矛头指向CIO

　　“我觉得这件事，CIO有不可推卸的责任。”风险管理负责人说，“交易员海默盗用了系统管理员的IT系统权限，用于取消特定的交易行为。他伪造了相关数据，使得他能够伪造虚假操作数据的来源。在设计系统时，就应该把工作流程考虑完善，这种事情本可以避免的……”

　　“我也有同感。”审计部负责人说，“交易员海默有了IT系统密码就能干很多事情，不光是取消交易，还可以进入其他交易员的系统，把超过自己额度太多的部分在其他交易员的账户上下单。为什么一个小小的交易员，居然有如此大的IT权限？即便是对我们这样的高层，IT系统的大门也没有像这样敞开过。”

　　“银行内部监控机制并未完全运转，内部监控系统多个环节都有可能存在漏洞，而我们的预警机制，到现在为何没起到一点作用？我们去年不是花了重金建了这套系统吗？”CFO措辞强烈地说。

　　“肖恩虽然有责任，但他只是CIO，恐怕我们面对的问题，其他人也难逃其咎。”CEO高德看看手表说：“会议进行了30分钟，你们把矛头都指向了肖恩，难道你们自己就没有责任了吗？”

　　高德提高了声调，“这里没有一个人能脱离干系。信息系统设计上肯定会有漏洞，世界上哪有完美的流程，就更不可能存在完美的信息系统了。发现了业务上的风险，你们哪一位向肖恩提示过？出了问题却都算到他头上！”

　　“还有风险管理部门，对风险进行管理，不一直是你们的责任吗？你们又做了哪些工作？现在出了问题，你们的风险管理机制所起的作用呢？”

　　“肖恩在IT治理和IT风险管理上难辞其咎。”高德看大家都不说话了，清了一下嗓子说：“我认为，我们每一个人都应该深刻地找一下原因。肖恩，既然你成了大家的众矢之的，下周一应该最早让我看到你的提案。”

形同虚设的风险管理

　　“我希望大家能给我一个辩解的机会。”高德对整件事的态度让肖恩觉得心里有了底，“交易员海默虽然职位很低，但他曾经做过IT管理员，这使得他有可能找到如何穿透银行内部IT系统的五道授权关卡的方法，从而有机会获得超级授权，以从事非法的衍生品交易。”

　　看到所有人都在盯着自己，显然他们在等待接下来肖恩还会说什么。“当然我承认，在IT管控方面，作为企业的CIO，的确我有着不可推卸的责任。但是今天这件事，49亿欧元的巨额损失，与之前发生的任何一个事件都不可比，它决不是由于任何一个人的失误或是疏忽造成的，因此，我们也用不着为此找个替罪羊。”

　　肖恩的一席话，说得大家面面相觑。

　　“我认为，我们应该也有机会可以更早地发现蛛丝马迹。方法有很多，例如更频繁地进行日志检查，而不是像现在每个月，甚至每两个月才进行一次。而且，我们的这种日常检查往往还遭到了业务部门的‘白眼’。此外，我曾经不止一次在高层管理会议上提出建议，应该引入国际先进的风险管理体系，例如建立完善的密码管理和身份授权机制，设立专门的风险管理员，建立并贯彻风险管理巡查机制，每月进行定期的风险管控专项培训……但是，我的提议总是石沉大海。如果我们能够及早贯彻这些制度，就能避免这场灾难。但是，事情还是发生了，我很难过。”肖恩停了一下，然后抬起头，继续说。“在我们银行，针对衍生品风险的管理、监管、运营等各方面，无论是在理念、规章，还是具体到操作层面，都积累了丰富的经验。但这些体系为何这次却全部失效了呢？”

　　他等了一下，才把最后想说的全部倒出。“说到底，风险管理是一套体系工程，不但要依靠技术手段，更多地要依靠完善的和铁的管理机制，只有得到上至集团的CEO，下至每个普通员工的重视和理解，每个部门都恪于职守，每个人都严格遵守和执行，才可以真正做到风险的有效管控。作为技术支持部门，我们只能用信息技术作为管理的有效辅助手段。但是如果一旦发生事故，整个银行的风险管理体系、限额管理体系，乃至后线的监控、稽核部门居然形同虚设，这些，是不应该要信息系统部门来承担的！”