商业银行IT风险管理框架-及评价体系研究课件

商业银行IT风险管理框架

及评价体系研究

二零一二年六月学生：陈云龙导师：唐勇副教授商业银行IT风险管理框架

及评价体系研究2汇报提纲结论与展望案例分析IT风险管理评价体系的建立IT风险管理模型的提出

选题背景

2汇报提纲结论与展望案例分析IT风险管理评价体系的建立IT风31、基本概念——IT风险IT风险是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉风险。——《商业银行信息科技风险管理指引》《巴塞尔新资本协议》将IT风险作为操作风险的一个重点进行防范。31、基本概念——IT风险IT风险是指信息科技在商业银行运用41、基本概念——IT风险管理通过建立有效的机制，实现对商业银行IT风险的识别、计量、监测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。——《商业银行信息科技风险管理指引》相关概念：包括IT治理、信息安全管理、IT内部控制、IT审计、业务连续性管理、IT项目建设、IT运行管理等，不同概念的侧重点各不相同。本文所指IT风险管理分为广义的概念和狭义的概念，广义的IT风险管理，涵盖上述概念的有关内容，将组织的IT管理活动都视为对IT风险的管理活动。狭义的IT风险管理，特指组织围绕IT风险所开展的具体的识别、计量、监测和控制活动。如未特指，本文所指IT风险管理是广义的概念。41、基本概念——IT风险管理通过建立有效的机制，实现对商业52、问题的提出必要性：IT风险是瞬间能导致一家银行倒闭的风险。数据集中化、业务系统化、系统网络化、渠道多元化破坏性大、影响面广、隐蔽性高、专业性强管理现状：IT风险管理能力亟待提高人力资源紧张、监督评价机制缺失、风险防范能力弱难点：缺乏有效的“操作指南”种类繁多的理论、标准、制度、方法如何入手？如何评价？无所适从52、问题的提出必要性：IT风险是瞬间能导致一家银行倒闭的风63、研究目的借鉴国内外有关IT风险管理的理论、标准和规范，提出IT风险管理的一般框架，建立相应的评价体系该IT风险管理框架和评价体系能兼容现有的标准和规范，且简单易懂、指导性强63、研究目的借鉴国内外有关IT风险管理的理论、标准和规范，74、参考依据理论和方法：管理层次理论、平衡记分卡；风险管理、公司治理、IT治理相关理论。标准：COBIT、ITIL、ISO17799/27001、信息安全风险管理指南（GBZ_24364-2009）制度：商业银行信息科技风险管理指引、信息安全等级保护管理办法74、参考依据理论和方法：管理层次理论、平衡记分卡；风险管理8汇报提纲结论与展望案例分析IT风险管理评价体系的建立IT风险管理模型的提出

选题背景

8汇报提纲结论与展望案例分析IT风险管理评价体系的建立IT风91、基本框架的提出风险评估风险监测风险控制IT风险管理目标1、风险识别2、风险计量3、风险评估

1、排定风险控制的优先级2、采取具体措施控制风险

1、收集和监测

2、发现和预警

1、业务连续性

2、信息安全性3、业务发展91、基本框架的提出风险评估风险监测风险控制IT风险1、风险10域和流程的分解？IT风险管理IT系统建设IT系统运维信息安全管理项目管理系统开发变更管理配置管理物理安全网络安全…………管理域1管理域2管理域3流程1流程2流程3流程4流程5流程6监测评估控制监测评估控制监测评估控制监测评估控制监测评估控制监测评估控制………10域和流程的分解？IT风险管理IT系统建设IT系统运维信息112、基本框架的划分——按域维度112、基本框架的划分——按域维度122、基本框架的划分——按域维度域和流程的定义：总结各标准和规范的异同点，进行整合归并。8个域：IT治理、IT风险管理、IT审计、IT系统建设、IT系统运行、业务连续性管理、外包管理、信息安全管理每个域下定义若干流程，共21个流程：122、基本框架的划分——按域维度域和流程的定义：总结各标准13IT风险管理的层次？决策层管理层执行层执行管理层制定的管理政策、制度和流程，落实改进措施

提出IT发展和风险管理的总体要求，建立IT风险管理组织架构，进行IT发展和风险管理重要决策

落实决策层关于IT发展和风险管理的总体要求

13IT风险管理的层次？决策层管理层执行层执行管理层制定的管143、基本框架的划分——按层次划分143、基本框架的划分——按层次划分154、最终框架的建立154、最终框架的建立164、举例决策层IT风险监测：IT风险评估：IT风险控制：1、掌握重大项目进展情况。

1、评估现有IT项目管理组织架构有效性。1、建立项目管理组织机构。2、掌握IT项目资源配置情况2、审核重要项目2、涉及全局的IT项目建设的组织协调管理层IT风险监测：IT风险评估：IT风险控制：1、掌握项目管理情况。评估项目实施过程风险控制情况1、制定项目管理制度，对项目管理流程进行规范2、掌握IT项目资源配置情况

