这本书是信息技术风险管理最佳实践的开篇之作。它全面介绍了同信息技术相关的各种风险以及这些风险之间的相互关系。作者采用风险组合的方法来考察和分析信息技术风险，用系统性的方法来应对风险。这本书很好地总结了信息技术风险管理的最佳实践，使读者在对信息技术风险有了更加深入的认识的同时，也使读者对信息技术管理实践具有了更广阔视野。

相信这本书将会使读者对信息技术领域所面临的机遇与挑战有着更深刻的认识。它也将成为我们总结、分析、应对信息技术风险的新起点。

《IT风险》是一本机构或者企业IT管理和相关风险管理的指南。它为机构或者企业高级管理人员、IT经理和业务经理提供一套完整的有关IT管理和IT风险的实证模型和评价方法。结合具体案例和作者亲历的IT管理经验，本书从专家角度对各类IT风险以及应对策略进行了完整的阐述。本书的讨论涵盖了所有类型的IT风险。针对不同类型的机构和企业提出了最佳的IT风险管理方法。

本书适用于IT管理、业务管理人员；机构或企业的高级管理人员；风险管理人员；企业规划、咨询人员；相关专业学生。

第1章 风险无处不在 1

1.1 挑战 3

1.2 复杂性与缺陷 4

1.3 医治信息技术风险之症 8

1.3.1 信息技术治理 9

1.3.2 信息技术风险组合 11

第2章 信息技术治理架构 23

2.1 信息技术治理的目的与目标 24

2.2 信息技术治理的不同方法 26

2.2.1 公司治理视角 27

2.2.2 投资者视角 28

2.2.3 合规性视角 31

2.2.4 企业范围的风险管理视角 33

2.2.5 审计与控制视角 34

2.2.6 工程和系统视角 36

2.2.7 生命科学、生物学和生态学视角 38

2.2.8 企业的综合视角 39

2.3 建构企业的治理架构 40

2.3.1 治理流程与产出 40

2.3.2 治理结构和角色 42

2.4 设计与实施 43

2.4.1 信息技术治理模型和方法 44

2.4.2 使信息技术治理模型适用于企业 45

2.4.3 信息技术治理架构的实施 46

案例：Aventis—— 开发一个覆盖全企业范围的风险管理和业务连续性/灾难

恢复计划 47

第3章 信息技术风险组合 51

3.1 信息技术风险组合导论 51

3.1.1 像管理其他业务风险一样管理信息技术风险 52

3.1.2 信息技术风险的一种组合 54

3.1.3 信息技术风险的分类 55

3.1.4 理解信息技术风险类之间的关系 59

3.1.5 信息技术风险的影响 64

3.1.6 信息技术失效的广泛影响 65

3.2 实现信息技术风险管理能力 66

3.2.1 战略与政策 67

3.2.2 角色和责任 68

3.2.3 流程与方法 70

3.2.4 人与效能 71

3.2.5 实施与改进 71

3.2.6 利器 72

3.3 健康检查 73

3.3.1 信息技术风险管理对你的业务重要吗 73

3.3.2 在做正确的事情吗 73

3.3.3 有好的跟踪记录吗 74

案例：欧洲港湾管理服务供应商—— 建立欧洲数据中心 74

第4章 项目 77

开篇案例 77

4.1 项目失败的影响 79

4.1.1 时间 80

4.1.2 功能和质量 81

4.1.3 费用 82

4.1.4 项目交付时的系统性的失败 82

4.2 风险的机构、流程及项目视角 84

4.2.1 为交付项目而管理机构 84

4.2.2 管理流程—— 多个并发IT项目的风险 85

4.2.3 管理项目—— 航行风险 86

4.2.4 决策与超时、功能及费用的控制 88

4.3 理解IT项目的风险因素 89

4.3.1 重大风险因素的管理 91

4.3.2 理解项目的“困难程度” 95

4.3.3 常被曲解的项目风险因素 96

4.3.4 可以选择的交付模式及其风险特征 99

4.3.5 开发之外—— 项目的保障和升级 100

4.4 保障交付方法论 103

4.4.1 产出物与可交付物 103

4.4.2 人员 103

4.4.3 方法与标准 104

4.5 识别、报告和管理项目风险 105

4.5.1 委员会的监管 106

4.5.2 另类的管理反应 106

