1、商業銀行商業銀行ITIT風險管理框架風險管理框架及評價體系研究及評價體系研究 二零一二年六月二零一二年六月學生：陳云龍學生：陳云龍導師：唐勇副教授導師：唐勇副教授2匯報提綱結論與展望結論與展望案例分析案例分析IT風險管理評價體系的建立風險管理評價體系的建立IT風險管理模型的提出風險管理模型的提出 選題背景選題背景 31、基本概念、基本概念IT風險vITIT風險是指信息科技在商業銀行運用過程中，由風險是指信息科技在商業銀行運用過程中，由于于自然因素、人為因素、技術漏洞和管理缺陷自然因素、人為因素、技術漏洞和管理缺陷產產生的操作、法律和聲譽風險。生的操作、法律和聲譽風險。 商業銀行商業銀行信息科技

2、風險管理指引信息科技風險管理指引 v巴塞爾新資本協議巴塞爾新資本協議將將ITIT風險作為操作風險的風險作為操作風險的一個重點進行防范。一個重點進行防范。41、基本概念、基本概念IT風險管理v 通過建立有效的機制，實現對商業銀行通過建立有效的機制，實現對商業銀行ITIT風險的識別、計量、監測風險的識別、計量、監測和控制，促進商業銀行安全、持續、穩健運行，推動業務創新，提和控制，促進商業銀行安全、持續、穩健運行，推動業務創新，提高信息技術使用水平，增強核心競爭力和可持續發展能力。高信息技術使用水平，增強核心競爭力和可持續發展能力。 商業銀行信息科技風險管理指引商業銀行信息科技風險管理指引 v 相關

3、概念：包括相關概念：包括ITIT治理、信息安全管理、治理、信息安全管理、ITIT內部控制、內部控制、ITIT審計、業審計、業務連續性管理、務連續性管理、ITIT項目建設、項目建設、ITIT運行管理等，不同概念的側重點各運行管理等，不同概念的側重點各不相同。不相同。v 本文所指本文所指ITIT風險管理分為廣義的概念和狹義的概念，廣義的風險管理分為廣義的概念和狹義的概念，廣義的ITIT風險風險管理，涵蓋上述概念的有關內容，管理，涵蓋上述概念的有關內容，將組織的將組織的ITIT管理活動都視為管理活動都視為對對ITIT風險的管理活動風險的管理活動。狹義的。狹義的ITIT風險管理，特指組織圍繞風險管理，

4、特指組織圍繞ITIT風風險所開展的具體的識別、計量、監測和控制活動。如未特指，本文險所開展的具體的識別、計量、監測和控制活動。如未特指，本文所指所指ITIT風險管理是廣義的概念。風險管理是廣義的概念。52、問題的提出、問題的提出v必要性：IT風險是瞬間能導致一家銀行倒閉的風險。 數據集中化、業務系統化、系統網絡化、渠道多元化 破壞性大 、影響面廣、隱蔽性高、專業性強v管理現狀：IT風險管理能力亟待提高 人力資源緊張、監督評價機制缺失、風險防范能力弱v難點：缺乏有效的“操作指南” 種類繁多的理論、標準、制度、方法 如何入手？如何評價？無所適從63、研究目的、研究目的v借鑒國內外有關IT風險管理的

5、理論、標準和規范，提出IT風險管理的一般框架，建立相應的評價體系 v該IT風險管理框架和評價體系能兼容現有的標準和規范，且簡單易懂、指導性強74、參考依據、參考依據v理論和方法：管理層次理論、平衡記分卡；風險管理、公司治理、IT治理相關理論。v標準：COBIT、ITIL、ISO 17799/27001、信息安全風險管理指南（GBZ_24364-2009） v制度：商業銀行信息科技風險管理指引、信息安全等級保護管理辦法8匯報提綱結論與展望結論與展望案例分析案例分析IT風險管理評價體系的建立風險管理評價體系的建立IT風險管理模型的提出風險管理模型的提出 選題背景選題背景 91、基本框架的提出、基本

6、框架的提出風險評估風險評估風險監測風險監測風險控制風險控制IT風險風險管理目標管理目標1、風險識別風險識別2、風險計量、風險計量3、風險評估、風險評估 1、排定風險控制、排定風險控制的優先級的優先級2、采取具體措施、采取具體措施控制風險控制風險 1、收集和監測收集和監測 2、發現和預警發現和預警 1、業務連續性業務連續性 2、信息安全性信息安全性3、業務發展業務發展10域和流程的分解？域和流程的分解？IT風險管理風險管理IT系統建設系統建設IT系統運維系統運維信息安全管理信息安全管理項目管理項目管理系統開發系統開發變更管理變更管理配置管理配置管理物理安全物理安全網絡安全網絡安全管理域管理域1管

7、理域管理域2管理域管理域3流程流程1流程流程2流程流程3流程流程4流程流程5流程流程6監測監測評估評估控制控制監測監測評估評估控制控制監測監測評估評估控制控制監測監測評估評估控制控制監測監測評估評估控制控制監測監測評估評估控制控制112、基本框架的劃分、基本框架的劃分按域維度按域維度122、基本框架的劃分、基本框架的劃分按域維度按域維度v域和流程的定義：總結各標準和規范的異同點，進行整合歸并。v8個域：IT治理 、IT風險管理 、IT審計 、IT系統建設 、IT系統運行 、業務連續性管理 、外包管理 、信息安全管理 v每個域下定義若干流程，共21個流程：13IT風險管理的層次？風險管理的層次？

