信息技术风险控制研究绪论

    本篇论文目录导航：

【题目】信息技术中的风险管理探究 
【第一章】信息技术风险控制研究绪论
【第二章】信息技术风险分析
【第三章】信息技术风险案例分析
【第四章】信息技术风险管理现状与模型
【第五章】信息技术风险管理的应用与挑战 
【结论/参考文献】风险管理在信息技术中的应用结论及参考文献

    第一章 绪论

　　一、研究背景与意义

　　针对美国的金融危机①暴露出的问题，巴塞尔银行监管委员会对巴塞尔协议 II作出改进，其中操作风险的地位得到提高。巴塞尔协议 III 将成为国际银行业的新准则，对各国银行业具有重要的指导意义，比以往更加重视操作风险。巴塞尔协议 III 推动银行业对风险的定义、管理和度量，提高银行业对技术因素和人员因素的重视。2013 年，在中国发生光大证券“8.16”事件-由于策略交易系统程序错误（信息技术缺陷），引起大盘指数和多只权重股短时间内大幅波动。光大证券因信息技术缺陷，以及风险处理过程中的违规操作面临高达 5 亿元的巨额罚款。

　　巴塞尔协议最早期的定义集中在职员渎职、越权、欺诈等不道德行为导致的风险，在巴塞尔协议 III 中简化为人员导致的风险。操作风险的定义是巴塞尔协议 III②的重要内容，先后经历三次修改，关于操作风险的新定义得到金融界和学者的认可和积极响应。目前，人被视为操作风险的主要影响因素，并有大量从此角度进行的研究。在巴塞尔协议 III 定义中，除了人员，其它几个因素都部分或全部跟信息技术相关。

　　什么是信息技术风险？Ana Savi? 将信息技术风险定义为能力不足的过程管理水平和技术水平导致的企业价值受损的风险③。银行等金融机构的高度信息化，推动金融业的创新和发展的同时，信息系统中的信息技术风险事件也频繁出现。在以信息化为基础的银行业变革中，信息技术促进业务的合并和混业经营的快速发展，员工的效率得到提升。人员风险（Human risk）和信息技术风险（Informationtechnology risk）也伴随着该过程时有发生。信息系统诞生之初就重视与之对应的信息技术风险的防范，银行等金融机构在进行金融信息化和现代化的同时，比较重视相关信息技术风险控制。赛安软件认为信息技术风险源于业务交易的程序操作、外部安全威胁或自然威胁，包含：自然灾害、国家政策和影响产品质量、性能和策略控制的流程和技术。信息技术风险主要包含由于软件系统引起的违反国家政策、地方法规和企业规定的操作，发生在软件系统的内部或外部欺诈、安全威胁或自然灾害对软件系统和环境的破坏等。比如：人员在软件系统上的操作失误、源于内部软件系统的欺诈、外部入侵者威胁、软件或机器的不及时更新、内部管理不善或可靠性不足等。

　　在操作风险分配比例中，信息技术风险正在逐渐增加，一些风险从人员因素转到信息技术因素。赛安软件对企业信息技术风险管理研究表明：有效的信息技术风险管理需要信息技术和过程管理双方面的投入，形成企业的信息技术和过程管理能力；过程管理和信息技术的能力对信息技术风险的影响至关重要，优秀的企业往往同时拥有优秀的过程管理能力和信息技术能力。对比发现，信息技术能力的有效性比过程管理能力的有效性高 10 个百分比左右。在风险管理上，信息技术能力比过程管理手段更加有效、快速和经济。信息技术具有一次投入，多次、多部门使用的特点。基于相同信息技术能力，建立一个新的风险管理环境仅需更少的费用和时间，而优秀的过程管理能力则没有那么容易推广和实施，需要花费更多的人员培训费用和时间。信息技术有其自身的不足：一是理性过度，几乎不管逻辑的对错，都会执行。二是并非所有的过程管理都可以技术化，在比较复杂、不具有重复性的场景中，人的作用在目前不可替代。虽然信息技术有一些不足，其优势显而易见，因此经济性会驱动更多的企业和组织去使用信息技术。

