信息技术风险管理的应用与挑战

    本篇论文目录导航：

【题目】信息技术中的风险管理探究 
【第一章】信息技术风险控制研究绪论
【第二章】信息技术风险分析
【第三章】信息技术风险案例分析
【第四章】信息技术风险管理现状与模型
【第五章】信息技术风险管理的应用与挑战 
【结论/参考文献】风险管理在信息技术中的应用结论及参考文献

    第五章 信息技术风险管理的应用和挑战

　　本章节主要研究信息技术风险管理在华信技术有限公司的挑战和应用。华信技术既面临网络安全、病毒攻击等外部风险的威胁，又面临自身业务系统设计缺陷的风险。作为信息技术公司，还面临信息技术风险输出的风险。本章节在分析华信技术的信息技术风险管理措施和需要改进的基础上，提出企业不同发展阶段的风险管理战略和应对策略。

　　一、信息技术风险管理挑战及策略

　　（一）风险损失研究

　　操作风险具有内生性和很强的不确定性①,可以估算操作风险的存在，却很难精算出操作风险在哪？很长一段时间，操作风险被认为不可计算，但是操作风险的高危害性引起更多针对它的研究。有很多操作风险的定量化分析模型被提出和研究，但都受限于历史数据的数量和质量。操作风险的低频高损意味着哪一个银行和机构都无法承受多次高损失，有些连一次也无法承受，如巴林银行、基斯顿第一国民银行和 FSB 超级银行等，一般经历一次高风险损失就到破产的边缘。操作风险定量化计量注定路很长，因为其它银行的风险事件的数据也不一定对本银行就有很好的可比对性。但是分析别人之过失，对于提高风险管理的水平有一定帮助。

　　根据欧洲国家银行操作风险损失频率统计表 3,内部欺诈和外部欺诈共有 9939件，占比达到 30.5%.内部欺诈和外部欺诈主要源于安全管理不到位而导致的数据被盗、被毁、被访问等。系统出错和经营中断有 642.3 件，占比达到 2%.系统出错和经营中断主要是信息技术的质量本身导致，银行对信息系统的质量是要求非常高，此占比数据符合银行业的特点，但是质量再高并不能保证信息系统就没有缺陷。因为，信息系统的投入在达到一定数值后对质量提高所起的作用越来越少。

　　通过对图 18 的分析，单次事件损失强度最高的是客户、产品事件类型的损失，其次是内部欺诈的 0.44 亿欧元、有形资产损失的 0.35 亿欧元和经营中断及系统出错的 0.18 亿欧元，说明信息技术和人员管理对操作损失的重要影响。内部欺诈的单次损失是外部欺诈的近 6 倍，在一定程度反映信息技术和人员相配对的复杂性。从内部人员和信息技术的管理角度来看，有提升空间，相比对外防范，内部人员更熟悉内部流程和系统，危害性也更大。在这种情况下，个人能力越高所起的负面作用越大，损失越大。所以内部管理控制的效能非常高，可以取得更好的投资收益。

　　操作风险事件中近 1/3 跟信息技术有关，而且其单次事件的损失金额排在前列。信息技术风险的有效管理对降低整个操作风险程度很有意义。源于内部的风险导致的损失大于外部，对研究风险管理有参考意义。

　　（二）信息技术风险投资收益研究

　　从图 16 可以看出信息系统中各个开发过程的成本投入不一样，总体投入往往是初期设计阶段的数倍或更高。信息系统的投入是具有一定的风险，一是研发失败，二是对现有业务的需要一定磨合期。但是，企业出于安全考虑，对关乎企业价值的关键系统或者是关键技术，往往坚持自主研发，团队的技术水平各不相同。

　　信息系统并非投入越多，质量越高；在质量提高到一定值后，持续的投入不能显着提升质量，所以当质量达到特定值后，投入产出的效益持续降低。如图 17.

　　如果假定信息系统的质量和风险损失完全负相关，且采用此信息技术存在不可避免的风险损失，信息系统投入和风险损失曲线如图 18.

