IDC（Internet Data Center，互联网数据中心）报告表明,70%的安全损失是由企业内部原因造成的。另一个为众多安全厂商经常引用的数据来自美国FBI（Central Intelligence Agency，中央情报局）和CSI（Federal Bureau of Investigation联邦调查局）。据该数据称，超过85%的安全威胁来自企业内部，威胁源头包括内部未授权的存取、专利信息被窃取、内部人员的财务欺骗等[18]。2002年美国国家标准技术研究所发表了有关软件错误和故障的损失报告，该报告推测，美国每年由于软件错误和故障引起的损失高达595亿美元，这一数字相当于美国国内生产总值的0.6%,占美国每年软件销售总额的1/3[19]。
    2.2外部风险
    商业银行信息科技的外部风险，指因商业银行通过信息技术系统与客户和服务商发生业务关系过程产生的各类风险，以及因来自非特定群体攻击而产生的银行收益的不确定性。
    2.2.1银行信息科技带来的客户层面的风险
与客户因信息业务关系产生的银行收益的不确定性可界定为市场风险。网络银行、信用卡及自助银行、电话银行、手机银行、短信银行等电子银行业务的出现，在大大降低银行交易成本提高服务效率进而增大交易规模的同时，与之相关的风险也应运而生。有资料表明，我国网上银行的用户已从2004年底的1000万户飙升至2008年的8000多万户，网上银行交易规模已达320.9万亿元，占整个银行业务总额的30%；银行卡的发卡数量从2000年的2.7亿张迅速增长到2008年末的18亿张，银行卡持卡消费额在社会消费品零售总额中占比达24.2%；以银行客户服务中心为标志的电话银行发展迅速，至2006年，银行客户服务中心的坐席数已突破1万大关；我国手机用户已突破7亿户，截至2009年8月底手机上网用户已达1.81亿，中国移动与多家商业银行于2000年联合推出的手机银行业务、2005年2月推出的短信银行业务正在一步步走向千家万户[20][21]。上述电子银行业务至少会引发三类风险，即电子支付风险、法律风险和商誉风险。
    电子支付风险，包括利用信用卡和ATM进行诈骗，利用钓鱼网站、木马程序盗取客户帐户和密码，利用电话、手机、网络诱骗客户将存款存入指定“安全帐户”，都可能造成银行及客户财富损失；由此导致的纠纷处置、诉讼案件，在加大银行运行成本同时，银行自身也可能成为被告而不得不面对法律风险；更主要的，信用卡、网上支付不断涌现的金融诈骗会使银行面临商誉损失，可能导致大量客户或潜在客户远离甚至拒绝电子银行业务，甚至引发人们对资金存放于银行是否安全的担忧，进而造成经营规模达不到应有规模，为开展电子银行业务花费的宣传广告费用达不到应有效果，导致银行经营绩效相对下降。
另外，还有一个不被人们关注其实很重要的风险点，即资产风险。其一，由于贷款的无纸化、证券交易的电子化，因自然灾害（如水灾、地震、火灾）或其他原因，导致银行信息系统被毁，进而造成银行的贷款资产、证券资产可能一瞬间化为乌有，且无案可稽。其二，因系统运行故障与通胀预期交织引起存款人担心存款安全引发集中挤兑诱发银行流动性风险甚至发生无力兑付风险。
    2.2.2银行与供应商、服务商之间因业务关系产生的风险
    商业银行使用的信息技术设备和服务难以尽善尽美，使银行面临风险。首先，从设备供应商处购得的信息技术设备，可能存在先天缺陷；其次，由于银行内部技术人员短缺和为降低研发成本，需要外部信息技术服务商代为开发、维护和管理系统，存在核心技术外泄、服务不能满足需要和商业机密泄漏的信息科技外包风险；第三，电力供应、电信服务等第三方服务商可能因产品缺陷或偶发事件引起银行信息系统运转异常甚至业务中断。
    2.2.3银行还面临来自黑暗处的非特定群体的偷袭
    银行在风险防范领域展开的的是一场非对称战争。近年来，针对自助设备的案件日渐增多；防不胜防的电脑黑客伺机侵入银行信息系统，盗取客户资料、密码甚至资金；病毒技术随银行信息系统的升级而日新月异。有实力发动计算机或网络攻击者大都精通计算机软件和操作技巧，表现出极强的高智能性和专业性。据有关部门统计，我国金融系统发生的计算机犯罪九成以上与计算机的程序设计、网络管理人员分不开[22]。
    3.银行信息科技风险本质上是管理风险
    如上所述，商业银行事实上被风险所包围，既要面对传统的操作风险、信用风险、市场风险，在现代信息技术支持下又面临信息技术与银行业务交融引发的新风险。
    3.1银行信息科技风险首先表现为投资风险
    银行追加投资于信息科技领域，将面临收益的不确定：能否获得追加收益及能获得多少追加收益不确定；能否得到有效利用不确定；投资的软硬件设施技术上是否完全过关及能否经得起时间考验不确定；各单项投资之间是否能协同发挥作用不确定；信息科技投资能否与商业银行信贷资产、证券资产、现金资产及固定资产协同发挥作用亦不确定。诸多的不确定，必使银行信息科技投资收益面临不确定性。
    3.2银行信息科技风险是可防可控的管理风险
    不管是来自银行内部的纯技术风险与操作风险，还是来自服务商、客户甚至非特定偷袭者，都意味着银行事实上难以回避风险。然而，除不可抗力引发的风险，其余风险皆可防可控。从信息设备安装、调试、使用、维护，到系统软件的编制、升级，一切皆由人完成，相应风险也因人而生。银行信息科技风险既非纯技术风险，也非纯业务风险，从本质看仍是一种管理风险。只有做到信息技术与管理的有机组合，才能防范信息科技风险。
     首先，信息科技风险可预测。固然到目前为止这些风险难以被准确度量，也很难用某一模型事先发现，但至少可通过管理经验来判断。
    其次，信息科技风险可预防。如果领导重视，全员参与，制度健全，组织保障到位，内部风险和因此引发的外部风险都可事先加以防范。比如，对IT外包风险，商业银行可通过逐步培养、招揽自己的信息科技团队，减少对外部服务商的过度依赖加以预防。
    再次，信息科技风险可控制。只要明确了信息科技风险点，在日常业务活动中，严格遵守操作规范和流程，及时修补发现的技术漏洞，防止技术信息风险由内部风险转变成外部风险，由业务风险演变成经营风险。
    最后，银行信息科技风险可补偿。商业银行可考虑建立信息科技风险补偿机制，化解业已遭遇的损害。如，按银行营业额的一定比例（哪怕只有0.1%）计提科技信息风险准备金，一旦因信息科技风险导致银行损失，可在不影响当期费用和利润状态下，平稳度过难关。还如，可向保险公司投保信息科技险，定期支付一定金额保险费，以合同形式将可能发生的风险转移给保险公司。

(责任编辑：)