过去,IT风险管理常被忽略或仅仅作为一个单纯的技术问题,但是,现在它已经成为组织治理的问题,是一个涉及到政府部门、监管机构、外部审计、技术服务提供商、董事会与管理层及所有利益相关者的问题。SOX法案更是通过内部控制有效性声明和严厉惩罚将法律与IT风险问题绑定。鉴于此,谨向上述人士推荐此书,相信本书的出版对于推动IT风险管理领域的发展有着非常积极的意义。
一、金融风险与信息技术风险
起始于20世纪80年代后期的金融电子化浪潮发展到今天已经有近30年的时间。30年来,从单一记账系统发展为以银行核心综合业务系统为核心,涵盖了渠道流程管理、产品管理与交付、客户价值管理、知识管理、风险与审计控制、全方位的银行IT体系,跨越了整个银行业务价值链;从单纯的集中式柜台交易录入到实现所有渠道的整合,集互联网、移动平台、自助服务为一体的综合渠道交付体系;从面向银行内部交易系统发展为面对客户、可订制的、结合各种渠道流程定义的客户服务交付平台,信息技术对银行业的发展功不可没、成绩斐然。可以说,没有IT,没有IT的支撑,就没有现代银行业。
然而,同世界上所有的事物一样,相生必然相克。IT在极大地促进了银行业的发展,为银行业提供了巨大发展机会的同时也使银行业面对巨大的技术风险。港澳及海外金融市场因为IT失效引起的银行损失案例比比皆是、层出不穷。在香港市场,每年公开报道的金融机构因为IT故障严重影响业务和客户的事件平均超过数十起,有些故障造成了巨大损失,对上市银行的商誉及市值造成巨大冲击。据业界估计,发生在非核心系统、非渠道上的故障次数可能要多得多。只是因为问题短暂,或者尚未对客户构成太大的影响而没在媒体公开披露出来而已。中国银行业也不例外。每年公开报道的、给客户造成重大影响的金融IT失效事件就达几十起之多。
可以预见,随着银行电子化程度的提高,信息化的深入,IT失效对金融业造成的威胁将会越来越大。
传统上,银行面对的风险大致分为四大类,分别是
市场风险:主要是指金融市场产品的价格和利率的变化而使得银行敞口的价值降低风险。
信用风险:主要是指在金融市场内,由于银行交易对手的信用状况的变化而导致银行敞口价值降低的风险。
流动性风险:主要是指资产无法变现或者变现价值导致资产损失风险。可以分为两类:外生流动性风险和内生流动性风险。
操作风险:按照国际清算银行制订的《新Basel资本协议》的定义,银行操作风险是指由于银行内部流程、人员和系统不适当或者失效而造成银行直接或者间接损失风险。包括法律和监管风险。从流程上说,银行IT属于内部流程,因而IT风险归为操作风险。
因为信息技术风险的影响越来越大,美国OCC要求银行每年都要进行一次URSIT(Uniform Rating System for Information Technology)内部评级。从管理、获取与部署、交付与支持以及审计这4个角度对银行IT体系的规划与组织、互联网与内联网、企业解决方案、C/S架构、群组软件以及网络管理等环节做出评价。
Basel银行监督委员会把IT风险归为银行操作风险的一部分。但这不意味着银行IT风险不重要,也不意味着IT风险因素无足轻重。相反,Basel银行监督委员会早在1998年就从监管的角度提出了电子银行风险管理原则,2003年做出了新的修订。在这份文件中,Basel银行监督委员会指出电子银行面临着4大挑战:
技术的高速发展和对客服务上的创新
新的网上零售和批发银行业务直接进行金融交易,而电子交易依赖于原有的核心系统
电子银行增加了银行对IT的依赖
互联网无处不在
同时,分别从董事会和管理层的监控、安全控制以及法律和信誉风险的管理这三个层面提出了管理电子银行风险的14条基本原则:
(1) 对电子银行活动进行有效监控
(2) 建立全面的安全控制流程
(3) 对外包服务和第三方依赖实施全面的尽职与管理监控流程
(4) 电子银行客户鉴别
(5) 电子银行交易的不可否认和不可抵赖
(6) 保证职责分隔(SOD)原则得到贯彻实施
(7) 电子银行系统/数据库/应用的授权控制
