如何把握银行信息科技风险管理的“度”？

信息科技风险管理作为银行操作风险管理的主要内容之一，既有与其他业务条线（如批发银行、零售银行、信贷审批、财务、业务营运）相同的地方，也因为其自身的特点以及在银行日常运营中的作用而具有自身的特征。

目前存在着许多的有关信息科技风险管理的标准、规范、指引、最佳实践等等，银行的科技部门如何从这些繁多的要求中选择适合自己的风险控制标准，实现风险管理成本和风险管理价值的有效平衡便成为一个十分关键的问题。除了那些监管部门要求必须遵守的风险控制措施之外，科技风险管理部门、信息科技部门如何选择适合自身的风险控制标准，便成为一个值得讨论的问题。

个人认为，确定银行科技风险管理的标准一般可以按照下面的顺序进行：1、根据董事会确定的风险偏好确定信息科技的风险偏好；2、对识别出的信息科技风险按照其影响度和发生的可能性进行分级；3、对风险度超出信息科技风险偏好的科技风险确定控制标准。

由于信息科技在银行日常运营和管理中的基础性地位，因此董事会一般对信息科技风险的容忍度都比较低。但是因为风险偏好的确定直接影响到信息科技风险管理策略的确定，影响到科技风险管理的投入产出，因此必须在综合考虑银行自业务发展战略、业务规模、信息化程度以及科技风险管理资源投入的基础上慎重确定。董事会一旦确定了信息科技的风险偏好，经营管理层就应该努力去满足。

对信息科技风险影响度的确定是其中的难点，因为要考虑到风险发生对业务及日常管理的影响，而不仅仅是考虑信息科技本身。实践中可以从四个方面去考虑信息科技风险的影响度：生产数据的完整性及保密性、交易处理的准确性及完整性、业务运行的连续性、信息资产的财务损失。这四个方面可以说是信息科技风险管理的目标，自然科技风险事件发生将最终影响到的也是这四个方面。

风险识别完成后，科技从目前有关的科技风险管理标准、最佳实践中选择适合的风险控制标准。风险控制标准一般分为预防性控制、检测性控制和更正性控制（补偿性控制）。对于同一个风险，上述三种控制标准的作用是逐渐降低的，一般应优先选择预防性控制标准，这样对风险的控制力度是最强的。

实践中为了提高风险控制的效果，一般还会有关键控制标准和非关键控制标准之分，对于关键和非关键的划分一直是一个“仁者见仁，智者见智”的事情，根据个人的经验，对超出风险偏好的风险进行控制的控制标准无疑应该是关键控制标准；对于同一个风险存在多个控制标准的，如果预防性控制标准缺失，那么检测性的控制就是关键控制，如果预防性控制和检测性控制都没有，那么更正性（补偿性）控制就是关键控制。