2、明确项目建设过程中对项目风险评估的要求。执行层IT风险监测：IT风险评估:IT风险控制：1、掌握系统功能需求。1、系统设计方案风险评估。1、完善系统设计方案。2、掌握系统设计方案2、系统功能、性能和安全性测试。2、完善系统功能、性能和安全性。

管理流程:项目管理

管理域:IT系统建设164、举例决策层IT风险监测：IT风险评估：IT风险控17汇报提纲结论与展望案例分析IT风险管理评价体系的建立IT风险管理模型的提出

选题背景

17汇报提纲结论与展望案例分析IT风险管理评价体系的建立IT181、评价的目的掌握IT风险管理情况查找差距分析原因持续改进。181、评价的目的掌握IT风险管理情况192、评价标准和方法评价标准： 评价IT风险管理的好与坏的参照物。来源：1、国家有关制度和规定；2、国际上普遍认可和采用的标准方法：平衡记分卡有关评价指标的建立方法。192、评价标准和方法评价标准：203、平衡记分卡203、平衡记分卡214、评价方法1、风险活动2、关键控制点3、评价指标214、评价方法1、风险活动223、评价体系的建立1、战略发展目标商业银行业务发展总目标2、内部控制目标IT风险管理的目标，包括业务连续性目标、信息安全目标和业务发展目标3、关键成功因素8个IT管理域4、关联流程每个管理域包括若干管理流程，共21个管理流程5、关键控制点每个流程从决策、管理、执行三个层面和监测、评估、控制三个方面包括若干关键控制点6、评价指标每个关键控制点包括若干评价指标223、评价体系的建立1、战略发展目标商业银行业务发展总目标233、评价体系的建立共设计94个指标，指标体系如下图所示：233、评价体系的建立共设计94个指标，指标体系如下图所示：243、评价体系的建立指标类型评分方法： 专家打分法

IT风险管理评价总得分=∑（子领域得分*子领域权重）

IT风险管理评级：弱：(0<IT风险管理评价得分<=50)中弱：(50<IT风险管理评价得分<=70)中强：(70<IT风险管理评价得分<=90)强：(90<IT风险管理评价得分<=100)

243、评价体系的建立指标类型评分方法：25汇报提纲结论与展望案例分析IT风险管理评价体系的建立IT风险管理模型的提出

选题背景

25汇报提纲结论与展望案例分析IT风险管理评价体系的建立IT261、A银行基本情况某地方法人银行，分支行48家，截至2011年末，该行资产总额498亿元

IT系统架构建设方面，已建立了两地三中心的运行体系，即一个数据中心，一个同城灾备中心和一个异地灾备中心IT风险管理方面，目前有科技部人员48人，承担主要的科技项目建设、信息系统运维和IT风险管控任务。风险管理部、审计稽核部初步具备IT风险管理职能，初步具备监督制约机制261、A银行基本情况某地方法人银行，分支行48家，截至2272、基础信息收集从IT治理、IT风险管理、IT审计、IT系统建设、IT系统运行、业务连续性管理、外包管理、信息安全管理等八个领域，以及决策层、管理层、执行层三个层面收集和了解A银行截至2011年底IT风险管理评价基础信息，并与2010年相比较了解取得的进展272、基础信息收集从IT治理、IT风险管理、IT审计、IT283、指标评分283、指标评分294、IT风险管理情况分析各管理域得分情况

294、IT风险管理情况分析各管理域得分情况304、IT风险管理情况分析各管理层次得分情况

304、IT风险管理情况分析各管理层次得分情况315、对策建议A银行除了针对具体不足制定改进措施外，要提高IT风险管理水平，还需要从以下关键环节入手:

明确IT风险管理目标完善IT治理架构

开展具体的IT风险监测、评估和控制

315、对策建议A银行除了针对具体不足制定改进措施外，要提高32汇报提纲结论与展望案例分析IT风险管理评价体系的建立IT风险管理模型的提出

选题背景

32汇报提纲结论与展望案例分析IT风险管理评价体系的建立IT33研究结论本文所提出的IT风险管理框架和评价体系能在一定程度上解决商业银行IT风险管理“如何做”的问题：明确了IT风险管理的目标

