管理:风险问题的放大镜

即使是在信息化成为主流的当下，在人与IT之间，占据主导地位的依然是人。所以，不能将所有的问题都归结到IT上。

6月下旬，包括北京、上海、武汉等地的工商银行出现了系统故障，不仅柜面业务无法进行正常办理，包括ATM、网银、手机银行在内的多项电子渠道业务也都无法正常使用。

事件发生后，该行在微博上回应“因计算机系统升级原因造成柜面和电子渠道业务办理缓慢。目前系统已恢复，各项业务正常办理。”

上述事件再一次凸显金融行业防范IT风险的重要性。但是，来自中金数据系统有限公司业务连续中心总经理尹晖提出：很多时候，IT风险问题的根子出在管理上。

在刀尖上舞蹈

尹晖与金融行业打交道已经有很长时间，他直言：“银行本身就是靠经营和管理风险来赢利的。”银行在吸收存款后，再把款贷出去，从中获得利润。在这个过程中，银行需要承担这样的风险：贷款到底能不能收回？而一些国际型的贷款，需要将人民币转换成不同的货币单位，涉及不同的利率差额。而利率是每天都在变化的，尤其在美国金融危机后，人民币不断升值，这也给银行在货币转换之间带来了各种各样的风险。

可以说，银行在刃尖上舞蹈，经常与风险擦肩而过。不过，尹晖认为从近几年的发展情况来看，中国银行业的营收情况比较健康，至少在赢利能力上与其它行业如制造业和流通行业相比好很多。“其中一个主要原因是：我们的金融行业并不是完全市场化运作的。它还在政府的强制管制之下。这种管制有限制，也有保护。银监会和人民银行表示会在将来一步步放开利差管制，让利率市场化，那么这对现在的银行就提出了问题：将来在没有这种政府管制、保护的情况下，你如何确保各项业务的盈利水平？贷款可以贷给谁，不可以贷给谁，这需要有一个比过去更谨慎的考虑。因为银行就是靠钱生钱的，你必须要非常审慎地经营，才有可能从中赢利。”

而地震、台风、火灾、暴力事件等形式各异的“天灾人祸”都会对金融机构的经营造成很大的影响。尹晖说：“银行必须要有防范各种风险的能力。如果我们有一个更好的防范工具，会让银行减少损失。”

风险不仅在IT

尹晖认为风险管理所涉及的内容很多，IT管理只是其中的一个方面，远非我们现在所看到的系统停机这么一个问题。“很多IT的事故并不是技术问题，而是管理问题。开始是一个IT的问题，但是最后演变成了管理问题。”

2010年，一家大型股份制商业银行出现过一次中断事故。其实这个行的灾备体系已经做得比较完善了，但最后还是造成了几小时的延误，并不是技术上的修复时间长，而是出现问题后，迟迟没人决策。“因为涉及到庞大的现金问题。你决策了，你能不能担这个决策带来的所有责任？谁去做这个判断。这个原因导致了延误很长时间。”尹晖介绍说。在国外，这种授权是很明晰的，一个区域级出现了问题，这个区域级的CEO就应该对此全权负责，全球的力量都会给他合理的支持。

同样在另一家银行也出现过这样的问题：在做一个系统的升级后，要做一个非常完整的测试，然后要有一个评估报告，最后投入使用。但是这个银行在升级后的测试并没有做得很到位，结果系统升级了之后，出现了这样那样的问题。虽然进行了一些事后回退，但是效果终究不如前瞻性的预防来得有效。尹晖说：“很多时候，一些银行出现的所谓系统故障都是这样的，一个小环节上的不谨慎，一个系统上的小故障，最后在终端上被放大了。这其中往往是由于管理上的问题。IT层面的问题其实是容易解决的，但是管理层面上的问题，很容易把问题放大。”

同样，针对自然灾难，服务商也必须要有所准备。尹晖介绍说，四川雅安地震，本地一个非常有影响力的金融机构在灾情发生的24小时内，就把应急业务车就开到了灾区，而在2008年汶川地震后，是在三天之后进入灾区。“因为这家金融机构在2008年有过一次经验了，所以这次能够这么快的反应。”

意识培养很关键

中金数据是国内比较早给国有大型商业银行做大型内部管理系统的方案商。早在2008年，就为一家大型国有商业银行做了相关的灾备管理系统。而这家银行当时并非主要去做，而是为了走国际化合作，需要满足当时的“巴塞尔II协议”（注：“巴塞尔协议”是国际清算银行的巴塞尔银行业条例和监督委员会的常设委员会“巴塞尔委员会”通过的“关于统一国际银行的资本计算和资本标准的协议”的简称。“巴塞尔II协议”的初衷是资本要求与风险管理紧密相联。）中的相关规定，所以找到了中金数据。

要所有会员单位能够达到的最基本的要求，就是对重要的系统进行识别等要求。当时国内很多银行为了改善管理，强化治理，同时它们有很多国际化的战略合作伙伴，他们在内控、内部治理、风险管理上有一个非常强的市场化的能力，是一个相互整合、相互影响的过程，所以产生了这么一个结果：国内的银行开始注意这方面的工作。

中金数据的工作持续了两年，把这家银行的几百项业务都做了灾备。与国外大银行相比，我国商业银行的架构更为复杂。从总行以下，各分支机构和层级层次不但不比国际知名大银行少，甚至更复杂。这在项目之间的管理上，要如何进行一个切分提出了很高的要求：什么时候、什么区域、什么层面由什么级别的人来处理，都要有明确的规定。