基于IT治理银行IT风险管理策略

1缺乏具体的IT风险管理基础技术手段

国内对IT风险管理相关理论研究仍侧重在IT风险概念的定义分类、原因及特点分析上，而识别评估的研究缺乏，风险控制主要以应用研究为主。目前，银行的IT风险管理手段基本停留在制度检查层面，没有相应的技术手段支撑。更多的问题都是在事后发现，事前预防的能力有限，事中控制更是薄弱。缺乏相应的风险文化和IT人员IT风险具有突发性和影响面广的特征，同时，信息技术模糊化了地域界限，从而使得危机的传递更加广阔并且难以隔离开来。IT风险贯穿于企业的战略、策略和操作层面，所以，IT风险在企业内部的扩散会从纵向和横向两个方向同时进行，加大了处理危机时的难度。在一定程度上，IT风险未引起银行相关人士的足够重视，不严谨的工作态度导致危机的发生。同时，信息技术的应用，需要更加专业的人才进行实际的操作。IT风险的突发性及其破坏性之大，决定了IT风险控制的必要，同时，也决定对其的控制不能只停留在某一个环节，要从整体的角度去把握。就目前国内的银行IT风险管理现状来看，还存在着种种问题。所以，在此基础上引入了IT治理的概念，从IT治理的角度来把握IT风险的管理问题。

2基于IT治理的角度看银行IT风险

20世纪90年代兴起的IT治理理论，是一种将信息技术与公司治理理论相融合的理论，一方面强调引入公司治理理论提升IT投资决策绩效、控制风险，另一方面强调借助IT提升公司治理绩效。IT治理是控制、指导、协调组织战略目标和IT目标的系统；是IT治理主体、客体、IT治理结构、IT治理机制的总称；是内部IT治理、外部IT治理的融合，是IT治理方法、过程、目标与结果的统称，是为了实现IT治理目标所有制度安排与机制的集合。IT治理系统的目标是提供IT决策机制的科学化，决策过程的协调交互性和决策结果的创新性。IT治理，不仅要在企业内部建立IT管理控制架构，完善企业对信息的内部控制，还要在更深层面上解决体制和机制问题，减小信息化和透明化所导致的不一致利益冲突所造成的成本。本文从治理的角度来探讨银行IT风险管理的问题，将IT风险管理提升到一个宏观的概念。本文在此提出了从IT治理的视角，旨在形成一种合理的机制和架构，能够在组织运营的全过程中对风险进行实时监控，而不是只在风险发生之后采取挽救措施，通过合理机制的构建，更能在一定程度上在风险发生之前降低风险发生的可能性。所以，本文基于IT治理的角度，针对银行IT风险管理提出以下建议。

2．1需要建立合理的IT治理架构IT治理架构主要包括三部分的内容：IT组织，IT治理流程，IT制度。IT组织：一个成功的IT治理首先要有一个清晰的IT治理组织架构，并且组织架构中的各个部门（包括人员）都有明确的角色和相关职责的定义。银行董事会、监事会和管理执行层都必须要对整个信息科技风险负责，其责任必须覆盖系统自上而下的信息科技风险管理体系。出了问题，董事会、监事会和管理执行层必须负责。IT治理流程：IT治理流程是保证企业的相关部门采用合理的步骤进行IT治理活动，本部分的流程可分为了项目管理流程（属于不定期流程）和日常维护流程两大类进行描述；IT制度：IT制度是将日常的流程进行固化并形成针对企业的规范，需要每个员工都加以遵循的一种措施。IT治理要从组织目标和信息化战略中抽取信息需求和功能需求，形成总体的IT治理框架和系统整体模型，为进一步系统设计和实施奠定基础，保证信息技术跟上持续变化的业务目标。所以说，合理的IT治理架可以使信息技术的应用和银行的业务目标保持一致性。

2．2重视IT本身的风险IT是为了支持银行业务而运用的，而且与业务紧密联系，因此，IT风险主要体现在对业务的影响上。在实施IT治理的基础上，可以保证IT和业务目标的一致性。我们将因信息技术与业务目标不一致导致的风险归为IT风险，可我们忽略了IT本身存在的风险。我们在保证业务与IT目标一致的基础上要相应的重视IT本身的风险。比如说：信息系统本身的风险，操作风险，信息资产的风险等等。

2．3加强IT风险合规性管理IT治理的IT架构中有一部分内容是IT制度。IT制度：IT制度是将日常的流程进行固化并形成针对企业的规范，需要每个员工都加以遵循的一种措施。同时，针对于银行业，银监会等管理组织会相关的标准或规章制度进行约束。如2009年，银监会《商业银行信息科技风险治理指引》，从诸多方面对信息科技风险进行限定。制度的建立可以在一定程度上有效的约束风险的发生，让那些明显的不符合操作程度，不满足需求的会对组织造成影响的风险扼杀在摇篮中。

2．4建立风险度量制度，实施实时监控在组织内部，建立相应的风险度量制度，对IT流程或IT项目进行评估，设立一定的标准，当越过标准的时候，应及时的对流程进行改造或终止项目的进行。我们知道在银行中，随着业务的持续进行，风险随时都可能发生，并没有一劳永逸的方式阻止风险的发生。所以，我们只能实时对我们所进行的工作进行监控，才能降低风险发生的可能性，尽量在风险发生前阻止风险的发生，降低组织的损失。对于IT投资风险，可以从投资项目的初始就进行测评，在项目的实施过程中也一直进行测控，并对照标准，及时发现问题，及时阻止风险的发生。

2．5注重人员的培养与管理，形成重视IT风险的文化在信息化程度越来越高的银行中，需要更多的懂得信息技术的人员。对于高层的管理人员，需要了解信息技术的各个方面，同时要对IT治理的概念有清晰的理解，在运用IT治理去管理IT风险时，能有清晰的思路，并能很好的向下层领导及员工诠释IT治理的理念。对于中层管理者，要能清晰的理解上层领导下达的关于IT治理的任务，并能制定出相应的措施，分解工作，将其继续传达给下层工作人员。针对于在一线工作的操作人员。一定要熟练操作流程，同时对相应的规章制度有明确的概念，降低操作的风险。在整个企业当中，各个岗位都应配备具有相应技能的工作人员，同时，在组织中，应形成风险意识，要明确风险管理不是某个人或某个部门的责任，而是靠企业整体的工作人员共同努力的，也不是一时的治理就一劳永逸，而是要时刻关注的问题。

3结论

针对于IT风险的突发性和影响面广的特点以及其对银行的重大影响，银行IT风险管理对银行的重要性和必要性不容忽视。IT风险的产生是伴随着银行的运营持续存在的，并不能一次性解决，所以，要想实时监控着银行IT风险发生的可能性，必须设立一定的机制，在此，提出基于IT治理的银行IT风险管理。从宏观整体的角度实施监控，在整个组织中形成风险意识，在过程中持续监控，努力将IT风险降低到可接受水平。

作者：刘菲 单位：广西科技大学管理学院