金融服务业紧盯IT风险管理
2008/8/1 来源:计算机世界·技术与应用 作者:沈建苗/译


  “IT能够有效、安全地带来商业价值,同时提供数据完整性、可用性及机密性等方面的可靠表现。”这不是天方夜谭,这就是有效的IT风险管理应该实现的。
  2008年有望成为金融服务行业继续变革的一年,越来越多的金融服务公司正致力于联合风险管理、治理与审计流程,而IT风险管理在其中扮演着重要角色。
  相关调查报告显示,近80%金融服务公司的IT技术主管预计,所在公司会在接下来的12个月到18个月里增加IT风险管理方面的开支。此外,其中一半以上的人表示,开支至少增加5%到25%。
  
  风险管理必不可少
  
  由于近年来发生了数起严重的信用卡持卡人身份信息失窃事件及其他金融信息安全泄密事件,加上新近出台的法律法规侧重于更有效地管理财务风险、市场风险和操作风险,金融服务机构越来越强烈地认识到需要拓宽风险治理及管理的范围。
  IT风险管理是金融服务公司必不可少的业务需要,因为它可以有效地操作、管理、衡量、控制及报告与IT有关的风险问题。IT风险管理项目如果成功运行,不但能给董事会、高层管理人员、监管部门及其他相关方面带来信心,而且能让大家看到IT可以有效、安全地带来商业价值,同时提供数据完整性、可用性及机密性等方面的高可靠表现。
  有业内人士表示,虽然金融服务业在IT风险管理方面取得了一定的进展,但是还是有相当大的空间有待改进。IT风险管理要达到高层管理者的预期目标,还应当考虑以下几方面内容。一方面,应当实施一套自上而下的风险评估方法,结合定性评估与定量评估。项目还应当结合已确定的风险类别、风险承受力以及风险权重,其中包括企业总况、地理区域、业务部门以及业务流程。另一方面,对重大风险和关键的IT流程及控制着眼于全面而不是孤立的视角。这种着眼于全局的策略可以通过自动化与集成工具来简化流程,并且实施更可靠、更有效的风险报告机制。同时,IT风险管理框架与流程必须处理好信息的准确性、机密性、可用性、安全性及快速性。因为这些信息平时在公司内部以及众多客户之间生成、处理及共享,其中任何一方的信息受到威胁,都可能会给金融服务公司的声誉或者财务带来重大影响。
  
  IT风险管理要素
  
  安永会计师事务所(Ernst & Young)在全球范围走访了众多金融服务机构,调查了解它们各自目前在IT风险管理方面的工作。调查结束后分析人员发现,项目的成熟性与有效性、风险融合、IT风险管理流程、工具与技术,成为了成功实施IT风险管理的重要因素。
  目前,很多提供金融服务的机构或组织并没有把IT风险管理与自身的总体风险管理战略有效结合起来。作为一个有效的IT风险管理项目,其中一个基础就是对体现及结合业务流程、政策、风险与控制的流程-风险-控制这个总体框架实行标准化。研究发现,近60%的金融服务公司当中的IT风险管理项目并没有与公司的企业风险管理(ERM)战略与框架(包括经营模式、治理/监督、流程与方法以及综合报告)结合起来,或者仅仅是部分结合起来。事实证明,许多公司还缺少对风险与相关法规执行的有效协调,许多人并不认为本公司在风险报告及披露、风险与问题管理以及趋势分析等方面拥有有效的机制。这表明在结合企业风险管理、法规执行审计及其他重要相关环节方面存在相当大的机遇。
  数据显示,超过三分之一的金融服务公司的风险管理项目没有统一的控制库,也没有在整个公司内得到广泛接受及理解的统一风险语言(风险语言指在风险管理方面使用的专门词汇和措辞),甚至有的就根本不能确定存在这种统一的控制库或者风险语言。各业务部门彼此孤立的体系加大了这个问题的严重性,因为每个部门的软件、流程、甚至风险语言都各不相同。业内专家表示,在整个组织内建立起一套统一的风险语言显得至关重要,只有这样各部门最终才能了解整个组织里面的IT风险与控......点击查阅全文......↓