(8) 电子银行交易/记录/信息数据的完整性
(9) 对电子银行交易建立明晰的稽核记录
(10) 重要银行信息的保密性
(11) 电子银行服务适当的信息披露
(12) 客户信息的保护
(13) 处理能力/业务连续性/意外事故规划,保证电子银行系统与服务的可用性
(14) 事件响应规划
然而,尽管很大程度上电子银行面临的风险银行IT都需要面对,电子银行的风险状况多少反映银行自身业务与IT体系的风险状况。但是,从根本上说电子银行风险只是银行IT风险的一个子集。其复杂性比整个银行面对的IT风险要小得多。上述的14项要求也只是从银行外部监管的角度出发提出的控制目标要求。
事实上,银行IT风险敞口的形式非常多。比较常见的有:
-
系统宕机,服务中断
-
系统响应时间过长
-
处理流程或者计算错误,比如计息错误
-
数据不准确,比如对账错误
-
客户信息泄露,比如被盗
-
数据记录不完整或不正确
-
客户账户资料或者客户身份ID被冒用
-
自动电子渠道遭受攻击,比如黑客入侵、拒绝服务攻击、电话渠道攻击
-
病毒
-
自然灾害带来的设备、数据的毁损、服务中断
这些信息技术风险敞口形式非常庞杂,产生这些风险的起因也多种多样。现代银行的产品和服务都需要经历很多的系统和流程,需要很多的人员一起协同努力才能交付。因此,为银行产品和服务提供技术支持手段的IT也非常复杂。另外一项因素是风险后果同风险起因非唯一对称性。即一种风险后果可能有很多种的风险起因造成。反过来,一种风险起因也可能会产生多种不同的风险后果。因此,试图枚举所有的风险因素和后果,找出其中的必然关联与特征是非常困难的,即使可行工作量也是惊人的。
为了更有效地应对银行信息技术风险,就必须在使银行具备信息技术风险管理能力的前提下,学会使用综合性的风险管理的方法。
二、金融信息技术风险的管理
现在,我们从一个典型而简单的IT项目实例来说明跨越整个IT产品和服务的生命周期、采用综合性方法来应对IT风险的必要性。
按照传统的项目管理方法,一个IT项目的获取、开发和实施过程中的风险点如图1所示。
我们可以很容易地发现,基于传统的项目风险管理的观点来管理项目风险是远远不够的。因为,我们面对的过程风险其实复杂得多,如图2所示。
造成两者复杂性差异的真正原因在哪儿呢?
真正的原因来源于信息系统(IS)学科本身。从IS的角度上看,可以清楚地分成两个领域:一是信息系统的开发,另一个则是信息系统的运行。因此,同信息系统关联的风险也自然地分成两个领域,从信息系统专业角度对其风险的管理也是分离的。这种专业上的分工对企业的IT治理结构带来根本性的影响,现在很多的金融机构把IT分成开发和运行两大块也源于此。银行高级管理层的决策更多地是关注新产品、新项目的开发。而IT运营方面除非出现了重大的问题,否则高级管理层极少触及。因此,对高级管理层而言,IT运营风险相对于其它风险来说要疏远得多。
图2 跨越产品/服务生命周期的风险因素
从商业角度上说,企业对IT的投资同其它的投入没什么本质的区别。其动机无外乎两个,一是获得竞争优势,二是最终获得经济回报。对高级管理层而言,做出投资决策一般应该考虑三个因素:
- 生命期总费用( Total Lifecycle Cost)
- 生命期总效益( Total Lifecycle Benefits)
- 生命期总体风险( Total Lifecycle Risks)
因为IS专业的理由把对IT的投入割裂成两个部分显然并不利于综合考虑IT产品和服务的上述三个因素,也不利于在整个IT产品和服务的生命期内灵活地投入调整。
面对日益复杂的IT风险敞口形式,面对日益复杂的IT环境,仅仅依靠传统上的风险管理方法是远远不够的。因为:
- 每一种IT风险敞口形式的起因和结果都很复杂
- 很多敞口形式的起因和结果是交叉,也有一些会发生自组合产生更复杂的风险后果
- 每一类IT风险敞口形式之间互相关联
因此,我们在这儿愿意重温一下本书的基本观点:
- 企业需要建立其IT与IT风险治理架构
