对于信息科技的风险控制与管理
中国银行业监督管理委员会信息中心处长陈文雄
信息科技风险的定义
在巴塞尔新协议里只是把信息科技风险定义为操作风险的一部分,但是信息科技风险比其他风险大许多。有人说让银行开不了门有两个理由,一个是信用流动性问题,像没有钱开不了;另外是我们系统出了问题,银行开了门营不了业。这两个让银行能关门的理由在各个银行业里,从领导到各个部门老总来讲,认识到位的不多。
另一方面是风险本身的定位也是一个问题,在把信息科技风险单独列出来的,在国际上有像香港地区、新加坡这两个地方能够独立出来,他们看的很重。
但是,风险怎么来防范,我们现在还有很多误区。
风险防范的认识误区
一个是认为,信息技术是万能的。信息技术发展到现在确实有很大的进步,好象什么都可以做,也可以有很多的机器人,实现很多的人工智能,通过我们现在软件、硬件的发展,我们可以花很少的资金买运算能力很强的计算机,有很强的储存功能,可以使计算机记忆无限,随着网络不断的普遍,我们计算机系统的覆盖面越来越广,无所不在。
但是电脑这个词给人一个感觉,电脑好象是有智慧的脑子,而计算机恰恰不是如此,很弱智。我们所有的信息系统实现的功能都是我们的需求打了很大折扣的实现。这里面就是不具备很高的智能,所有智能都是我们需求时设定的、想到的,想不到的它不可能在做。
这里有一个很好的例子可以说明。我们在上下班的时候,很多电梯都在电脑控制下,如果电脑很强,就会有很强的智能,但是很多时候我们发现电脑实在不行。电梯到高峰的时候,每层都要开门,大家都着急,但是电梯仍然是每层坐满了人依然开门关门,好的电梯可以过去,不好的电梯每层要开,耽误大家时间。功能强点的电梯,有称重功能,挤进很多苗条的同志,挤满了孩子,仍然要停,这就体现了它的弱智。
另外一个是认为,信息科技风险跟其他的业务风险存在很多的不同,但是很多机构都会把它用同样的方式来做防范。这样的防范对风险本身的特性不了解、不清晰,这种防范反而是有害无益的。比如说在历史上来讲,我们很多的业务风险防控开始要有,银行从成立之初就有,但现在依然在做。信息科技也就这一二十年的时间,但是信息科技风险对银行已经产生了巨大的影响。
从领域上讲,业务风险的领域,不管从哪方面,包括公司治理也好,主要是在金融、经济领域,但是IT涵盖了很多,有强点弱点,有硬件软件,里面很多东西都是相互独立的。
从领导层的认知来讲,对业务风险,对银行业的影响很清晰,很熟悉,但IT风险对银行的影响知晓度不高,参与度不够。
还有救市机构的差异性。在业务方面,不管机构再大再小,存款、贷款、理财业务、流程、规范都是相对统一的,但是在实现这些业务后台的IT系统,在不同的机构里面差异性很大。同一个机构也是如此,今天做的业务实现的系统在明天可能就升级换代了,可以这么说,银行的标准化的问题在IT方面很难做到规范。
再有就是业务的变化总体来讲也在不断发展。但是实现业务发展的这些技术是日新月异,变化非常快,应该说更新换代比业务的发展强了很多,可以用几句话来讲,实现业务系统的变化三年一小变五年一大变,十年基本什么都看不见,所以信息科技风险的变化就随着整体的不同,我们要有清醒的认识。
对于风险的计量来讲,业务风险的计量比较好计量,我们往往产生了业务风险,存在了多少资金的损失,有多少坏账、呆帐,我们对它的管理产生了多少效益都可以计量出来,但是IT风险恰恰不是如此,我们对IT风险的计量往往很虚,没有出问题我们很难说它造成了多大风险,一出问题以后才会发现,IT对我们产生了致命的损失。
对风险的变化来说,业务风险变化有,但是发展很慢,IT风险,随着网络的普及,业务对系统的依赖速度非常快,一出现问题瞬间把全域影响到。从风险来讲,主观因素的影响,在IT里面,更多是客观因素直接产生作用。比如说电停了马上起作用,不用跟你商量。外面电缆一断,我们通讯马上就断,这需要我们更多的认知。从设计面来讲,业务风险的设计面有限,但是IT恰恰相反,所有网络的参与者,系统的参与者都会是一分子,对风险的控制都需要大家的参与。
业务风险在交流方面是不乐于交流的,一交流会把核心的竞争力透露出去,所以大家互相之间藏着躲着,但是IT风险因为各个企业、各个行大家实现的手段不一样,它的交流就会有益于系统的强大、风险的防范,不会产生核心利益的冲突,所以大家都乐于交流。
银行业面临许多挑战
机构差异性大。目前,我们很难用一个标准去衡量,同时我们面临着很多国际的合作,我们如何解决安全问题就成了当务之急。
公众意识单薄。目前,银行做了很多工作,但是很多工作的做出让客户在不安全的环境里化为乌有;公众安全的意识对我们影响很大,这方面也需要我们更多的关注;信息安全的测评不到位,我们现在的测评从国内产品和国外产品,我们对它的安全因素,有什么隐患,测评还是有缺陷的,所以很多未知因素,使我们风险防范也存在着很多的不足。
另一方面是网络的脆弱性和依赖使我们的安全面临着很多困难,尤其是现在屡屡出现各种门的事件就是个例子。现在很多防范措施已经很乏力了,需要我们更多的关注,也需要安全厂商更多的努力。
还有就是新资本协议的实施对系统会产生一种影响。明年新资本协议的新要求对我们系统提出了很多的变化,这种变化里面就有很多的不稳定因素,需要我们来防范。
混业经营脚步也越来越近,对我们怎么控制好防范好风险提出了新要求。另外,业务的同质化使我们的风险进一步扩大,无论是像1987年的“黑色星期一”,还是类似今年5月6日股市大跌,也都是如此。花旗银行把1600万美元的交易变成160亿美元,这一冲击,自动化的交易系统就会记录在里面,产生整个股市的大震荡。
信息技术的定位出现了问题,现在信息技术作为支持与服务。其实IT大家都清楚,应该是支撑银行的重要组成部分,而现在只作为支持的服务。另外,在信息化本身,我们都关注了业务信息化,对决策信息化关注不够,参与不够,所以IT话语权受到影响。
还有是内控目标不合理。现在很多银行业金融机构内控目标作为合规为主,在这层面很难做到对风险的更多防范,什么时候从让我做变成我要做,这才能使风险防控进一步加强。
对于“合规”的认证,很多机构对认证过度崇拜,我们认为认证是一个企业上台阶的表现,但是很多企业认证完后,很多的内涵没有学到和认识到,很多风险依然与原来差不多,这种方式的认证起的作用很小。
IT作用的发挥还需要进一步加强。信息科技风险的管理有一个特色,是“一把手工程”。一把手的参与,一把手的认知,对信息科技风险的防范、信息科技的管理是一个很关键的一环。那么,信息科技风险的管理也是靠事件推动,很多机构出了事情以后才觉得应该加强,很多银行在出现问题以后,董事长、行长都拍胸脯说要多少钱配多少钱,但是没有出事情之前谁都没有那么爽快。把问题平息后,依然各个行长、董事长出钱也不那么大方了,好了伤疤依然忘了痛。这是现在的特点。
(责任编辑:adminadmin2008)
