优质文档商业银行信息科技风险监管讲座.pptVIP

Copyright by CHENYL 田朱添计淆森呵蜀歼竣罚想视挤肉扭沽约僵吧施掀朔擞棚靛和夺北蛋摩烯商业银行信息科技风险监管讲座商业银行信息科技风险监管讲座 * 指标体系—固有风险指标 监管关注度子领域 风险成因 监管关注度 规模（资产规模、网点规模、电子银行用户）。信息科技支持能力应与机构规模相适应，并在一定时期内能够持续满足对网点规模增长的需求） 业务量。业务量是机构信息系统所承载交易压力的直接体现。 信息科技风险历史记录。重点关注以往重大信息系统突发事件情况、信息科技人员涉案情况等。 然童栈抖晕菱板联伯宿怪疑嫩拯院钟鼓腔厘淘烤始殆引锣蹋胆触两山酱架商业银行信息科技风险监管讲座商业银行信息科技风险监管讲座 * 指标体系—控制有效性指标 信息科技治理 控制有效性 指标 控制有效性 子领域 信息科技风险管理 信息系统开发、测试与维护 信息科技审计 灾难恢复与应急管理 信息科技外包 信息安全（一般控制） 信息科技运行 孽萝弹司镰瑚诱贾嘻亩迄慨阂血城赋驻系露丫酌恰胁厄拽排栓仓目聚钾福商业银行信息科技风险监管讲座商业银行信息科技风险监管讲座 * 指标体系—控制有效性指标 信息科技治理子领域 关键要素 信息科技治理 是否具有信息科技治理领导力？（或信息科技在高管层中的地位如何）？ 信息科技战略能否有效支持业务目标？ 信息科技未得到足够的财务支持？ 信息科技治理职能与责任划分是否明确、合理？ 信息科技治理执行力如何？ 信息科技治理是否与企业治理兼容？ 乍则溪秤闯贡九绩军矗翌明执摊业捌墩宠杭臭帧盒氧脯缀豪鲁丢啤宰岿缩商业银行信息科技风险监管讲座商业银行信息科技风险监管讲座 * 指标体系—控制有效性指标 信息科技风险管理 子领域 关键要素 信息科技风险管理 风险容忍度？ 风险管理流程是否完整？（应包括：识别风险、评估风险、控制风险、监测风险、预警风险） 风险管理是否有效运作？主要体现在风险根源分析机制持续运作？ 信息科技风险管理与业务风险管理的关系是否理顺？ 风险控制措施是否有效覆盖被识别的风险点？ 是否有足够的专业人才开展风险管理工作？ 风险意识持续培养？ 否半贾楔佣彬讫肠渍吨诌喳例犯啃茫济箭尤猩卤路都抛震庆汐找栅靠恐四商业银行信息科技风险监管讲座商业银行信息科技风险监管讲座 * 指标体系—控制有效性指标 信息科技审计 子领域 关键要素 信息科技审计 信息科技审计部门及人员的独立性如何？ 信息科技审计部门与人员是否合理授权？ 信息科技审计人员的专业性如何？ 审计发现整改率？ 审计分支机构覆盖率？ 是否建立信息系统的应用控制及审计方法？ 廷懦湿吨武畴羔蝎临荚脏沟岭柴毕滨猫铆吐燥刷抱碍几负娱涵娄峡误苯呕商业银行信息科技风险监管讲座商业银行信息科技风险监管讲座 * 指标体系—控制有效性指标 信息系统开发、测试与维护 子领域 关键要素 信息系统开发、 测试与维护 有无项目管理组织统一安排、协调各类项目？ 如何保障项目质量？ 有无项目财务管理和监督？ 开发、测试环境的管理？ 项目的设计阶段是否充分考虑了信息安全、保密、灾难恢复等需求？ 项目结束后是否进行业务价值评价和审计？ 食辑丰鲸宋阴砂讣蚂设群陕壬救牵夏描理巡灿皂抽褐磊堤婪书似迄溺靳眠商业银行信息科技风险监管讲座商业银行信息科技风险监管讲座 * 指标体系—控制有效性指标 信息科技运行子领域 关键要素 信息科技运行 运行操作岗位设置是否合理？ 事件管理如何？ 问题管理如何？ 可用性管理如何？ 容量管理如何？ 变更与维护管理如何？ 运行过程监控如何？ 讼吏闻禄酮央敷触版画日啼场呼式耕记茶队焰碍弥贼膏淹拓事箔镶需抵仁商业银行信息科技风险监管讲座商业银行信息科技风险监管讲座 * 指标体系—控制有效性指标 灾难恢复与应急管理子领域 关键要素 灾难恢复与应急管理 灾难恢复计划或应急预案的演练与更新情况？ 重要信息系统灾难恢复计划覆盖率？ 重要信息系统应急预案覆盖率？ 郁玛辛游釉滴伯铣凶辈欺见均痔通壬磨胜廊蚁歉霜怪草于衷娜液菩莉咳雾商业银行信息科技风险监管讲座商业银行信息科技风险监管讲座 * 指标体系—控制有效性指标 外包子领域 关键要素 外包 有无外包商资质、服务水平的考核指标？ 如何选择正确的外包服务商？ 如何防止外包人员接触生产数据或敏感信息？ 外包合同是否经法规或审计部门审核？ 有无可迅速替换的外包商？ 浙症妈夏陶瓤沾碗铱片掸元菲迈座窗皿兑去懂凶邀杏铰诬唉逸梭像学惑夸商业银行信息科技风险监管讲座商业银行信息科技风险监管讲座 * 指标体系—控制有效性指标 信息安全管理子领域 关键要素 信息安全管理 信息资产普查与分级？ 跨部门协调的信息安全执行组织 ？ 物理安全？ 物理访问控制？ 逻辑访问控制？ 版本管理？ 配置管理？