银行信息系统项目建设的风险管理研究

摘 要：随着业务的不断增加，银行自身经营范围的不断扩大，各大银行也开始构建银行信息系统项目；然而，在建设信息系统项目的过程中，同时也存在者各种风险，如果没有对风险进行管理，将使银行信息系统项目建设不能保质按期开展，进而威胁到银行信息系统的安全。因此，加强对银行信息系统项目建设的风险管理是极为重要的。鉴于此，本文将对信息系统与风险管理的概念加以阐述，指出银行信息系统项目建设过程中的风险特点，然后再提出合理的银行信息系统风险管理对策，以进一步强化银行信息系统建设的顺利开展。

关键词：银行；信息系统；风险管理

中图分类号：TP311.52

在信息化不断推进的驱动下，银行开始逐渐利用计算机系统来加工、处理各种业务，然而，在银行业务对信息系统依赖度逐渐增加的情况下，信息系统建设中的技术风险与管理风险的问题与不足，在一定程度上影响着银行信息系统建设的顺利进行，进而对银行的发展带来极大的影响。因此，加强对银行信息系统项目建设的风险管理，是极为重要的。

1 信息系统与风险管理介绍

信息系统，指的就是在企业或者是单位中，由工作人员、计算机硬件、网络通讯设施等构成的，可以开展收集、传递、存储、加工、维护以及使用信息等操作的一个系统。

项目风险管理是指在整个项目生命周期中，项目管理人员对项目中所存在的风险展开一系列操作，例如辨识、评估以及评价等，同时利用各种管理技术、方法以及手段，对项目风险予以控制的活动。

在信息系统项目建设与运转过程中，或多或少的都会存在一定的问题，因此，对其进行风险管理是有必要的。对信息管理系统展开风险管理，能够在一定程度上减少信息系统失误或者是失败的概率，在企业或者是单位中，即使是采取少量的风险管理措施，都有可能起到减低成本的作用。所以，加强风险管理，对确保信息系统的正常运作，具有极为重大的意义。

2 银行信息系统项目建设的风险特点

2.1 目标不明确、任务边界模糊

在信息系统建设开发的过程中，客户最初对项目只有一些最基本的功能要求，并没有极为明确的要求与想法，所以，信息系统项目的主要任务，在一定程度上受项目组所做系统规划与需求分析的影响[1]。因为客户对信息技术的一些指标、性能并不了解，因此，信息系统项目是否能够满足相应的质量要求，在绝大程度上取决于项目组，而客户仅仅负责对项目的审查工作。为了能够对信息系统项目的质量与任务范畴进行严格的定义与审查，客户方可请有关的咨询机构对项目的实施进行有效的监督。

2.2 需求变换频繁

虽然已经进行了严格的系统规划和可行性的研究，并且签订了合同（其中包含比较确切的技术要求）。但是，在信息系统的分析、设计以及实施的过程中，客户的需求也会发生相应的改变，进而致使信息系统的界面、程序和有关的文档等，都必须进行一定程度的修改；而在对其进行相应修改的过程中，又可能产生新的问题，而这些问题可能需要通过较长的一段时间之后，才有可能被察觉，进而使信息系统项目建设开发的周期被延长，开发成本增加。

2.3 人力资源要求较高

一般而言，信息系统项目是一种劳动密集型、智力密集型的项目，人力资源对信息系统项目的开发有着极大的影响。在某种程度上来看，信息系统项目的建设质量和成功与否，在一定程度上取决于项目开发工作人员的结构、能力、责任心以及稳定性等[2]。众所周知，信息系统项目工作对技术有比较高的要求，脑力劳动强度较大。近年来，虽然信息系统辅助开发工具得到了广泛的应用，但是，在信息系统项目开发的一些阶段，依然需要人工手工劳动来进行。而这些工作往往是十分复杂、细致，且极易出错的，所以，信息系统项目的建设与开发，不但是一种智力密集型的项目，同时还是一种劳动密集型的建设项目。

3 银行信息系统的风险管理方案

3.1 制定风险管理计划

银行信息系统风险管理活动开展的一个重要参考依据，就是风险管理计划，其在整个信息系统的建设与开发过程中，起到了至关重要的作用。风险管理计划中的内容决定了怎样在信息系统项目中开展风险管理。银行信息系统项目实施过程中，应当安排专门的工作人员或者是小组来负责项目的风险管理工作，且制定相关的风险管理内容，例如管理政策、标准、时间、实施进度等，并且将这些信息纳入到项目风险管理计划之中。随着信息系统项目的持续发展，可能需要对风险管理计划进行适度的调整，以便进一步增加其科学性、合理性以及可操作性。

3.2 加强风险识别

在正式步入风险管理程序之后，就必须对银行信息系统项目中所存在的风险或者是潜在风险，展开风险识别。在风险识别的精准性方面，有着比较高的要求，假使风险识别出现差错，那么必然会对后续的风险管理操作带来极大的影响。在对信息系统进行风险识别时，其主要的识别内容包括风险的来源、风险的种类以及危险程度等等。一般情况下，可以通过对信息系统的外部方面或者是内部方面，展开全方位、系统的辨识，进而对风险加以明确，之后再将存在风险与潜在风险的识别情况列举出来。在进行风险识别的过程中，可以利用以下几种技术工具进行识别，即专家法、项目分解法、核对表等等。

3.3 强化风险分析

在对风险进行识别之后，再对风险发生后可能会对信息系统带来的损失情况，展开详细的分析，且对其损失程度加以评估。通过风险分析之后，对各个风险的重要性予以明确，并且依据风险重要性进行排序，以便使工作人员能够将更多的时间与精力用在主要风险的应对上，进而有效加强对风险的控制。风险分析一般分成两种，即定量分析、定性分析。

3.4 制定风险应对计划

所谓的风险应对计划，指的就是针对已经知晓的风险，制定科学有效的行动对策与执行方案，以确保信息系统的建设可以依据预定的计划有序展开。风险应对计划的主要内容为：对已经知晓的各个风险制定有效的应对策略，且安排专门的人员予以负责；依据每一个风险的特点，选择最理想的应对方案，换而言之，就是应对策略最为有效、成本最少，且对信息系统目标的损坏程度最低[3]。

3.5 风险处理

在风险即将出现，亦或者是已经出现时，依据预先制定好的风险计划，采取有效的风险应对措施，以最大限度的控制信息系统运行风险的一种活动，就称之为风险处理。一般情况下，应对风险的常见措施主要有以下四种，分别是接受风险、缓解风险、规避风险以及转移风险等等。

3.6 风险监控

所谓的风险监控就是在信息系统运行过程中，对风险发生状况的控制，以及监督风险管理过程的一系列活动。其主要内容有：对已经知晓的风险进行跟踪，对残余风险予以监督，且对新风险进行识别；确保风险管理计划与应对计划的贯彻落实；对风险应对计划的有效性予以评估。

4 结束语

综上，银行信息系统在建设与开发过程中，或多或少的存在一些问题与不足，进而对银行的正常经营带来一定的影响。因此，依据银行信息系统项目建设的风险特点，提出有效的项目风险管理对策与措施，对强化银行信息系统项目建设具有重大意义。

参考文献：

[1]刘秋莲.我国商业银行信息系统风险管理与对策[J].价值工程，2011（07）：166-167.

[2]刘洪锋.浅谈邮储银行信息系统风险管理体系构建[J].财务与会计，2013（02）：55-56.

[3]李志伟.信息系统风险评估及风险管理对策研究[D].北京交通大学，2010.

作者单位：山东省农村信用社联合社淄博办事处，山东淄博 255000