商業(yè)銀行IT風(fēng)險管理框架 及評價體系研究_第1頁
商業(yè)銀行IT風(fēng)險管理框架 及評價體系研究_第2頁
商業(yè)銀行IT風(fēng)險管理框架 及評價體系研究_第3頁
商業(yè)銀行IT風(fēng)險管理框架 及評價體系研究_第4頁
商業(yè)銀行IT風(fēng)險管理框架 及評價體系研究_第5頁
已閱讀5頁,還剩30頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)

文檔簡介

1、商業(yè)銀行商業(yè)銀行ITIT風(fēng)險管理框架風(fēng)險管理框架及評價體系研究及評價體系研究 二零一二年六月二零一二年六月學(xué)生:陳云龍學(xué)生:陳云龍導(dǎo)師:唐勇副教授導(dǎo)師:唐勇副教授2匯報提綱結(jié)論與展望結(jié)論與展望案例分析案例分析IT風(fēng)險管理評價體系的建立風(fēng)險管理評價體系的建立IT風(fēng)險管理模型的提出風(fēng)險管理模型的提出 選題背景選題背景 31、基本概念、基本概念I(lǐng)T風(fēng)險vITIT風(fēng)險是指信息科技在商業(yè)銀行運用過程中,由風(fēng)險是指信息科技在商業(yè)銀行運用過程中,由于于自然因素、人為因素、技術(shù)漏洞和管理缺陷自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)產(chǎn)生的操作、法律和聲譽風(fēng)險。生的操作、法律和聲譽風(fēng)險。 商業(yè)銀行商業(yè)銀行信息科技

2、風(fēng)險管理指引信息科技風(fēng)險管理指引 v巴塞爾新資本協(xié)議巴塞爾新資本協(xié)議將將ITIT風(fēng)險作為操作風(fēng)險的風(fēng)險作為操作風(fēng)險的一個重點進行防范。一個重點進行防范。41、基本概念、基本概念I(lǐng)T風(fēng)險管理v 通過建立有效的機制,實現(xiàn)對商業(yè)銀行通過建立有效的機制,實現(xiàn)對商業(yè)銀行ITIT風(fēng)險的識別、計量、監(jiān)測風(fēng)險的識別、計量、監(jiān)測和控制,促進商業(yè)銀行安全、持續(xù)、穩(wěn)健運行,推動業(yè)務(wù)創(chuàng)新,提和控制,促進商業(yè)銀行安全、持續(xù)、穩(wěn)健運行,推動業(yè)務(wù)創(chuàng)新,提高信息技術(shù)使用水平,增強核心競爭力和可持續(xù)發(fā)展能力。高信息技術(shù)使用水平,增強核心競爭力和可持續(xù)發(fā)展能力。 商業(yè)銀行信息科技風(fēng)險管理指引商業(yè)銀行信息科技風(fēng)險管理指引 v 相關(guān)

3、概念:包括相關(guān)概念:包括ITIT治理、信息安全管理、治理、信息安全管理、ITIT內(nèi)部控制、內(nèi)部控制、ITIT審計、業(yè)審計、業(yè)務(wù)連續(xù)性管理、務(wù)連續(xù)性管理、ITIT項目建設(shè)、項目建設(shè)、ITIT運行管理等,不同概念的側(cè)重點各運行管理等,不同概念的側(cè)重點各不相同。不相同。v 本文所指本文所指ITIT風(fēng)險管理分為廣義的概念和狹義的概念,廣義的風(fēng)險管理分為廣義的概念和狹義的概念,廣義的ITIT風(fēng)險風(fēng)險管理,涵蓋上述概念的有關(guān)內(nèi)容,管理,涵蓋上述概念的有關(guān)內(nèi)容,將組織的將組織的ITIT管理活動都視為管理活動都視為對對ITIT風(fēng)險的管理活動風(fēng)險的管理活動。狹義的。狹義的ITIT風(fēng)險管理,特指組織圍繞風(fēng)險管理,