　　在信息技术将主导未来组织形态的情况下，选取在信息技术使用上比较典型的光大证券，对其 2013 年发生的“8.16”事件进行研究。在此事件中有三个重要的角色：研发者、使用者和信息技术。信息技术的研发者将信息技术风险引入系统，使用者则成为引爆该风险的重要角色，最终将风险引入经营业务。深入事件的内部发现，信息技术风险的引入源于对信息系统的升级。本论文从研发投入和风险的关系角度推出，在同等研发能力水平下对系统的升级使风险水平上升。研发者引入风险是“8.16”事件发生的前提。信息技术的经济、高效从该团队的业绩上得到充分体现，但是信息技术对逻辑的绝对依赖，由此产生信息技术的风险控制与业务高性能要求之间的矛盾，该矛盾在该组织中处于严重失衡的状态，最终引发“8.16”风险事件的前半部分。最后结合巴塞尔协议定义的风险环境、识别和信息披露的管理原则，从组织管理角度分析此次事件发生的偶然中的必然性：

　　该组织在重业绩轻风险的意识环境下，处处体现“快”--快速地发现套利机会、快速的交易技术要求、快速研发设计能力等，导致对最基本的单日资本使用上限控制都被绕过。在无风险组织管理环境、无风险识别能力和无监管的情况下，发生“8.16”事件虽属偶然，但在此组织中发生风险事件似乎成为必然。在风险事件发生后，该组织首先想到的依然是套利保值，置行业监管于不顾。如果“8.16”事件的前半部分是信息技术缺陷的非主观行为，那么后半部分则是含有主观恶意，导致相关高层领导离职和保留对直接责任人的法律责任追究。

　　由此可以发现，信息技术风险多伴随着人员风险、信息技术缺陷和信息技术风险管理缺陷。信息技术与人相配对的生态环境是未来组织的主要形态。良好的风险管理环境建设是风险管理前提，优秀的风险识别能力是风险管理的关键，完善的风险监管措施是风险管理确实有效的保障。对于信息技术的风险管理需基于信息技术的特点和规律，科学地进行风险管理才能起到事半功倍的效果。

　　随着世界产业全球化，信息技术成为企业走向全球的重要手段。金融行业信息化是传统行业信息化的推动力量。金融信息化使得金融产业跨越地域限制，使金融业务全球化。制造、贸易等产业紧随金融全球化迅速扩张。金融信息化降低资本的流通成本，提高资本的使用效率。资本的逐利性说明资本追求高利润，高利润其实伴随着高风险。在金融信息化、全球化的体系中，因为人员或信息系统的失灵而产生的风险损失一般较为严重。在投资分析、支付交易、存付款管理等业务中，金融系统的操作较为频繁，客户对金融系统的要求往往是高可靠性，高安全性以及高可用性。

　　同时，新兴的互联网企业积极推动信息化，将信息化推向更多传统产业。据世界经济论坛提供的数据表明，未来关键信息架构的崩溃（Breakdown of CII,Critical Information Infrastructure）将可能增长 10%~20%①。因此，信息化且全球化的企业面临的信息系统错误或失灵的风险频率和风险损失都在增加。企业经营或管理中的意外事故，自然环境灾害等非主营业务因素经常困扰企业管理，有时该类风险因素是主要影响因素。风险管理虽然不能提供完善的风险保障，但是有不少措施可以减少潜在的损失。因此，需要对风险管理进行更紧密的监控，从而使金融机构在一定程度上减少所需的资本储备量，增强盈利能力。

　　因此，很多的企业在评估信用风险和市场风险的同时，更加关注操作风险。

　　在此之前，他们专注于发展先进的工具，用于测量市场风险和信用风险。在风险防范上，操作风险更加不可控，系统中的每个人都可能成为操作风险产生的源头。

　　金融技术的不断创新和新业务的不断涌现，给风险防范带来新的挑战，如移动互联和移动支付可以让客户享受更加便捷的金融服务，但风险防范也面临新的技术挑战。操作风险变得多样化的同时，也更多地发生于组织活动的内部。在p2p式的点对点交易中，传统的以管理控制为主的内部防范机制显得较为无力。

