深度聊聊行业信息技术风险管理新浪财

来源：互联网金融文/曹雷来源/金融科技之道行业信息技术风险定义名不正则言不顺。不同行业，不同角度甚至不同时期均对信息技术风险赋予了不同的定义和内涵。目前证券基金行业暂无官方统一定义，摩根士丹利公司将技术风险（TechnologyRisk）定义为公司信息、系统和基础设施受到网络和内部威胁；《巴塞尔协议》将其定义为“任何由于使用计算机硬件、软件、网络等系统所引发的不利情况，包括程序错误、系统宕机、软件缺陷、操作失误、硬件故障、容量不足、网络漏洞及故障恢复等”，该表述更多的是从技术的角度去定义，对技术进行分类；年银监会发布的《商业银行信息科技风险管理指引》（以下简称《管理指引》）将信息技术风险定义为“是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险”，该表述更多的是从风险的角度去定义，用其他风险定义该风险。由于上述定义已很久，作者尝试结合证券基金行业实际进行如下剖析和定义。“信息技术风险”表面上就有3个关键词：风险、信息、（信息）技术。词典中，“风险”是指遭受损失、伤害、不利或毁灭的可能性，也即不幸事件发生的概率（*不是纯学术，这里不考虑超过预期的正面影响）；理论上讲，只要不是唯一结果就会有概率，就存在风险。“信息”，除了信息论创始人香农的拗口定义外，经济学家认为“信息是提供决策的有效数据”；“（信息）技术”是指用于管理和处理信息所采用的各种技术的总称，包括但不限于：信息系统、硬件、基础设施、网络、研发工具、测试工具、管理工具等等；在公司治理层面，结合麻省理工学院斯隆管理学院比较出名的研究成果，将上述要素归纳统称为公司6大关键资产的“信息和IT资产”类（未来在聊IT治理时会讲）。至此，再结合证券基金行业实际（比如声誉风险、合规风险、后续分类评级影响等），作者将“信息技术风险”初步定义为“在信息技术运用过程中，信息和IT资产遭受到损失、伤害、不利或毁灭，进而给公司带来负面影响的可能性”。需要指出的，信息技术风险，在国内外行业全面风险管理体系建设中通常属于操作风险范畴，由于其内涵、复杂性和重要性的不断提升，近些年，证券行业逐渐将其从操作风险中剥离出来予以重点

转载请注明：http://www.abuoumao.com/hykh/7798.html