(wù)相關(guān)聯(lián)或與銀行這種組織相關(guān)的其他特點(diǎn)。IT風(fēng)險(xiǎn)與傳統(tǒng)的風(fēng)險(xiǎn)有何區(qū)別，在面對IT風(fēng)險(xiǎn)時(shí)，我們應(yīng)該怎樣去降低風(fēng)險(xiǎn)損失到可接受的水平，這些問題都在信息化的過程中不斷展現(xiàn)出來。

本文在梳理了之前研究銀行IT風(fēng)險(xiǎn)的相關(guān)文章的基礎(chǔ)上，對銀行IT風(fēng)險(xiǎn)的管理現(xiàn)狀進(jìn)一步分析，提出了基于IT治理的銀行IT風(fēng)險(xiǎn)管理的建議。

1 目前銀行IT風(fēng)險(xiǎn)管理的研究現(xiàn)狀

風(fēng)險(xiǎn)是“一個事項(xiàng)將會發(fā)生并給目標(biāo)實(shí)現(xiàn)帶來負(fù)面影響的可能性”。楊峰將商業(yè)銀行IT風(fēng)險(xiǎn)的概念概括為：信息科技在商業(yè)銀行運(yùn)用過程中，由于自然因素、人為因素、技術(shù)漏洞和管理缺陷引發(fā)的信息技術(shù)失效以及該失效對銀行業(yè)務(wù)造成的負(fù)面影響的可能性和影響程度。它除了具有一般風(fēng)險(xiǎn)的特征之外，還具有如下的特征：IT風(fēng)險(xiǎn)的誘發(fā)因素多、發(fā)生的偶然性、影響的廣泛性、后果的多樣性、傳播的瞬時(shí)性和評估的難度大。IT風(fēng)險(xiǎn)已經(jīng)成為影響當(dāng)今企業(yè)效益的重要因素，對IT風(fēng)險(xiǎn)的研究也在快速的發(fā)展著。

近幾年來，國家有關(guān)部委、監(jiān)管機(jī)構(gòu)和其他金融、證券機(jī)構(gòu)不斷加強(qiáng)和重視對商業(yè)銀行等金融機(jī)構(gòu)的業(yè)務(wù)風(fēng)險(xiǎn)、經(jīng)營風(fēng)險(xiǎn)、市場風(fēng)險(xiǎn)、信譽(yù)風(fēng)險(xiǎn)等等的監(jiān)管，對商業(yè)銀行IT風(fēng)險(xiǎn)管理也提出了更為嚴(yán)厲的監(jiān)管和要求，頒布了一系列的商業(yè)銀行管理，特別是風(fēng)險(xiǎn)管理（包括IT風(fēng)險(xiǎn)管理）方面的法律、法規(guī)、條令和指引。

雖然，IT風(fēng)險(xiǎn)的巨大危害性已引起相關(guān)部門的重視，但從我們銀行的實(shí)際狀況來看，我們的風(fēng)險(xiǎn)管理工作和銀行與監(jiān)管部門的要求相比，還存在很大差距。具體的表現(xiàn)如下。

1.1 信息科技風(fēng)險(xiǎn)仍然存在

目前，針對于信息科技風(fēng)險(xiǎn)的問題，銀行通常已經(jīng)做出了很多可執(zhí)行的管理辦法、指引、制度，并制定了相應(yīng)的流程，能夠基本支撐日常業(yè)務(wù)的運(yùn)營，但這些制度并沒有按照一定的合理的框架去梳理歸納。針對于信息科技風(fēng)險(xiǎn)，大多數(shù)銀行還未從銀行整體的角度去把握，更多的處在治標(biāo)不治本的階段。