　　不同层次、不同组织划分的人员都可能在特定时间导致不同程度的破坏。因此，操作风险同时受到萨班斯-奥克斯利法案、银行保密法、美国爱国者法案、美国金融服务现代化法案、巴塞尔 III 协议和联邦金融机构检查委员会（FFIEC）的指导方针等的重视。银行保密法和美国受害者法案对反洗钱、可疑活动报告、大量现金交易和客户身份识别等方面更关注。金融服务现代化法案则要求保障客户信息和隐私、安全和信息安全等。萨班斯-奥克斯利法案重在强调各部门的内部控制和评价，是一个很有意义的标志性法案，反映美国监管层对控制方式的重视和转变。联邦金融机构检查委员会指导高级管理层和董事会管理 IT 风险，包括信息安全、业务连续性和灾难恢复。

　　比较重要的有巴塞尔协议，它的意义在于使世界金融机构处于共同监管的框架之下。巴塞尔协议的重点是创建标准化管理准则，用于金融机构风险管理。标准旨在为银行资本及其风险创建更为密切的对应关系，是金融机构能更稳定有效地运行的基石。此外，操作风险受控于金融机构的自身情况，如严格管制或自由市场、集中或分散和旧的技术或高新技术等。基于当地的或国际的法律和政治背景情况，往往会增加金融工具的复杂性，影响业务特性的变化，但在较大程度上，各金融机构都有自己的操作风险规范。

　　二、信息技术风险的研究进展

　　随着信息化的深入，信息技术已经成为现代财富的载体和保障。在企业内部，信息化促进企业的快速多样化发展，企业的风险管理和银行业的规范研究很多，其中以金融信息系统的研究理论最为丰富。目前的金融信息系统风险评估理论，大部分仍处在研究阶段，并没有可操作的实质性进展，已有的一些研究以定性分析为主。

　　目前，国内外研究工作者已对操作风险按特征进行分析研究，从人员系统博弈角度进行分析研究，并从度量方法和学习性组织管理上进行改进。有的按操作风险来源进行分类管理，有的从贝叶斯决策理论和系统理论角度对风险识别预警进行研究。主要集中在风险识别、度量及与操作人员关系的研究方面。仅有这些只是治标不治本，应该从其源头，即系统软件的研发阶段就开始控制评估软件质量的风险可能性。

　　操作风险有小概率高风险的特性，从经济角度考虑，对整个系统进行详细监控显得不经济。在针对性的建立系统自学习、自纠错和强制阻断风险的模型和措施之外，需要对信息系统的研发管理和过程管理进行管理和改进。传统软件开发的过程管理理论和评估方法存在缺陷，需要进行改进创新和标准化来适应巴塞尔协议的规范要求，更好地为企业信息化服务。

　　当前的组织或机构已经不能很好地适应大数据背景下的高速发展，而是需要一种辅助手段的帮助。他们期望通过辅助系统来了解当前运行着的信息系统的安全状况及存在的可能风险情况，以及可采取的安全措施和对未来业务发展的参考。对于操作风险产生的原因，更多意见认为是管理不善和个人道德素质。具体的原因往往很难做到详尽且有说服力，发生此类事件很受社会谴责和诟病。名誉的损失，潜在的客户流失等，往往成为企业不能承受之痛。

　　（一）国内外研究现状

　　国内，阎庆民结合中国国情和银行业现状，提出了风险计量三步走，风险管理嵌入业务管理的企业流程再造的管理框架②。阎庆民系统地提出了国内银行业跟国际接轨的具体措施和理论。

　　查纯和杨策平从模型角度提出可改进的系统模型， 该模型主要通过决策模型优化收益， 因此金融信息安全的评估与决策将有法可依。但是系统的安全评估依然没有标准化、模型化③。

