法人中小金融机构信息科技风险管理培训2011年 1 2月.ppt

法人中小金融机构信息科技风险管理 郴州银监分局 卢洁 * 培训主要内容 信息科技风险管控简述 近年来农村中小金融机构信息科技风险管理情况及问题 银行业“十二五”信息科技发展规划监管指导意见中对农村中小金融机构提出的要求 信息科技风险监管法规和评估体系简介 * 一、信息科技风险管控简述 信息科技与银行业的关系 信息技术与银行的联系越来越紧密 信息科技在银行业的作用越来越大 信息科技的责任越来越重 信息科技风险对银行的影响越来越深 * 一、信息科技风险管控简述 信息科技风险的三大源头 1、天然因素：环境（包括天气、地理位置等）。不可避免，不可预测。防范：灾备以减少损失2、固有因素：硬件、软件、网络等。自然规律，不可避免，可以预见。防范：掌握规律，减少发生3、人为因素：技术、思想、作风、工作习惯等。难以预测，可以预见，部分可以避免。防范：内部防控（制度规范岗位权限），避免发生或减少发生；技术手段防护已减少发生；灾备以减少损失 * 一、信息科技风险管控简述 信息科技八大风险源 自然灾害、系统故障、设计缺陷、运营服务、日常维护更新、用户使用、内部管理、外来入侵与破坏 * 一、信息科技风险管控简述 风险管控的法则 治理与管理并举，治理在先防灾与备灾并举，备灾在先防天灾与防人祸并举，防人在先防内与防外并举，防外在先|管物与管人并举，管人在先技术防范于制度防范并举，技术在先 * 一、信息科技风险管控简述 风险管控的制度、规范及标准银行业信息系统灾难恢复管理规范（JR-T0044-2008银行业重要信息系统突发事件应急管理规范（试行）商业银行信息科技风险管理指引 * 二、近年来农村中小金融机构信息科技风险管理情况及问题 农村金融机构信息科技发展状况 综合业务系统建设取得进展 基础设施建设明显加快 电子银行体系初步建立信贷管理系统相继建成管理信息系统不断丰富省域信息科技集约化管理框架初步形成（数据库在省联社）信息科技治理架构初步建成 * 二、近年来农村中小金融机构信息科技风险管理情况及问题 全国农村中小金融机构普遍存在的问题 1、技术水平低，核心系统还是2005年版的2、应用系统管理低，防范基本停留在人防阶段，没有部署任何技术防范措施 3、IT治理机制缺失，人力、物力、财力保障不充分4、后台不稳定，内部人员操作风险大（河南发生的案件）5、IT建设与业务需求脱节 6、外包风险管控有问题 * 郴州农村中小金融机构信息科技风险管理存在的问题 信息科技风险管控架构尚不健全。 信息科技风险管理有待加强 部分机构主要业务系统可维护性欠缺 关键设备存在单点风险 应急预案落实不到位 * 银行业“十二五”信息科技发展规划监管指导意见中对农村中小金融机构提出的要求 “十二五”信息科技发展总体方向 科技带动创新 强化信息科技风险防范能力 提升银行高管层对信息科技的重视 加强行业科技软实力的提升 * 银行业“十二五”信息科技发展规划监管指导意见中对农村中小金融机构提出的要求 农村金融机构“十二五”信息科技发展总体目标 1、完善IT治理，明确IT发展方向2、加强基础设施建设，保障系统安全稳定运行3、推进应用系统建设，满足业务发展需要提高信息科技分项管理水平，有效防范信息科技风险 * 银行业“十二五”信息科技发展规划监管指导意见中对农村中小金融机构提出的要求 农村金融机构“十二五”信息科技发展主要任务  IT结构治理 IT战略规划 基础设施建设 应用系统建设科技管理及科技风险管理 * 银行业“十二五”信息科技发展规划监管指导意见中对农村中小金融机构提出的要求 在IT结构治理方面：加大IT财务管理（软件正版化、核心软件升级）；加大信息科技投入（与业务发展相匹配）；IT风险管理（建立部门管理职责、设置专业岗位） * 银行业“十二五”信息科技发展规划监管指导意见中对农村中小金融机构提出的要求 在IT战略规划方面：制定IT中长期规划；规范基础架构；优化应用架构 * 银行业“十二五”信息科技发展规划监管指导意见中对农村中小金融机构提出的要求 在基础设施建设方面 改善基础运行环境；灾备体系建设；网络规划和网络安全管理；提高资源利用率；降低总体使用成本 * 银行业“十二五”信息科技发展规划监管指导意见中对农村中小金融机构提出的要求 在应用系统建设方面 优化综合业务系统；完善核心基础数据信息；完善各类应用系统；加强电子渠道建设，深化风险防控 * 银行业“十二五”信息科技发展规划监管指导意见中对农村中小金融机构提出的要求 在科技管理及科技风险管理方面1、科技风险管理策略高