1.2 IT風(fēng)險(xiǎn)與信息安全的關(guān)系未理清

IT的應(yīng)用是為了支持銀行的業(yè)務(wù)運(yùn)營的，與業(yè)務(wù)聯(lián)系緊密，因此，對于IT風(fēng)險(xiǎn)的研究更多的體現(xiàn)在對業(yè)務(wù)運(yùn)營的影響上，但I(xiàn)T本身的風(fēng)險(xiǎn)卻沒有得到應(yīng)有的重視。2006年的《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引》中的“信息系統(tǒng)風(fēng)險(xiǎn)管理”已經(jīng)為“信息科技風(fēng)險(xiǎn)管理”打下了一定的基礎(chǔ)。到2009年的《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》，已經(jīng)將“信息科技風(fēng)險(xiǎn)”的概念清晰化了，將“信息科技風(fēng)險(xiǎn)”作為銀行整體風(fēng)險(xiǎn)的一部分來看待。但是，在銀行IT風(fēng)險(xiǎn)管理實(shí)踐中，信息安全還是信息安全問題，歸IT部門管；風(fēng)險(xiǎn)管理還是風(fēng)險(xiǎn)管理問題，歸風(fēng)險(xiǎn)管理部門管。兩個部門工作上沒有交互，這說明在管理實(shí)踐中，沒有真正認(rèn)清IT風(fēng)險(xiǎn)與信息安全的涵義及其之間的關(guān)系。

1.3 缺乏具有實(shí)際指導(dǎo)意義的標(biāo)準(zhǔn)

國外對于IT風(fēng)險(xiǎn)管理的相關(guān)研究比較早且較為深入，至今為之，已經(jīng)出臺了多種IT風(fēng)險(xiǎn)管理國際標(biāo)準(zhǔn)。主要有如下幾種：COBIT（Control Objectives for Information and related Technology，信息及相關(guān)技術(shù)的控制標(biāo)準(zhǔn)）、ITIL（Information Technology Infrastructure Library，IT基礎(chǔ)架構(gòu)庫）、ISO/IEC17799（信息安全管理的國際標(biāo)準(zhǔn)）、PRINCE2（Projects IN Controlled Environments，受控環(huán)境下的項(xiàng)目）、ITBSC（Information Technology Balanced Scorecard，IT平衡記分卡）等。目前，國內(nèi)針對于IT風(fēng)險(xiǎn)管理的標(biāo)準(zhǔn)還比較少，而且現(xiàn)有的也更多的關(guān)注于權(quán)責(zé)的界定。

1.4 缺乏具體的IT風(fēng)險(xiǎn)管理基礎(chǔ)技術(shù)手段

國內(nèi)對IT風(fēng)險(xiǎn)管理相關(guān)理論研究仍側(cè)重在IT風(fēng)險(xiǎn)概念的定義分類、原因及特點(diǎn)分析上，而識別評估的研究缺乏，風(fēng)險(xiǎn)控制主要以應(yīng)用研究為主。目前，銀行的IT風(fēng)險(xiǎn)管理手段基本停留在制度檢查層面，沒有相應(yīng)的技術(shù)手段支撐。更多的問題都是在事后發(fā)現(xiàn)，事前預(yù)防的能力有限，事中控制更是薄弱。

1.5 缺乏相應(yīng)的風(fēng)險(xiǎn)文化和IT人員

IT風(fēng)險(xiǎn)具有突發(fā)性和影響面廣的特征，同時(shí)，信息技術(shù)模糊化了地域界限，從而使得危機(jī)的傳遞更加廣闊并且難以隔離開來。IT風(fēng)險(xiǎn)貫穿于企業(yè)的戰(zhàn)略、策略和操作層面，所以，IT風(fēng)險(xiǎn)在企業(yè)內(nèi)部的擴(kuò)散會從縱向和橫向兩個方向同時(shí)進(jìn)行，加大了處理危機(jī)時(shí)的難度。在一定程度上，IT風(fēng)險(xiǎn)未引起銀行相關(guān)人士的足夠重視，不嚴(yán)謹(jǐn)?shù)墓ぷ鲬B(tài)度導(dǎo)致危機(jī)的發(fā)生。同時(shí)，信息技術(shù)的應(yīng)用，需要更加專業(yè)的人才進(jìn)行實(shí)際的操作。

