“IT能够有效、安全地带来商业价值,同时提供数据完整性、可用性及机密性等方面的可靠表现。”这不是天方夜谭,这就是有效的IT风险管理应该实现的。排名第一的Oracle企业绩效管理 抗震救灾红杉树捐网络会议2008年有望成为金融服务行业继续变革的一年,越来越多的金融服务公司正致力于联合风险管理、治理与审计流程,而IT风险管理在其中扮演着重要角色。
相关调查报告显示,近80%金融服务公司的IT技术主管预计,所在公司会在接下来的12个月到18个月里增加IT风险管理方面的开支。此外,其中一半以上的人表示,开支至少增加5%到25%。
风险管理必不可少
由于近年来发生了数起严重的信用卡持卡人身份信息失窃事件及其他金融信息安全泄密事件,加上新近出台的法律法规侧重于更有效地管理财务风险、市场风险和操作风险,金融服务机构越来越强烈地认识到需要拓宽风险治理及管理的范围。
IT风险管理是金融服务公司必不可少的业务需要,因为它可以有效地操作、管理、衡量、控制及报告与IT有关的风险问题。IT风险管理项目如果成功运行,不但能给董事会、高层管理人员、监管部门及其他相关方面带来信心,而且能让大家看到IT可以有效、安全地带来商业价值,同时提供数据完整性、可用性及机密性等方面的高可靠表现。
有业内人士表示,虽然金融服务业在IT风险管理方面取得了一定的进展,但是还是有相当大的空间有待改进。IT风险管理要达到高层管理者的预期目标,还应当考虑以下几方面内容。一方面,应当实施一套自上而下的风险评估方法,结合定性评估与定量评估。项目还应当结合已确定的风险类别、风险承受力以及风险权重,其中包括企业总况、地理区域、业务部门以及业务流程。另一方面,对重大风险和关键的IT流程及控制着眼于全面而不是孤立的视角。这种着眼于全局的策略可以通过自动化与集成工具来简化流程,并且实施更可靠、更有效的风险报告机制。同时,IT风险管理框架与流程必须处理好信息的准确性、机密性、可用性、安全性及快速性。因为这些信息平时在公司内部以及众多客户之间生成、处理及共享,其中任何一方的信息受到威胁,都可能会给金融服务公司的声誉或者财务带来重大影响。
IT风险管理要素
安永会计师事务所(Ernst & Young)在全球范围走访了众多金融服务机构,调查了解它们各自目前在IT风险管理方面的工作。调查结束后分析人员发现,项目的成熟性与有效性、风险融合、IT风险管理流程、工具与技术,成为了成功实施IT风险管理的重要因素。
目前,很多提供金融服务的机构或组织并没有把IT风险管理与自身的总体风险管理战略有效结合起来。作为一个有效的IT风险管理项目,其中一个基础就是对体现及结合业务流程、政策、风险与控制的流程-风险-控制这个总体框架实行标准化。研究发现,近60%的金融服务公司当中的IT风险管理项目并没有与公司的企业风险管理(ERM)战略与框架(包括经营模式、治理/监督、流程与方法以及综合报告)结合起来,或者仅仅是部分结合起来。事实证明,许多公司还缺少对风险与相关法规执行的有效协调,许多人并不认为本公司在风险报告及披露、风险与问题管理以及趋势分析等方面拥有有效的机制。这表明在结合企业风险管理、法规执行审计及其他重要相关环节方面存在相当大的机遇。
数据显示,超过三分之一的金融服务公司的风险管理项目没有统一的控制库,也没有在整个公司内得到广泛接受及理解的统一风险语言(风险语言指在风险管理方面使用的专门词汇和措辞),甚至有的就根本不能确定存在这种统一的控制库或者风险语言。各业务部门彼此孤立的体系加大了这个问题的严重性,因为每个部门的软件、流程、甚至风险语言都各不相同。业内专家表示,在整个组织内建立起一套统一的风险语言显得至关重要,只有这样各部门最终才能了解整个组织里面的IT风险与控制。
许多金融服务公司制订风险控制项目的目的,就是以具有成本效益的方式来确认自己面临的重大风险,这也就促使了风险融合(risk convergence)应运而生。
风险融合是指确立一种综合方法以及一套统一的流程,以便减少冗余的风险与控制活动、消除业务部门的重复现象、降低成本以及支持战略决策; 确保各职能部门都有统一的度量及报告机制,支持战略决策的机制,以及利用各职能部门和工作流当中的风险管理流程与信息的能力。风险融合的基础就是协作、协调、结合及集成。因而,风险融合要成为现实,就必须跨风险职能部门制订一个框架,而且数据必须在整个公司无缝共享。
如果金融服务公司能实现风险融合,就能了解整个公司的风险状况,以便统筹兼顾,并且跨治理、风险和法规执行等多环节来提高流程效率。
越来越多的金融服务公司期望IT风险管理方面的投资能够带来高回报。它们期望获得更高的商业价值(表现为流程、风险和控制等方面的效率提高)、消除冗余现象、减少开支、确定问题与风险的优先级、缓解风险、提高投资回报、提高资源管理效率以及遵从法律和监管法规。虽然有效的IT风险管理项目能够直接带来大幅降低成本,从而提高利润的好处; 不过从长远来看,对公司个体及整个金融服务行业来说,最具有价值的还是可付诸行动的风险报告,和更有战略意义的投资以及公司业绩的提高所带来的收入增长。
IT风险管理的未来
有IT专家表示,从目前的市场情况来看,平均需要两三年的时间才能构建起一套有效、成熟的IT风险管理框架,从而让那些提供金融服务的组织或机构能够更好地满足各自在IT风险控制和执行相关法规方面的要求。
未来越来越多的金融服务公司会认识到融合关键流程的重要性,从而制订综合方法,那样最终有望促进经过协调的风险与控制活动。并且它们会认识到,把IT风险管理纳入总体企业风险管理项目,这有助于保护客户信息、保障公司资产以及为股东提供价值,同时又不遏制创新。这么做不但可以提高公司业绩,还有望降低成本,并且尽可能减少可能对公司带来不利影响的事件。
对相应法规的执行,是影响IT风险管理项目的一个关键动因。它所面临的挑战不仅仅在于金融服务公司能不能对监管要求采取基于风险的分析方法,还在于能否获得IT风险管理项目带来的其他诸多经济效益。如果能克服这些挑战,就大大有助于提升自身的IT风险管理项目的成熟性和效果。最终带来的效益可能包括: 优化控制、合理化投资、均衡决策、降低总成本、更加及时地确认新出现的风险。