陈文雄：信息科技风险监管的新理念

大家下午好，很感谢主办方，也感谢主持人，有这个机会跟大家一起分享，研讨一下，讨论一下信息科技风险管理的情况。我想从两个方面介绍信息科技风险，第一个方面想介绍信息科技的现状，第二个是防范信息科技风险的要点。

现状两个方面，一个是首先我们国家银行业电子化到信息化经历了二三十年的发展，大家看见银行业现在信息化的水平已经有了很大的发展，应该说在国内引领了信息化水平的前沿，这个成绩的取得跟信息科技的工作者以及我们厂商的支持有很大的关系。第二方面又面临着很多的挑战，比如说我们国家的银行业的金融机构信息化水平虽然经过了二三十年水平，但是目前来讲发展还是很不平衡，一个用户数和交易量这个角度来讲，大家可能认识的不是很深刻，对机构的大小来讲，一个大的机构几十万人，小的机构几百人甚至几十人，从规模来讲我们国家大的银行已经到了几亿的数量，每年的交易量在几千万，峰值已经超过1亿，在这个交易量的情况下，在全世界已经找不到相同的银行跟它比拟。它对信息化的要求很高，我们要找的例子，找的模子已经没有了，需要我们自己独创。

另外信息科技的治理在目前不到位，有几个方面，一个是治理文化没有很好的形成，公司治理和IP治理不是很清晰，治理的架构不全，责任不清晰，人员也不充足，培训不到位，这个使我们治理文化的形成有很大的差距。

另外一个信息科技的价值不能充分体现，这个可能不光在国内，在全世界都有这样一个概念，因为我们的信息资产跟我们的财务资产相对比来说，一个是有标准的，我们的财务资产有标准，有计算的方式方法，新的巴塞尔协议也对新的对财务资产产生的风险都有模型去评估，但是唯独信息资产到目前为止还没有完整的模型，没有一个完整的体系去评估它的价值所在，尤其是它的无形价值，有形价值我们只是通过投入投资的资金以及折旧等等这方面有，但是无形的价值，它对我们业务的贡献度，对我们整个机构的影响，以及出了问题以后总体的影响没有一个标准。

另外一个方面就是信息科技的风险的定位不够清楚，也不恰当。在巴塞尔的新协议里面把信息科技风险定位为操作风险的一部分，大家都知道，信息科技风险在操作风险里面比其他的风险影响要大的多。但是这个整个定位定位成在操作风险的一部分，对信息科技风险的防范有了很大的制约。有些国家和地区已经把信息科技风险单独列出来，包括了巴塞尔要求单独列出来，充分认识到了IT风险的重要性。

有人说银行在第二天开不了门有两个理由，一个是流动性出了问题，第二天开门没有钱了，只能关门；第二个方面就是系统出现问题，其实系统出现问题大家都很清楚，开了门也营不了业，但是这两个东西比起来，在高层的认识上面有很大的差距。往往对流动性的认识各个机构高层认识都很到位，都知道兜里没钱干不了事，但是系统出现问题不能开张这个认识还有很大的区别，但是水能载舟，也能覆舟，现在的银行没有信息科技支撑也是很难的，很多的机构都是靠IT基础去走，在这方面也有人说银行经营的是风险，管理是的信息，既然如此信息科技在里面的重要性就不言而喻。

另一个方面，存在很多误区，这个误区里面首先是认为信息技术是万能的，大家都认为信息科技无所不能，尤其是说电脑电脑，给人很大的误导，认为计算机什么都可以做，确实如此，计算机具有很强的计算能力，同时由于现在存储的便利，存储也越来越大，它的记忆也越来越大，再加上网络发展，现在无所不在，所以它的能力还有一个很大的误区认为计算机无所不能。同时认为计算机也是有智商的，电脑电脑就是一种脑子，但是这恰恰不是计算机的长处，计算机具有很强的计算能力，有很强的存储能力，有无所不在的网络覆盖能力，但是它有一最弱的弱项，它是弱智，它的功能的实现是靠我们设计者根据需求打了很大折扣实施功能在线，这样一来，计算机的弱项大家认识不到，对风险的防范就有很大的问题。

举个例子，我们在上下班的时候，高峰期坐电梯有一个尴尬，电梯里里面满了人，但是每一层还是开一下门，最郁闷的是里面站的差不多了，可能进来四五十斤，把门打开一个苗条的女士要进去，但是进去超重了，就是因为计算机没有很强的智商，它比不上一个电梯工在里面，发现人多了就不停直接过去。另外一个例子电梯没有坐够重量，但是满了，比如装了东西，比如挤进了十几个孩子，它仍然按照程序去走，这就是弱智的效果。