4、特指組織圍繞ITIT風(fēng)風(fēng)險所開展的具體的識別、計量、監(jiān)測和控制活動。如未特指,本文險所開展的具體的識別、計量、監(jiān)測和控制活動。如未特指,本文所指所指ITIT風(fēng)險管理是廣義的概念。風(fēng)險管理是廣義的概念。52、問題的提出、問題的提出v必要性:IT風(fēng)險是瞬間能導(dǎo)致一家銀行倒閉的風(fēng)險。 數(shù)據(jù)集中化、業(yè)務(wù)系統(tǒng)化、系統(tǒng)網(wǎng)絡(luò)化、渠道多元化 破壞性大 、影響面廣、隱蔽性高、專業(yè)性強v管理現(xiàn)狀:IT風(fēng)險管理能力亟待提高 人力資源緊張、監(jiān)督評價機制缺失、風(fēng)險防范能力弱v難點:缺乏有效的“操作指南” 種類繁多的理論、標(biāo)準(zhǔn)、制度、方法 如何入手?如何評價?無所適從63、研究目的、研究目的v借鑒國內(nèi)外有關(guān)IT風(fēng)險管理的

5、理論、標(biāo)準(zhǔn)和規(guī)范,提出IT風(fēng)險管理的一般框架,建立相應(yīng)的評價體系 v該IT風(fēng)險管理框架和評價體系能兼容現(xiàn)有的標(biāo)準(zhǔn)和規(guī)范,且簡單易懂、指導(dǎo)性強74、參考依據(jù)、參考依據(jù)v理論和方法:管理層次理論、平衡記分卡;風(fēng)險管理、公司治理、IT治理相關(guān)理論。v標(biāo)準(zhǔn):COBIT、ITIL、ISO 17799/27001、信息安全風(fēng)險管理指南(GBZ_24364-2009) v制度:商業(yè)銀行信息科技風(fēng)險管理指引、信息安全等級保護管理辦法8匯報提綱結(jié)論與展望結(jié)論與展望案例分析案例分析IT風(fēng)險管理評價體系的建立風(fēng)險管理評價體系的建立IT風(fēng)險管理模型的提出風(fēng)險管理模型的提出 選題背景選題背景 91、基本框架的提出、基本

6、框架的提出風(fēng)險評估風(fēng)險評估風(fēng)險監(jiān)測風(fēng)險監(jiān)測風(fēng)險控制風(fēng)險控制IT風(fēng)險風(fēng)險管理目標(biāo)管理目標(biāo)1、風(fēng)險識別風(fēng)險識別2、風(fēng)險計量、風(fēng)險計量3、風(fēng)險評估、風(fēng)險評估 1、排定風(fēng)險控制、排定風(fēng)險控制的優(yōu)先級的優(yōu)先級2、采取具體措施、采取具體措施控制風(fēng)險控制風(fēng)險 1、收集和監(jiān)測收集和監(jiān)測 2、發(fā)現(xiàn)和預(yù)警發(fā)現(xiàn)和預(yù)警 1、業(yè)務(wù)連續(xù)性業(yè)務(wù)連續(xù)性 2、信息安全性信息安全性3、業(yè)務(wù)發(fā)展業(yè)務(wù)發(fā)展10域和流程的分解?域和流程的分解?IT風(fēng)險管理風(fēng)險管理IT系統(tǒng)建設(shè)系統(tǒng)建設(shè)IT系統(tǒng)運維系統(tǒng)運維信息安全管理信息安全管理項目管理項目管理系統(tǒng)開發(fā)系統(tǒng)開發(fā)變更管理變更管理配置管理配置管理物理安全物理安全網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全管理域管理域1管

7、理域管理域2管理域管理域3流程流程1流程流程2流程流程3流程流程4流程流程5流程流程6監(jiān)測監(jiān)測評估評估控制控制監(jiān)測監(jiān)測評估評估控制控制監(jiān)測監(jiān)測評估評估控制控制監(jiān)測監(jiān)測評估評估控制控制監(jiān)測監(jiān)測評估評估控制控制監(jiān)測監(jiān)測評估評估控制控制112、基本框架的劃分、基本框架的劃分按域維度按域維度122、基本框架的劃分、基本框架的劃分按域維度按域維度v域和流程的定義:總結(jié)各標(biāo)準(zhǔn)和規(guī)范的異同點,進行整合歸并。v8個域:IT治理 、IT風(fēng)險管理 、IT審計 、IT系統(tǒng)建設(shè) 、IT系統(tǒng)運行 、業(yè)務(wù)連續(xù)性管理 、外包管理 、信息安全管理 v每個域下定義若干流程,共21個流程:13IT風(fēng)險管理的層次?風(fēng)險管理的層次?

