商业银行信息科技风险管理指引概述.pdfVIP

itit治理与商业银行信息科技风险治理与商业银行信息科技风险 管理指引概述管理指引概述 2009年7月 第1页 声明声明 本培训资料中所包含之内容属保密内容，未经安永（中国）企业咨询有限公司 正式书面允诺，不得部分或全部复制，不得使用于非法目的，不得以任何形式 交予任何第三方或与任何第三方讨论其中之内容。 保密内容 安永（中国）企业咨询有限公司，二九年，保留所有权利 第2页 目录目录 信息科技治理结构信息科技治理结构 信息科技治理结构分析信息科技治理结构分析 指引概述指引概述 第3页 公司治理与公司治理与itit治理（信息科技治理）治理（信息科技治理） 公司治理： 为确定组织目标和确保目标实现的绩效监控所提供的治理结构。 it治理 it治理是公司治理的一部分 it治理就是要明确有关it决策权的归属机制和有关it责任的承担机制，以鼓励it应用的期 望行为的产生，以联接业务目标和it目标，从而使企业从it中获得最大的价值。 it治理与公司治理的目标是一样的：达到业务持续运营，并增加组织的长期获利机 会。 第4页 itit治理的概念治理的概念 新指引要求：信息科技风险管理的目标是通过建立有效的机制，实现对商业银行 信息科技风险的识别、计量、监测和控制，促进商业银行安全、持续、稳健运行，推 动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。 itgi的描述：it治理是一种引导和控制企业各种关系和流程的结构，这种结构安排， 旨在通过平衡信息技术及其流程中的风险和收益，增加价值，以实现企业目标。 国内观点：it治理是描述企业或政府是否采用有效的机制，使得it的应用能够完成组 织赋予它的使命，同时平衡信息化过程中的风险，确保实现组织的战略目标的过程。 它的使命是：保持it与业务目标一致，推动业务发展，促使收益最大化，合理利用it 资源，适当管理与it相关的风险。 总结：it治理就是解决企业在信息化过程中遇到的与it相关的非技术性问题，让it在 企业中更好地发挥作用。 第5页 itit治理的四个领域治理的四个领域 it治理主要包括四个领域： 关注it治理的驱动力： 战略一致性 业绩衡量 关注it治理的目标： it要为企业交付价值 it风险要降低 第6页 itit治理的第一步治理的第一步 - - 业务战略与业务战略与itit战略的一致性战略的一致性 为保证业务战略与it战略的一致性， 应遵循以下原则： 业务驱动it 业务战略确定it目标 第7页 itit治理结构的组成治理结构的组成 it治理具有复杂的组成结构 it治理包括战略、战术、运营，三个层面 it治理包括指导、监督、评估，三方面工作 it治理需要标准化的管理体系进行支撑， 如： itsm（it服务管理体系） isms（信息安全管理体系） erm（全面风险管理） 战术战术运营运营 战略战略 指导指导 监督监督 评估评估 计划计划 实施实施 检查检查 改进改进业务业务 第8页 目录目录 信息科技治理结构信息科技治理结构 信息科技治理结构分析信息科技治理结构分析 指引概述指引概述 第9页 itit治理结构（治理结构（1 1） it治理的目的仍然在于维护业务的快 速、稳定增长。 业务业务 第10页 itit治理结构（治理结构（2 2） it治理同公司治理一样，也具有战略、战 术、运营，三个层面： 战略，描述了企业长期发展的动机和愿景 战术，企业根据自己的组织状况对战略进 行分解之后，形成的目标 运营，企业通过日常工作以实现战术目标 战术战术运营运营 战略战略 业务业务 第11页 itit治理结构（治理结构（3 3） it治理过程中，管理者应实施三项活动：指 导、监督、评估 管理者三项it治理活动的过程如下： 制定it战略，并指导it战略向it战术的分解 监督并指导it战术的实施和it战术向it运营 的分解 评估it运营的效果，并通过评估结果重新调 整it战略。 