商业银行IT风险管理框架及评价体系研究

Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,-,Click to edit Master title style,商业银行,IT,风险管理框架及评价体系研究,二零一二年六月,学生：陈云龙,导师：唐勇副教授,汇报提纲,结论与展望,案例分析,IT,风险管理评价体,系,系的建立,IT,风险管理模型的,提,提出,选题背景,2-,1,、基本概念,IT,风险,IT,风险是指信息科,技,技在商业银行运,用,用过程中，由于,自然因素、人为,因,因素、技术漏洞,和,和管理缺陷,产生的操作、法,律,律和声誉风险。,商业银行信息科,技,技风险管理指引,巴塞尔新资本协,议,议,将,IT,风险作为操作风,险,险的一个重点进,行,行防范。,3-,1,、基本概念,IT,风险管理,通过建立有效的,机,机制，实现对商,业,业银行,IT,风险的识别、计,量,量、监测和控制,，,，促进商业银行,安,安全、持续、稳,健,健运行，推动业,务,务创新，提高信,息,息技术使用水平,，,，增强核心竞争,力,力和可持续发展,能,能力。,商业银行信息科,技,技风险管理指引,相关概念：包括,IT,治理、信息安全,管,管理、,IT,内部控制、,IT,审计、业务连续,性,性管理、,IT,项目建设、,IT,运行管理等，不,同,同概念的侧重点,各,各不相同。,本文所指,IT,风险管理分为广,义,义的概念和狭义,的,的概念，广义的,IT,风险管理，涵盖,上,上述概念的有关,内,内容，,将组织的,IT,管理活动都视为,对,对,IT,风险的管理活动,。狭义的,IT,风险管理，特指,组,组织围绕,IT,风险所开展的具,体,体的识别、计量,、,、监测和控制活,动,动。如未特指，,本,本文所指,IT,风险管理是广义,的,的概念。,4-,2,、问题的提出,必要性：,IT,风险是瞬间能导,致,致一家银行倒闭,的,的风险。,数据集中化、业,务,务系统化、系统,网,网络化、渠道多,元,元化,破坏性大、影,响,响面广、隐蔽性,高,高、专业性强,管理现状：,IT,风险管理能力亟,待,待提高,人力资源紧张、,监,监督评价机制缺,失,失、风险防范能,力,力弱,难点：缺乏有效,的,的“操作指南”,种类繁多的理论,、,、标准、制度、,方,方法,如何入手？如何,评,评价？无所适从,5-,3,、研究目的,借鉴国内外有关,IT,风险管理的理论,、,、标准和规范，,提,提出,IT,风险管理的一般,框,框架，建立相应,的,的评价体系,该,IT,风险管理框架和,评,评价体系能兼容,现,现有的标准和规,范,范，且简单易懂,、,、指导性强,6-,4,、参考依据,理论和方法：管,理,理层次理论、平,衡,衡记分卡；风险,管,管理、公司治理,、,、,IT,治理相关理论。,标准：,COBIT,、,ITIL,、,ISO 17799/27001,、,信息安全风险管,理,理指南（,GBZ_24364-2009,）,制度：商业银行,信,信息科技风险管,理,理指引、信息安,全,全等级保护管理,办,办法,7-,汇报提纲,结论与展望,案例分析,IT,风险管理评价体,系,系的建立,IT,风险管理模型的,提,提出,选题背景,8-,1,、基本框架的提,出,出,风险评估,风险监测,风险控制,IT,风险,管理目标,1、,风险识别,2,、风险计量,3,、风险评估,1,、排定风险控制,的,的优先级,2,、采取具体措施,控,控制风险,1,、,收集和监测,2,、,发现和预警,1,、,业务连续性,2,、,信息安全性,3,、,业务发展,9-,域和流程的分解,？,？,IT,风险管理,IT,系统建设,IT,系统运维,信息安全管理,项目管理,系统开发,变更管理,配置管理,物理安全,网络安全,管理域,1,管理域,2,管理域,3,流程,1,流程,2,流程,3,流程,4,流程,5,流程,6,监测,评估,控制,监测,评估,控制,监测,评估,控制,监测,评估,控制,监测,评估,控制,监测,评估,控制,10-,2,、基本,框,框架的,划,划分,按域维,度,度,11-,2,、基本,框,框架的,划,划分,按域维,度,度,域和流,程,程的定,义,义：总,结,结各标,准,准和规,范,范的异,同,同点，,进,进行整,合,合归并,。,。,8,个域：,IT,治理,、,、,IT,风险管,理,理、,IT,审计,、,、,IT,系统建,设,设、,IT,系统运,行,行、,业,业务连,续,续性管,理,理、,外,外包管,理,理、,信,信息安,全,全管理,每个域,下,下定义,若,若干流,程,程，共,21,个流程,：,：,12-,IT,风险管,理,理的层,次,次？,决策层,管理层,执行层,执行管,理,理层制,定,定的管,理,理政策,、,、制度,和,和流程,，,，落实,改,改进措,施,施,提出,IT,发展和,风,风险管,理,理的总,体,体要求,，,，建立,IT,风险管,理,理组织,架,架构，,进,进行,IT,发展和,风,风险管,理,理重要,决,决策,落实决,策,策层关,于,于,IT,发展和,风,风险管,理,理的总,体,体要求,13-,3,、基本,框,框架的,划,划分,按层次,划,划分,14-,4,、最终,框,框架的,建,建立,15-,4,、举例,决策层,IT,风险监测,：,IT,风险评估：,IT,风险控制,：,1,、掌握重大项目进展情况。,1,、评估现有,IT,项目管理组织架构有效性。,1,、建立项目管理组织机构。,2,、掌握,IT,项目资源配置情况,2,、审核重要项目,2,、涉及全局的,IT,项目建设的组织协调,管理层,IT,风险监测：,IT,风险评估：,IT,风险控制：,1,、掌握项目管理情况。,评估项目实施过程风险控制情况,1,、制定项目管理制度，对项目管理流程进行规范,2,、掌握,IT,项目资源配置情况,2,、明确项目建设过程中对项目风险评估的要求。,执行层,IT,风险监测：,IT,风险评估,:,IT,风险控制：,1,、掌握系统功能需求。,1,、系统设计方案风险评估。,1,、完善系统设计方案。,2,、掌握系统设计方案,2,、系统功能、性能和安全性测试。,2,、完善系统功能、性能和安全性。,管理流程,:,项目管理,管理域,:,IT,系统建设,16-,汇报提,纲,纲,结论与,展,展望,案例分,析,析,IT,风险管,理,理评价,体,体系的,建,建立,IT,风险管,理,理模型,的,的提出,选题背,景,景,17-,1,、评价,的,的目的,掌握,IT,风险管,理,理情况,查找差,距,距,分析原,因,因,持续改,进,进。,18-,2,、评价,标,标准和,方,方法,评价标,准,准：,评价,IT,风险管,理,理的好,与,与坏的,参,参照物,。,。,来源：,1,、国家,有,有关制,度,度和规,定,定；,2,、国际,上,上普遍,认,认可和,采,采用的,标,标准,方法：,平,平衡记,分,分卡有,关,关评价,指,指标的,建,建立方,法,法。,19-,3,、平衡,记,记分卡,20-,4,、评价,方,方法,1、风,险,险活动,2,、关键,控,控制点,3,、评价,指,指标,21-,3,、评价,体,体系的,建,建立,1,、战略发展目标,商业银行业务发展总目标,2,、内部控制目标,IT,风险管理的目标，包括业务连续性目标、信息安全目标和业务发展目标,3,、关键成功因素,8,个,IT,管理域,4,、关联流程,每个管理域包括若干管理流程，共,21,个管理流程,5,、关键控制点,每个流程从决策、管理、执行三个层面和监测、评估、控制三个方面包括若干关键控制点,6,、评价指标,每个关键控制点包括若干评价指标,22-,3,、评价,体,体系的,建,建立,共设计,94,个指标,，,，指标,体,体系如,下,下图所,示,示：,23-,3,、评价,体,体系的,建,建立,指标类,型,型评分,方,方法：,专家打,分,分法,IT,风险管,理,理评价,总,总得分,=,（子领,域,域得分*子领,域,域权重,）,）,IT,风险管,理,理评级,：,：,弱：,(0IT,风险管,理,理评价,得,得分,=50),中弱：,(50IT,风险管,理,理评价,得,得分,=70),中强：,(70IT,风险管,理,理评价,得,得分,=90),强：,(90IT,风险管,理,理评价,得,得分,=100),24-,汇报提,纲,纲,结论与,展,展望,案例分,析,析,IT,风险管,理,理评价,体,体系的,建,建立,IT,风险管,理,理模型,的,的提出,选题背,景,景,25-,1,、,A,银行基,本,本情况,某地方,法,法人银,行,行，分,支,支行,48,家，,截,截至,2011,年末，,该,该行资,产,产总额,498,亿元,IT,系统架,构,构建设,方,方面，,已,已建立,了,了两地,三,三中心,的,的运行,体,体系，,即,即一个,数,数据中,心,心，一,个,个同城,灾,灾备中,心,心和一,个,个异地,灾,灾备中,心,心,IT,风险管,理,理方面,，,，目前,有,有科技,部,部人员,48,人，承,担,担主要,的,的科技,项,项目建,设,设、信,息,息系统,运,运维和,IT,风险管,控,控任务,。,。风险,管,管理部,、,、审计,稽,稽核部,初,初步具,备,备,IT,风险管,理,理职能,，,，初步,具,具备监,督,督制约,机,机制,26-,2,、基础,信,信息收,集,集,从,IT,治理、,IT,风险管,理,理、,IT,审计、,IT,系统建,设,设、,IT,系统运,行,行、业,务,务连续,性,性管理,、,、外包,管,管理、,信,信息安,全,全管理,等,等八个,领,领域，,以,以及决,策,策层、,管,管理层,、,、执行,层,层三个,层,层面收,集,集和了,解,解,A,银行截,至,至,2011,年底,IT,风险管,理,理评价,基,基础信,息,息，并,与,与,2010,年相比,较,较了解,取,取得的,进,进展,27-,3,、指标,评,评分,28-,4,、,IT,风险管,理,理情况,分,分析,各管理,域,域得分,情,情况,29-,4,、,IT,风险管,理,理情况,分,分析,各管理,层,层次得,分,分情况,30-,5,、对策,建,建议,A,银行除,了,了针对,具,具体不,足,足制定,改,改进措,施,施外，,要,要提高,IT,风险管,理,理水平,，,，还需,要,要从以,下,下关键,环,环节入,手,手,:,明确,IT,风险管,理,理目标,完善,IT,治理架,构,构,开展具,体,体的,IT,风险监,测,测、评,估,估和控,制,制,31-,汇报提,纲,纲,结论与,展,展望,案例分,析,析,IT,风险管,理,理评价,体,体系的,建,建立,IT,风险管,理,理模型,的,的提出,选题背,景,景,32-,研究结,论,论,本文所,提,提出的,IT,风险管,理,理框架,和,和评价,体,体系能,在,在一定,程,程度上,解,解决商,业,业银行,IT,风险管,理,理“如,何,何做”,的,的问题,：,：,明确了,IT,风险管,理,理的目,标,标,提出了,IT,风险管,理,理的统,一,一视角,监测、,评,评估、,控,控制,具有普,适,适性和,可,可拓展,性,性特点,明确了,IT,风险管,理,理的职,责,责,决策层,、,、管理,层,层、执,行,行层,提供了,实,实施,IT,风险管,理,理的具,体,体方法,33-,研究展,望,望,IT,风险的,度,度量问,题,题,IT,投入成,本,本效益,的,的计算,问,问题,34-,ThankYou!,Copyrightbychenyl,