信息技术风险分析

    本篇论文目录导航：

【题目】信息技术中的风险管理探究 
【第一章】信息技术风险控制研究绪论
【第二章】信息技术风险分析
【第三章】信息技术风险案例分析
【第四章】信息技术风险管理现状与模型
【第五章】信息技术风险管理的应用与挑战 
【结论/参考文献】风险管理在信息技术中的应用结论及参考文献

    第二章 信息技术风险

　　本章节主要研究信息技术风险的定义和分类。从业务和技术角度对信息技术风险进行分类对比。并对比人员风险和信息技术风险，为后面的信息技术风险管理的研究做基础。

　　一、信息技术风险定义

　　（一）操作风险

　　操作风险的定义比较多，不同地区和组织根据本地法规制定相应的定义，国际商业机器公司的英国分公司曾经认为操作风险可以按风险源进行分类①。苏格兰皇家银行的定义要求不包含外部的事件引起或导致的风险。 美国银行②、花旗集团的定义比较类似， 授权风险也属于花旗集团的定义内容。渣打银行的风险定义列举的风险源更详细一些。德意志银行③对操作风险的风险源作了更为具体的规定。认为操作风险不包含法律风险的主要是地方银行，以深圳发展银行为代表。

　　其他大部分银行则采用银监会的定义。中国建设银行自己的定义与银监会的定义比较一致。更加通用的是巴塞尔委员会的定义④。

　　（二）信息技术风险定义

　　赛安软件认为信息技术风险是源于业务交易的程序操作、外部安全威胁和自然威胁，包含：自然灾害、国家政策和影响产品质量、性能和策略控制等的流程和技术。Ana Savi? 将信息技术风险定义为能力不足的过程管理水平和技术水平导致的企业价值受损的风险⑤。信息技术风险主要包含通过软件系统发生的违反国家政策、地方法规和企业规定的操作，发生在软件系统上的内部或外部欺诈、安全威胁以及自然灾害对软件系统和环境的破坏等。比如：在软件系统上人员操作的失误、源于内部软件系统的欺诈、外部入侵者威胁、软件或机器的不及时更新和内部管理不善或可靠性不足等。

　　信息技术风险会导致信息资产和业务资产的价值损失，损失的程度往往随着解决时间的延长而增加。风险损失可能性是指风险事件发生后，风险事件对信息技术资产和业务资产的影响的可能性。根据不同的风险损失可能性，资产损失情况也不同。资产主要是指对信息技术资产和相关业务价值资产的价值。我们假定信息技术风险的产生都源自于信息系统缺陷，那么风险事件的难度系数与修复缺陷的代价和在系统中的存续时间成正比，反比与系统的开发时间。

　　风险事件的难度系数=（缺陷的修复时间*系统运行时间）/（系统开发时间+系统运行时间）*系统开发时间越是能快速的排除信息技术风险，风险损失往往越小；所以信息技术的风险损失有两个重要的组成部分，信息系统恢复和修复的损失和风险事件导致的业务损失。

　　信息技术风险损失 = 信息技术资产*风险事件的难度系数+业务资产^风险事件的难度系数①信息技术系统已成为各方面业务的关键因素并影响业务。风险是源于组织管理和流程管理中一些主要缺陷。它的风险包括安全性、可用性、性能、伸缩性和兼容性，且各类风险都有其自己的源头。

　　二、信息技术风险分类和度量

　　信息技术的出现进一步将人从重复的决策或者劳动中解放出来。信息技术的完全逻辑性，让信息技术相对于人在某些方面更加的稳定、快速和可靠。最重要的是信息技术的成本优势，非常方便被复用，所以信息技术被广泛的使用去替代部分人的操作。信息技术风险包含两个方面的内容，一是业务系统功能或设计上的缺陷导致的风险；另一个是风险发生后，风险控制是否有效的风险。由于很难将信息系统中的两种风险分离，所以在此分析的信息技术风险都包含两类风险。

　　由于信息技术的绝对理性，从信息技术诞生起就设计异常和容错处理逻辑，用以保证信息技术不在错误的逻辑上越走越远。

　　（一）操作风险分类

　　简单的说，操作风险就是相关组织的日常活动中可能的风险，它涉及到管理过程、人员及其系统，以及任何为达到预期的企业绩效的管理活动。操作风险主要指内部程序的缺陷或能力缺陷、人员或外部环境等产生的风险。因此，操作风险可以按风险来源分为五类：

　　1. 组织风险

　　2. 流程和政策风险

　　3. 系统和技术风险

　　4. 人员的风险

　　5. 外部事件风险

　　操作风险目前主要受影响于产品的复杂性、新分布渠道、新的市场、新的技术、技术的复杂性、电子商务、业务量、新的立法、监管压力、全球化、兼并并购、重组、人员流失、员工文化多样性和客户。目前，金融机构将主要面临金融全球化和互联网相关技术的发展及其对应潜在操作风险的挑战。金融机构的先行者银行已经发生改变，在过去十年中加大投入信息化技术的应用。