提出了IT风险管理的统一视角——监测、评估、控制

具有普适性和可拓展性特点

明确了IT风险管理的职责——决策层、管理层、执行层

提供了实施IT风险管理的具体方法

33研究结论本文所提出的IT风险管理框架和评价体系能在一定程34研究展望IT风险的度量问题

IT投入成本效益的计算问题

34研究展望IT风险的度量问题28、举一而反三，闻一而知十，及学者用功之深，穷理之熟，然后能融会贯通，以至于此。――朱熹

29、读书之乐乐陶陶，起并明月霜天高。——朱熹

30、读书之法无他，惟是笃志虚心，反复详玩，为有功耳。――朱熹

31、读书无疑者须教有疑，有疑者却要无疑，到这里方是长进。——朱熹

32、为学之道，莫先于穷理；穷理之要，必先于读书。——朱熹

33、读书譬如饮食，从容咀嚼，其味必长；大嚼大咀，终不知味也。——朱熹

34、读书无疑者，须教有疑，有疑者，却要无疑，到这里方是长进。——朱熹

35、举一而反三，闻一而知十，及学者用功之深，穷理之熟，然后能融会贯通，以至于此。——朱熹36、我从未知道过有什么苦恼是不能为一小时的读书所排遣的。——孟德斯鸠

37、喜爱读书，就等于把生活中寂寞无聊的时光换成巨大享受的时刻。——孟德斯鸠38、有时间读书，有时间又有书读，这是幸福；没有时间读书，有时间又没书读，这是苦恼。——莫耶

39、读书人不一定有知识，真正的常识是懂得知识，会思想，能工作。——徐特立28、举一而反三，闻一而知十，及学者用功之深，穷理之熟，然后商业银行IT风险管理框架

及评价体系研究

二零一二年六月学生：陈云龙导师：唐勇副教授商业银行IT风险管理框架

及评价体系研究37汇报提纲结论与展望案例分析IT风险管理评价体系的建立IT风险管理模型的提出

选题背景

2汇报提纲结论与展望案例分析IT风险管理评价体系的建立IT风381、基本概念——IT风险IT风险是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉风险。——《商业银行信息科技风险管理指引》《巴塞尔新资本协议》将IT风险作为操作风险的一个重点进行防范。31、基本概念——IT风险IT风险是指信息科技在商业银行运用391、基本概念——IT风险管理通过建立有效的机制，实现对商业银行IT风险的识别、计量、监测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。——《商业银行信息科技风险管理指引》相关概念：包括IT治理、信息安全管理、IT内部控制、IT审计、业务连续性管理、IT项目建设、IT运行管理等，不同概念的侧重点各不相同。本文所指IT风险管理分为广义的概念和狭义的概念，广义的IT风险管理，涵盖上述概念的有关内容，将组织的IT管理活动都视为对IT风险的管理活动。狭义的IT风险管理，特指组织围绕IT风险所开展的具体的识别、计量、监测和控制活动。如未特指，本文所指IT风险管理是广义的概念。41、基本概念——IT风险管理通过建立有效的机制，实现对商业402、问题的提出必要性：IT风险是瞬间能导致一家银行倒闭的风险。数据集中化、业务系统化、系统网络化、渠道多元化破坏性大、影响面广、隐蔽性高、专业性强管理现状：IT风险管理能力亟待提高人力资源紧张、监督评价机制缺失、风险防范能力弱难点：缺乏有效的“操作指南”种类繁多的理论、标准、制度、方法如何入手？如何评价？无所适从52、问题的提出必要性：IT风险是瞬间能导致一家银行倒闭的风413、研究目的借鉴国内外有关IT风险管理的理论、标准和规范，提出IT风险管理的一般框架，建立相应的评价体系该IT风险管理框架和评价体系能兼容现有的标准和规范，且简单易懂、指导性强63、研究目的借鉴国内外有关IT风险管理的理论、标准和规范，424、参考依据理论和方法：管理层次理论、平衡记分卡；风险管理、公司治理、IT治理相关理论。标准：COBIT、ITIL、ISO17799/27001、信息安全风险管理指南（GBZ_24364-2009）制度：商业银行信息科技风险管理指引、信息安全等级保护管理办法74、参考依据理论和方法：管理层次理论、平衡记分卡；风险管理43汇报提纲结论与展望案例分析IT风险管理评价体系的建立IT风险管理模型的提出

选题背景

8汇报提纲结论与展望案例分析IT风险管理评价体系的建立IT风441、基本框架的提出风险评估风险监测风险控制IT风险管理目标1、风险识别2、风险计量3、风险评估

1、排定风险控制的优先级2、采取具体措施控制风险

1、收集和监测

2、发现和预警

1、业务连续性

2、信息安全性3、业务发展91、基本框架的提出风险评估风险监测风险控制IT风险1、风险45域和流程的分解？IT风险管理IT系统建设IT系统运维信息安全管理项目管理系统开发变更管理配置管理物理安全网络安全…………管理域1管理域2管理域3流程1流程2流程3流程4流程5流程6监测评估控制监测评估控制监测评估控制监测评估控制监测评估控制监测评估控制………10域和流程的分解？IT风险管理IT系统建设IT系统运维信息462、基本框架的划分——按域维度112、基本框架的划分——按域维度472、基本框架的划分——按域维度域和流程的定义：总结各标准和规范的异同点，进行整合归并。8个域：IT治理、IT风险管理、IT审计、IT系统建设、IT系统运行、业务连续性管理、外包管理、信息安全管理每个域下定义若干流程，共21个流程：122、基本框架的划分——按域维度域和流程的定义：总结各标准48IT风险管理的层次？决策层管理层执行层执行管理层制定的管理政策、制度和流程，落实改进措施

