对于我行来讲暂时只能使用概率估计方法从主观和客观两方面进行风险估计以达到定性的风险估计方式。以下五张图表的发生概率是从 2012年上线后到 2015 年 3 月之前,每一次信息系统发生风险事件的记录和查阅的相关资料大致测算的。五张图表分别是根据上文识别的五类风险(技术风险、管理风险、自然风险、创新风险和声誉风险)中易发生的风险事件按照发生概率、严重性得出如下风险等级量化表(表 3.1-3.5):
信息系统复杂度越高,受各应用系统通信能力限制造成的风险越大;软件设计缺陷会导致系统运行不畅的中等风险等级,由于代码编程生成后不易改动。因此对于软件的设计包括系统规划、逻辑设计、功能设计、系统实施、程序设计和编码,应遵循合规性和易操作原则;测试结果偏离度对上线后的系统运行起到很重要的预估作用,尽管能够在上线后及时补救但发生的频次较高属于高等级风险;物理与环境安全和通讯异常针对硬件方面,信息系统由各类设备组成对周围环境和人为干扰比较敏感,因此属于中等风险;由于硬件设施的使用年限和维修售后因此发生的概率极少,发生后往往能够及时维修因此硬件设备故障风险等级较低。
目前采用的纸质传递方式对于决策有一定的延误,但由于各部门对事件发生的处理速度提高因此综合看来风险等级较低;授权不充分和第三方管理不足都是由于人为的管理不严格造成的,因此需提高重视程度评定为中级风险;我行因为人员变动频繁和有些人员能力不足造成分工界限不明确或一人兼任多职或工作量较大而造成工作失误,出现真空管理等现象较严重,因此评定为高风险等级需要尽快引起风险管理者重视;部门间缺乏沟通联系大部分是由于不熟悉彼此的业务范围或技术造成的,可以通过耐心沟通互相学习的方式使风险等级降低甚至忽略。
自然风险中包含的风险事件多半都是由于不可抗力发生后造成的,风险等级偏高,但其中的风险事件可以通过事前预估和准备来有效防范和降低。本文后面会提到针对自然风险的治理措施。
创新风险中的风险事件基本上风险等级都为中等,主要由于创新本身所带来的不可预估性特点造成的。信息系统发展带来的无限创新可能性同时对风险的把握和管理应该通过不断学习和借鉴成功案例、效仿他行产品、精细测试环节和市场调研等行动控制风险等级。
声誉风险发生事件主要来自公众对信息系统运行的评价,由于声誉风险属于信息资产列表中的无形资产,自存款实名制实施以来,银行对于客户身份证件信息、电话号码等重要隐私采集愈发细致,所以造成泄露事件的发生概率也明显升高,对社会公众造成很大程度上的影响和困扰。其风险等级处于居高不下状态。而对于报送类信息,当系统处理采集的信息出现问题时就会导致信息披露不畅从而对银行的声誉造成中度风险。
3.4 信息系统运行过程中风险的评价
在风险识别和风险估计的基础上,对风险发生的概率,严重性等级和后果再结合其他因素进行全面考虑,本文所得的风险综合评价遵循风险管理的重视程度采取“就高原则”,利用风险矩阵图以确定风险管理时的轻重缓急和应对策略风险事件的发生概率系数为 0.1-0.9 之间,对事故评级分为一等事故指全系统失效,二等事故为主要系统损伤,三等事故是系统轻度损伤而四等事故主要是低于轻度系统损伤或部分损伤并容易挽回。
对于风险事件的发生概率参考生产数据积累后的平均值判断,对于严重性等级则使用模糊数学法进行主客观估计,而对于结果的预测则使用头脑风暴法对结果进行估计。(1)对技术风险和管理风险而言,技术风险中发生最频繁影响最广泛的因子在于运行维护阶段产生的风险,此类风险发生在系统维护变更阶段,一旦有新业务需求上线和对固有业务进行改造升级时就会造成此类风险的发生,因此常常出现产品回退现象;管理风险的后果一般是对决策延误造成的隐形或明显的经济性损失。其次,人员不能胜任和人员变动等带来的负面情绪和“青黄不接”局面。授权基本不明确造成的不经过审批就肆意更改数据的情况时有发生。此类风险的发生一般只是内部草率处理因此并未认识到造成风险的严重性,往往最容易被忽视,其后果具有传染性和蔓延性。
(2)创新风险则主要是涉及利用信息系统所研发出的产品在市场上是否具有竞争力和前瞻性以及对能否占领市场的一种估计。信息系统与业务创新成相辅相成的态势,创新风险因为存在对市场变化的无法预估性,测试阶段的人工体验有限,很多功能服务并非尽善尽美,因此只能通过用户反馈和造成的市场效果才能对创新产品的风险进行跟踪。
(3)自然风险发生的频率最低但其后果是灾难性的。因此,自然风险是需要坚决杜绝的造成不可逆转损失的灾难性风险。毫无疑问,建立灾备中心和应急系统是解决这类风险的关键。
(4)声誉风险往往由很多风险发生后共同作用的结果。声誉风险是无形的,也不是立竿见影能够捕捉到,发生时一般会通过存款下降,贷款比例失调,前台业务减少等等迹象表明。但其表现并不十分明显,需要通过大概一个周期能够观察反映。声誉风险一旦发生并不容易被弥补也往往很难再次建立。因此,声誉风险是银行最看重的一种风险也是最难以管理的一种风险。
通过上述各表对发生概率和危害程度综合得出,发生概率在 0-0.2;0.3-0.5;0.6-0.8;0.9-1.0 所对应的发生概率分别可以描述为“不可能,极少,有时,很可能,频繁”,因此可以使用风险矩阵对风险划分等级(表 3.7):
由表 3.7 能够得出风险等级由高到低分别为:自然风险、声誉风险、创新风险、技术风险、管理风险。声誉风险、创新风险和技术风险都属于中等风险,因此根据我行实际情况应首先对自然风险进行治理,自然风险的特点突出,突发性强,频次极少,但容易事前准备和规划,因此属于较容易治理的风险。其次,技术风险和创新风险属于相互作用影响的风险,技术的提升势必降低创新风险的发生,而声誉风险由于属于各种风险发生的后果总和因此在管理等级上需要通过其他风险管理的配合才能够化解。最后,管理风险是一种比较低的风险,但并不意味着可以松懈,因为长期管理不善势必导致其他风险的升高。在风险管理上,对于很高风险通常为严重不可接受,高风险为不可接受,中等风险一般不可接受,而低风险则有条件的可接受,而可忽略的一些风险则为暂时可接受,如果风险等级升级则需治理。对于不可接受的风险各责任部门按照不可接受风险处理计划的要求采取有效安全控制措施,确保所采取的控制措施是充分的,直到其风险降至可接受为止。所有有关风险评估的资料,均属秘密以上级别,不经允许,不得向任何第三方透露。资料的保存工作由科技信息处执行。
另外,因为行内目前缺乏大量的数据统计支持,因此笔者只能通过大致估计概率的方式绘制较为宽泛的风险矩阵图,日后在信息系统的风险管理中可以针对每个不同的风险因素具体的风险因子分析。例如技术风险还可以细分到从软硬件等设备发生的风险可能性细致制定打分标准、管理风险可以根据流程制定、人员管理等子项设置分值权重等。对识别出的风险管理种类能够加深认识从而对每一类的总体评价提供数据支持。
