其次，IT资源配置远远不适应业务扩张的速度。按国际惯例，核心业务系统主机容量使用率如超过60%，就需扩大系统容量。但国内五大国有银行核心业务系统主机容量平均使用率已经达到或超过67%，个别银行核心业务系统主机容量峰值使用率甚至高达90%[28]。
    再次，软硬件及核心技术受制于人。目前，各银行大多数高端软硬件设备都是进口的，同时软件开发大多是外包给第三方。大量外包往往造成项目管理服务不到位，产权转移不彻底，核心技术受制于人，而且存在严重的安全隐患[29]。
还有，信息科技管理水平与硬件建设不匹配。一项关于商业银行信息科技风险的调查报告发现，我国大多银行普遍重视硬件投资，有相当部分IT设备已具备国际领先水平，形成技术发展上的后发优势[30]，然而，对信息科技风险的管理不管从理念上、制度上还是组织架构上还相当滞后。
     5.2全球信息科技风险管理的发展趋势
     目前，全球信息科技风险管理正在经历七大转变[31]：从单纯强调硬件体系可靠性向强调信息科技基础设施管理转变；从关注网络安全向构建灵活的可兼容系统架构体系转变；从实现软件支持向重视流程控制目标保障转变；从防范信息泄露和使用病毒控制向运行整体信息资产安全转变；从人工实时系统运行监测向业务持续性管理转变；从企业内部开发向内部开发与运用外部专业服务商相结合转变；从简单风险控制向多源头风险控制转变。这七大转变归结到一点，即既然信息科技风险无时不在处处在，针对风险的管理就应该具有预见性，且尽可能常态化、机制化。
    5.3强化我国银行信息科技风险管理的几点政策建议
强技术弱管理和强管理弱技术的政策效果一样令人担忧，必须通过强技术强管理的组合保证银行运营安全。
    第一，将信息科技风险管理纳入制度化、常态化管理轨道。以新《指引》为契机，推进各商业银行信息科技风险管理制度建设，为信息科技风险管理提供领导负责、组织合理、资金支持的制度保障。
    第二，将全面风险管理落到实处。全面风险管理，指商业银行全员、全过程都被纳入风险管理框架。全员风险管理，指从董事长、行长，到每一个职员，人人都是风险管理主体，各个部门有责任，人人头上有指标，将包括信用风险、操作风险、信息科技风险等在内的风险控制指标和风险责任落实到每一责任单位和责任人。全过程风险管理则要求银行在业务流程的每一环节实施风险管理，不留死角。银行要像重视全面质量管理、全面信息管理、全面预算管理那样，重视并细化全面风险管理。
     第三，注重IT资源配置和业务协调发展。既要防止信息科技系统容量和质量赶不上业务扩张需要引起的资源紧张，又要防止因过度配置以及软硬件设施不兼容等造成的资源闲置。
     第四，减少对外依赖，防范信息科技风险。逐步用国内技术业已过关的硬件设备，取代国外设施，减少对国外技术和服务的依赖，同时减少信息泄露的可能性；逐步形成各大银行自己的核心技术团队、信息科技风险管理团队和信息科技服务团队，降低外包风险。
    第五，内控为主，兼顾外防。当商业银行内部有完备的信息科技系统、完善的内控及内审制度、专业化的技术和风险管理团队时，由内而生的风险概率大大减少，由外而内侵袭成功的可能性大大降低，客户对银行、股东对管理层的信任感逐步增加，商业银行面临的信誉风险、法律风险等外部风险也随之下降。

参考文献：
     [1]杨学义,周艳春.信息技术驱动企业组织创新的机理[J].商业研究,2007,(09):81-83.
     [2][9][11][26]张同健.国有商业银行信息技术风险控制绩效测评模型研究[J].武汉科技大学学报(社会科学版),2008,(01):39-45.
     [3]叶贵添.商业银行信息科技风险分析及管理策略[J].硅谷,2010,(08):185-185.
     [4]李东卫.对商业银行信息科技风险的几点思考[J].金卡工程（经济与法）,2008，（09）:101-102.
     [5][24][27]何茂春.商业银行信息科技风险的量化计量研究[J].金融论坛,2009,(02):42-48.
     [6][12][16]唐磊.商业银行信息科技风险现状与管理策略分析[J].中国金融电脑,2009,(02):49-52.
     [7]周雪松.商业银行应如何防范信息科技风险的思考[J].现代商业,2008,(36):28-29.
     [8]胡海华,崔维琪.银行业信息技术风险的监管[J].银行家,2008,(04):120-121.
     [10]Robet De Young.The financal performance of pure play internet banks[J].Economic Perspectives,March 22,2001:60-78.
     [13][22]任莉.我国银行信息化风险及防范对策研究[J].经济论坛,2009,(12):94-97.
     [14]王锋,冯峰等. 信息安全风险评估标准研究[J].信息技术与信息化,2007,(02):69-70,84.
     [15]李振汕.对网络信息安全法律若干问题的研究[J].网络安全技术与应用,2010,(01):49-51,13.
     [17]电脑故障让汇丰银行瘫痪了两小时[OL].新华网,
    http://news.china.com/zh_cn/tech/technews/10000034/20010606/10039461.html.
     [18]信息安全管理由外而内[J].数码世界,2005,(11):27-27.
     [19]张保军.商业银行IT技术的风险管理[J].中国电脑金融,2005,(10):24-26.
     [20]金川.电子银行业务现状及存在的问题[J].大众商务,2010,(02):278-279.
     [21]耿丹丹.短信银行服务发展现状及相关法律问题研究[J].金融论坛,2008,(05):50-53.
     [23]施慧洪.电子银行的安全与风险防范[J].银行家,2008,(04):116-119.
     [25]张成虎,孙景，陈靓.我国银行技术风险评级体系研究[J].金融论坛,2006,(02):16-22.
     [28][29]郭利根.在银行业信息科技风险奥运专项自查工作部署会上的讲话[R/OL]. http://www.itgov.org.cn/Item/407.aspx..
     [30][31]张倩,张云志,祁妙.关于商业银行信息科技风险的调查与思考[J].中国信用卡,2009,(02):16-20.

    Study on the Information Technology Risk in the Commercial Bank of China
                                Yang Tao
    Abstract:Information technology risks of commercial banks, including internal risks mainly come from the bank's own operational risk, technology risk, information silo effect, the system idle risks and etc..The external risks from the customers, suppliers and service providers, as well as those of non-specific attackers. Though these risks difficult to measure, easy to spread and impact tremendously, these risks essentially, are management risk of preventable and controllable, showing externally is the risk of credit decrease. The information technology risks in bank could be measured by mean-variance model and CAPM.Commercial bank should take the measures of comprehensive risk management and strengthen systematic risk management to prevent frome information technology risks.
    Key words:Information technology risk; internal risk; external risk; management risk; comprehensive risk management

    作者简介：
    杨涛（1980-），男，中国工商银行博士后工作站，中国人民大学应用经济学博士后流动站，博士（北京，100140）
    电话：13910588499
    E-mail: taodyyang@gmail.com
 

(责任编辑：)