4.5.3 在项目的每一步，要看什么 107

4.6 健康检查 111

4.6.1 对你的业务重要吗 111

4.6.2 在做正确的事情吗 111

4.6.3 有好的跟踪记录吗 111

案例：Agility—— 实施保障程序成功交付战略性的信息技术项目 112

第5章 信息技术服务 115

开篇案例 115

5.1 影响业务的信息技术服务失效 117

5.1.1 服务效能 117

5.1.2 完善的规划准则 118

5.1.3 危机与灾难 119

5.1.4 对信息资产的影响 119

5.1.5 管理系统失效 120

5.1.6 复杂的情境 120

5.2 规划与准备 121

5.2.1 业务影响分析 121

5.2.2 灾难规避与灾难恢复 122

5.2.3 保障级别 123

5.3 实现不间断的信息技术服务 125

5.3.1 制定预算 126

5.3.2 风险内容 127

5.3.3 能力设计 128

5.3.4 认同与偏好 128

5.3.5 效能指标 129

5.4 健康检查 130

5.4.1 对你的业务重要吗 131

5.4.2 在做正确的事情吗 131

5.4.3 有好的跟踪记录吗 131

案例：治安服务—— 制定一套灾难规避— 灾难恢复战略 132

第6章 信息资产 133

开篇案例 133

6.1 信息资产的访问 135

6.2 信息资产损失的影响 136

6.2.1 排他性的丧失 136

6.2.2 信息资产为犯罪者带来的直接利益 136

6.2.3 时间、能力和良好的愿望 137

6.2.4 安全性丧失 137

6.3 信息资产退化的影响 138

6.3.1 你并不知道损失什么直到它真的发生 138

6.3.2 完整性丧失 139

6.3.3 修复的代价 140

6.3.4 机会成本 140

6.4 安全的尺度 141

6.4.1 目标 141

6.4.2 企业文化 145

6.4.3 信息资产安全的反证 146

6.5 实施信息资产管理 148

6.5.1 并未包含在信息资产管理中的ISO标准要素 149

6.5.2 信息资产管理的基础成分 151

6.6 健康检查 159

6.6.1 对你的业务重要吗 159

6.6.2 在做正确的事情吗 159

6.6.3 有好的跟踪记录吗 160

案例：投资管理——在分散的环境下交付安全性 160

第7章 信息技术服务供应商与销售商 163

开篇案例 163

7.1 服务供应商失效引致的风险 164

7.1.1 运营服务未能达到服务级别 166

7.1.2 未能满足合约或关系要求 166

7.1.3 未能交付项目服务 167

7.1.4 供应商无法坚持下去 168

7.1.5 其他服务供应商风险 168

7.1.6 几种不同的服务交付模式存在的风险 172

7.2 销售商失败引致的风险 174

7.2.1 产品支持失效 174

7.2.2 其他销售商风险 175

7.3 管理服务供应商风险 177

7.3.1 来源策略 178

7.3.2 预谈判 179

7.3.3 评估 180

7.3.4 谈判 180

7.3.5 转换 181

7.3.6 管理 181

7.3.7 总结/终止/重启 182

7.3.8 减小风险造成的影响 182

7.3.9 管理关系降低风险 185

7.4 管理多个信息技术服务提供商 187

7.4.1 切分信息技术服务“群组” 188

7.4.2 技术策略与来源策略相结合 189

7.4.3 端到端的流程衔接 190

7.5 信息技术服务供应上新兴来源风险 190

7.5.1 离岸来源 190

7.5.2 开放源码软件支持 191

7.6 健康检查 192

7.6.1 对你的业务重要吗 193

7.6.2 在做正确的事情吗 193

7.6.3 有好的跟踪记录吗 193

案例：金融服务—— 用低成本交付业务响应型的IT基础设施 194

第8章 应用 195

开篇案例 195

8.1 信息技术应用失效对业务构成的影响 196

8.1.1 连续性、纠错和容错 197

8.1.2 系统的背景和业务影响的延伸 198