另外一个方面，信息安全面临的挑战，第一个挑战就是机构差异性很大，我们很难用一个标准去衡量，另外一个就是我们面临很多的开发参与国际的合作，在信息披露方面，国际准则方面，需要我们在遵循准则的同时怎么保证安全方面，第三个方面就是我们的公众意识还是很单薄的，现在银行讲网民很多的事件，很多时候是我们客户本身的安全意识不到位造成的，银行做了再大的努力也不能代替客户的安全意识，所以这是很麻烦的事情，需要大家安全意识提升上来，才能把安全做到位。第四方面就是安全的测评不到位，国内的安全测评现在我们从机构来说，量来说，还是不到位，对于一些产品的安全，软件安全人的认证、测评不到位，很多有未知数。第五个是金融危机出现以后影响了IT的投入，外包方有变数，这样会影响整体的安全。新资本协议要实施对新的系统产生要求，我们在业务需求方面就会有变化。

另外今天讲的是混业经营，混业经营也会带来新的管理压力，混业经营在国际来讲金融危机出现以后对混业经营有很多的争议，一个就讲混业经营对这次金融危机埋下了很多的祸根，但是混业经营已经走了这么长的时间，如果一味的限制国内要进行分散经营，对我们的机构会有很大的影响，所以这个还是要有新的路子探索，在混业经营下面怎么做好信息安全，怎么做好相互之间的有效隔离。

另外一个就是业务的处理同质化，现在很多机构业务的处理都是用同一产品和同一模式，一个产品出来以后很快会复制到很多的机构去。87年有一个黑色星期一就是各个机构用同一个市场风险分析软件自动抛售了有风险的同样的东西，产生的对股市的强烈的冲击，用了这个软件的机构都受到了损失，这个同质化也会产生很大的影响。

另外一个信息技术只定位为支持服务，这个层面是比比皆是，我们本身搞IT的人员也是如此，我们搞IT就是关注业务中满足，更多是这个方面，对于决策支持方面关注的很少，有人说这方面我们现在做的都是业务处理系统，不是做的决策指出系统，现在我们缺的是一个老板的信息化，不是业务信息化，在决策支持方面还是有很大的欠缺。

还有一个内控的目标的不合理。我们现在很多的机构的内控是为了满足合规，合规是作为内控的目标，他们做很多东西是为了合规，就会出现很多问题，合规不等于内控水平的提升，什么时候把合规从要我做变成我要做，达成这个层面，我想对内控水平的提升才是一个真正的上了一个新的台阶。

另外因为大家对合规的过度崇拜，也产生了对认证的过度崇拜，很多机构对认证很热衷，把认证做到位，出一个新的标准就赶紧去认证，拿到了牌子，拿到了东西摆在那儿，但是没有把真正内涵，没有把我们的东西做好，都流于形式，这种认证作用不大。

另外一个就是我们防范机构的整体风险的时候没有用更多的用IT的技术去做防范，而是把IT作为一个支持、支撑，没有把IT做成一个主要的防范风险的工具以及作用，发挥不全面。

另外一个方面就是信息科技工作，现在存在几个现象，我用四个“要”，说起来很重要，领导知道信息化很重要，信息技术出了问题，信息系统出了问题有影响，他们会负责任，这样对信息技术更多的是都在关注方面是说起来很重要，把事情布置下去了跟踪的不够。

做起来急着要，大家忽视了信息技术特点，它固有的规律，我们很多业务需求出现以后，就会出现急着要，不管信息科技方面工作的条件、人员、资金到不到位，有没有其他的风险，评估也不够，很快就要做。这个也有问题。

排起队来次要，一到论资排队的时候待遇问题永远往后靠，少有几个机构能把IT人员的待遇往上提的。

最后一个出了问题什么都不要，因为IT和各个业务的融合越来越深，各个业务出了问题都会往IT推，IT就不能推了，所以这个所有的东西IT负担了很重的作用。

另外信息科技的管理是一把手工程这个特点我想大家都很清楚，但是真正要把心急科技做好，有这个认识的不多。

还有信息科技风险管理是靠事件推动的，但是我们出了问题以后都希望大事化小，小事化了，这个现象对事件本身推动作用受到了影响，有很多机构一而再再而三再一个地方翻跟头，好了伤疤忘了疼。

另外信息科技风险管理本身灯下黑，我们IT风险管理的部门，管理的团队，他们用的方式方法法有很多还是人工的，比如IT审计还是人工去查帐，这个机构等等，这一系列问题还存在。

另外我们信息科技的评价标准出现了一些问题，就是大家都重建设轻管理，就是大家把一百分的标准变成了60分，所以平时只能做到60分以下，建设的时候可以由一个突破，这是源于对事件的零容忍。搞IT的遇见风雨的人肯定不会做的久，同样一出现新的情况照样没有本事去应对。