提出IT发展和风险管理的总体要求，建立IT风险管理组织架构，进行IT发展和风险管理重要决策

落实决策层关于IT发展和风险管理的总体要求

13IT风险管理的层次？决策层管理层执行层执行管理层制定的管493、基本框架的划分——按层次划分143、基本框架的划分——按层次划分504、最终框架的建立154、最终框架的建立514、举例决策层IT风险监测：IT风险评估：IT风险控制：1、掌握重大项目进展情况。

1、评估现有IT项目管理组织架构有效性。1、建立项目管理组织机构。2、掌握IT项目资源配置情况2、审核重要项目2、涉及全局的IT项目建设的组织协调管理层IT风险监测：IT风险评估：IT风险控制：1、掌握项目管理情况。评估项目实施过程风险控制情况1、制定项目管理制度，对项目管理流程进行规范2、掌握IT项目资源配置情况

2、明确项目建设过程中对项目风险评估的要求。执行层IT风险监测：IT风险评估:IT风险控制：1、掌握系统功能需求。1、系统设计方案风险评估。1、完善系统设计方案。2、掌握系统设计方案2、系统功能、性能和安全性测试。2、完善系统功能、性能和安全性。

管理流程:项目管理

管理域:IT系统建设164、举例决策层IT风险监测：IT风险评估：IT风险控52汇报提纲结论与展望案例分析IT风险管理评价体系的建立IT风险管理模型的提出

选题背景

17汇报提纲结论与展望案例分析IT风险管理评价体系的建立IT531、评价的目的掌握IT风险管理情况查找差距分析原因持续改进。181、评价的目的掌握IT风险管理情况542、评价标准和方法评价标准： 评价IT风险管理的好与坏的参照物。来源：1、国家有关制度和规定；2、国际上普遍认可和采用的标准方法：平衡记分卡有关评价指标的建立方法。192、评价标准和方法评价标准：553、平衡记分卡203、平衡记分卡564、评价方法1、风险活动2、关键控制点3、评价指标214、评价方法1、风险活动573、评价体系的建立1、战略发展目标商业银行业务发展总目标2、内部控制目标IT风险管理的目标，包括业务连续性目标、信息安全目标和业务发展目标3、关键成功因素8个IT管理域4、关联流程每个管理域包括若干管理流程，共21个管理流程5、关键控制点每个流程从决策、管理、执行三个层面和监测、评估、控制三个方面包括若干关键控制点6、评价指标每个关键控制点包括若干评价指标223、评价体系的建立1、战略发展目标商业银行业务发展总目标583、评价体系的建立共设计94个指标，指标体系如下图所示：233、评价体系的建立共设计94个指标，指标体系如下图所示：593、评价体系的建立指标类型评分方法： 专家打分法

IT风险管理评价总得分=∑（子领域得分*子领域权重）

IT风险管理评级：弱：(0<IT风险管理评价得分<=50)中弱：(50<IT风险管理评价得分<=70)中强：(70<IT风险管理评价得分<=90)强：(90<IT风险管理评价得分<=100)

243、评价体系的建立指标类型评分方法：60汇报提纲结论与展望案例分析IT风险管理评价体系的建立IT风险管理模型的提出

选题背景

25汇报提纲结论与展望案例分析IT风险管理评价体系的建立IT611、A银行基本情况某地方法人银行，分支行48家，截至2011年末，该行资产总额498亿元

IT系统架构建设方面，已建立了两地三中心的运行体系，即一个数据中心，一个同城灾备中心和一个异地灾备中心IT风险管理方面，目前有科技部人员48人，承担主要的科技项目建设、信息系统运维和IT风险管控任务。风险管理部、审计稽核部初步具备IT风险管理职能，初步具备监督制约机制261、A银行基本情况某地方法人银行，分支行48家，截至2622、基础信息收集从IT治理、IT风险管理、IT审计、IT系统建设、IT系统运行、业务连续性管理、外包管理、信息安全管理等八个领域，以及决策层、管理层、执行层三个层面收集和了解A银行截至2011年底IT风险管理评价基础信息，并与2010年相比较了解取得的进展272、基础信息收集从IT治理、IT风险管理、IT审计、IT633、指标评分283、指标评分644、IT风险管理情况分析各管理域得分情况

294、IT风险管理情况分析各管理域得分情况654、IT风险管理情况分析各管理层次得分情况

304、IT风险管