boy 发表于 2011-7-21 10:23:00

关于银行业IT风险管理的一些思考 .

近几年,我国各大银行纷纷从原有的数据分布式处理模式,逐渐转向了数据大集中处理模式。数据集中为各金融机构带来的收益是巨大的,其优势不言而喻。但是数据的高度集中,引发了各种风险,近年来这些风险在各银行的业务实践中不断表现出来,轻则降低了银行的服务水平、阻碍了业务的正常开展;重则导致大范围、长时间停业,使得银行面临信用危机,造成不良社会影响。
  作为事实上国际银行行规的制定者,巴塞尔银行监管委员会于2004年6月公布了新巴塞尔资本协议。在新巴塞尔协议中,操作风险第一次被引入资本要求框架。新巴塞尔资本协议明确指出,IT风险是操作风险的重点。根据定义,IT风险指任何由于使用计算机硬件、软件、网络等系统所引发的不利情况,包括程序错误、系统宕机、软件缺陷、操作失误、硬件故障、容量不足、网络漏洞及故障恢复等诸多内容。尽管我国银行业并未强制执行新巴塞尔资本协议,然而就IT风险防范和管理而言,新协议却很有借鉴的必要。金融机构可以此为标准,审视自身IT架构存在的风险,防微杜渐,防患于未然。怎样预知风险,并进行有效管理,从而做到未雨绸缪呢?本文结合业界一些理论和经验,就IT风险的特点、防范和管理方法等,进行一些探讨。
  
  一、金融行业IT风险特点
  IT风险与其他领域的风险相比,具有其自身的特点,主要表现:①风险发生时影响较大;②风险出现具有不确定性;③对风险的估计或防范手段不足。金融行业具有金融数据、客户数据高度集中,服务对象构成复杂,物理分布广泛,所提供服务与个人、企业利益乃至国民经济息息相关等特点。其IT服务一旦中断,所带来的危害,仅用企业经济损失来度量远远不够。狭义上,这将导致企业服务质量下降;广义上,会影响社会、国家的政治、经济稳定。据IDC统计,企业中IT相关服务中断,78%以上由人为因素造成,也就是说,将近80%的服务中断由日常维护造成。近几年,随着银行业数据大集中的不断推进,国内各银行的IT服务大范围中断的案例时有发生。分析其中原因,生产数据缺乏备份机制、IT架构前期规划不合理等漏洞是造成银行业IT服务中断的主要原因。
  
  二、正确认识IT风险
  对于金融行业而言,适应大集中的IT架构势必非常庞大、复杂,从物理分布来看,涉及多机构、多层次的IT设施;从技术方面考虑,综合了应用系统、操作系统、网络、数据库等多方面组成部分,而这些方面中的任何一项的缺陷,都会影响到整体IT架构的安全。为了维护这样一个IT架构,需要运作一个同样庞大而复杂的组织机构,如果因为人员分配、管理制度、作业流程等方面发生差错,同样会给整个IT系统带来很大的风险。因此,如果要对风险进行有效的管理和防范,就技术而言,要对系统、网络、存储等系统提出并实施灾备方案;就整个企业而言,要对所涉及的人力资源、规章制度、后勤保障等方面进行全方位、多层次的妥善考虑,缺一不可。正如有名的木桶效应所形容的,各方面的风险正如木桶的每一个木条,即使大部分风险防范都做得很完美,一个极小的不足(即最短木条),也会导致IT架构的整体安全性能下降。
  
  三、IT风险防范原则
  1.全方位部署
  IT风险可能来自很多方面,要做到有效防范,可能会花费巨大的代价。因此,为了将企业有限的资源合理利用,必须找到后果相对严重、发生可能性较大的风险点,进行重点防范。对于金融企业而言,灾难发生时防止数据丢失是至关重要的,因此应重点考虑灾难备份系统建设。考虑风险有主有次,才能做到有效利用企业资源,实现风险控制效果的最大化。
  2.因地制宜
  不同企业或者不同的IT架构,其具体环境和构成不同,风险点也不同。因此,对风险的防范措施,不能生搬硬套,适合别的企业的方案不一定适合自己。对于IT风险防范的方案,外部技术公司可能会提出种种建议,这些建议表面上看来,或许是正确的,但是,如果该建议没有深入的结合企业实际,仅仅简单的照搬使用,风险防范的效果就会很差。从这点上来说,对于风险防范,花钱多的不一定是适合自身的方案;技术上先进的方案在实际中效果也未必一定好。如此看来,对于具体的风险点,解决措施应该按照自身的环境和特点,周密策划,量身定做。
  3.量化认识IT风险
  风险的大小可以利用如下公式计算:风险度=风险出现的后果×风险发生的概率
  IT风险尽管具有不确定性,但也是可以量化的。对于那些一旦发生将带来严重后果和出现概率较大的风险点,应该进行重点防范。所投入的人力、财力的规模应根据风险度的大小进行调整,做到有的放矢。
  
  四、IT风险防范步骤
  首先,根据企业自身现状,全面查找其IT架构中存在的风险漏洞,这个过程应该涵盖IT架构涉及的所有方面,不但包括硬件、软件、通信线路、机房、供电、人力资源、后勤保障等内在组成部件,还应该考虑自然灾难、人为破坏等可能导致风险发生的外部条件;接着,对找到的每个漏洞进行分析,判断它发生的可能性及发生后的结果,并且对可能发生的风险进行度量;下一步,按照具体风险点,找到适合的解决方案,解决方案或许有多个,可能来自不同的IT公司,也可能是同一公司的不同解决手段;然后,对每一个方案进行谨慎甄别,按照自身实际,选出确实能规避每一个风险点的优秀方案,择优原则可以从技术是否先进、解决目标是否针对实际、投入产出比大小等方面权衡考虑;最后,按照已列出的风险度量值和企业能够利用(或可能争取到的)的资源,制定出各IT风险解决方案的实施次序。通过以上程序,确定解决风险的优先顺序和相关的方案,这样企业就可以合理有效的将人力、财力投入到IT风险防范中了。这时候,对企业而言,IT风险就不再是抽象的、难以防范和解决的了,变得可预知、可管理,并且可以控制了。
  最后需要强调的是,IT风险管理和风险防范是一个长期的过程,绝不可能一蹴而就。通过一个阶段的风险防范,或者几个技术方案,决不可能解决未来所有的风险。随着外部环境和企业自身的变化,新的风险还会不断滋生出来。例如,随着业务的发展,可能会有IT架构容量不足带来的风险;IT设备使用时间过长,会有批量设备老化,各个风险点同时发生的概率会增大等。这就要求我们必须将IT风险管理和防范当作一个持久、连续的工作来完成。这样才能有效的管理和防范IT风险,最终达到业务连续性的目标。

Jiajia 发表于 2011-7-26 09:29:00

huangjie528 发表于 2012-9-6 14:43:12

谢谢分享!

enjoyinnter 发表于 2012-11-27 14:11:36

:)受用了
页: [1]
查看完整版本: 关于银行业IT风险管理的一些思考 .