第二个方面我想讲讲防范信息风险的几个方面，第一个就是定位，如果把信息技术定位成支持服务是很欠缺的，把信息技术的生产力的作用，更强大支撑作用没有发挥出来，实际上信息科技是一个支柱，这个支柱怎么起作用？需要有一个很好的定位。

另外一个现在信息科技风险防范总体来说在我们国家还处于初级阶段，初级阶段里面最大的问题一个是治理，我们的治理，我们怎么把公司治理和IT治理有效的融合，是这一阶段关键一环，很多时候我们的机构在制度上面写的很清楚，写在纸上，挂在墙上，但是融入不到我们每个环节里面去，这样就会出现问题。

第二个我们搞行业风险要讲特色，要以“我”为主，要与文化有交流，讲文化交流我想主要一点，我们大家都知道IT治理很多认证是在西方文化形成的，西方的文化管理是简单的人事关系，但是在中国文化里面就异常的复杂，在这个条件下怎么治理完全照搬肯定不行，怎么创造一个有特色的中国文化环境下的IT治理的架构，需要有很长的路探讨。这里面就讲特色是很关键，我们讲的特色就是还要用IT把我们的管控能力提升起来，另外一个在初级阶段，我们要多元化的开展信息科技风险的管理工作，不是一个模子。

有一个例子就是手机短信，手机短信在世界其他地方远远没有中国用的好，为什么？就是因为手机短信跟中国文化交流的很好，大家过年过节都希望恭喜，都要恭候一声，恭喜发财，发财的不是恭喜双方，而是后面的服务商，一过年就是几个亿的收入，为什么？礼仪之邦，我们都讲恭喜，打电话恭喜不好说，发个短信很好，这个就是很中国的文化交融的很好。

另外一个就是十多年前招商银行推出一卡通过同样如此，这个一卡通推出不是国内最强IT能力，但是一卡通给了大家方便便利性，这个对银行的发展，对银行整个声誉起了很大作用，我想到现在为止仍然是招商银行很关键的一个产品。

另外一个就是后面讲的我们要解决中国特色治理怎么形成的问题。要把西方文化形成的东西、标准、规范，怎么在东方文化里面做一个融合，这需要我们更多的探讨，解决不了这个问题，就很难解决，我们以前都讲要在IT治理方面不光是要神似，要形似国外的东西，还要神似，但是金融危机给我们很大的惊醒，我们的神倒了，我们怎么学？所以更多要在有特色的基础上怎么把西方文化的好的东西融入到东方文化里面，这是需要我们更多探讨的。

另外一个防范IT风险我们要有很强的忧患意识。忧患意识里面讲IT事件的频繁发生，对我们银行产生很大的冲击，尤其像911事件出现以后，对全球的数据保护产生了很大的影响，有人说911之前大楼里面有1200多个机构，发生事件之后有900个倒闭了，为什么倒闭？在美国这么好的金融环境之下可以赔偿等等一系列东西为什么还是倒闭了？很简单，它的数据跟大楼一起化成了灰烬。

另外很多忧患需要我们知道，我们各个机构管辖的很多的外部环境影响，不受我们主观控制，比如说电源、通信、软硬件、还有人员，随时都有可能发生问题，这些问题我们不能事先知道。一个施工队一铲子下去能把电缆弄断，我们瞬间失去了电力，失去了通信，我们怎么应对？这些忧患我们需要随时都有。

另外来自网络的威胁比比皆是，这个威胁有几个方面，一个是我们信息的泄漏，还有我们的敏感信息，另外一个就是现在大家知道这几天对国防部的网站开通受到了上百万次的攻击，这里面有很多的威胁，前阵美国也说他们的国家电网受到了外国黑客注入木马，我想我们国家还没有到那个程度，我们里面有多少东西不能弄不清楚有多少有害的东西，所以这些忧患需要我们有一个清醒的认识。

另外一个方面就是防范信息科技风险对风险的价值应该有很清醒的认识。风险应该是跟价值相关联的，只讲风险，不讲它的价值是没有意义的，比如说地震、滑坡，这些自然现象，如果发生在荒山野岭大家不会关注，但是一旦发生在人员聚集的地方，发生在核心城市里面，它的影响是很大的。还有前真上海的楼房倒塌，它是在在建的时候倒塌的，如果住进了人再倒塌，这个风险完全不一样。IT风险也一样，比如说PC机的宕机中毒，在不同的地方不一样，在大厨师那儿就没有关系，一旦在我们机构的最高首脑那儿关键时候出现了关键问题，我想至少有人捱骂一顿，这个就不一样。另外IT风险它的时效性很强，昨天可以用的东西今天就不可以用了，这个例子大家都知道，防病毒，所以我们在IT风险防范方面发展常态化，不能说做了以后东西建起来了什么都不要管了，我们要时常的维护、变更、升级，这才是防范风险的根本。

