本文讲的是IT风险的防控水平是一个“木桶”原理,近日，以“新技术变革与IT商业价值重塑”为主题2010第三届中国信息主管年会在京召开，来自中国银行业监督管理委员会信息中心处长　陈文雄就银行业在IT的应用上的价值提升，以及银行业防范IT风险等问题做了精彩的发言。

　　陈文雄指出，经过三十年的历程，银行业的IT应用已经是非常的深，非常的广。在强大的IT的支撑下，银行业现在已经发展很快，我们的银行业的资产已经达到了70多万亿，截止到今年9月份，我们的银行业的资产已经超过了90万亿元。这样一个庞大的行业，它的IT是非常重要的，可以说没有IT的支撑，就没有现在的银行业，IT的价值从中可以体现。

▲

　　中国银行业监督管理委员会信息中心处长　陈文雄

　　另外，国家信息化发展很不平衡机构千差万别，从机构类型来讲像银行业机构有政策性银行，有商业银行，商业银行里面有国有、股份制的城商行等等一系列的。各个机构的信息化差异巨大大比如客户的数量，现在全世界最大的客户数量的机构在农业银行，客户的数量超过了八亿。工行也在六、七亿之间，这个庞大的客户数量在其他的国家，其他的地区是找不着的，这些机构每天的处理量已经超过和接近一亿次交易。

　　银行业IT价值体现

　　银行业IT价值主要体现几方面：

　　一、IT决策的支持，对业务发展的贡献，提升我们的管理水平；

　　二、IT对风险管控的贡献；

　　三、减少IT本身风险损失的贡献；

　　四、IT对风险管控；

　　我们风险管理和业务处理是两张皮的状况。对风险的损失的贡献关注度更低，认为这个IT风险的损失只有出了问题以后才能够知道。

　　五、防范IT风险，可以提升IT价值。IT的贡献我们往往会因为IT事件的负面影响抵销了，频繁的IT事件会使商业价值难以体现可以想象一个银行用了先进的IT系统但是每天出事，这个银行与其用还不如不用，所以IT风险本身对价值的体现是影响非常巨大的。

　　IT事件本身的损失也会产生我们资金的损耗，这本身就是价值，这需要我们重新有一个认识。在这个价值里面，在很多的行业有一个比较，对停机的忍受时间，在金融业要求高一些，在造成的损失，据国外的估算，在金融方面损失也是比较大的。

▲

　　银行业运用IT现状

　　提升IT价值  困难重重

　　为什么提升IT价值存在许多的困难？陈文雄认为，IT的价值和风险都不好计量，我们在新的国际巴塞尔而已里面，对银行的资金、对风险有很多的模型，对于IT风险缺乏一些定量的分析模型，使得IT本身价值和风险的价值不好估算。

　　第二、IT风险的变化非常快，蔓延也是非常迅速，瞬间可以让银行停板。另外IT本身受到很多非主观因素的影响。大家看安全的事件很多都是人为的，这种人为因素有外面的人为因素，也有自身的人为因素。

　　第三，银行业IT风险和业务的影响，有人说银行是经营风险的，确实银行是在盈利和亏损之间做一个权衡来投资的，他管理的是信息，信息的管理非常重要，信息的利用非常重要。

　　现在的银行对IT的依赖非常强烈，2000年以前大家都在解决千年虫的时候有人讲银行可以用手工去做业务，但到现在为止应该说没有一个银行能够做到这样。系统一停板除了存款可以做，其他的业务基本不可以做，为什么呢？我们的风险不可支，不可否，往外付出多少不可知，另外银行除了固定资产以外，现在形式都不是我们金本位，不是多少钱，还有帐本，都存在机房的磁盘里面，这种资产存在的地方价值的体现和整体的贡献度以及重视程度是不匹配的。

　　银行现在逐步会走向跟大家的综合，在7×24小时全天后服务的要求更高，对银行的IT本身要求也更高，风险也会更大。

　　数据的大集中，随着各个银行为了更好的体现服务，体现竞争力，数据都在集中，集中完了以后的数据凝聚了巨大的风险。比如说9.11，9.11发生之后，两个大楼里面1200多各机构，有900多个倒闭了，倒闭的原因就是数据没有了，银行数据都在大集中，大集中后也面临很多风险，所以，银行有很多的机遇，希望我们的企业能够在数据保护方面做出努力。

　　银行很多的资金链是大额资金，大额资金一旦受到影响企业资金流产生了很大的问题，会产生很大的风险包括资金上面的影响以及整体的稳定。

　　IT的事件频频发生，在国外有很多，这里面罗列了不少。有的是IT本身的有的是外面的影响。在国际市场也表明，如果银行业系统中断一小时，将会直接影响这个行的基本支付业务，中断一天对声誉很影响，两三天会威胁到其他银行和金融系统稳定。

