商業(yè)銀行IT風險識別與評估研究.pdf

1、商業(yè)銀行是信息化應(yīng)用水平高、經(jīng)營業(yè)務(wù)對信息科技應(yīng)用高度依賴的企業(yè)。截止2010年上半年，國內(nèi)商業(yè)銀行各 IT系統(tǒng)承載運營的金融資產(chǎn)總額達到八十多萬億元。2009年平均每天經(jīng)國內(nèi)商業(yè)銀行IT系統(tǒng)處理的金融業(yè)務(wù)交易量達4億多筆。
　　信息技術(shù)是一把“雙刃劍”！信息技術(shù)在給商業(yè)銀行帶來業(yè)務(wù)創(chuàng)新和變革的同時，也給商業(yè)銀行的業(yè)務(wù)運作帶來了極大的風險和安全隱患。據(jù)“中國銀行業(yè)監(jiān)督管理委員會”2009年度的統(tǒng)計資料，全國各銀行支撐重要業(yè)務(wù)的IT

2、系統(tǒng)全年共發(fā)生系統(tǒng)服務(wù)中斷事件近3000次之多。信息技術(shù)已經(jīng)成為影響我國商業(yè)銀行經(jīng)營穩(wěn)健、信息安全和客戶及公眾正常經(jīng)濟活動的重要風險要素。
　　科學、準確的IT風險評估，是IT風險管理工作中重要工作，也是IT風險管理工作中的難點。而有效、全面的IT風險識別和科學、合理、有效的IT風險評估指標體系構(gòu)建，是做好IT風險評估的基礎(chǔ)。
　　本文正是針對商業(yè)銀行IT風險評估的三個關(guān)鍵性問題：(1)商業(yè)銀行IT風險識別、(2)商業(yè)銀行I

3、T風險評估指標體系構(gòu)建、(3)商業(yè)銀行IT風險定量評估，進行了探索性和創(chuàng)新性的研究，主要的研究內(nèi)容包括：
　　(1)針對商業(yè)銀行IT風險因素來源廣、難以有效識別的現(xiàn)狀，IT風險因素具有復雜性和不確定性的特點，研究了商業(yè)銀行IT風險識別方法，提出了將情景分析法、SWOT分析法應(yīng)用于商業(yè)銀行IT風險識別的方法，并以案例的形式闡述了其方法應(yīng)用的可行性和有效性。研究中發(fā)現(xiàn)，IT風險識別是一項難以準確把握和識別的工作，必須結(jié)合商業(yè)銀行自身的

4、IT應(yīng)用和管理環(huán)境以及企業(yè)的業(yè)務(wù)環(huán)境，運用多種方法，方可有效識別其IT風險因素。
　　(2)應(yīng)用思維導圖工具，研究了商業(yè)銀行“IT風險形成機理”，構(gòu)建了“IT風險要素關(guān)系模型”。以商業(yè)銀行 IT風險形成機理為出發(fā)點，研究和分析了商業(yè)銀行IT風險的識別與構(gòu)成來源，從八個方面(IT治理類、IT人員類、信息安全類、應(yīng)用軟件類、物理安全類、網(wǎng)絡(luò)安全性、外包服務(wù)類、系統(tǒng)變更類)對IT風險進行了分類和識別。
　　(3)在對商業(yè)銀行IT風

5、險識別與分類研究的成果基礎(chǔ)上，研究了商業(yè)銀行IT風險評估指標體系的構(gòu)建。以調(diào)查問卷為研究工具，以西南某省15家商業(yè)銀行為調(diào)研對象，運用SPSS統(tǒng)計學軟件定量分析了關(guān)鍵IT風險因素，構(gòu)建了商業(yè)銀行IT風險定量評估指標體系。
　　(4)對商業(yè)銀行 IT風險定量評估方法和其應(yīng)用進行了研究。運用所構(gòu)建的商業(yè)銀行IT風險定量評估指標體系，以某一家商業(yè)銀行為例，應(yīng)用了“云模型”理論和云重心評判法對該商業(yè)銀行IT風險進行了定量評估，給出了評估模

6、型和方法、整個工作思路以及實施的過程描述。
　　除此之外，本文還對商業(yè)銀行IT風險管理的相關(guān)問題進行了研究，包括：
　　(5)歸納和梳理了已有的有關(guān)風險及 IT風險的研究文獻與理論研究成果、IT風險管理標準與框架及行業(yè)的最佳實踐指南等研究成果，對其相關(guān)研究的內(nèi)容及研究成果進行了全面的分析和總結(jié)。對風險和IT風險的內(nèi)涵與外延進行了界定和分析，分析了風險的特征和IT風險與其他風險的區(qū)別，為后續(xù)的研究工作做了理論上的鋪墊和準備。<