另外对风险的安全的目标投入有问题，我们的安全和整体的目标要有一个清醒的认识，和有一个清醒的目标，我们能花多少钱达到什么样的安全，自己要有一个折中的要求。

另外再说同城备份和异地备份的问题，异地的系统级备份是低效率，及少概率使用，哪个见效快，大家应该清楚。

怎么把信息科技风险防范好，我想搞信息科技管理的人员来讲要用三贴近去转变IT的价值，一个是贴近领导，贴近领导的目标是领导是决策的中心，我们跟决策联系在一起，话语权就高了，这不是拍马屁的过程，这是IT要用的，做出来不是看的。

另外一个贴近业务，我们对业务有引领作用，我们的作用就很大。

另外一个贴近最终用户，让最终用户有认同感，这点我看在国内有很大的差别，我们对客户没有明显的要求，他的响应，他的要求没有一个水平，客户对我们尽善尽美的要求是理所当然的，所以这里面需要有一个服务水平承诺去控制。

另外一个方面就是全员参与。信息科技的风险的防范不是说IT部门能做好的，是人人有责的，就跟木桶原理，木桶的水能装多少，不取决于每一块板的高度，还取决于整体的高度和整体的密集性，安全一定要有目标的，这个目标是要大家达成共识。同时这个投入需要大家能够支持。

信息安全也需要人人遵守，否则一个地方出现问题，我们所有的安全的努力就会付诸东流。另外现在还有一个现象就是很多机构成立一个安全的组织架构，是一个小组，一个处，一个团队，所有的责任都放在这个团队里面，其实这样反而把安全的责任旁落，追究了这些人的责任以后其他人的责任追究不到，所以需要大家挑起来。

另外很关键的一点是业务需求不足或不准确会引发业务系统重大的事故，我们现在很多机构在业务需求上面做的不好，系统开发出来没有多长时间就要变更，就跟烙饼一样的反复的改。这个有两个误区，一个是业务人员认为IT是智能的，另外业务人员认为IT的需求是空洞的，这两个都有原因，碰到一块不能像我们警察在缉拿逃犯的时候用的方式，照猫画虎，业务部门提出一个要求大概就是这样去做，但是做到一定程度做不下去。比如去年奥运的订票系统也是一样，订票系统崩溃了，影响也很大，实际上就跟需求有关系，当时设计的标准是每天的点击量是100万次，并亏的时候点击量是1000万次，实际上那个需求就是由于四个字“先来先得”把大家的热情激发出来了，它的点击量就超过了1000万次，你把它设计成1000万次，再过五个小时照样会崩溃，后来把需求一调整，同样的系统用的好好，就是把先来先得，变成了一段时间内登记产生。

另外紧急变更对系统的稳定性影响重大，比如去年的地震捐款，银行在媒体上一披露影响很大，银行依然我行我素，为什么？银行要改变这些东西要把里面的核心系统更改，更改要测试，测试好了才能推出来，但是大家忘了一点，大家只对系统提出了要求，没有用非IT的手段去做，比如说地震捐款的十几个帐号全对发到柜台，让柜员做比对，等系统好了再补漏，但是大家只把所有的应急放到了IT，IT做完了才能行，我们的信誉风险，我们很多其他风险就随之而来。

我们的规划也一样，业务的发展规划跟IT规划融合的不好，很多时候我们IT做好了规划业务就变了，变的我们不认识，变得我们不能容忍了，整个要重新来。

另外一个舆情会无情的扩大信息系统的故障的危害，一点小事就可以炒的很大，对舆情我们要全体参与，这都需要全员参与来应对。

另外一个就是所有的人员如果不重视信息安全，就会把我们这个木桶产生了漏洞，产生裂缝，我们的防范水平就会降下来。

再有一个业务连续性和应急，这需要大家共同参与，这个参与如果只有业务部门做不行，光IT部门做也不行，现在我们有一个很大的误区，一讲业务连续性都在IT做系统连续性，IT实现了连续性不等于业务连续性。做业务连续性要摆脱就基础论基础，有很多的东西需要用非IT的手段去做，比如刚才讲的地震捐款问题，可以用人工服务，比如地震的帐上银行，这样就可以支撑起来。

另外再有加强横向的联系和合作，这样才能把风险防范联系起来，实际上对风险安全要全员参与，要可知可控。

我今天介绍的就这些。

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。