找准金融风险控制点

风险管理有一个最基本的原则，即采用主动策略永远比采用被动策略收益好。金融业追求风险和回报的平衡，除了经营风险外，最大的风险是运营风险，而不是财务风险。而从现代金融行业的运营风险来看，IT的风险是无法回避的。2009年尽管大环境不好，但是许多金融用户在IT投入上，尤其是在与风险管理相关的IT投入方面，表示将加大力度。然而，IT风险又分很多种类，系统如此复杂，怎样在众多的金融风险当中发现最大的风险，金融用户需加强风险管理投入。往哪里投、风险控制点在哪里、投入之后如何评价效果，也是一个挑战，这是金融用户最为关注的问题。

此外，许多技术提供商在为用户规划一个风险控制体系时，都会向用户提供一系列的实施方法论，但事实上这些方法论也仅仅是纸上谈兵而已，现在很多金融行业的用户对它已经产生了置疑，因为这种方法论虽然被应用了许多年，但同时也发现了很多问题。例如怎么样评价整个项目的ROI，系统实施后有很多地方需要修补、防范、强化，这些风险控制点能不能快速直接地找到？当然这些工作可以采用方法论来指导完成，例如审计就是一种方法，用户可以采用法规进行审计和比对，但是一个审计的项目可能需要持续一年或两年，而且从目前来看很多审计只是为审计而审计，对系统建设的指导意义并不大。因此，从整体角度看，所有这些都需要技术提供商从实际运用当中去提炼和总结。

另一个被金融用户普遍关注的问题是法规遵从，实际上法规遵从的一个很重要的思路是最佳实践，法规遵从并不是目的（当然像巴塞尔II的法规还是需要遵从的），例如像G99这些法规仅仅只能作为一个指导。法规遵从项目如何落地，是一个极为繁复的过程，而最为关键的是风险控制在理论上与实际操作之间存在很多差距，这些差距表现在两个方面: 一方面是精力和金钱的投入回报率怎样; 另一方面，现在大家都明白风险管理三分靠技术，七分靠流程和规章管理，而规章和流程建设与技术保障之间实际上是有差距的，怎样才能把规章和流程落实，让技术能够实施下去也是极为关键的。

赛门铁克公司作为全球信息保护的主流技术及策略提供商，在中国金融行业实施了众多较为成功的风险控制案例，赛门铁克中国区售前技术总监李刚认为，风险控制的要点包括: 终端和数据。终端是边界; 而数据是根本和目标。数据不能丢失，信息不能被误用，包括外泄、流失、被篡改。这些都是整个风险控制的最关键点。事实上，不需要做很繁杂的评估也能够确定这些点是需要加强的，但是这些点加强之后还有一个问题，就是要与流程建设和规章紧密的结合起来才能起到效果。现在整个金融服务业，包括保险、证券和银行都在考虑这样的问题。

李刚认为，未来金融行业的风险控制有三大热点: 以准入控制为手段的强制性终端安全遵从; 以数据恢复审计为驱动来整合数据备份流程; 以信息泄漏审计为线索来梳理安全体系建设。另外，整合安全管理、安全运维和安全审计，实现风险管理的自动化和常态化，也是未来金融业发展的方向。