维普资讯 http://www.cqvip.com
乞 8孑 | 金融业_T风险管理与防范 文/中国银行 于锋 了满足业务的进一步发展,提 操作风险的重点。根据定义,rr风险指 是远远不够的:狭义的看,服务质量下 / 高行业竞争力,近几年,我国 的是任何由于使用计算机硬件、软件、 降;广义上,对社会、国家的政治、经 各大银行纷纷从原有的数据分布式处理 网络等系所引发的不利情况。它包括 济安定都有直接的影响。另外,根据 模式,逐渐转向了数据大集中处理模 了程序错误、系统宕机、软件缺陷、操 IDC的统计,企业中IT相关服务的中 式。随着这一进程的不断推进,数据集 作失失误、硬件故障、容量不足、网络 断有78%以上是由于人为因素造成的, 中为各金融机构带来的收益是巨大的, 漏洞及故障后恢复能力等很诸多方面。 也就是说近4/5以上的服务中断是日常 其优势不言而喻。但是由于数据高度集 我国银行业目前并没有被强制执行新的 隧 的维护工作所造成的,例如:应用软件 中,由此引发的各种风险也不断地凸显 巴塞尔协定,但是就rr风险防范和管理 由于增加新功能所作的变更、硬件结 出来。近年来这些风险已在各银行的业 而言,新协议却很有借鉴的必要 金融 构变化或升级、系统维护过程中不正 务实践中不断的得到了验证。令人担忧 机构可以此为标准,审视自身IT架构存 确的判断或处理等。而这些负面后果, 的是,当重大故障来临时,当事银行有 在的风险,防微杜渐,从而防范灾难于 无一例外,都不是变更实施人所预期 时近乎束手无策。这样,轻者降低了业 未然。怎样预知这些风险,并对他们进 的(恶意破坏除外)。随着这几年金融 务的服务水平、阻碍了业务的正常发 行有效的管理,从而达到未雨绸缪的效 业IT大集中的进展,国内各银行IT服 展;严重的则导致了大范围、长时间的 果呢?本文结合业界一些理论和经验, 务大范围中断的案例频发,通过事后 停业,使银行面临着更大的和 就IT风险的特点、防范和管理方法等, 分析,生产数据缺乏备份机制、IT架构 社会影响。 进行一些初步探讨。 前期规划不合理等漏洞也是风险凸现 rr服务产生的风险与其他领域的风 的一个重要原因。 一.I T风险鲁受关注 险相比,具有其自身的特点。对于金融 作为事实上国际银行行规制定者, 行业而言,具有金融数据、客户数据高 = 必须对I T风险有足够的 巴塞尔银行监管委员会于2004年6月公 度集中,服务对象构成多样及物理分布 认识 布了巴塞尔新协议。在新的协议中,操 广泛,提供服务与个人、企业乃至国民 通过以上分析,金融rr风险具有以 作风险第一次被弓1人资本要求框架 新 经济息息相关等特点。因此,其rr服务 下特点:风险发生时影响较大;风险出 版巴塞尔资本协定明确指出:IT风险是 一旦中断,单纯用企业经济损失来度量 现具有不确定性;对风险的估计或防范 准 屯;f 21 Financial oomputerizing I 冬 维普资讯 http://www.cqvip.com
色 麓 手段不足。那么 ,呢?根据业界同行的实践和IT风险管 险有效防范了,才能缺遗补漏,最终 理理论,建议步骤如下: 怎样正确的认识IT风险呢? 实现全面的风险防范。例如,对于金 对于金融行业而言,适应大集中的 首先,根椐企业自身现状,全面的 融IT架构而言,灾难发生时防止数据 IT架构势必非常庞大而复杂,从物理分 发现IT架构可能发生的各种风险漏 丢失是至关重要的,那我们就应该对 布来看,涉及多机构、多层次的IT设施; 洞,这个过程应该涵盖IT架构涉及的 数据的备份特别的重视,应该优先不 从技术方面考虑,综合了应用系统、操 所有方面,不但包括硬件、软件、通讯 遗余力的考虑。这样,考虑风险有主 作系统、网络、数据库等多方面组成部 线路、机房、供电、人力资源、后勤保 有次,主要的先解决,次要的不是不 分,而这些方面中的任何一项的缺陷, 都会影响到整体IT架构的安全。