　　叶振军采用信息安全风险评估中的故障树方法、HazOp 法、事件树分析法、原因-结果分析法、风险模式影响及危害性分析等方法进行对比分析④，提出了当前存在的问题：

　　1. 对信息技术风险认识比较原始。

　　2. 风险评估没有规范化标准。

　　3. 角色和责任不到位。

　　4. 专业技术和管理人才匮乏。

　　5. 数据缺失问题严重。

　　6. 所用模型自身的风险。

　　（二）信息技术风险分析及趋势

　　随着信息化的深度发展，近年来在安全风险问题上出现以下新的变化：

　　1. 人员外包和项目外包是近几年的发展方向，由此导致安全风险不再集中在系统内部⑤。

　　2. 机构，特别是金融相关机构，彼此间有较多的风险含糊不清的情况，互相转嫁，因此混业经营的情况下，互相渗透情况较为严重①。

　　3. 国家出台的相应法律和地方法规在金融活动上存在很多缺陷和瑕疵，出现利用法律缺陷并导致金融风险现象的增长②。

　　4. 在数据的共享使用，企业信息安全面临较大挑战③。

　　5. 移动互联网的发展使金融安全变得更加具有挑战。

　　国内关于风险控制模型，有如下一些研究：

　　1. 陈洪根和柴华齐从事故-事件、原因序贯等模型方面进行对比研究④。

　　2. 唐云从信息技术中系统、通讯等硬件层面对保证融信息系统安全做了全面的介绍⑤。

　　3. 丁洪涛从企业管理的角度提出学习型企业组织模式值得金融企业借鉴⑥。

　　4. 钟鸣研究了人民银行在电子化中的成果和问题⑦。

　　刘珍和曹瑛对美国金融安全进行对比研究，得出如下结论：美国在政策立法、产品评估、立体和层次化管理方面做的比较好⑧。

　　总的来说，信息化技术的风险改进空间比较大：

　　1. 加大对信息技术风险投入和研究。

　　2. 在信息技术风险评估和管理文档中，企业自身对于信息化建设、风险评估的基础和特点的把握不一致。风险评估和管理标准的定义和理解也不同，因此自我评估和检查的结果难免存在瑕疵。

　　3. 金融机构建立风险管理处并应用相关的信息安全技术，对专业人员进行培训和管理，并不局限于金融业务的必要知识，主要是风险评估和安全管理信息，同时提高实际效率的总的安全，避免盲目投资。

　　4. 加强系统性的安全管理和评估机构的建设。部门之间往往存在或多或少的信息沟通不到位，如：庞大的财务信息系统，复杂的 ERP 企业业务系统。管理机构的财务信息需要为整个系统服务，特别是为基础业务系统服务。因此需要进行综合评估和管理，也需要不同部门的风险评估的基准统一。

　　5. 加强研究风险评估模型的特点和相关技术，特别是加强对资产的价值在金融风险、信息风险评价模型之间的合理性，以此提高评估的质量和精度，并加强研究评价策略和信息安全风险的财务管理。

　　6. 加强安全数据统计，通过信息技术手段识别处理，减少错误的主观评价因素导致的风险。

　　7. 通过培训，加强人员的责任和风险意识，减少不必要的损失，如人为因素引起的损失。在标准的层面上，制定相应的操作制度。

　　三、研究内容与技术路线

　　（一）研究内容与组织结构

　　本论文的重点研究信息技术及信息技术风险管理。结合信息技术研发赛安软件、对信息技术高度依赖且信息技术管理严格的华信技术和光大证卷“8.16”事件，系统地分析信息技术的重要性、信息技术风险管理的重要性。最后从企业信息管理的角度，结合巴塞协议对信息技术风险管理进行研究。

　　本文组织结构：

　　第一章 绪论。 本章主要介绍信息技术风险的研究背景和研究情况。

　　第二章 信息技术风险。本章节主要分析操作风险中人的因素和信息技术的因素，由于关于人的因素的研究比较确定、比较多，所以本章节重点研究信息技术因素，以及跟人员因素的比较分析，从不同角度对信息技术风险进行分类研究。

　　第三章 信息技术风险案例。本章节主要分析信息技术质量的定义、信息技术缺陷的发展过程；并选取光大风险事件，分析其中的信息技术风险。

　　第四章 信息技术风险管理。本章节主要从更广泛的企业数据分析信息技术风险的现状。最后从组织和经济效益角度分析光大信息技术风险引入的经过。结合COSO 风险管理模型和巴塞尔协议风险管理建议，分析信息技术风险的防范措施。

　　第五章 信息技术风险管理的应用和挑战。本章主要结合华信技术，分析信息技术风险管理面临的挑战，讨论管理措施，综合第三章的信息技术风险案例和第四章信息技术风险管理的内容，补充风险输出等内容，得出风险管理是个跟企业内部外部环境相关的持续过程。

　　第 5 章结论和展望。对本论文进行总结并展望未来，由于作者个人能力，有一些需要深入研究的内容。

　　（二）研究方法与技术路线

　　本论文采取以下研究方法对信息技术系统质量和信息技术风险进行研究。

　　1. 对软件缺陷分布进行概率分析。

　　2. 采用极值法对公共风险事件进行分析研究。