　　在五个风险分类中，组织风险、流程和政策风险和人员的风险的影响因素集中在人员（包括职员和管理者等）的素质、道德、工作的能力以及影响人员的环境和家庭因素等。在落后或者失灵的技术控制和人员管理的组织环境下，人员犯的操作错误将产生更大的风险损失。在信息技术环境中，不可避免的存在软件缺陷、系统缺陷、不合理的设计和落后的技术，这些都可能导致风险损失。

　　所以，从诱发操作风险的因素上分析，五类风险中的前四个要么是人员诱发，要么是技术诱发；一般情况下是人员和技术的共同诱发。外部事件风险虽然可能是人员或技术诱发，但是它更强调的是原因的外部性，即第三方力量，如自然灾害，暴力事件等。

　　（二）信息技术风险分类

　　风险的识别、分析、计量和管理，都需要专业的知识和技能。风险管理是每一个组织或机构的重要管理活动，每个组织或机构都有其独特的风险管理政策。从两种不同的角度出发，对信息技术风险进行分类。

　　第一、从一般化的风险管理角度，以帮助组织了解风险分析和组织策略为目的，基于对组织的影响，信息技术风险分类如下：

　　1. 安全风险–在未授权的情况下，信息被篡改，或者被未经授权的人访问。

　　安全风险的来源相当广泛，既可以是外部的攻击、物理破坏、恶意代码、不适当的访问，还可以是内部的攻击、带有不满的员工的恶意行为、多种多样平台的兼容问题和不同消息类型定义的问题。与之对应的潜在影响是：腐败、信息欺诈、身份盗窃、金融资产盗窃和信誉资产的损害。

　　2. 可用性风险–信息或应用程序由于系统故障或自然灾害而无法访问，包括系统备份和恢复期间。可用性风险源于硬件故障、网络中断、数据中心的失败、以及其它不可抗力等。与之对应的潜在影响是：不得不放弃的交易和销售、客户和合作伙伴的流失、员工自信心的损害、关键业务流程的中断或延迟和对员工工作效率的削弱。

　　3. 性能风险–应用系统性能或者操作人员业务素质能力不满足要求而导致业务响应迟缓、或者无法响应、及与此相关削弱企业生产力和价值的风险。绩效风险来源于脆弱的系统架构、网络拥塞、笨拙的程序代码和系统承载等的能力不足。与他们对应的潜在影响是：客户满意度和忠诚度的下降、关键业务过程的延期甚至是中断、及与之对应的 IT 生产力的损失。

　　4. 合规风险–未能满足业务政策的要求，未能遵循企业、法律、政策的监管而可能遭受损失的风险。合规风险来源是：每个司法管辖区的特殊规定、法律行为、内部的 IT 保障措施和第三方的符合性标准。与之对应的潜在影响是：名誉损害、违约和诉讼等。

　　四类风险涵盖所有可能的信息技术风险，每个风险都有着不同的影响内容、程度和范围。表 1: 信息技术风险分类和示例给出更加详细的说明。

　　第二、从特定信息技术与业务的相关程度可以分为下面两类：业务强相关信息技术、业务弱相关信息技术。从信息技术的研发角度可以分为自研和购买两类。

　　综合两个纬度， 信息技术可以分成如下四类：

　　1.核心信息技术主要指企业核心信息技术资产，核心信息技术是该企业价值的主要体现，是企业的核心竞争力。

　　2.关键信息技术主要是企业业务的关键信息技术，影响业务的正常运作；但是，又非企业独有的核心竞争力所在。

　　3.重要信息技术主要是指企业非业务相关，但是又对企业竞争力起重要作用的信息技术。

　　4.一般信息技术主要指一般性的信息技术，对公司影响不大的信息技术。

　　因此，与之对应的风险也有 4 类：

　　1.核心风险是指核心信息技术引发的风险，核心风险对企业的价值影响大，可能导致业务中断、欺诈、违规等。比如银行的客户信息和帐户资金的管理系统相关的风险。

　　2.关键风险是指关键信息技术引发的风险，关键风险主要对业务影响大，但是总体可控。比如，业务终端故障、常规操作失误等。

　　3.重要风险是指重要信息技术引发的风险，重要风险主要对业务基本没有影响，但对企业价值影响大。比如，银行的信息安全和网络安全，或者权限管理系统、风险评估系统等。

　　4.一般风险是指一般信息技术引发的风险，一般风险对企业价值影响不大。

　　比如办公软件、薪金系统、人力资源系统风险。

　　（三）信息技术风险度量

　　信息技术风险的度量可以采用多种方式：基本指标法、标准法、高级计量法、记分卡法以及损失分布法等。信息技术风险的损失数据包含有丰富的信息，本文主要基于两个方面的指标进行研究：损失事件的个数或称之为频率、单次事件对应的损失数额或称之为严重程度。严重程度既有实际的金额损失，也有无形的企业价值损失，如信誉价值的损失，客户的流失等等。因而以频率和严重程度性为维度即可简单的将信息技术风险事件分为四类：