8.1.3 当人同系统无法协调 199

8.1.4 当应用需要通讯并协同工作 200

8.2 信息技术应用风险评估 202

8.2.1 巨大的关联性 202

8.2.2 巨大的复杂性 202

8.2.3 特征化与增值 203

8.2.4 集成与协同 203

8.2.5 遗存的老式系统 204

8.3 信息技术应用风险分类 205

8.3.1 新的应用 205

8.3.2 打包软件 206

8.3.3 客户化方式开发的软件 208

8.4 软件资产与负债 209

8.4.1 掌控你的应用资产 209

8.4.2 把软件当作知识财产 209

8.4.3 软件版权 210

8.4.4 “不速之客”软件 211

8.5 用生存周期的方法来管理风险 212

8.5.1 制定系统日程—— 策略、架构和规划 212

8.5.2 概念和可行性 212

8.5.3 需求和方案架构 213

8.5.4 解决方案的建构、采购与集成 213

8.5.5 测试 214

8.5.6 实施 214

8.5.7 维护和改进系统 215

8.5.8 退役与除役 215

8.6 健康检查 216

8.6.1 对你的业务重要吗 216

8.6.2 在做正确的事情吗 216

8.6.3 有好的跟踪记录吗 216

案例：领先的自来水公司 217

第9章 基础设施 219

开篇案例 219

9.1 信息技术基础设施失效如何影响你的业务 220

9.1.1 设施 220

9.1.2 集中计算 221

9.1.3 分布式计算 223

9.1.4 数据网 224

9.1.5 语音网 225

9.1.6 行业相关的基础设施及其风险 225

9.2 信息技术基础设施的改进风险 226

9.2.1 把信息技术应用的特性移向基础设施层 226

9.2.2 基础设施市场的变化 227

9.2.3 为什么时机是重要的 227

9.2.4 新兴的使用模式及其风险考虑 228

9.3 向着“设置即忘”迈进 229

9.4 抗风险的基础设施转换 230

9.4.1 制定方向 231

9.4.2 按计划逐步推进，保证每一个步骤都能退回 231

9.5 健康检查 232

9.5.1 对你的业务重要吗 232

9.5.2 在做正确的事情吗 232

9.5.3 有好的跟踪记录吗 233

案例：GCHQ—— 设计并管理欧洲最复杂的信息技术部署 233

第10章 战略与新兴技术风险 235

开篇案例 235

10.1 信息技术无法支持业务战略的执行所造成的影响 236

10.1.1 功能退化 237

10.1.2 挑选一只杯子，任何杯子 237

10.1.3 差异性与标准化 238

10.1.4 无关信息技术 239

10.1.5 持久性 241

10.1.6 炫耀武力 241

10.2 通过信息技术支持业务变革提高股东价值 242

10.2.1 信息技术是不是业务 243

10.2.2 变革的促进者 244

10.2.3 引擎室效率 245

10.3 信息技术能力对业务能力的影响 246

10.3.1 信息技术：助推器还是制动器 246

10.3.2 新兴技术 247

10.3.3 交付 248

10.4 健康检查 248

10.4.1 对你的业务重要吗 249

10.4.2 在做正确的事情吗 249

10.4.3 有好的跟踪记录吗 249

案例：Egg——从基础设施的可靠性到系统交付和运营效能 250

第11章 信息技术与其他企业风险 251

11.1 将信息技术风险组合同其他类型的企业风险相关联 252

11.1.1 伴随着其他风险的信息技术风险评估 252

11.1.2 将风险管理的角色和责任相结合 255

11.1.3 团队集中努力的目标 256

11.1.4 银行业的操作风险 257

11.1.5 划分信息技术相关风险的风险 260

11.2 用信息技术支持基于风险的管理 262

11.2.1 连接在一起的机构(正在走向无线连接) 262

11.2.2 操作流程锁定 263

11.2.3 持续不断地监督 264

11.2.4 决策支持、风险分析和报告 264