- 企业需要找到一位领导者,来统管IT与IT风险治理架构
- 企业需要通过事先设计的组合管理方法来综合性地应对IT风险
- 企业需要通过对IT进行分类管理来降低复杂性
然而,我们还要指出:风险管理的本质与最终目标是塑造具备良好风险管理意识的企业文化。这才是一个具有优秀信息技术能力的、创新型与学习型企业所应该具备基本特征。
三、可能存在的几个误区
在IT与IT风险管理方面,可能还存在一些认识上的误区:
1. 认为在IT发展水平不高的情况下,信息技术风险所造成的威胁也不大
2. 信息技术风险基本上是小概率事件,因此可以认为不会发生
3. 建立质量最好的IT基础设施就可以防范风险
IT基础设施风险是最受到关注的风险。然而,基础设施风险仅仅是信息技术风险组合的一个方面。我们对IT基础设施风险定位也存在很多的误区。比较突出的就是认为IT基础设施代表着银行IT的一切,把基础设施搞好了,IT也就可以高枕无忧了。
这种认知本身就会带来巨大风险。
建立冗余资源备份确实是应对IT基础设施风险的一项基本策略。比如,灾备系统、后备中心、通讯链路冗余等等。但是,应当认识到资源的冗余仅仅是答案的一小部分。更需要关注的还有评估与演练。而最重要的则是IT基础设施必须同银行的风险承受能力、风险偏好相匹配。
事实上,从技术上说,任何一种备份方案都无法消除系统的所有单点失效。更何况即便找到了一套完全消除单点失效的方案仍然无法消除基础设施的风险。因为,双系统的失效概率尽管比单系统要低得多,但永远也无法降到为零的程度。
因此,正确地认识和看待冗余备份资源,更好地评估基础设施中各分系统、分系统间的失效威胁及其影响;制定切实可行的切换、替代方案;扎实做好方案的演练与测试;根据测试和演练结果进一步优化并持续改进IT基础设施的风险抵御能力,提高银行的整体抗信息技术风险能力才是解决基础设施风险的万全之策。
4. 全面推行COBIT、URSIT认证与审计,就可以应对信息技术风险
COBIT和URSIT提出了比较全面的机构IT控制目标与流程体系,几乎考虑机构IT的所有方面,其权威性毋庸置疑。
然而,由于它们的复杂性,全面推行是非常困难的。因此,大多数机构都是以此为基础进行适当的裁减。而最大的困难正是来自于这个过程,因为这需要对机构自身,对IT架构,对管理体制,对流程与控制的透彻了解。而这同样是非常困难的。
四、几项建议
面对几乎无处不在的信息技术风险威胁,我们无法逃避,我们必须面对挑战:
信息技术风险是原生的和固有的
信息技术风险将为我们带来新的威胁
我们只有很少的信息技术风险经验,没有成熟的IT风险模型,更谈不上对IT风险进行度量。因此,我们需要用理性的、实事求是的、现实的态度来面对、防范并化解信息技术风险。
我们同样也充满着机会:
尽管我们永远无法消除信息技术风险,但我们可以尽量避免信息技术风险,也可以通过不懈努力把损失降至最低
除了建立科学的治理架构和完整的信息技术风险管理体系之外,我们别无选择
1. 建立对机构信息技术风险负责的相应组织与架构
2. 强化产品投产流程,系统与产品推出之前应进行详细的风险分析,准备好应对措施
3. 现在开始着手调查、收集、分析同IT失效有关的风险损失、模式及相关性,为未来的信息技术风险建模与度量做好技术准备
4. 培养员工的信息技术风险意识,建立与之适应的企业文化
五、结论
在本书准备截稿时,发生一件轰动全国的IT失效事件。国内最大的银行间组织,也是最大的银行终端渠道销售商出现了大范围的IT系统故障,导致很多银行零售终端无法运作。据媒体估计超过10亿元人民币的金融交易受阻,损失无法估量。尽管这是一起偶发事件,但其影响面之广、牵涉面之大、同普通老百姓的日常生活关系之密切超出了我们的想象。这个事件值得我们反省,更应该引起广大IT业界人士的深思。
汤大马
2006年6月26日 于澳门楠苑
京ICP备06004481号 Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved