杨兵兵，先生，香港理工大学工商管理硕士。现任中国光大银行信息科技部总经理，曾任中国光大银行风险管理部副总经理、信贷审批委员会委员，中国银行（香港）有限公司风险管理部授信管理处主管，中国银行总行风险管理部高级风险经理.银行业知名风险管理专家，多年银行国际金融管理和风险管理从业经验，曾合著《Basel Ⅱ在中资银行的实践》，总撰中国银行业协会《个人贷款》知识体系，并在《风险管理》、《金融时报》、《金融电子化》等刊物上发表过多篇文章。

　　《IT风云，险中求胜：商业银行信息科技风险管理理论与实践》通过将实践经验抽象化，开创性地总结出了一套行之有效的信息科技风险管理体系，为我国银行业提升信息科技风险管理水平提供了有价值的参考指南。《IT风云，险中求胜：商业银行信息科技风险管理理论与实践》立足于国内外银行业科技风险管理的现状，通过梳理和比较国际先进的信息科技风险管理理论和方法，并结合我国银行业信息科技应用和管理的特点，探索动态的、可实践的信息科技风险管理框架。依托于该框架，《IT风云，险中求胜：商业银行信息科技风险管理理论与实践》从多个角度、全方位地阐述针对信息科技风险的治理结构、管理策略、管理文化、管理流程、管理工具和方法等基本的风险管理构成要素，综合运用风险控制评估、事件分析和关键指标等方法建立科技风险识别与评估、应对与控制、评价与计量、监控与报告等风险管理基本流程，提出了切实可行的、适合我国银行业的信息科技风险管理体系。

　　（一）风险发生因素
　　风险发生的前提是有风险因素，即银行日常经营环境中客观存在的、有可能造成损失的内外部威胁因素和漏洞，在不少文献中被称为“风险源”。通常，风险产生因素往往在直观上表现为可能导致损失的内外部原因，包括人员、流程、交易对手、第三方、自然灾害、技术、市场价格等。由于当前各个商业银行大量使用信息科技外包以及不断创新应用新技术，银行日常经营环境中存在着复杂且有可能造成损失的内外部风险因素，这些科技风险因素是很难控制的。
　　（二）风险触发活动
　　风险触发活动可以理解为银行日常经营、管理活动中一系列有目的性、关联性的活动集合。这些活动的动态发展和变化引起银行外部环境和内部系统的非预期变化。当这些活动中的风险因素在银行的内外部环境中逐步积累到一定程度，偏离了理想状态，就会以风险的形式爆发出来，为银行的业务和经营活动带来不确定性。它是风险因素转化为风险乃至损失的实现途径，也是风险开始“有形化”传导的起点。信息科技风险的触发活动通常由于风险的管理因素、技术因素的复杂性，造成活动发生的偶发性和不确定性特点突出。
　　（三）风险阈值
　　风险的阈值是风险由量变引起质变的临界点，也是银行所愿意承受的风险的临界值。风险阈值可以表述为在某一时点上，影响某种风险的各个风险因素通过相互作用，引起风险破坏力逐渐累积到一个临界值，风险就开始被释放出来，并依附于风险的各种载体，沿不同的路径在银行内部进行传递和蔓延。
　　（四）风险载体
　　风险载体是指能传递或运载风险的有形或无形的承载物。随着银行内外部环境状态的改变，伴随着风险触发活动的发生，风险会依附于某些有形或无形的事物而被传递到银行经营活动的一系列功能节点及作业流程。它是风险与被传导对象之间的“媒介”和“桥梁”，具有承载性和传导性两大基本特征：承载性是风险载体承载着银行风险的各种风险因素；传导性是指风险载体具有传导风险信息和内容的功能。信息科技是实现银行业务的载体，一般不直接造成经济损失，而是通过业务中断、信息泄露等造成间接损失，因而其损失通常难以计量。
　　（五）风险传导路径
　　风险传导是风险借助流程、数据流、技术设施等载体依照银行内部的业务价值链条在流程的各个节点间累积和扩散的过程。在风险传导过程中，由于风险因素特征和载体特征的不同，风险传导往往伴随着不同的传导效应。典型的风险传导效应包括：
　　1.蝴蝶效应。初始条件的极小偏差将会引起结果的极大差异。
　　2.连锁效应。对于互相联系的各环节，任何一环出现问题可能波及其他关联的环节，从而造成整体的损失。
　　3.破窗效应。对常见风险习以为常，漏洞不能得到及时地修复，会起到消极的示范效应，造成更多损失发生的可能。4.锁定效应。风险传导依赖于某种路径，一旦选择了某个发展方向和路径，就不再发生方向性的变化，类似的情况会沿着相似的路径重复发生。5.耦合效应。两个或两个以上的风险或事件通过各种相互作用而彼此影响，风险传导的驱动力，传导载体与路径之间存在着这种耦合效应。
　　（六）风险传导对象
　　风险传导对象是风险传导的末端，可以理解为风险最终反映为实际损失的现实表现形式，是导致损失的直接原因，例如信息系统、具体的业务流程、银行资产等。基于信息科技关联性影响严重的特点，单个信息系统发生问题有可能影响多个业务，再加上信息科技风险在传导时的蝴蝶效应、连锁效应以及耦合效应较为明显，其影响范围通常较广且具备不确定性。
　　（七）风险结果
　　信息科技风险发生的结果表现为影响银行经营目标的各种损失，不仅包括直观的经济损失、财务及管理报告信息不准确、客户服务能力与水平降低，而且会引起市场竞争优势降低、经营效率下降、违背监管合规要求、声誉受损等社会影响。
　　……