11.3 信息技术风险管理依赖于广泛的企业能力 265

11.3.1 人力资源管理 265

11.3.2 战略与规划 266

11.3.3 法律 267

11.3.4 财务管理 267

11.3.5 实体安全 268

11.4 结论 268

附录 总结检查清单 269

跋 注意防范和化解金融信息技术风险 277

中国IT治理智库系列丛书 285

参考文献 297

风险无处不在

我们每次搭乘飞机旅行都要面对风险。四百吨的“怪物”起飞，把我们带到目的地，再降落——几乎没有例外!我们会因为商业机会、娱乐甚至于仅仅是认为飞行很有趣而甘愿冒此风险。无论到什么时候，这都是一个我们不得不冒险的世界!因为，风险是人类生活环境的一个组成部分，也是人类商业活动的一部分。在我们的日常生活中，有些风险是能够发现的，有些风险则完全隐藏在事物的背后，还有一些风险我们可能还从未见识过。很自然，我们总希望在眼前的“雷达”上能发现发生可能性比较高的那一类风险，较低的那一类隐藏起来看不见也罢。但生活里却往往事与愿违。

在每一次商业投资过程中，我们都需要冒一定的风险。生活里任何事情都可能发生意外。而基本上我们大概都愿意冒一定的风险。任何主动的策略都可能伴随着明显的风险——尽管有时并不那么引人注意——相反被动的、“无为而治”的策略也同样具有风险，只是和前者相比，后一种情况下出现的风险不是那么明了，不是那么令人恐惧罢了。重要的是要搞清楚风险是什么，让我们能彻底了解它。一旦风险发生，我们有办法来对付它。

这一章是本书的梗概。它会带着读者快速浏览我们所秉持的理念和面对的挑战。在本章的最后，我们会提出一些建议。本章也会为本书的结构给出一些指引，让读者能很快找到自己最需要的东西。在后续的章节，我们会给出论证的细节及参考资料。本书的第2章和第3章提出了信息技术治理架构和信息技术风险组合的概念——这是我们两个重要的工具。余下的章节就不一定需要遵从什么顺序，只须“按需阅读”就行了。

现在，让我们开启这一段奇妙的航程!

应对风险，我们面对着众多的挑战，其中之一是对“风险(Risk)”这个词本身不一致的表述。我们时常用“风险”来表示讨厌的后果，另外的场合可能会用这个词来表达这种后果发生的可能性。

风险自身并没有理性可言，也没有轻重缓急之分。但是，就像叽叽嘎嘎的门轴要加油一样——风险也会时常给人们一些提醒。我们往往穷于应付生活中五花八门的各种风险，而对真正重大的威胁却视而不见。现在，我们应该停止这种做法。

用法律、社会道德、罚款的方式来处罚那些违章驾驶的人，目的是为了保护乘客的安全。然而，我们日常驾驶行为还是具有较高的风险的，只是这些风险的表现形式多种多样，不容易被我们发现而已。凭想象，我们也会知道被揭露出来的驾驶危险或者风险只占其中很小的一部分。

这个观点对信息技术(Information Technologv，IT，本书将混用“IT”与“信息技术”这两个词——译注)行业来说同样成立。过去的40年，信息技术为商业带来了巨大的利益。能从信息技术直接获益的如电子产品和信息技术服务，间接获益的则包括库存管理、供应链管理、劳动生产力的提高以及客户信息系统等。但在在线证券交易、零售分销中心、航空订票系统等诸多领域，信息技术取得巨大成功的同时，很多信息技术系统也出现过重大的挫败，从伦敦证交所1993年取消的“金牛座”计划到2004年英国电子大学的战略性失败，无不如此。

出现这些挫败的部分原因可以归结为基础设施失效：从奥克兰持续6周的停电事故到纽约和意大利因为短暂但异常严重的破坏而导致的民生灾难(Hinde，2003)。信息资产出现风险——如CD环球由于30万客户信用卡资料的外泄而遭到勒索。这些事实无不表明有些风险我们是可以防范的，但也确有一些风险被我们有意或无意地忽视了。

对待信息技术风险的典型反应是补救。机构大多会采用标准的备份计划来保护数据，也有一些机构为了保护信息资产，还执行一些后续的信息技术计划。整个计划涉及的费用可能高达数百万美元，而所保存的数据却未必是整个体系里面最有价值、最重要的部分。同样，信息技术项目所冒的风险也很高——很少有董事会和高级管理层做好了对具体信息技术项目做出决策的准备。尽管信息技术已成为业务的基础部分，但是机构却很少为信息技术做好了全面的应变准备。