8、執行管理層制定的管理政策、制度和流程，落實改進措施 提出IT發展和風險管理的總體要求，建立IT風險管理組織架構，進行IT發展和風險管理重要決策 落實決策層關于IT發展和風險管理的總體要求 143、基本框架的劃分、基本框架的劃分按層次劃分按層次劃分154、最終框架的建立、最終框架的建立164、舉例、舉例決策層決策層ITIT風險監測風險監測： ITIT風險評估：風險評估： ITIT風險控制風險控制： 1、掌握重大項目進展情況。 1、評估現有IT項目管理組織架構有效性。 1、建立項目管理組織機構。 2、掌握IT項目資源配置情況2、審核重要項目2、涉及全局的IT項目建設的組織協調管理層管理層ITIT風

9、險監測：風險監測： ITIT風險評估：風險評估：ITIT風險控制：風險控制： 1、掌握項目管理情況。 評估項目實施過程風險控制情況1、制定項目管理制度，對項目管理流程進行規范 2、掌握IT項目資源配置情況2、明確項目建設過程中對項目風險評估的要求。執行層執行層ITIT風險監測：風險監測： ITIT風險評估風險評估: : ITIT風險控制：風險控制： 1、掌握系統功能需求。 1、系統設計方案風險評估。 1、完善系統設計方案。 2、掌握系統設計方案2、系統功能、性能和安全性測試。2、完善系統功能、性能和安全性。管理流程管理流程: :項目管理管理域管理域: :IT系統建設17匯報提綱結論與展望結論與

10、展望案例分析案例分析IT風險管理評價體系的建立風險管理評價體系的建立IT風險管理模型的提出風險管理模型的提出 選題背景選題背景 181、評價的目的、評價的目的v掌握IT風險管理情況v查找差距v分析原因v持續改進。192、評價標準和方法、評價標準和方法v評價標準：評價IT風險管理的好與壞的參照物 。 來源：1、國家有關制度和規定 ；2、國際上普遍認可和采用的標準v方法：平衡記分卡有關評價指標的建立方法。 203、平衡記分卡、平衡記分卡214、評價方法、評價方法1 1、風險活動、風險活動2、關鍵控制點、關鍵控制點3、評價指標、評價指標223、評價體系的建立、評價體系的建立1 1、戰略發展目標、戰略

11、發展目標商業銀行業務發展總目標2 2、內部控制目標、內部控制目標IT風險管理的目標，包括業務連續性目標、信息安全目標和業務發展目標3 3、關鍵成功因素、關鍵成功因素8個IT管理域4 4、關聯流程、關聯流程每個管理域包括若干管理流程，共21個管理流程5 5、關鍵控制點、關鍵控制點每個流程從決策、管理、執行三個層面和監測、評估、控制三個方面包括若干關鍵控制點6 6、評價指標、評價指標每個關鍵控制點包括若干評價指標233、評價體系的建立、評價體系的建立v 共設計94個指標，指標體系如下圖所示：243、評價體系的建立、評價體系的建立v指標類型評分方法：專家打分法 IT風險管理評價總得分=（子領域得分*

12、子領域權重） vIT風險管理評級 ： 弱：(0IT風險管理評價得分=50) 中弱：(50IT風險管理評價得分=70) 中強：(70IT風險管理評價得分=90) 強：(90IT風險管理評價得分=100) 25匯報提綱結論與展望結論與展望案例分析案例分析IT風險管理評價體系的建立風險管理評價體系的建立IT風險管理模型的提出風險管理模型的提出 選題背景選題背景 261、A銀行基本情況銀行基本情況v 某地方法人銀行，分支行48家 ，截至2011年末，該行資產總額498億元 v IT系統架構建設方面，已建立了兩地三中心的運行體系，即一個數據中心，一個同城災備中心和一個異地災備中心 v IT風險管理方面，

13、目前有科技部人員48人，承擔主要的科技項目建設、信息系統運維和IT風險管控任務。風險管理部、審計稽核部初步具備IT風險管理職能，初步具備監督制約機制272、基礎信息收集、基礎信息收集v從IT治理、IT風險管理、IT審計、IT系統建設、IT系統運行、業務連續性管理、外包管理、信息安全管理等八個領域，以及決策層、管理層、執行層三個層面收集和了解A銀行截至2011年底IT風險管理評價基礎信息，并與2010年相比較了解取得的進展 283、指標評分、指標評分294、IT風險管理情況分析風險管理情況分析v各管理域得分情況各管理域得分情況 304、IT風險管理情況分析風險管理情況分析v各管理層次得分情況各管

14、理層次得分情況 315、對策建議、對策建議vA銀行除了針對具體不足制定改進措施外，要提銀行除了針對具體不足制定改進措施外，要提高高IT風險管理水平，還需要從以下關鍵環節入手風險管理水平，還需要從以下關鍵環節入手: 明確明確IT風險管理目標風險管理目標 完善完善IT治理架構治理架構 開展具體的開展具體的IT風險監測、評估和控制風險監測、評估和控制 32匯報提綱結論與展望結論與展望案例分析案例分析IT風險管理評價體系的建立風險管理評價體系的建立IT風險管理模型的提出風險管理模型的提出 選題背景選題背景 33研究結論研究結論v本文所提出的IT風險管理框架和評價體系能在一定程度上解決商業銀行IT風險管理“如何做”的問題： 明確了明確了IT風險管理的目標風險管