　　为了比较好的投资收益，信息技术的投入往往是在曲线的左下角某个点上取一个平衡。对于新功能的开发，可以假定由同一团队进行的新功能开发，那么它的信息技术投入在风险损失上的收益一般跟原有系统持平。所以，如果对这两个系统作个加法操作，那么这个曲线将向右上角移动。即新功能开发后风险损失收益在降低，新功能提升业务效率，所以业务的投资收益会增加。在不断的发展中，采用更多的信息技术去代替人的重复劳动，所以信息技术相关的风险损失将呈持续增长的态势。

　　对于不做信息技术更新的组织，其风险损失收益曲线将随着时间的推移向右上角移动，是因为所使用的落后的信息技术风险损失会上升。因此，即使想维持当初的风险损失收益曲线，也需要不断持续信息技术更新的投入。

　　对信息系统的质量，都是期望越高越好，越稳定越好；但是如果考虑上投入，质量和投入之间就需要达到一个平衡。对于信息系统中的风险控制，在实践中并非越多越好，太多的风险检查和控制会导致性能低，因此，信息系统的风险控制和信息系统之间是需要最终达到并维持一个平衡。

　　信息技术风险包含丰富的内容，不仅仅是安全威胁的风险，而且是合规、性能、可用和信息技术风险输出的风险。

　　网络安全威胁已经是世界面临的主要挑战，政府和企业重视网络安全的发展。

　　网络安全已经不仅仅是技术问题，而是政治问题。华信技术的产品就因网络安全，被外国政府屡次限制，被竞争对手大肆炒作。同时，网络安全发展迅速、变化多端，增加相应的风险防范的难度。网络安全是个高技术水平的博弈，所以单单依靠一个企业的努力很难建立有效的风险防范体系。一方面是技术难度大，另一方面是需要的投入大。网络安全风险的防范需要广泛的合作。

　　合规性风险需要具体地域、国家的法律、政策方面的专家。合规性风险的防范体系的建立需要世界范围内的相关领域专家的合作。同时，合规性检测和防范的技术要求比较高。但主要问题是该领域的知识要求比较专一和需要世界大范围的专家之间的合作。

　　性能风险和可用性风险在一定程度上随着信息技术水平的提高而减少。但是信息技术比较分散，各个研发者的信息技术水平并不一样。如何提高企业整体的信息技术水平对企业是管理上的挑战。

　　信息技术风险管理是一个系统的工程，不但依赖管理，而且需要高水平信息技术的支撑。如何保证信息技术风险管理的有效也是挑战。在关键流程，关键点上，任何一点的信息技术缺陷，可能让整个信息技术管理实效。信息技术具有很强、很快的传导性，所以在提高工作效率、快速工作上起正向作用；但是，信息技术缺陷可以分秒之间瘫痪整个风险管理系统。

　　（三）信息技术风险管理策略研究

　　信息技术的应用是降低操作风险的有效方式，信息技术风险的管理在降低操作风险中起着重要作用。在风险管理中，针对风险事件的厚尾分布的特征，本文对风险采取风险评估、风险准备和区别风险应对的策略。

　　风险事件的结果最重要的两个因素是风险发生概率和风险影响程度。风险发生概率①取值在 1%至 99%.风险影响程度主要是指风险发生的情况下对企业造成的负面影响程度。风险发生概率和风险影响程度都有五个不同的级别。

　　风险发生概率分为五级②.风险影响程度的按影响程度从一级至五级逐渐递增。详细见下表。

　　对于风险事件，风险评估③首先要评估出风险最小值、风险可能值和风险最大值；并且按风险最小值、风险可能值和风险最大值依次增大。在此基础上依据公式计算出风险预测值。

　　风险准备是风险识别和量化处理后，对风险所做的包括资金、人力等成本付出的准备，包括或有应对成本和风险敞口。或有风险应对成本是指预防风险发生或减少风险影响所需的可能成本增加。风险敞口指对风险采取一定应对措施后、仍可能发生风险，并且损失和成本都会增加。

　　风险应对过程中应该对风险进行分类，对于不同的风险分别采取积极和消极的风险应对策略④.

　　二、企业信息技术风险管理应用

　　华信技术处于行业的领先地位，是一个拥有众多信息技术资产的高科技公司，是一个在世界有 32 个办公室的全球化公司。企业以技术起家，因此华信技术对信息技术相当重视，相对应的风险防范在业界以严格着称。华信技术相当重视企业的风险管理，已经形成关于利率风险、信用风险、财务风险、流动性风险的管理政策和流程。华信技术的风险管理规范①由内至外，不但约束组织内部，也间接的约束其合作伙伴。华信技术的风险管理措施的从产品研发开始、贯穿测试、销售、交付、供应直至售后服务。