战略、战术和运营的分解和绩效评估工具： 平衡计分卡 战术战术运营运营 战略战略 指导指导 监督监督 评估评估 业务业务 第12页 itit治理结构（治理结构（4 4） it治理过程中，管理者需要规范的管理体 系，以支撑it治理框架，管理体系主要包 括： it服务管理体系（itsm），基于 iso20000 信息安全管理体系（isms），基于 iso27001 全面风险管理体系，基于coso 注：coso是美国“全国虚假财务报告委员会”下属的 “发起人委员会”的英文缩写。根据萨班斯法案第 404节条款以及美国证券交易委员会（sec）的相应 实施标准，要求公司的管理层评估和报告公司最近 年度的财务报告的内部控制的有效性。coso框架是 美国上市公司内部控制框架的参照性标准。 战术战术运营运营 战略战略 指导指导 监督监督 评估评估 计划计划 实施实施 检查检查 改进改进业务业务 第13页 目录目录 信息科技治理结构信息科技治理结构 信息科技治理结构分析信息科技治理结构分析 指引概述指引概述 第14页 新指引的指导思想新指引的指导思想 贯彻了“管法人、管风险、管内控、提高透明度”的银行监管理念。 从坚持法人监管出发，指出商业银行法定代表人是本机构信息科技风险管理的第一责任人。 从内控监管要求出发，要求商业银行建立完整的管理组织架构，制订完善的管理制度和流程， 以相互制约的管理机制对信息科技各环节进行控制。 信息科技治理作为首要内容提出，充实并细化了对商业银行在治理层面的具体要求。 规定了董事会和高级管理层在信息科技风险管理中承担的主要责任，提出要构建信息科技风险 管理的“三道防线”（即信息科技管理、信息科技风险管理、信息科技风险审计）。 要求商业银行在决策层设立首席信息官，有利于商业银行加强信息科技治理。 -银监会有关负责人就商业银行信息科技风险管理指引答记者问 重点： 1.法人监管 2.建设完整的管理组织架构 3.构建信息科技管理、信息科技风险管理、信息科技风险审计三方监管 4.设立首席信息官（cio） 第15页 行长 首席信息官 信息科技风险管理 部门 信息科技部 指引概述（指引概述（1 1）- -战略战略 指引要求选项二指引要求选项二 行长 首席风险官 信息科技风险管 理部门 首席信息官 信息科技部 指引要求选项一指引要求选项一 指引要求选项三指引要求选项三 行长 首席信息官 信息科技部 风险管理委员会 信息科技风险管理 部门 第二章 信息科技治理 cio与信息科技风险管理部门 it战略制定与审批 第16页 指引概述（指引概述（2 2）- -战术战术 第三章 信息科技风险管理 it战略分解，并与业务战略保持一致：“ 制定符合银行总体业务规划的信息科技战略、信 息科技运行计划和信息科技风险评估计划，确保配置足够人力、财力资源，维持稳定、安 全的信息科技环境。” 建立信息安全管理体系（属于信息安全管理体系）：“ 制定持续的风险识别和评估流 程” 建立服务水平管理流程（属于it服务管理体系）：“应建立持续的信息科技风险计量和监 测机制”；”对服务水平协议的完成情况进行定期审查。” 第七章 业务连续性管理 制定业务连续性计划：”应根据自身业务的性质、规模和复杂程度制定适当的业务连续性 规划” 制定灾难恢复计划：“以确保在出现无法预见的中断时，系统仍能持续运行并提供服 务；” 进行应急演练和灾难恢复演练：”定期对规划进行更新和演练，以保证其有效性。” 第17页 指引概述（指引概述（3 3）- -运营运营a a 第四章 信息安全 建立信息安全管理体系：“建立和实施信息分类和保护体系” 控制信息的声明周期（电子和纸质）：“应制定相关制度和流程，严格管理客户信息的采 集、处理、存贮、传输、分发、备份、恢复、清理和销毁。” 