本书的目标是为读者提供一套权衡信息技术风险并做出选择的方法，以及可以使我们更容易发现风险的技术和如何把这些技术发扬光大的策略。P1-2

客观总结信息化实践，深入探索信息化理论

信息技术及其应用的飞速发展已将技术革命演变为产业革命和社会革命，由此带来的变革以及由这种变革造成的影响，已经超过以蒸汽机、电气化为代表的工业革命。信息产业已经成为规模最大、渗透性最强的支柱产业和战略产业。从冲绳宪章到罗马宣言，走向信息社会成为世界各国的共识。信息网络正成为最重要的基础设施，与信息技术、信息资源相结合，构成了最活跃的生产力。以信息技术创新能力、信息技术应用和信息资源开发利用广度和深度为标志的信息化能力，成为国家竞争力的主要标志。电子政务、电子商务、电子社区、远程教育和医疗成为广泛的实践。许多国家制定了应对这一历史机遇的国家战略。

党中央、国务院对信息化发展做出了一系列重大战略决策和部署。《中共中央关于制定国民经济和社会发展第十个五年计划的建议》中指出：信息化是当今世界经济和社会发展的大趋势，也是我国产业优化升级和实现工业化、现代化的关键环节。明确要求在“十五”计划中把推进国民经济和社会信息化放在优先位置。根据党中央的建议，“十五”计划把信息化作为一个重点部分，制定了“十五”信息化重点专项规划。2001年成立了由国务院总理任组长，中央、国务院和军队主要领导任副组长的国家信息化领导小组，成立了国务院信息化工作办公室作为其办事机构，加强了对推进信息化的领导和协调。在十六大报告中进一步提出了以信息化带动工业化，以工业化促进信息化，走出一条科技含量高、经济效益好、资源消耗低、环境污染少、人力资源优势得到充分发挥的新型工业化道路。国家信息化领导小组对一系列信息化发展的战略和重大任务做出了决策和部署，要求紧紧抓住信息化发展的机遇，进一步增强加快信息化的紧迫感和使命感，推动经济社会全面、协调、可持续发展。

我国在数十年信息化发展中，各方面取得了十分显著的成绩，也存在不容忽视的困难、矛盾和问题。信息技术进展快、信息资源增长快、信息产业发展快、信息网络扩散快、信息技术应用渗透快、信息化环境变化快。实践促进理论研究、理论促进实践的成熟，面对信息化快速发展的形势，迫切需要客观总结实践经验、深入探索具有中国特色的发展规律，引导信息化走上科学、健康的轨道。

信息技术在经济和社会领域应用过程中逐渐改变着组织结构、管理制度和业务流程，并为制度创新和管理创新提供新的工具和平台，从而对建立现代企业制度、完善公司法人治理结构产生着不可忽视的重要作用。

《中国IT治理智库》系列丛书，引进经典专著和邀请专家学者编著相结合，从总结信息化经验、指导信息化实践，以及通过信息技术应用完善公司治理结构的两个方面，繁荣着我国信息化学术园地，将对我国信息化发展起到积极的引导作用。更希望，有更多的专家学者投身到信息化理论研究和实践总结，为我国信息化发展奠定坚实的理论基础。

是以为序。

杨学山

国务院信息化工作办公室副主任

2006年3月18日

注意防范和化解金融信息技术风险

一、金融风险与信息技术风险

起始于20世纪80年代后期的金融电子化浪潮发展到今天已经有近30年的时间。30年来，从单一记账系统发展为以银行核心综合业务系统为核心，涵盖了渠道流程管理、产品管理与交付、客户价值管理、知识管理、风险与审计控制、全方位的银行IT体系，跨越了整个银行业务价值链；从单纯的集中式柜台交易录入到实现所有渠道的整合，集互联网、移动平台、自助服务为一体的综合渠道交付体系：从面向银行内部交易系统发展为面对客户、可订制的、结合各种渠道流程定义的客户服务交付平台，信息技术对银行业的发展功不可没、成绩斐然。可以说，没有IT，没有IT的支撑，就没有现代银行业。