1 银行信息科技风险管理面临的挑战
1.1 银行信息科技风险管理面临挑战
1.2 银行信息科技风险管理体系初探

2 银行业信息科技风险管理在全面风险管理中的定位
2.1 信息科技风险管理理论
2.1.1 信息科技风险管理理论发展历程
2.1.2 重要信息科技风险管理理论
2.1.3 信息科技风险管理框架比较
2.2 银行业全面风险管理理论
2.2.1 银行业全面风险管理理论发展历程
2.2.2 巴塞尔新资本协议对银行风险的监管理念
2.2.3 巴塞尔新资本协议对操作风险的计量要求
2.3 银行业信息科技风险管理的重要性和特殊性
2. 3.1 银行业信息科技风险管理的重要性
2.3.2 银行业信息科技风险管理的特殊性
2.3.3 银行业对信息科技风险管理的重视
2.4 银行业信息科技风险管理在全面风险管理中的定位
2.4.1 信息科技风险与操作风险的关系
2.4.2 银行业信息科技风险管理在全面风险管理中的定位

3 信息科技风险管理框架
3.1 银行业信息科技风险管理框架
3.2 战略指导
3.3 管理程序
3.3.1 风险领域
3.3.2 风险管理工具
3.3.3 风险识别与评估
3.3.4 风险应对与控制
3.3.5 风险评价与计量
3.3.6 风险监测与报告
3.4 管理基础
3.4.1 组织架构与制度
3.4.2 风险文化与监督

4 风险偏好与容忍度
4.1 风险偏好和容忍度概念与定位
4.2 风险偏好与容忍度设定方法
4.3 容忍度设置建议
4.4 容忍度与关键风险指标关系
4.5 容忍度设置的成功因素

5 风险识别与评估
5.1 银行常见风险识别与评估方法分析
5.1.1 银行常见风险识别与评估方法
5.1.2 常见风险识别方法在银行中的应用
5.1.3 银行业风险识别与评估实践中存在的突出问题
5.2 风险识别与评估方法
5.3 风险水平评价方法
5.3.1 建立风险评估标准
5.3.2 风险水平评估
5.4 风险识别与评估流程
5.4.1 建立信息科技风险基准清单
5.4.2 开展风险控制自评估
……
6 风险应对与控制
7 风险评价与计量
8 风险监控与报告
9 管理基础
参考文献