　　防范IT风险 需多方努力

　　防范IT风险首先要知道银行业要应用的成熟IT技术，而不是新技术实验场，对银行的投资和服务里面，不要把银行当成实验地，否则风险就会存在，对自身的声誉也会受影响。

　　银行业务发展很快，从当时只有存款、贷款的业务到现在很多理财等等各方面的业务发展很快，IT比较更快。

　　各个银行之间，我们的同质竞争比较严重，各个银行业务比较一致，但是实现业务的IT系统各不相同，这就有很多商机，在同一个银行里面不同阶段系统也有巨大的变化，用三句话总结来说，三年一小变，五年一大变，十年基本什么也看不见了。这种变就是很多的风险。

　　IT本身涉及的面很广，除了IT本身技术的要求以外，还受到外面的电力、通讯、环境等等的影响。

　　防范IT风险是一把手工程，需要高层开始，但是高层能不能认识到还是很差。IT工作不是中心工作但是影响中心，IT工作不是全局但是影响全局。这个理念在一把手里面是不是都很清晰。银行业IT治理还处于初级阶段，我们公司治理和IT治理界限还不清楚，一把手和银行高管们在参与度上很低，重建设轻管理，整个IT的风险没有融到系统整体的里面。IT规划很多局限于技术层面，在风险要求上面都是因为监管部门和外界要求去做。

　　风险防范还要注意文化环境，我们都讲文化跟风险的关系，我们的风险管理学国外，国外有国外的文化特色，国外的人与人的关系，人与机构的关系，机构与机构的关系都是非常简单的关系，但是到了中国的环境下面，这些关系都变成异常的复杂。在异常复杂里面西方的管理模式，西方的管理的条文能不能起作用，那就是要我们自身的一个变化，以及我们这些条文的转变，要适应在中国环境下面如何做好IT治理。

　　如果一味去学习或者抄过来很多东西都是流于形式，比如说很多的认证，很多的机构在很多的环节都做了很多，比如说ISO20000等等认证都做了，牌子都挂着，但是实际的效果并非如此。原因很简单，我们就是脱离了文化的背景，文化的环境，甚至我们的银行的业务系统，核心业务系统我们也是应该跟文化相关。

　　防范IT风险需要建立有特色的治理文化，学习和借鉴是根本，我们银行核心业务大量用国外的东西，很多的时候水土不服，到了中国文化下面我们流程有了中国文化的元素，里面很多就出了问题，我们IT所有的流程，IT的模式，模型，其实都融入了很多文化的因素。但是我们不考虑文化因素的不同，我们这些东西就会很难落地，很难起作用，很难发挥它的价值。

　　金融危机以后，银行业有市场自律变成更严格的监管，国内的银行自信度还不高，原来信用度不高，但是信用度高的国外很多大头都倒了，现在我们没有倒，我们还是需要更多的自信。

　　在中国特色环境下面我们怎么样搞好业务持续性和应急的管理是很关键的一环，也是企业能够大有作为一个方面。银行能够扛的风险最主要还在紧急状态下控制住风险，减少损失，这是我们最后一个杀手锏。

　　建立有中国特色的治理文化有主观的能动性才能把风险防范好。IT风险防范还需要人人参与，比如说黑客手段等等每一个人参与都需要防范风险。有统计表明我们对IT事件有很多是在需求阶段，但是需求很多时候不准确，造成很了风险。

　　IT风险的防控水平是一个木桶原理，我想都关注了我们的IT风险才能够防范好。另外银行业CIO们还要练内功和外功，银行业作为重点的行业风险防范需要全世界的关注，比如说银行不是用电大户，不是用油大户，不是通讯有户，这些部门能不能提供重点也的支持，需要大家的支撑。除了自身的管理以外，我们的软硬件产品的缺陷和漏洞也会酿成大祸，也需要社会力量的支持和解决，针对银行业的犯罪也需要社会各界的配合。

　　同时大家都是银行的客户，大家在使用银行产品和银行系统的时候，也要有忧患意识，才能保证安全。

　　提升防范IT风险，提升IT价值，我们其他的行业也在银行业有很多作为，也期待国内各方面的企业能够为银行业提供更多适合于7×24小时的运行产品和服务，我们需要更多的银行的业务处理系统，需要更多的IT风险和银行风险的防范系统，需要更多的信息安全，信息存储保护灾备服务等等，只有防范好IT风险，才能够更好的防范IT价值。

作者：  李伟

来源： IT168

原文标题：IT风险的防控水平是一个“木桶”原理