然而，同世界上所有的事物一样，相生必然相克。IT在极大地促进了银行业的发展，为银行业提供了巨大发展机会的同时也使银行业面对巨大的技术风险。港澳及海外金融市场因为IT失效引起的银行损失案例比比皆是、层出不穷。在香港市场，每年公开报道的金融机构因为IT故障严重影响业务和客户的事件平均超过数十起，有些故障造成了巨大损失，对上市银行的商誉及市值造成巨大冲击。据业界估计，发生在非核心系统、非渠道上的故障次数可能要多得多。只是因为问题短暂，或者尚未对客户构成太大的影响而没在媒体公开披露出来而已。中国银行业也不例外。每年公开报道的、给客户造成重大影响的金融IT失效事件就达几十起之多。

可以预见，随着银行电子化程度的提高，信息化的深入，IT失效对金融业造成的威胁将会越来越大。

传统上，银行面对的风险大致分为四大类，分别是：

·市场风险：主要是指金融市场产品的价格和利率的变化而使得银行敞口的价值降低风险。

·信用风险：主要是指在金融市场内，由于银行交易对手的信用状况的变化而导致银行敞口价值降低的风险。

·流动性风险：主要是指资产无法变现或者变现价值导致资产损失风险。可以分为两类：外生流动性风险和内生流动性风险。

·操作风险：按照国际清算银行制订的《新Basel资本协议》的定义，银行操作风险是指由于银行内部流程、人员和系统不适当或者失效而造成银行直接或者间接损失风险。包括法律和监管风险。从流程上说，银行IT属于内部流程，因而IT风险归为操作风险。

因为信息技术风险的影响越来越大，美国OCC要求银行每年都要进行一次URSIT(Uniform Rating System for Information Technology)内部评级。从管理、获取与部署、交付与支持以及审计这4个角度对银行IT体系的规划与组织、互联网与内联网、企业解决方案、C／S架构、群组软件以及网络管理等环节做出评价。

Basel银行监督委员会把IT风险归为银行操作风险的一部分。但这不意味着银行IT风险不重要，也不意味着IT风险因素无足轻重。相反，Basel银行监督委员会早在1998年就从监管的角度提出了电子银行风险管理原则，2003年做出了新的修订。在这份文件中，Basel银行监督委员会指出电子银行面临着4大挑战：

·技术的高速发展和对客服务上的创新。

·新的网上零售和批发银行业务直接进行金融交易，而电子交易依赖于原有的核心系统。

·电子银行增加了银行对IT的依赖。

·互联网无处不在。

同时，分别从董事会和管理层的监控、安全控制以及法律和信誉风险的管理这三个层面提出了管理电子银行风险的14条基本原则：  (1)对电子银行活动进行有效监控。

(2)建立全面的安全控制流程。

(3)对外包服务和第三方依赖实施全面的尽职与管理监控流程。

(4)电子银行客户鉴别。

(5)电子银行交易的不可否认和不可抵赖。

(6)保证职责分隔(SOD)原则得到贯彻实施。

(7)电子银行系统／数据库／应用的授权控制。

(8)电子银行交易／记录／信息数据的完整性。

(9)对电子银行交易建立明晰的稽核记录。

(10)重要银行信息的保密性。

(11)电子银行服务适当的信息披露。

(12)客户信息的保护。

(13)处理能力／业务连续性／意外事故规划，保证电子银行系统与服务的可用性。

(14)事件响应规划。

然而，尽管很大程度上电子银行面临的风险银行IT都需要面对，电子银行的风险状况多少反映银行自身业务与IT体系的风险状况。但是，从根本上说电子银行风险只是银行IT风险的一个子集。其复杂性比整个银行面对的IT风险要小得多。上述的14项要求也只是从银行外部监管的角度出发提出的控制目标要求。

