信息科技风险监管.ppt

信息科技风险管理和监管 陈文雄 2009年10月 提纲 一、风险管理和监管“意识”先行 二、指引的修订 三、信息科技风险监管工作情况 一、风险管理和监管“意识”先行 （一）特色意识 （二）忧患意识 （三）差别意识 （四）持续意识 （五）全局意识 （一）、特色意识 1、信息科技管理现状 2、监管定位 3、各银行业金融机构的具体情况 1、信息科技现状 （1）我国银行业金融机构信息化水平发展很不平衡 用户数 交易量 处理和备份的考验 监管标准 （2）信息科技治理不到位 治理文化未形成、公司治理与IT治理、治理架构不全、责任不清晰、人员不足、培训不到位 （3）监管与被监管呈现对立状态 　合规不该是内控最终目标 “要我做”变“我要做” 1、信息科技现状 续1 （4）信息科技风险的定位不恰当 信息科技风险与总体风险的关系过于间接，只是操作风险的一部分 流动性与系统问题 水能载舟也能覆舟 如：日本新生银行 一卡通 法国兴业银行 （5）信息科技的价值不能充分体现 信息资产与财务资产 无标准与有标准 （6）信息技术是万能的 处理能力强 记忆无限 场所无限 智能与弱智 日本瑞穗“胖指头” 电梯运行 1、信息科技现状 续2 （７）信息安全面临挑战 一是银行业金融机构之间的差异性大，用一个标准衡量，既不利于大银行的信息安全保障，也不利于小机构的发展；二是我国银行业走向开放，越来越多地参与国际合作，面临越来越多来自资本市场、会计准则和信息披露要求等方面的严峻挑战；三是核心信息技术过度依赖国外产品;四是安全测评不到位；五是国内审计力量单薄;六是金融危机影响IT的投入，外包方有变数；七是新资本协议的实施对系统产生的新要求。 1、信息科技现状 续3 （８）信息科技工作的实际情况 “说起来很重要、做起来急着要、排起队来次要、出了问题什么都不要” 信息科技管理是“一把手”工程 信息科技风险管理靠“事件推动”好了伤疤忘了痛 信息科技风险管理本身“灯下黑” 信息科技工作评价标准 重建轻管 对事件零容忍 100与60分 1、信息科技现状 续4 （9）信息科技风险管理和监管还处于初级阶段 监管重点应该在于营造一种环境和氛围 各机构可以多元化地开展信息科技风险管理 （一）、特色意识 2 1、信息科技管理现状 2、监管定位 裁判员和运动员 　金融危机需要重新审视治理 市场约束与诚信 素质 麦道夫 王致和 深圳罗湖海关 3、各银行业金融机构的具体情况 （一）、特色意识 3 1、信息科技管理现状 2、监管的定位 3、各银行业金融机构的具体情况 客户数、交易量 地域文化 人员和底子 银行经营风险和管理信息 实力比拚IT 业务处理同质化 87年股市黑色星期一 各机构的特色自己应该最清楚,也只有自己彻底了解自己后才能更好发展，可以有特色地开展信息科技风险管理 （一）、特色意识 4 银行业的改革、开放、发展、创新和监管，要适合本国国情，要以“我”为主 搞好信息科技风险管理既要参照国际的成功经验，也要考虑文化差异和结合实际，拿来主义固然是捷径，但也要对症下药适度增减，一味照搬照抄只会适得其反，只有最适合的才是最有效的 几个例子 在标准化和规范化的基础上，建立有特色的信息科技风险管理模式更为重要 （二）、忧患意识 1、IT事件频发 911数据保护与责任 06年4月银联系统升级故障 某行停电 某行网银 某行综合业务 2007年3月21日，交通银行因主机监控软件存在缺陷，导致业务交易阻塞，系统瘫痪近四个小时，所有营业网点无法正常开展业务。8月15日，工商银行对计算机系统进行升级，但由于没有避开业务高峰期，导致个人业务系统运行不畅，业务办理速度缓慢，部分代理证券业务受阻，在持续五个半小时之后，系统才逐步恢复正常。10月18日，正值十七大召开期间，建设银行股民保证金第三方存管系统出现故障，与券商的交易无法正常进行。事故持续了两个小时，在证券交易收盘后才恢复正常。12月21日，招商银行因运行中心核心网络设备出现故障，造成业务无法正常进行，虽然启动了应急预案，但仍然中断营业近一个小时。2008年1月7日，元旦刚过，北京银行就因主干专线的入户接入设备发生故障，造成在京的117家支行所属网点柜台交易缓慢，业务无法正常进行，故障持续一个多小时之后才得以解决。 （二）、忧患意识 1 2、敌对势力与恶性竞争 奥运网络攻击 美国电网 敏感信息窃取与泄露 花旗客户信息 MSN 黑屏事件3、外部因