IT風(fēng)險(xiǎn)的突發(fā)性及其破壞性之大，決定了IT風(fēng)險(xiǎn)控制的必要，同時(shí)，也決定對其的控制不能只停留在某一個環(huán)節(jié)，要從整體的角度去把握。就目前國內(nèi)的銀行IT風(fēng)險(xiǎn)管理現(xiàn)狀來看，還存在著種種問題。所以，在此基礎(chǔ)上引入了IT治理的概念，從IT治理的角度來把握IT風(fēng)險(xiǎn)的管理問題。

2 基于IT治理的角度看銀行IT風(fēng)險(xiǎn)

20世紀(jì)90年代興起的IT治理理論，是一種將信息技術(shù)與公司治理理論相融合的理論，一方面強(qiáng)調(diào)引入公司治理理論提升IT投資決策績效、控制風(fēng)險(xiǎn)，另一方面強(qiáng)調(diào)借助IT提升公司治理績效。IT治理是控制、指導(dǎo)、協(xié)調(diào)組織戰(zhàn)略目標(biāo)和IT目標(biāo)的系統(tǒng)；是IT治理主體、客體、IT治理結(jié)構(gòu)、IT治理機(jī)制的總稱；是內(nèi)部IT治理、外部IT治理的融合，是IT治理方法、過程、目標(biāo)與結(jié)果的統(tǒng)稱，是為了實(shí)現(xiàn)IT治理目標(biāo)所有制度安排與機(jī)制的集合。IT治理系統(tǒng)的目標(biāo)是提供IT決策機(jī)制的科學(xué)化，決策過程的協(xié)調(diào)交互性和決策結(jié)果的創(chuàng)新性。IT治理，不僅要在企業(yè)內(nèi)部建立IT管理控制架構(gòu)，完善企業(yè)對信息的內(nèi)部控制，還要在更深層面上解決體制和機(jī)制問題，減小信息化和透明化所導(dǎo)致的不一致利益沖突所造成的成本。

本文從治理的角度來探討銀行IT風(fēng)險(xiǎn)管理的問題，將IT風(fēng)險(xiǎn)管理提升到一個宏觀的概念。本文在此提出了從IT治理的視角，旨在形成一種合理的機(jī)制和架構(gòu)，能夠在組織運(yùn)營的全過程中對風(fēng)險(xiǎn)進(jìn)行實(shí)時(shí)監(jiān)控，而不是只在風(fēng)險(xiǎn)發(fā)生之后采取挽救措施，通過合理機(jī)制的構(gòu)建，更能在一定程度上在風(fēng)險(xiǎn)發(fā)生之前降低風(fēng)險(xiǎn)發(fā)生的可能性。所以，本文基于IT治理的角度，針對銀行IT風(fēng)險(xiǎn)管理提出以下建議。

2.1 需要建立合理的IT治理架構(gòu)

IT治理架構(gòu)主要包括三部分的內(nèi)容：IT組織，IT治理流程，IT制度。IT組織：一個成功的IT治理首先要有一個清晰的IT治理組織架構(gòu)，并且組織架構(gòu)中的各個部門（包括人員）都有明確的角色和相關(guān)職責(zé)的定義。銀行董事會、監(jiān)事會和管理執(zhí)行層都必須要對整個信息科技風(fēng)險(xiǎn)負(fù)責(zé)，其責(zé)任必須覆蓋系統(tǒng)自上而下的信息科技風(fēng)險(xiǎn)管理體系。出了問題，董事會、監(jiān)事會和管理執(zhí)行層必須負(fù)責(zé)。IT治理流程：IT治理流程是保證企業(yè)的相關(guān)部門采用合理的步驟進(jìn)行IT治理活動，本部分的流程可分為了項(xiàng)目管理流程（屬于不定期流程）和日常維護(hù)流程兩大類進(jìn)行描述；IT制度：IT制度是將日常的流程進(jìn)行固化并形成針對企業(yè)的規(guī)范，需要每個員工都加以遵循的一種措施。

