商业银行IT风险管理框架及评价体系研究.ppt

1、IT风险管理框架及评价体系研究,二零一二年六月,学生：陈云龙,导师：唐勇副教授,汇报提纲,结论与展望,案例分析,IT风险管理评价体系的建立,IT风险管理模型的提出,选题背景,1、基本概念IT风险,IT风险是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉风险。 商业银行信息科技风险管理指引 巴塞尔新资本协议将IT风险作为操作风险的一个重点进行防范。,1、基本概念IT风险管理,通过建立有效的机制，实现对商业银行IT风险的识别、计量、监测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。 商

2、业银行信息科技风险管理指引 相关概念：包括IT治理、信息安全管理、IT内部控制、IT审计、业务连续性管理、IT项目建设、IT运行管理等，不同概念的侧重点各不相同。 本文所指IT风险管理分为广义的概念和狭义的概念，广义的IT风险管理，涵盖上述概念的有关内容，将组织的IT管理活动都视为对IT风险的管理活动。狭义的IT风险管理，特指组织围绕IT风险所开展的具体的识别、计量、监测和控制活动。如未特指，本文所指IT风险管理是广义的概念。,2、问题的提出,必要性：IT风险是瞬间能导致一家银行倒闭的风险。 数据集中化、业务系统化、系统网络化、渠道多元化 破坏性大 、影响面广、隐蔽性高、专业性强 管理现状：I

3、T风险管理能力亟待提高 人力资源紧张、监督评价机制缺失、风险防范能力弱 难点：缺乏有效的“操作指南” 种类繁多的理论、标准、制度、方法 如何入手？如何评价？无所适从,3、研究目的,借鉴国内外有关IT风险管理的理论、标准和规范，提出IT风险管理的一般框架，建立相应的评价体系 该IT风险管理框架和评价体系能兼容现有的标准和规范，且简单易懂、指导性强,4、参考依据,理论和方法：管理层次理论、平衡记分卡；风险管理、公司治理、IT治理相关理论。 标准：COBIT、ITIL、ISO 17799/27001、信息安全风险管理指南（GBZ_24364-2009） 制度：商业银行信息科技风险管理指引、信息安全等

4、级保护管理办法,汇报提纲,结论与展望,案例分析,IT风险管理评价体系的建立,IT风险管理模型的提出,选题背景,1、基本框架的提出,风险评估,风险监测,风险控制,IT风险 管理目标,1、风险识别 2、风险计量 3、风险评估,1、排定风险控制的优先级 2、采取具体措施控制风险,1、收集和监测 2、发现和预警,1、业务连续性 2、信息安全性 3、业务发展,域和流程的分解？,IT风险管理,IT系统建设,IT系统运维,信息安全管理,项目管理,系统开发,变更管理,配置管理,物理安全,网络安全,管理域1,管理域2,管理域3,流程1,流程2,流程3,流程4,流程5,流程6,监测 评估 控制,监测 评估 控制,

5、监测 评估 控制,监测 评估 控制,监测 评估 控制,监测 评估 控制,2、基本框架的划分按域维度,2、基本框架的划分按域维度,域和流程的定义：总结各标准和规范的异同点，进行整合归并。 8个域：IT治理 、IT风险管理 、IT审计 、IT系统建设 、IT系统运行 、业务连续性管理 、外包管理 、信息安全管理 每个域下定义若干流程，共21个流程：,IT风险管理的层次？,决策层,管理层,执行层,执行管理层制定的管理政策、制度和流程，落实改进措施,提出IT发展和风险管理的总体要求，建立IT风险管理组织架构，进行IT发展和风险管理重要决策,落实决策层关于IT发展和风险管理的总体要求,3、基本框架的划分

6、按层次划分,4、最终框架的建立,4、举例,汇报提纲,结论与展望,案例分析,IT风险管理评价体系的建立,IT风险管理模型的提出,选题背景,1、评价的目的,掌握IT风险管理情况 查找差距 分析原因 持续改进。,2、评价标准和方法,评价标准： 评价IT风险管理的好与坏的参照物 。 来源：1、国家有关制度和规定 ；2、国际上普遍认可和采用的标准 方法：平衡记分卡有关评价指标的建立方法。,3、平衡记分卡,4、评价方法,1、风险活动 2、关键控制点 3、评价指标,3、评价体系的建立,3、评价体系的建立,共设计94个指标，指标体系如下图所示：,3、评价体系的建立,指标类型评分方法： 专家打分法 IT风险管理

7、评价总得分=（子领域得分*子领域权重） IT风险管理评级 ： 弱：(0IT风险管理评价得分=50) 中弱：(50IT风险管理评价得分=70) 中强：(70IT风险管理评价得分=90) 强：(90IT风险管理评价得分=100),汇报提纲,结论与展望,案例分析,IT风险管理评价体系的建立,IT风险管理模型的提出,选题背景,1、A银行基本情况,某地方法人银行，分支行48家 ，截至2011年末，该行资产总额498亿元 IT系统架构建设方面，已建立了两地三中心的运行体系，即一个数据中心，一个同城灾备中心和一个异地灾备中心 IT风险管理方面，目前有科技部人员48人，承担主要的科技项目建设、信息系统运维和I

8、T风险管控任务。风险管理部、审计稽核部初步具备IT风险管理职能，初步具备监督制约机制,2、基础信息收集,从IT治理、IT风险管理、IT审计、IT系统建设、IT系统运行、业务连续性管理、外包管理、信息安全管理等八个领域，以及决策层、管理层、执行层三个层面收集和了解A银行截至2011年底IT风险管理评价基础信息，并与2010年相比较了解取得的进展,3、指标评分,4、IT风险管理情况分析,各管理域得分情况,4、IT风险管理情况分析,各管理层次得分情况,5、对策建议,A银行除了针对具体不足制定改进措施外，要提高IT风险管理水平，还需要从以下关键环节入手: 明确IT风险管理目标 完善IT治理架构 开展具体的IT风险监测、评估和控制,汇报提纲,结论与展望,案例分析,IT风险管理评价体系的建立,IT风险管理模型的提出,选题背景,研究结论,本文所提出的IT风险管理框架和评价体系能在一定程度上解决商业银行IT风险管理“如何做”的问题： 明确了IT风险管理的目标 提出了IT