事实上，银行IT风险敞口的形式非常多。比较常见的有：

·系统宕机，服务中断。

·系统响应时间过长。

·处理流程或者计算错误，比如计息错误。

·数据不准确，比如对账错误。

·客户信息泄露，比如被盗。

·数据记录不完整或不正确。

·客户账户资料或者客户身份ID被冒用。

·自动电子渠道遭受攻击，比如黑客入侵、拒绝服务攻击、电话渠道攻击。

·病毒。

·自然灾害带来的设备、数据的毁损、服务中断。

这些信息技术风险敞口形式非常庞杂，产生这些风险的起因也多种多样。现代银行的产品和服务都需要经历很多的系统和流程，需要很多的人员一起协同努力才能交付。因此，为银行产品和服务提供技术支持手段的IT也非常复杂。另外一项因素是风险后果同风险起因非唯一对称性。即一种风险后果可能有很多种的风险起因造成。反过来，一种风险起因也可能会产生多种不同的风险后果。因此，试图枚举所有的风险因素和后果，找出其中的必然关联与特征是非常困难的，即使可行工作量也是惊人的。

为了更有效地应对银行信息技术风险，就必须在使银行具备信息技术风险管理能力的前提下，学会使用综合性的风险管理的方法。

二、金融信息技术风险的管理

现在，我们从一个典型而简单的IT项目实例来说明跨越整个IT产品和服务的生命周期、采用综合性方法来应对IT风险的必要性。

按照传统的项目管理方法，一个IT项目的获取、开发和实施过程中的风险点如图1所示。

我们可以很容易地发现，基于传统的项目风险管理的观点来管理项目风险是远远不够的。因为，我们面对的过程风险其实复杂得多，如图2所示。

造成两者复杂性差异的真正原因在哪儿呢?

真正的原因来源于信息系统(IS)学科本身。从IS的角度上看，可以清楚地分成两个领域：一是信息系统的开发，另一个则是信息系统的运行。因此，同信息系统关联的风险也自然地分成两个领域，从信息系统专业角度对其风险的管理也是分离的。这种专业上的分工对企业的IT治理结构带来根本性的影响，现在很多的金融机构把IT分成开发和运行两大块也源于此。银行高级管理层的决策更多的是关注新产品、新项目的开发。而IT运营方面除非出现了重大的问题，否则高级管理层极少触及。因此，对高级管理层而言，IT运营风险相对于其他风险来说要疏远得多。

从商业角度上说，企业对IT的投资同其他的投入没什么本质的区别。其动机无外乎两个，一是获得竞争优势，二是最终获得经济回报。对高级管理层而言，做出投资决策一般应该考虑三个因素：

·生命期总费用(Total Lifecycle Cost)。

·生命期总效益(Total Lifecycle Benefits)。

·生命期总体风险(Total Lifecycle Risks)。

因为IS专业的理由把对IT的投入割裂成两个部分显然并不利于综合考虑IT产品和服务的上述三个因素，也不利于在整个IT产品和服务的生命期内灵活地投入调整。

面对日益复杂的IT风险敞口形式，面对日益复杂的IT环境，仅仅依靠传统上的风险管理方法是远远不够的。因为：

·每一种IT风险敞口形式的起因和结果都很复杂。

·很多敞口形式的起因和结果是交叉，也有一些会发生自组合产生更复杂的风险后果。

·每一类IT风险敞口形式之间互相关联。

因此，我们在这儿愿意重温一下本书的基本观点：

·企业需要建立其IT与IT风险治理架构。

·企业需要找到一位领导者，来统管IT与IT风险治理架构。

·企业需要通过事先设计的组合管理方法来综合性地应对IT风险。

·企业需要通过对IT进行分类管理来降低复杂性。

然而，我们还要指出：风险管理的本质与最终目标是塑造具备良好风险管理意识的企业文化。这才是一个具有优秀信息技术能力的、创新型与学习型企业所应该具备基本特征。

三、可能存在的几个误区

在IT与IT风险管理方面，可能还存在一些认识上的误区：

1．认为在IT发展水平不高的情况下，信息技术风险所造成的威胁也不大。

2．信息技术风险基本上是小概率事件，因此可以认为不会发生。

3．建立质量最好的IT基础设施就可以防范风险。

IT基础设施风险是最受到关注的风险。然而，基础设施风险仅仅是信息技术风险组合的一个方面。我们对IT基础设施风险定位也存在很多的误区。比较突出的就是认为IT基础设施代表着银行IT的一切，把基础设施搞好了，IT也就可以高枕无忧了。

这种认知本身就会带来巨大风险。

建立冗余资源备份确实是应对IT基础设施风险的一项基本策略。比如，灾备系统、后备中心、通讯链路冗余等等。但是，应当认识到资源的冗余仅仅是答案的一小部分。更需要关注的还有评估与演练。而最重要的则是IT基础设施必须同银行的风险承受能力、风险偏好相匹配。

