商业银行IT风险管理框架及评价体系研究.ppt

商业银行IT风险管理框架及评价体系研究,二零一二年六月,学生：陈云龙,导师：唐勇副教授,-2-,汇报提纲,结论与展望,案例分析,IT风险管理评价体系的建立,IT风险管理模型的提出,选题背景,-3-,1、基本概念IT风险,IT风险是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉风险。商业银行信息科技风险管理指引巴塞尔新资本协议将IT风险作为操作风险的一个重点进行防范。,-4-,1、基本概念IT风险管理,通过建立有效的机制，实现对商业银行IT风险的识别、计量、监测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。商业银行信息科技风险管理指引相关概念：包括IT治理、信息安全管理、IT内部控制、IT审计、业务连续性管理、IT项目建设、IT运行管理等，不同概念的侧重点各不相同。本文所指IT风险管理分为广义的概念和狭义的概念，广义的IT风险管理，涵盖上述概念的有关内容，将组织的IT管理活动都视为对IT风险的管理活动。狭义的IT风险管理，特指组织围绕IT风险所开展的具体的识别、计量、监测和控制活动。如未特指，本文所指IT风险管理是广义的概念。,-5-,2、问题的提出,必要性：IT风险是瞬间能导致一家银行倒闭的风险。数据集中化、业务系统化、系统网络化、渠道多元化破坏性大、影响面广、隐蔽性高、专业性强管理现状：IT风险管理能力亟待提高人力资源紧张、监督评价机制缺失、风险防范能力弱难点：缺乏有效的“操作指南”种类繁多的理论、标准、制度、方法如何入手？如何评价？无所适从,-6-,3、研究目的,借鉴国内外有关IT风险管理的理论、标准和规范，提出IT风险管理的一般框架，建立相应的评价体系该IT风险管理框架和评价体系能兼容现有的标准和规范，且简单易懂、指导性强,-7-,4、参考依据,理论和方法：管理层次理论、平衡记分卡；风险管理、公司治理、IT治理相关理论。标准：COBIT、ITIL、ISO17799/27001、信息安全风险管理指南（GBZ_24364-2009）制度：商业银行信息科技风险管理指引、信息安全等级保护管理办法,-8-,汇报提纲,结论与展望,案例分析,IT风险管理评价体系的建立,IT风险管理模型的提出,选题背景,-9-,1、基本框架的提出,风险评估,风险监测,风险控制,IT风险管理目标,1、风险识别2、风险计量3、风险评估,1、排定风险控制的优先级2、采取具体措施控制风险,1、收集和监测2、发现和预警,1、业务连续性2、信息安全性3、业务发展,-10-,域和流程的分解？,IT风险管理,IT系统建设,IT系统运维,信息安全管理,项目管理,系统开发,变更管理,配置管理,物理安全,网络安全,管理域1,管理域2,管理域3,流程1,流程2,流程3,流程4,流程5,流程6,监测评估控制,监测评估控制,监测评估控制,监测评估控制,监测评估控制,监测评估控制,-11-,2、基本框架的划分按域维度,-12-,2、基本框架的划分按域维度,域和流程的定义：总结各标准和规范的异同点，进行整合归并。8个域：IT治理、IT风险管理、IT审计、IT系统建设、IT系统运行、业务连续性管理、外包管理、信息安全管理每个域下定义若干流程，共21个流程：,-13-,IT风险管理的层次？,决策层,管理层,执行层,执行管理层制定的管理政策、制度和流程，落实改进措施,提出IT发展和风险管理的总体要求，建立IT风险管理组织架构，进行IT发展和风险管理重要决策,落实决策层关于IT发展和风险管理的总体要求,-14-,3、基本框架的划分按层次划分,-15-,4、最终框架的建立,-16-,4、举例,-17-,汇报提纲,结论与展望,案例分析,IT风险管理评价体系的建立,IT风险管理模型的提出,选题背景,-18-,1、评价的目的,掌握IT风险管理情况查找差距分析原因持续改进。,-19-,2、评价标准和方法,评价标准：评价IT风险管理的好与坏的参照物。来源：1、国家有关制度和规定；2、国际上普遍认可和采用的标准方法：平衡记分卡有关评价指标的建立方法。,-20-,3、平衡记分卡,-21-,4、评价方法,1、风险活动2、关键控制点3、评价指标,-22-,3、评价体系的建立,-23-,3、评价体系的建立,共设计94个指标，指标体系如下图所示：,-24-,3、评价体系的建立,指标类型评分方法：专家打分法IT风险管理评价总得分=（子领域得分*子领域权重）IT风险管理评级：弱：(0IT风险管理评价得分=50)中弱：(50IT风险管理评价得分=70)中强：(70IT风险管理评价得分=90)强：(90IT风险管理评价得分=100),-25-,汇报提纲,结论与展望,案例分析,IT风险管理评价体系的建立,IT风险管理模型的提出,选题背景,-26-,1、A银行基本情况,某地方法人银行，分支行48家，截至2011年末，该行资产总额498亿元IT系统架构建设方面，已建立了两地三中心的运行体系，即一个数据中心，一个同城灾备中心和一个异地灾备中心IT风险管理方面，目前有科技部人员48人，承担主要的科技项目建设、信息系统运维和IT风险管控任务。风险管理部、审计稽核部初步具备IT风险管理职能，初步具备监督制约机制,-27-,2、基础信息收集,从IT治理、IT风险管理、IT审计、IT系统建设、IT系统运行、业务连续性管理、外包管理、信息安全管理等八个领域，以及决策层、管理层、执行层三个层面收集和了解A银行截至2011年底IT风险管理评价基础信息，并与2010年相比较了解取得的进展,-28-,3、指标评分,-29-,4、IT风险管理情况分析,各管理域得分情况,-30-,4、IT风险管理情况分析,各管理层次得分情况,-31-,5、对策建议,A银行除了针对具体不足制定改进措施外，要提高IT风险管理水平，还需要从以下关键环节入手:明确IT风险管理目标完善IT治理架构开展具体的IT风险监测、评估和控制,-32-,汇报提纲,结论与展望,案例分析,IT风险管理评价体系的建立,IT风险管理模型的提出,选题背景,-33-,研究结论,本文所提出的IT风险管理框架和评价体系能在一定程度上解决商业银行IT风险管理“如何做”的问题：明确了IT风险管理的目标提出了IT风险管理