第五章 信息系统开发、测试和维护 软件生命周期管理体系：“应有能力对信息系统进行需求分析、规划、采购、开发、测试、 部署、维护、升级和报废，制定制度和流程，管理信息科技项目的优先排序、立项、审批 和控制。” 建立问题管理流程（属于it服务管理体系）：“应建立并完善有效的问题管理流程” 建立容量管理流程（属于it服务管理体系） ：“当设备达到预期使用寿命或性能不能满足业 务需求，基础软件（操作系统、数据库管理系统、中间件）或应用软件必须升级时，应及 时进行系统升级，” 第六章 信息科技运行 建立应急流程：“应建立事故管理及处置机制，及时响应信息系统运行事故” 建立服务水平管理流程（属于it服务管理体系）：“应建立服务水平管理相关的制度和流 程，对信息科技运行服务水平进行考核。” 建立容量管理流程（属于it服务管理体系） ：“应建立连续监控信息系统性能的相关程 序，及时、完整地报告例外情况”；“应制定容量规划，以适应由于外部环境变化产生的业务 发展和交易量增长。” 建立问题管理流程（属于it服务管理体系） ：“应制定有效的变更管理流程” 第18页 指引概述（指引概述（3 3）- -运营运营b b 第八章 外包 对外包负责：“不得将其信息科技管理责任外包，应合理谨慎监督外包职能的履行。” 重要外包应上报：“重要外包（如数据中心和信息科技基础设施等)应格外谨慎，在准备实 施重要外包时应以书面材料正式报告银监会或其派出机构。” 建立服务水平管理流程（属于it服务管理体系）：“实施双方关系管理起草服务水平协 议”；“应设立流程定期审阅和修订服务水平协议。” 外包合同审阅：“信息科技外包合同应由信息科技风险管理部门、法律部门和信息科技管 理委员会审核通过。” 第九章 内部审计 it内审应进行控制测试：“内部审计部门应根据业务的性质、规模和复杂程度，对相关系 统及其控制的适当性和有效性进行监测。” it内审应有访问银行记录权利：“内部审计部门应配备足够的资源和具有专业能力的信息 科技审计人员，独立于本银行的日常活动，具有适当的授权访问本银行的记录。” 一般it审计频率根据评估结果：“应根据业务性质、规模和复杂程度，信息科技应用情 况，以及信息科技风险评估结果，决定信息科技内部审计范围和频率。” 全面it审计三年一次：“应每三年进行一次全面审计。” 第十章 外部审计 外部审计机构是审计的组成部分：“在符合法律、法规和监管要求的情况下，委托具备相应 资质的外部审计机构进行信息科技外部审计。” 银监会的it审计工作可委托给外部审计机构：“银监会及其派出机构必要时可指定具备相应 资质的外部审计机构对商业银行执行信息科技审计或相关检查。” 第19页 小结小结 itit治理成功的十项要点治理成功的十项要点 英国it governance limited 的ceo alan calder对企业在进行it治理时给出十条建 议: 1 整个企业要对it治理要达成明确的共识 2 要让董事会理解it治理是他们的职责 3 制定一个it治理框架 4 建立角色清晰的cio ,并赋予足够的权力 5 建立it管理委员会 6 在技术讨论中，禁止使用专业术语 7 建立企业的it架构委员会 8 采用专业的it审计 9 使用最佳实践标准（如：iso20000、iso27001），并保证被正确的实施 10 始终保持it与业务的一致性 关于安永 安永是全球领先的审计、税务、财务交易和咨询服务机构之一。拥有共同的信念以及对优质服务坚定不移的承 诺把我们全球各地130,000 名员工联系在一起。亦因安永能为员工、客户和社会各界发展潜能，我们在行业中别 树一帜。 如欲进一步了解安永，请浏览 。 安永是指ernst & young global limited 的全球成员机构组成的组织，各成员机构都是独立的法人实体。ernst & young global limited 是英国一家担保有限公司，并不向客户提供服务。 www.ey