事实上，从技术上说，任何一种备份方案都无法消除系统的所有单点失效。更何况即便找到了一套完全消除单点失效的方案仍然无法消除基础设施的风险。因为，双系统的失效概率尽管比单系统要低得多，但永远也无法降到为零的程度。

因此，正确地认识和看待冗余备份资源，更好地评估基础设施中各分系统、分系统间的失效威胁及其影响；制定切实可行的切换、替代方案；扎实做好方案的演练与测试；根据测试和演练结果进一步优化并持续改进IT基础设施的风险抵御能力，提高银行的整体抗信息技术风险能力才是解决基础设施风险的万全之策。

4．全面推行COBIT、URSIT认证与审计，就可以应对信息技术风险。

COBIT和URSIT提出了比较全面的机构IT控制目标与流程体系，几乎考虑机构IT的所有方面，其权威性毋庸置疑。

然而，由于它们的复杂性，全面推行是非常困难的。因此，大多数机构都是以此为基础进行适当的裁减。而最大的困难正是来自于这个过程，因为这需要对机构自身，对IT架构，对管理体制，对流程与控制的透彻了解。而这同样是非常困难的。

四、几项建议

面对几乎无处不在的信息技术风险威胁，我们无法逃避，我们必须面对挑战：

·信息技术风险是原生的和固有的。

·信息技术风险将为我们带来新的威胁。

我们只有很少的信息技术风险经验，没有成熟的IT风险模型，更谈不上对IT风险进行度量。因此，我们需要用理性的、实事求是的、现实的态度来面对、防范并化解信息技术风险。

我们同样也充满着机会：

·尽管我们永远无法消除信息技术风险，但我们可以尽量避免信息技术风险，也可以通过不懈努力把损失降至最低。

·除了建立科学的治理架构和完整的信息技术风险管理体系之外，我们别无选择。

1．建立对机构信息技术风险负责的相应组织与架构。

2．强化产品投产流程，系统与产品推出之前应进行详细的风险分析，准备好应对措施。

3．现在开始着手调查、收集、分析同IT失效有关的风险损失、模式及相关性，为未来的信息技术风险建模与度量做好技术准备。

4．培养员工的信息技术风险意识，建立与之适应的企业文化。

五、结论

在本书准备截稿时，发生一件轰动全国的IT失效事件。国内最大的银行间组织，也是最大的银行终端渠道销售商出现了大范围的IT系统故障，导致很多银行零售终端无法运作。据媒体估计超过10亿元人民币的金融交易受阻，损失无法估量。尽管这是一起偶发事件，但其影响面之广、牵涉面之大、同普通老百姓的日常生活关系之密切超出了我们的想象。这个事件值得我们反省，更应该引起广大IT业界人士的深思。

译 者

2006年6月26日于澳门楠苑

过去，IT风险管理常被忽略或仅仅作为一个单纯的技术问题，但是，现在它已经成为组织治理的问题，是一个涉及到政府部门、监管机构、外部审计、技术服务提供商、董事会与管理层及所有利益相关者的问题。SOX法案更是通过内部控制有效性声明和严厉惩罚将法律与IT风险问题绑定。鉴于此，谨向上述人士推荐此书，相信本书的出版对于推动IT风险管理领域的发展有着非常积极的意义。

——孟秀转

ITGov中国IT治理研究中心副主任

国务院国资委“中央企业全面风险管理指引”专家顾问

本书为不同背景的读者带来了有关IT风险的很多新颖观点。在IT风险领域。这是迄今为止最重要、最实用而又最切合实际的一本书，对IT管理者而言更是如此。

——皮特·G．诺曼

斯坦福研究院国际计算机科学实验室首席科学家，ACM风险论坛主持人

这是一本如何防止出现IT失效的行动指南。书中描述的成熟的模型与评价工具。无论是对董事会成员、公司高级管理层、IT部门和业务部门负责人，还是对普通风险管理人员、IT审计人员、程序员、系统架构师、项目经理都是非常有参考价值的。

——ISSG杂志2005年第五期