[独家]中信银行：IT风险管理应变胜过预防

中信银行成立于1987年，原名中信实业银行，是中国改革开放中最早成立的新兴商业银行之一，是中国最早参与国内外金融市场融资的商业银行。在IT建设方面，中信银行第一个引进国外核心业务系统，以便与国际无缝接轨。诸多的第一，显示中信银行具备很强的前瞻性，日前，中国信息主管网采访了中信银行科技部经理袁克明，他与我们分享了3大观点。

 观点一：IT风险管理 应变胜过预防

目前，在银行业界，IT风险以预防为主还是应变为主，存在不少争论。袁克明认为，如果就日常风险管理而言，分配人员24小时盯着集中监控中心（ECC）来预防风险，收效甚微。因为事前能够预防固然是好，但IT风险发生千变万化，很多时候事前看不出征兆，往往都是出现问题之后才能知道。

所以，袁克明更加倾向于系统内部优化和人工应急处理，以期在事故发生的同时，可以由系统自动消除风险，如果系统自身无法完全消除风险，则启动人工应急处理，在最快时间内把事故消灭于萌芽之初。

但如果不局限于日常风险管理，建立灾难备份中心其实就是最大的风险预防。据袁克明介绍，中信银行正在把同城灾备中心改成异地灾备中心，这不仅是风险管理需要，也是为了满足国际标准，以便中信银行在国际竞争上具有充分的后备力量。

观点二：IT流程比技术更重要

对于大多数银行而言，IT基础设施风险是最受到关注的风险。然而，基础设施风险仅仅是信息技术风险组合的一个方面。认为IT基础设施代表着银行IT的一切，把基础设施搞好了，IT也就可以高枕无忧了，这是一个对风险管理认识上的误区，这种认知本身就会带来巨大风险。

袁克明认为，关于IT风险管理，重要的还是IT的在银行中的定位和IT部门内部管理。技术是可以用钱买到的，很多银行用的都是同一个厂商的解决方案，而银行IT唯一能留下的东西，就是一再强调的安全意识和流程性管理，内部流程和文化才是最重要的，这也是为什么会有花小钱办大事的案例。

可见，风险管理的本质与最终目标是塑造具备良好风险管理意识的企业文化。这才是一个具有优秀信息技术能力的、创新型与学习型企业所应该具备基本特征。

观点三：IT规划 互通是关键

IT规划就像是一份路线图，旨在引导IT部门走上未来一年甚至更长的道路。但是，对大多数CIO来说，制定一份务实、可行的IT规划却是困难重重。主要原因之一就在于企业的业务部门无法向IT部门准确表达自己的需求，说不出来，只知道有一个想法，但不知道怎么写出来。

对于这个问题，袁克明介绍了目前较为流行的两种解决模式。一是在IT部门内部设置一个业务部，这个部门的主要工作就是把来自银行业务部门的需求翻译成可以描述的IT语言，同时把IT部门的专业信息以大众语言向银行其他相关部门传达；二是在业务部门里长期派驻IT人员，由他们作为IT部门与业务部门的接口，打破语言和技术的障碍实现相互的沟通和理解。

这两种模式都能较好地解决IT部门与业务部门的互通，但IT部门内的业务人员，或业务部门内的IT人员，他们的专长可能会因为这样的模式受到限制，这是袁克明认为不足的地方。

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。