8、執(zhí)行管理層制定的管理政策、制度和流程,落實改進措施 提出IT發(fā)展和風(fēng)險管理的總體要求,建立IT風(fēng)險管理組織架構(gòu),進行IT發(fā)展和風(fēng)險管理重要決策 落實決策層關(guān)于IT發(fā)展和風(fēng)險管理的總體要求 143、基本框架的劃分、基本框架的劃分按層次劃分按層次劃分154、最終框架的建立、最終框架的建立164、舉例、舉例決策層決策層ITIT風(fēng)險監(jiān)測風(fēng)險監(jiān)測: ITIT風(fēng)險評估:風(fēng)險評估: ITIT風(fēng)險控制風(fēng)險控制: 1、掌握重大項目進展情況。 1、評估現(xiàn)有IT項目管理組織架構(gòu)有效性。 1、建立項目管理組織機構(gòu)。 2、掌握IT項目資源配置情況2、審核重要項目2、涉及全局的IT項目建設(shè)的組織協(xié)調(diào)管理層管理層ITIT風(fēng)

9、險監(jiān)測:風(fēng)險監(jiān)測: ITIT風(fēng)險評估:風(fēng)險評估:ITIT風(fēng)險控制:風(fēng)險控制: 1、掌握項目管理情況。 評估項目實施過程風(fēng)險控制情況1、制定項目管理制度,對項目管理流程進行規(guī)范 2、掌握IT項目資源配置情況2、明確項目建設(shè)過程中對項目風(fēng)險評估的要求。執(zhí)行層執(zhí)行層ITIT風(fēng)險監(jiān)測:風(fēng)險監(jiān)測: ITIT風(fēng)險評估風(fēng)險評估: : ITIT風(fēng)險控制:風(fēng)險控制: 1、掌握系統(tǒng)功能需求。 1、系統(tǒng)設(shè)計方案風(fēng)險評估。 1、完善系統(tǒng)設(shè)計方案。 2、掌握系統(tǒng)設(shè)計方案2、系統(tǒng)功能、性能和安全性測試。2、完善系統(tǒng)功能、性能和安全性。管理流程管理流程: :項目管理管理域管理域: :IT系統(tǒng)建設(shè)17匯報提綱結(jié)論與展望結(jié)論與

10、展望案例分析案例分析IT風(fēng)險管理評價體系的建立風(fēng)險管理評價體系的建立IT風(fēng)險管理模型的提出風(fēng)險管理模型的提出 選題背景選題背景 181、評價的目的、評價的目的v掌握IT風(fēng)險管理情況v查找差距v分析原因v持續(xù)改進。192、評價標(biāo)準(zhǔn)和方法、評價標(biāo)準(zhǔn)和方法v評價標(biāo)準(zhǔn):評價IT風(fēng)險管理的好與壞的參照物 。 來源:1、國家有關(guān)制度和規(guī)定 ;2、國際上普遍認(rèn)可和采用的標(biāo)準(zhǔn)v方法:平衡記分卡有關(guān)評價指標(biāo)的建立方法。 203、平衡記分卡、平衡記分卡214、評價方法、評價方法1 1、風(fēng)險活動、風(fēng)險活動2、關(guān)鍵控制點、關(guān)鍵控制點3、評價指標(biāo)、評價指標(biāo)223、評價體系的建立、評價體系的建立1 1、戰(zhàn)略發(fā)展目標(biāo)、戰(zhàn)略

