还有，现在信息科技管理都是“灯下黑”，很多管理措施都是靠人工措施，用系统化、自动化的防范做的还不够。同时，信息科技的评价标准现在出现了很大的问题，我们往往在各个机构、各个层面，在关键的时刻领导们都会要求IT部门做到万无一失。其实，这个万无一失不光是100分标准，应该是120分标准，但是我们往往却当成60分，这就造成了大家重建设轻管理，管理的时候只会拿到60分。这个评价需要我们更多的认知。其实银行很多的呆帐、坏账都有容忍度，唯独对IT事件不可容忍。
    信息科技定位四要点
    对信息科技的定位四个要点可以攘括：
    一个是说起来很重要。由于信息科技知晓度不够，尤其是领导层面，但是他们知道信息科技出现问题他们要担责任，所以说的层面关注比较多，实际层面关注不够。
    另外是做起来急着要。由于业务快速发展，我们的需求在不断往前推进，信息科技就需要我们立等可取，这里面无形中埋下很多不稳定因素。
还有就是排起队来是次要。信息科技一直是支持服务，跟我们后台一样的，在话语权方面差了很多，待遇方面也差了很多，即便有个别银行在科技部门给了很高的待遇，但是话语权依然与其他部门还差了许多。
    再有一个是出了问题什么都不要，因为IT对业务的高度融合，现在很多业务的问题出了以后都往IT推，IT是没有再往外推的机会。
    防范信息科技风险的要点
    首先是定位。把信息技术定位为支持服务本身就是一个对风险防控的很大欠缺，把信息技术发挥出来很关键，讲风险防控我想用IT去防控，用技术手段去防控，比人工防控要强得多，这也是体现IT管理价值所在。
    另外IT风险防控整个还处于初级阶段。我们在这里面，最关键的一个是IT治理层面，我们怎么能关注。很多时候、很多机构、很多的银行都会把制度的制定放在很重要的环节，但是制度制定出来，挂在墙上，摆在桌上，很多落不到实处，怎么把这些制度融入到每个环节这很关键。
    另外要讲特色。我们银行业金融机构在中华文化的背景下有很多特有的因素需要我们考虑。比如我们的人际关系，在西方环境下人际关系很简单，很简单的人与人的关系，很简单的人与机构的关系，很简单的机构与机构的关系，到了东方异常复杂。讲到治理在西方很简单的事情，到了东方就是很难的事情。我们的治理不到位跟文化的融合有很大的关系。
    这里面讲文化融合，比如我们的手机短信就是很好的例子，手机短信在国外也有用，我们通话费4毛，手机短信一毛，大家过年过节都发短信，国外发短信跟打电话差不多钱，大家愿意说话，中国文化是不愿意说话，发了短信祝贺一下，一过年过节一发好几亿出去，赚钱是后台的服务商。另外我们的治理也需要我们很好地跟中华文化相融合起来，否则我们的治理就像以前有人要求我们要学西方，要搞工业化，说工业化完后我们的治理才能到位，我想这个永远的工业化在中华文化方面还会有很大的变化。所以我们的治理需要我们的特色。
    第二要讲忧患意识。IT事件频频发生，对我们银行冲击很大，尤其是911事件出现后对我们全球的数据保护，灾难备份起了关键作用。据说911事件发生前，大楼内1200多个机构，发生后900多个倒闭，倒闭很简单，美国这么好的金融环境，可以再重建起来。但是客户数据随着大楼没有了，他们不能向社会交待，只能通过倒闭处理。这对全世界的数据灾难恢复产生了重大影响。
    另外很多事情需要我们更多的关注，我们各个银行业金融机构、IT部门所管的一亩三分地里有很多事情不是我们通过管控来避免的，比如我们的电力、通讯、软件、硬件，包括我们人员的问题，是都有可能发生的，电一停我们所有业务都中断。一个银行停电，UPS还可以工作，就让来修，结果没有修好所有电都没有了，你通过自身再好的能力都不可避免，怎么办？需要我们对外来的因素有更多的预案来应对。
    第三要对风险价值有一个清醒认识。所有风险就是与价值关联，讲风险就是讲它的影响面、影响的价值。我们讲IT风险首先要认清它的价值，我们现在评估的方式、评估的模型，还有评估的认知有很大的缺陷，这对风险的防控就有很大的影响，所以需要我们对IT风险本生的价值要有很好的计量，这才能谈得上控制。
    在安全方面也是一样，我们的安全需要一个清醒的目标，一个合理的容忍，这个容忍就是我们需要有各个部门的折衷，这样才能先控制好，做好安全。比如我们的灾备、系统级灾备在同城异地来讲，一个是高效率小概率事件，异地系统级灾备是低效率极小概率事件，我们现在热衷把异地灾备做起来，同城没有建起来，这样应对灾难时很乏力。
    另外对IT风险来讲，价值的认知对风险的防控是至关重要的，所以我们要更多的关注。对IT价值的认识需要我们本身来转变，我们把IT发展好需要我们更多的IT部门有更多的作为，有三个贴近：一个是贴近领导，在决策层面增加话语权；第二是贴近业务，引领业务发展；第三是贴近最终用户，得到大规模的认同。
    信息科技风险防范需要全员参与，信息科技风险往往说起来，大家都会把信息科技部门关联起来，其实跟我们讲的安全是木桶原理是一样的，所有网络参与者、系统使用者都需要大家的贡献，如果大家在上面做的不到位，一个U盘就可以使我们的网络崩溃，使我们的系统崩溃，把我们的努力化为乌有。
对业务需求方面，这也需要大家有一个共同的认识，全员参与，业务需求的不准确，不确定也会对系统产生致命的影响，统计分析60%跟这个有关。在规划方面也需要大家的共同参与，在对外舆论方面也需要大家的共同参与，另外在应急和业务持续方面更需要大家的共同参与。如果没有大家的共同参与，只是IT部门在做，现在我们很多IT部门都热衷于把系统的连续性作为业务连续性来管理，这不够的，需要业务部门的真正参与，真正在业务的持续方面做出贡献。
                                                                                （仝培杰  提供）

(责任编辑：adminadmin2008)