为了维 护这样一个IT架构,需要运作一个同样 庞大而复杂的组织机构,如果因为人员 分配、管理制度、作业流程等方面发生 差错,同样会给整个IT系统带来很大的 风险。因此,如果要对风险进行有效的 管理和防范,就技术而言,要对系统、网 络、存储多方面提出并实施灾备方案; 就整个企业而言,就要对所涉及的人力 资源、规章制度、后勤保障等方面进行 全方位多层次的妥善考虑,缺一不可。 正如有名的木桶效应所形容的,各方面 的风险正如木桶的每一个木条,即使大 部分风险防范都做得很完美,而一个极 小的不足(即最短木条),将直接导致IT 架构的整体安全性能下降(原意为桶的 容量)。 对IT风险,应该有量化的认识,才 能更有效的重点防范。按照一些风险 理论,风险的大小可以用下面这个公 式描述: 风险度=风险出现的后果X风险发 生的概率 由此可见,一个具有不确定性的IT 风险,也是可以进行量化描述的。对于 那些风险发生后造成后果非常严重的和 风险出现概率较大的具体风险点,应该 进行重点防范,其投人人力和财力的规 模也可以随着风险度的数值而调整,这 样才能做到有的放矢。 三、I T风险防范 怎样才能实现IT风险管理和防范 障等内在组成部件,还应该考虑自然 灾难、人为破坏等可能导致发生的外 部条件; 其后对找到的每个漏洞进行分析, 判断它发生的可能性及发生后的结果, 并且对可能发生的风险进行度量;下 一步,按照具体风险点,找到针对性的 解决方案,解决方案或许有多个,可能 来自不同的IT公司,也可能是同一公 司的不同解决手段; 然后,对每一个方案进行谨慎甄 别,按照自身实际,选出确实能规避每 ~个风险点的优秀方案,择优原则可 以从技术是否先进、解决目标是否针 对实际、投入产出比大小等方面权衡 考虑; 最后,按照已列出的风险度量值 和企业能够利用(或可能争取到的)的 资源,制定出各1T风险解决方案的实 施次序。通过以上程序,确定了解决风 险的优先顺序和相关的方案,这样企 业就可以合理有效的将人力、财力投 入到IT风险防范中了。这时候,对企 业而言,IT风险就不再是抽象的、难以 防范和解决的了,而是变得可预知、可 管理,并且可以控制了。 当然,IT风险防范还需要全方面 考虑,更要重点解决。如前所述,对金 融企业而言,IT风险可能来自很多方 面,为了防范其中某一点,往往就可能 会花费巨大的代价 因此,为了将企业 有限的资源达到合理的利用,必须找 到后果相对严重、发生可能性较大的 一些风险点,重点进行突破。较大的风 解决,而是稍后解决,这样才能有效 的利用企业的资源,实现风险控制效 果的最大化 同时,IT风险防范应该因地制宜。 对于不同的企业,或者不同的IT架构, 由于具体环境和构成的不同,具有不 同的风险点。因此对风险的防范措施, 不能生搬硬套,对别人合适的方案对 自己未必适合。对于IT风险防范的方 案,外部技术公司可能会提出种种建 议,这些建议表面上看来,或许都是正 确的,但是,如果该建议没有深入的结 合企业实际,仅仅简单的照搬使用,风 险防范的效果就会很差。从这点上来 说,对于风险防范,花钱多的不一定是 适合自身的方案;技术上先进的方案 在实际中效果也未必一定好。如此看 来,对于具体的风险点,解决措施应该 按照自身的环境和特点,周密策划,量 身定做。 需要强调的是,IT风险管理和风 险防范是一个长期的过程,绝不可能 一蹴而就 通过一个阶段的风险防范, 或者几个技术方案,决不可能解决未 来所有的风险。随着外部环境和企业 自身的变化,新的风险还会不断滋生 出来。例如,随着业务的发展,可能会 有IT架构容量不足带来的风险;IT设 备使用时间过长,会有批量设备老化, 各个风险点同时发生的概率会增大等。 这就要求我们必须将IT风险管理和防 范当作一个持久、连续的工作来完成。 这样才能有效的管理和防范IT风险, 最终达到业务连续性的目标。日