　　（一）组织管理分析

　　华信技术的内部风险管理主要通过员工行为准则展开，以保护企业关键资产为目标制定一系列具体细则，并通过信息技术手段集成到流程和业务系统中。华信技术是经历漫长的过程才形成现在的风险管理体系。研究华信技术的风险管理的组织架构就不可避免去研究其组织发展中，不同阶段组织的风险管理战略下的发展过程。

　　华信技术风险管理的发展的三个阶段比较典型的对应风险管理的三个等级，第一阶段对应于一级，基本属于粗放型的风险管理，属于一把手负责制。第二阶段对应于二级，有一定的组织和系统的风险意识和能力，但是没有规范化，也没有形成独立的风险管理组织。第三阶段对应于第三级，有独立的风险管理部门，且直接向董事会负责，也建立信息化得风险识别流程和量化能力，也建立沟通监督机制。第三阶段基本完整建立风险管理控制的三驾马车。

　　第一阶段，初期发展阶段，在初期阶段主要是高效率和目标导向。快速拿下市场、拿下客户，为企业创造价值是该阶段的评价标准。风险控制完全靠部门领导。没有系统化、专家支撑的风险管理机制和流程。如果风险在哪个部门发生，更多意味着部门整体被淘汰和出局。

　　第二阶段，中期发展阶段，在中期阶段，组织面临的问题更多且复杂。部门的数量也比以前多很多，需要统一思想、标准，至少得有一个基本的行为限制，公司文化也是在此阶段孕育。该时期的内部控制主要就是员工的行为准则。该阶段的风险管理主要是培训、教育和处罚。员工行为准则仅仅依靠培训和教育毕竟是效果有限，而且管理成本也是国外优秀企业的 2~3 倍。

　　第三阶段，持续演进阶段，为了提升管理效率，确实实现管理过程可控，华信技术积极向西方优秀企业学习，引进现代化的管理措施和手段。该阶段主要就是信息化改造，公司引进先进管理思想和培训的同时，也引进相应的 IT、HR、生产和品质管理和财物管理等电子流系统。在该时期，风险管理实现了过程化和数量化，如果不借助全面的电子流系统的帮助，靠人是无法完成的任务。该阶段，各业务、操作都有电子档案，实现了可追溯。完善的过程管理控制加上可追溯的电子档案系统实现了责任的持续可追究。所以风险管理才真正落地，落实到了具体的业务和每一操作环节。

　　风险管理伴随企业发展的三个阶段，初步形成比较完善的风险管理模型。但是，风险管理是个长期的过程。信息技术在持续的更新改进，所以信息技术风险管理也是个持续的演进过程。

　　（二）信息技术管理分析

　　华信技术的风险管理已形成由内部风险管理、外部风险管理和风险输出管理三大部分组成的自上而下的完整的信息技术管理体系。

　　华信技术对自己的信息资产分作详细的分级和分类，再分层次，分区域的采用不同的风险控制手段。华信技术整体上实现云存储，再加上严格的访问控制，基本实现关键资产的有效保护。华信技术的内部风险管理已经形成流程和操作可控、可计量的风险管理体系。并且借助其研发能力中心自主研发风险管理技术，提高风险管理水平。实现信息技术风险管理模型的持续向上的演进。

　　从区域上，华信技术分为一级、二级和三级三个区域；从一级至三级风险管理要求越高。风险管理一级区域主要针对不涉及关键信息资产的区域、访客、职员等可以进入。风险管理二级区域主要针对关键资产和非关键资产的混合区域，属于受限访问区域。风险管理三级属于严格限制访问管理区域，任何访问都需要严格认证、授权并接受审计。

　　从资产上，华信技术将资产分为核心资产、关键资产和非关键资产三个级别：

　　核心资产需要资产拥有人和责任人的共同授权；关键资产需要资产拥有人或管理责任人或直接领导的授权即可；非关键资产采用登记使用原则，资产访问都提供审计支持。

　　从企业内部和外部上，华信技术积极通过业务流程的管理控制实现对供货商、合作伙伴等外部风险的管理控制。华信技术的风险管理控制已经和企业电子流紧密结合在一起，通过企业电子流系统影响供货商和合作伙伴。华信技术对与外部沟通交流都有严格的操作规范，比如，必须安装华信技术的访问控制客户端、必须安装赛安软件的安全防护套件等，既防护信息技术风险伴随工作做沟通引入企业内部，也一定程度上防止将信息技术风险引入客户环境，给客户造成损失的同时，也对自己企业的价值造成损害。某企业员工就因自己的电脑在酒店被病毒感染，在给客户解决问题的过程中，将客户系统染毒；最终导致客户和本公司的损失。