IT治理要從組織目標(biāo)和信息化戰(zhàn)略中抽取信息需求和功能需求，形成總體的IT治理框架和系統(tǒng)整體模型，為進(jìn)一步系統(tǒng)設(shè)計(jì)和實(shí)施奠定基礎(chǔ)，保證信息技術(shù)跟上持續(xù)變化的業(yè)務(wù)目標(biāo)。所以說，合理的IT治理架可以使信息技術(shù)的應(yīng)用和銀行的業(yè)務(wù)目標(biāo)保持一致性。

2.2 重視IT本身的風(fēng)險(xiǎn)

IT是為了支持銀行業(yè)務(wù)而運(yùn)用的，而且與業(yè)務(wù)緊密聯(lián)系，因此，IT風(fēng)險(xiǎn)主要體現(xiàn)在對業(yè)務(wù)的影響上。在實(shí)施IT治理的基礎(chǔ)上，可以保證IT和業(yè)務(wù)目標(biāo)的一致性。我們將因信息技術(shù)與業(yè)務(wù)目標(biāo)不一致導(dǎo)致的風(fēng)險(xiǎn)歸為IT風(fēng)險(xiǎn)，可我們忽略了IT本身存在的風(fēng)險(xiǎn)。我們在保證業(yè)務(wù)與IT目標(biāo)一致的基礎(chǔ)上要相應(yīng)的重視IT本身的風(fēng)險(xiǎn)。比如說：信息系統(tǒng)本身的風(fēng)險(xiǎn)，操作風(fēng)險(xiǎn)，信息資產(chǎn)的風(fēng)險(xiǎn)等等。

2.3 加強(qiáng)IT風(fēng)險(xiǎn)合規(guī)性管理

IT治理的IT架構(gòu)中有一部分內(nèi)容是IT制度。IT制度：IT制度是將日常的流程進(jìn)行固化并形成針對企業(yè)的規(guī)范，需要每個員工都加以遵循的一種措施。同時(shí)，針對于銀行業(yè)，銀監(jiān)會等管理組織會發(fā)布相關(guān)的標(biāo)準(zhǔn)或規(guī)章制度進(jìn)行約束。如2009年，銀監(jiān)會發(fā)布《商業(yè)銀行信息科技風(fēng)險(xiǎn)治理指引》，從諸多方面對信息科技風(fēng)險(xiǎn)進(jìn)行限定。制度的建立可以在一定程度上有效的約束風(fēng)險(xiǎn)的發(fā)生，讓那些明顯的不符合操作程度，不滿足需求的會對組織造成影響的風(fēng)險(xiǎn)扼殺在搖籃中。

2.4 建立風(fēng)險(xiǎn)度量制度，實(shí)施實(shí)時(shí)監(jiān)控

在組織內(nèi)部，建立相應(yīng)的風(fēng)險(xiǎn)度量制度，對IT流程或IT項(xiàng)目進(jìn)行評估，設(shè)立一定的標(biāo)準(zhǔn)，當(dāng)越過標(biāo)準(zhǔn)的時(shí)候，應(yīng)及時(shí)的對流程進(jìn)行改造或終止項(xiàng)目的進(jìn)行。我們知道在銀行中，隨著業(yè)務(wù)的持續(xù)進(jìn)行，風(fēng)險(xiǎn)隨時(shí)都可能發(fā)生，并沒有一勞永逸的方式阻止風(fēng)險(xiǎn)的發(fā)生。所以，我們只能實(shí)時(shí)對我們所進(jìn)行的工作進(jìn)行監(jiān)控，才能降低風(fēng)險(xiǎn)發(fā)生的可能性，盡量在風(fēng)險(xiǎn)發(fā)生前阻止風(fēng)險(xiǎn)的發(fā)生，降低組織的損失。對于IT投資風(fēng)險(xiǎn)，可以從投資項(xiàng)目的初始就進(jìn)行測評，在項(xiàng)目的實(shí)施過程中也一直進(jìn)行測控，并對照標(biāo)準(zhǔn)，及時(shí)發(fā)現(xiàn)問題，及時(shí)阻止風(fēng)險(xiǎn)的發(fā)生。

