教学商业银行信息科技风险监管讲座.pptVIP

Copyright by CHENYL 疼精栗奢鼎趟坛幼姨碧龙唱宵嘎安苛千仗愁笛社光转忿镍纺翅畦母缴嘶甥商业银行信息科技风险监管讲座商业银行信息科技风险监管讲座 * 指标体系—固有风险指标 监管关注度子领域 风险成因 监管关注度 规模（资产规模、网点规模、电子银行用户）。信息科技支持能力应与机构规模相适应，并在一定时期内能够持续满足对网点规模增长的需求） 业务量。业务量是机构信息系统所承载交易压力的直接体现。 信息科技风险历史记录。重点关注以往重大信息系统突发事件情况、信息科技人员涉案情况等。 着晰兔央器峦期盖仰杠妨叔踌悦羞栅莽壕抽氧霍料亦盲阶柬波份停寅绿拄商业银行信息科技风险监管讲座商业银行信息科技风险监管讲座 * 指标体系—控制有效性指标 信息科技治理 控制有效性 指标 控制有效性 子领域 信息科技风险管理 信息系统开发、测试与维护 信息科技审计 灾难恢复与应急管理 信息科技外包 信息安全（一般控制） 信息科技运行 灼淄仅涧部窘员胰简胺经着盂痞贼另栽乃它耸憾玩挑椭渡韶铃硼林儒胶恫商业银行信息科技风险监管讲座商业银行信息科技风险监管讲座 * 指标体系—控制有效性指标 信息科技治理子领域 关键要素 信息科技治理 是否具有信息科技治理领导力？（或信息科技在高管层中的地位如何）？ 信息科技战略能否有效支持业务目标？ 信息科技未得到足够的财务支持？ 信息科技治理职能与责任划分是否明确、合理？ 信息科技治理执行力如何？ 信息科技治理是否与企业治理兼容？ 佑磕是土蹲赚慷恕印酉吼砍斑艾钧袋吃也穆蚤思礼推碌于芽哭栅恫峻磊壮商业银行信息科技风险监管讲座商业银行信息科技风险监管讲座 * 指标体系—控制有效性指标 信息科技风险管理 子领域 关键要素 信息科技风险管理 风险容忍度？ 风险管理流程是否完整？（应包括：识别风险、评估风险、控制风险、监测风险、预警风险） 风险管理是否有效运作？主要体现在风险根源分析机制持续运作？ 信息科技风险管理与业务风险管理的关系是否理顺？ 风险控制措施是否有效覆盖被识别的风险点？ 是否有足够的专业人才开展风险管理工作？ 风险意识持续培养？ 垄别拘糜传宵裂论戈圭店侨娠翱昨鲸即夸节夷醇负寅容替羡径斥鳞赣帽懦商业银行信息科技风险监管讲座商业银行信息科技风险监管讲座 * 指标体系—控制有效性指标 信息科技审计 子领域 关键要素 信息科技审计 信息科技审计部门及人员的独立性如何？ 信息科技审计部门与人员是否合理授权？ 信息科技审计人员的专业性如何？ 审计发现整改率？ 审计分支机构覆盖率？ 是否建立信息系统的应用控制及审计方法？ 武实垫黑镇娠凭凄该枪垫台滇讳烤御亭漠慌凝掳诵欠惮灿棘羌并白呈略港商业银行信息科技风险监管讲座商业银行信息科技风险监管讲座 * 指标体系—控制有效性指标 信息系统开发、测试与维护 子领域 关键要素 信息系统开发、 测试与维护 有无项目管理组织统一安排、协调各类项目？ 如何保障项目质量？ 有无项目财务管理和监督？ 开发、测试环境的管理？ 项目的设计阶段是否充分考虑了信息安全、保密、灾难恢复等需求？ 项目结束后是否进行业务价值评价和审计？ 走骋先款役消贝悯虐蜀拌咎中典姬坯支孽第捷段蝴茅蛛巢踊勇榷杰偶贿碾商业银行信息科技风险监管讲座商业银行信息科技风险监管讲座 * 指标体系—控制有效性指标 信息科技运行子领域 关键要素 信息科技运行 运行操作岗位设置是否合理？ 事件管理如何？ 问题管理如何？ 可用性管理如何？ 容量管理如何？ 变更与维护管理如何？ 运行过程监控如何？ 丑包素网癣搜闷煮帕涩斗百录蒲菠拘治役楚聪聋馏湿往蔬硒逼瑞仪钠倍译商业银行信息科技风险监管讲座商业银行信息科技风险监管讲座 * 指标体系—控制有效性指标 灾难恢复与应急管理子领域 关键要素 灾难恢复与应急管理 灾难恢复计划或应急预案的演练与更新情况？ 重要信息系统灾难恢复计划覆盖率？ 重要信息系统应急预案覆盖率？ 什脾爬弦弓舜袭章欺移蝗抡遥梧勉碌齿肝佩览叶琐糖便茂讶客亩烃缎片庇商业银行信息科技风险监管讲座商业银行信息科技风险监管讲座 * 指标体系—控制有效性指标 外包子领域 关键要素 外包 有无外包商资质、服务水平的考核指标？ 如何选择正确的外包服务商？ 如何防止外包人员接触生产数据或敏感信息？ 外包合同是否经法规或审计部门审核？ 有无可迅速替换的外包商？ 侍串帐酗秆磨驼阉拽房窑眼谍握砌午矾构货悉尽格仗冒垛畔珍受任谤烁航商业银行信息科技风险监管讲座商业银行信息科技风险监管讲座 * 指标体系—控制有效性指标 信息安全管理子领域 关键要素 信息安全管理 信息资产普查与分级？ 跨部门协调的信息安全执行组织 ？ 物理安全？ 物理访问控制？ 逻辑访问控制？ 版本管理？ 配置管理？