11、發(fā)展目標(biāo)商業(yè)銀行業(yè)務(wù)發(fā)展總目標(biāo)2 2、內(nèi)部控制目標(biāo)、內(nèi)部控制目標(biāo)IT風(fēng)險管理的目標(biāo),包括業(yè)務(wù)連續(xù)性目標(biāo)、信息安全目標(biāo)和業(yè)務(wù)發(fā)展目標(biāo)3 3、關(guān)鍵成功因素、關(guān)鍵成功因素8個IT管理域4 4、關(guān)聯(lián)流程、關(guān)聯(lián)流程每個管理域包括若干管理流程,共21個管理流程5 5、關(guān)鍵控制點、關(guān)鍵控制點每個流程從決策、管理、執(zhí)行三個層面和監(jiān)測、評估、控制三個方面包括若干關(guān)鍵控制點6 6、評價指標(biāo)、評價指標(biāo)每個關(guān)鍵控制點包括若干評價指標(biāo)233、評價體系的建立、評價體系的建立v 共設(shè)計94個指標(biāo),指標(biāo)體系如下圖所示:243、評價體系的建立、評價體系的建立v指標(biāo)類型評分方法:專家打分法 IT風(fēng)險管理評價總得分=(子領(lǐng)域得分*

12、子領(lǐng)域權(quán)重) vIT風(fēng)險管理評級 : 弱:(0IT風(fēng)險管理評價得分=50) 中弱:(50IT風(fēng)險管理評價得分=70) 中強:(70IT風(fēng)險管理評價得分=90) 強:(90IT風(fēng)險管理評價得分=100) 25匯報提綱結(jié)論與展望結(jié)論與展望案例分析案例分析IT風(fēng)險管理評價體系的建立風(fēng)險管理評價體系的建立IT風(fēng)險管理模型的提出風(fēng)險管理模型的提出 選題背景選題背景 261、A銀行基本情況銀行基本情況v 某地方法人銀行,分支行48家 ,截至2011年末,該行資產(chǎn)總額498億元 v IT系統(tǒng)架構(gòu)建設(shè)方面,已建立了兩地三中心的運行體系,即一個數(shù)據(jù)中心,一個同城災(zāi)備中心和一個異地災(zāi)備中心 v IT風(fēng)險管理方面,

13、目前有科技部人員48人,承擔(dān)主要的科技項目建設(shè)、信息系統(tǒng)運維和IT風(fēng)險管控任務(wù)。風(fēng)險管理部、審計稽核部初步具備IT風(fēng)險管理職能,初步具備監(jiān)督制約機制272、基礎(chǔ)信息收集、基礎(chǔ)信息收集v從IT治理、IT風(fēng)險管理、IT審計、IT系統(tǒng)建設(shè)、IT系統(tǒng)運行、業(yè)務(wù)連續(xù)性管理、外包管理、信息安全管理等八個領(lǐng)域,以及決策層、管理層、執(zhí)行層三個層面收集和了解A銀行截至2011年底IT風(fēng)險管理評價基礎(chǔ)信息,并與2010年相比較了解取得的進展 283、指標(biāo)評分、指標(biāo)評分294、IT風(fēng)險管理情況分析風(fēng)險管理情況分析v各管理域得分情況各管理域得分情況 304、IT風(fēng)險管理情況分析風(fēng)險管理情況分析v各管理層次得分情況各管

14、理層次得分情況 315、對策建議、對策建議vA銀行除了針對具體不足制定改進措施外,要提銀行除了針對具體不足制定改進措施外,要提高高IT風(fēng)險管理水平,還需要從以下關(guān)鍵環(huán)節(jié)入手風(fēng)險管理水平,還需要從以下關(guān)鍵環(huán)節(jié)入手: 明確明確IT風(fēng)險管理目標(biāo)風(fēng)險管理目標(biāo) 完善完善IT治理架構(gòu)治理架構(gòu) 開展具體的開展具體的IT風(fēng)險監(jiān)測、評估和控制風(fēng)險監(jiān)測、評估和控制 32匯報提綱結(jié)論與展望結(jié)論與展望案例分析案例分析IT風(fēng)險管理評價體系的建立風(fēng)險管理評價體系的建立IT風(fēng)險管理模型的提出風(fēng)險管理模型的提出 選題背景選題背景 33研究結(jié)論研究結(jié)論v本文所提出的IT風(fēng)險管理框架和評價體系能在一定程度上解決商業(yè)銀行IT風(fēng)險管理“如何做”的問題: 明確了明確了IT風(fēng)險管理的目標(biāo)風(fēng)險管

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論