　　华信技术主要通过严格的产品发布流程、规范和信息技术能力支撑手段确保产品中的信息技术风险不随同产品被发布。2012 年，某 Z 公司在美国因其手机产品含有“后门”而被高调炒作，导致 Z 公司的业务损失。而此“后门”就是其研发人员用自己的工号作为系统密码的默认值。所以不能给客户输出带风险的产品，既损坏公司的信誉，也导致公司价值的损失。

　　首先，通过提升信息技术能力水平保证企业产品的抗信息技术风险能力。企业从组织结构上构建研发能力中心致力于提升信息技术能力水平，为各业务部门提供信息技术能力支撑，从产品研发阶段开始信息技术风险管理，提升产品的抗信息技术风险能力水平。

　　其次，统一的风险评估和集中管理。任何业务部门的任何产品在发布之前必须通过安全能力中心的测试和认证。测试不仅包含代码规范审计，而且包含合规、侵权、无病毒感染、无后门等，尽可能给客户提供无风险的产品和服务。信息技术风险具有随产品输出的特性，所以信息技术的输出必须有可行的规范。

　　三、小结

　　信息技术风险管理的有效性首先取决于对企业自身需要什么样的风险管理战略和采取什么样的风险管理战略之间是否匹配，其次取决于具体过程中采用什么样的风险应对策略。

　　信息技术风险一部分来源于内部，一部分来源于外部。在操作风险损失分析小节，分析发现来源于内部的风险事件一般比来源于外部的风险事件造成的损失要大六倍。所以，风险管理一定要建立由内而外，自上而下的风险管理体系。

　　要想在未来的竞争中取得有利地位，从战略上考虑，建议风险管理中坚持以下一些原则：

　　1. 持续演进原则，信息技术风险管理必须遵循信息技术的特点持续演进。

　　2. 开放公开原则，要技术、手段、管理开放，数据保密。管理、技术应该开放公开，避免存在风险管理漏洞被恶意人员利用。

　　3. 风险分类原则，风险发生的可能性、影响程度都有区别，应当区别使用风险应对策略。

　　4. 经济有限原则，信息技术风险损失分布的厚尾特性以及信息技术技术投资收益一节中的研究表明，过度的信息技术投入是经济上的浪费。信息技术的投入与风险损失之间存在一个比较经济的平衡点，达到平衡点后投入的有效性将下降。

　　本章从企业对风险管理的不同需求将风险管理分为三个发展阶段：初期发展阶段、中期发展阶段、持续演进阶段，对应这三个不同发展阶段，建议采取不同的风险管理战略和风险应对策略。

　　风险管理中用以改善风险管理水平的具体措施：

　　1.坚持关键过程自主研发。业务可以外包，流程也可以外包，但是风险管理中的关键部分必须坚持自主研发。企业的关键资产必须处在自己的程序控制过程中。

　　2.采用优秀的外部信息技术风险防护软件与内部风险控制管理形成互补。

　　3.风险对象必须按资产价值分级，关键资产和非关键资产区别使用风险管理措施。比如：对于非业务相关的网络安全、系统安全等可以使用业内知名安全软件进行风险防范。

　　4.明确界定关键区域和非关键区域。

　　5.信息技术输出必须有严格的管理规范，不能将信息技术风险输出到客户环境，防止损坏信誉并导致价值损失。

　　6.采用适宜公司发展阶段的风险应对战略。并在具体风险管理中使用针对性的风险应对策略。

　　从华信技术的发展历程和风险管理的讨论中发现：信息技术的风险管理针对不同的企业需要区别对待，在同一企业的不同发展阶段，也要不同对待。风险管理是个持续演进的过程，最终要与企业的发展、外部的环境相适应。

　　信息技术的输入和输出往往伴随着信息技术风险的输入和输出。信息技术风险的管理不但要求建立内部风险管理模型，而且要求关注外部环境。一方面是保持信息技术的有效性，另一方面是防止信息技术风险的输入或输出。

　　在风险管理过程中，坚持持续演进、开放公开、风险分类、经济有限四原则；结合企业自身的发展阶段，采取适宜的风险管理战略和应对策略，建立自上而下，由内而外的合乎时宜的风险管理模型。并结合外部环境、企业业务和战略的变化，根据反馈持续对组织和技术进行正向改进。