2.5 注重人員的培養(yǎng)與管理，形成重視IT風(fēng)險(xiǎn)的文化

在信息化程度越來越高的銀行中，需要更多的懂得信息技術(shù)的人員。對于高層的管理人員，需要了解信息技術(shù)的各個方面，同時(shí)要對IT治理的概念有清晰的理解，在運(yùn)用IT治理去管理IT風(fēng)險(xiǎn)時(shí)，能有清晰的思路，并能很好的向下層領(lǐng)導(dǎo)及員工詮釋IT治理的理念。對于中層管理者，要能清晰的理解上層領(lǐng)導(dǎo)下達(dá)的關(guān)于IT治理的任務(wù)，并能制定出相應(yīng)的措施，分解工作，將其繼續(xù)傳達(dá)給下層工作人員。針對于在一線工作的操作人員。一定要熟練操作流程，同時(shí)對相應(yīng)的規(guī)章制度有明確的概念，降低操作的風(fēng)險(xiǎn)。在整個企業(yè)當(dāng)中，各個崗位都應(yīng)配備具有相應(yīng)技能的工作人員，同時(shí)，在組織中，應(yīng)形成風(fēng)險(xiǎn)意識，要明確風(fēng)險(xiǎn)管理不是某個人或某個部門的責(zé)任，而是靠企業(yè)整體的工作人員共同努力的，也不是一時(shí)的治理就一勞永逸，而是要時(shí)刻關(guān)注的問題。

3 結(jié)論

針對于IT風(fēng)險(xiǎn)的突發(fā)性和影響面廣的特點(diǎn)以及其對銀行的重大影響，銀行IT風(fēng)險(xiǎn)管理對銀行的重要性和必要性不容忽視。IT風(fēng)險(xiǎn)的產(chǎn)生是伴隨著銀行的運(yùn)營持續(xù)存在的，并不能一次性解決，所以，要想實(shí)時(shí)監(jiān)控著銀行IT風(fēng)險(xiǎn)發(fā)生的可能性，必須設(shè)立一定的機(jī)制，在此，提出基于IT治理的銀行IT風(fēng)險(xiǎn)管理。從宏觀整體的角度實(shí)施監(jiān)控，在整個組織中形成風(fēng)險(xiǎn)意識，在過程中持續(xù)監(jiān)控，努力將IT風(fēng)險(xiǎn)降低到可接受水平。

參考文獻(xiàn)

[1]周穎，周明.IT治理：管控IT風(fēng)險(xiǎn)的治本之策[J].中國金融電腦，2008，（10）：20-26.

[2]徐剛，高靜，梁淑靜.基于公司治理的IT治理研究概述[J].財(cái)會月刊，2012，（30）：85-86.

[3]楊峰.商業(yè)銀行IT風(fēng)險(xiǎn)識別與評估研究[D].電子科技大學(xué)，2012.

[4]周常蘭，陳寶峰.IT風(fēng)險(xiǎn)管理研究的新發(fā)展——ISACA的IT風(fēng)險(xiǎn)管理框架解讀與啟示[J].管理現(xiàn)代化，2010，（05）：6-8.

[5]應(yīng)里孟，鄭煦平.信息技術(shù)對企業(yè)內(nèi)部控制影響分析[J].財(cái)會通訊，2013，（05）：85-86.

[6]韓玲，郭宗文.基于IT治理的信息系統(tǒng)內(nèi)部控制對策研究[J].會計(jì)之友，2011，（21）：118-120.

[7]楊濤.商業(yè)銀行的信息科技風(fēng)險(xiǎn)及其防范[J].金融論壇，2010，（11）：55-60.