　　1. 高频率/高损失事件

　　2. 高频率/低损失事件

　　3. 低频率/高损失事件

　　4. 低频率/低损失事件

　　业界最为关注就是低频高损事件，这一类不但影响大，破坏严重，也难以预测。

　　研究此类事件一般使用极值理论（EVT），极值理论主要研究不确定总体分布的情况下，根据有限的已知样本数据来估算超过阈值的极端损失的情况。阈值可以根据已有数据进行函数估算，一般采用分布函数估计，即信息技术风险损失的分布函数估计法，并且根据一定置信水平下的 VAR 值及超过阈值的期望损失， 进而得到信息技术风险的风险资本要求。极值理论模型主要有 BMM （Block Maximum Model）模型和 POT （Peaks-Over-Threshold） 模型等两类模型。其中 BMM 是传统的极大值模型， 它首先根据一定原则划分样本， 然后分别进行极大值建模分析。与 BMM 模型不同， POT 理论仅对超过阈值的极端值进行观察、建模，更注重数值本身而很少考虑时间因素。极值理论能够充分利用数据对风险损失分布的尾部， 具有超越样本的分析能力， 因而成为最有用的操作风险度量模型之一。

　　三、信息技术风险与人员风险比较

　　现代企业或组织都会有人力资源管理，充分说明人力资源管理的重要性。更多的组织或者企业都重视相关员工的学习和培训，表明员工的素质、道德和能力等对公司的潜在价值和风险。员工对业务、系统、流程等的掌握程度都直接关系到员工工作中所犯的错误。特别是现代企业对信息技术的依赖和业务繁杂创新，所以，企业都会注重对员工业务、系统和流程等工作技能方面的培训。企业组织的积极的人力资源管理虽然能提高员工的业务、系统和流程等工作能力，但是面对有计划、有预谋的破坏行为，则上演着管理与被管理的博弈游戏。

　　由于人员的认识能力或者工作能力的局限和人员的主观性，不可避免产生一些非主观意愿的风险。实践中，一类情况主要是职员的操作失误、理解错误等，另一类情况是不完全的信息或者能力导致的非主观意愿的风险。实践中主要有临时工、业务外包、管理决策失误等。人员风险一定程度上受限于人的理性程度，一般说来人都是有限理性，就不可避免的因为自身的因素导致风险的产生。但是，信息技术则相对人员在理性程度上要更近一步，甚至是绝对的理性，完全的逻辑行为。

　　组织的人员管理有两个方面：一是规章制度约束，另一个是绩效管理。为了有效能，需要在两个方面达到一个平衡。而关于人员的风险管理则通过绩效管理手段和规章制度约束来实现。因此，风险管理往往是隐含在组织管理之中，风险管理的有效性往往正相关于组织管理的有效性。优秀的组织管理不一定有优秀的风险管理，但是优秀的风险管理一定对应于优秀的组织管理。

　　因此，人员风险损失一般对应于弱的风险管理策略和弱的组织管理能力。要减少人员风险损失，一般就要优化组织的风险管理策略和提高组织的管理能力；就是从组织的层面上在决策和管理两方面去尽量避免人员认知、信息不对称、能力不足等个人的不可避免的不足而导致的人员风险损失。虽然，优秀的人力资源管理会考察人员的道德、性格等情况，但是对于人员主观恶意的风险损失的管理仍然非常困难。主观恶意的风险损失往往更加难以在早期被察觉避免，一般情况下，人员风险会在个人与组织的博弈中达到一个平衡；所以可以在提高组织能力和优化风险策略过程中得到一定的改善。

　　四、小结

　　一个组织的资产、业务和人员都可能是危害组织的因素，在一定条件下被内部或外部诱因引发，进而暴露其网络、人员、管理或系统的弱点。网络和系统是组织的重要信息技术资产，也是业务系统的安全保障，因此管理信息技术风险是很多组织的使命。

　　在赛安软件一项为期一年的研究中发现①，信息技术专业人士在组织部署中存在着显着的差距和不足，难以帮助其采取有效的措施管理风险。受访者认为，在行业、区域的全方位过程中，有效提高风险管理技术组织的规模和专业技能，是组织不容推卸的责任，是信息技术风险管理者的挑战。调查不仅发现资产配置和变更控制方面等具体的管理问题，而且发现潜在的控制风险。信息技术风险管理如何跟已有的组织结构相结合是个挑战，匹配不当反而可能导致更低的风险管理水平。

　　对于优秀的组织， 面对更高水平的风险，由于投资谨慎，保持高效的技术和过程控制，最终风险控制的表现相对不错。管理风险是每个人的工作，从 CIO 到备份管理员，每个人都应分担风险，优先考虑的事情必须基于风险管理的共同认识，划分各自的责任区。风险管理需要与商业客户紧密合作，确保将风险管理目标和企业目标作为一个不可分割的整体。在组织中，内部的商业定位需要得到适当的资源配置，来保持较高的配置效率和运行效率。

　　因此，流程管理比人员管理更加有效且可靠，信息技术在风险管理中起着重要作用，并且能提高风险管理的有效性、可靠性和经济性。但在信息技术风险管理过程中，建立一个高效的风险管理组织能提升企业的风险管理水平。越是有效的风险管理组织，其抗风险能力越强。下面章节将从技术和组织两个方面进行具体分析。