信息科技风险监管讲座【企业风险管理经典】.pptVIP

Copyright by CHENYL 指标体系—固有风险指标 监管关注度子领域 风险成因 监管关注度 规模（资产规模、网点规模、电子银行用户）。信息科技支持能力应与机构规模相适应，并在一定时期内能够持续满足对网点规模增长的需求） 业务量。业务量是机构信息系统所承载交易压力的直接体现。 信息科技风险历史记录。重点关注以往重大信息系统突发事件情况、信息科技人员涉案情况等。 指标体系—控制有效性指标 信息科技治理 控制有效性 指标 控制有效性 子领域 信息科技风险管理 信息系统开发、测试与维护 信息科技审计 灾难恢复与应急管理 信息科技外包 信息安全（一般控制） 信息科技运行 指标体系—控制有效性指标 信息科技治理子领域 关键要素 信息科技治理 是否具有信息科技治理领导力？（或信息科技在高管层中的地位如何）？ 信息科技战略能否有效支持业务目标？ 信息科技未得到足够的财务支持？ 信息科技治理职能与责任划分是否明确、合理？ 信息科技治理执行力如何？ 信息科技治理是否与企业治理兼容？ 指标体系—控制有效性指标 信息科技风险管理 子领域 关键要素 信息科技风险管理 风险容忍度？ 风险管理流程是否完整？（应包括：识别风险、评估风险、控制风险、监测风险、预警风险） 风险管理是否有效运作？主要体现在风险根源分析机制持续运作？ 信息科技风险管理与业务风险管理的关系是否理顺？ 风险控制措施是否有效覆盖被识别的风险点？ 是否有足够的专业人才开展风险管理工作？ 风险意识持续培养？ 指标体系—控制有效性指标 信息科技审计 子领域 关键要素 信息科技审计 信息科技审计部门及人员的独立性如何？ 信息科技审计部门与人员是否合理授权？ 信息科技审计人员的专业性如何？ 审计发现整改率？ 审计分支机构覆盖率？ 是否建立信息系统的应用控制及审计方法？ 指标体系—控制有效性指标 信息系统开发、测试与维护 子领域 关键要素 信息系统开发、 测试与维护 有无项目管理组织统一安排、协调各类项目？ 如何保障项目质量？ 有无项目财务管理和监督？ 开发、测试环境的管理？ 项目的设计阶段是否充分考虑了信息安全、保密、灾难恢复等需求？ 项目结束后是否进行业务价值评价和审计？ 指标体系—控制有效性指标 信息科技运行子领域 关键要素 信息科技运行 运行操作岗位设置是否合理？ 事件管理如何？ 问题管理如何？ 可用性管理如何？ 容量管理如何？ 变更与维护管理如何？ 运行过程监控如何？ 指标体系—控制有效性指标 灾难恢复与应急管理子领域 关键要素 灾难恢复与应急管理 灾难恢复计划或应急预案的演练与更新情况？ 重要信息系统灾难恢复计划覆盖率？ 重要信息系统应急预案覆盖率？ 指标体系—控制有效性指标 外包子领域 关键要素 外包 有无外包商资质、服务水平的考核指标？ 如何选择正确的外包服务商？ 如何防止外包人员接触生产数据或敏感信息？ 外包合同是否经法规或审计部门审核？ 有无可迅速替换的外包商？ 指标体系—控制有效性指标 信息安全管理子领域 关键要素 信息安全管理 信息资产普查与分级？ 跨部门协调的信息安全执行组织 ？ 物理安全？ 物理访问控制？ 逻辑访问控制？ 版本管理？ 配置管理？ 日志管理？ 网络管理？ 数据安全？ 评估指标 定量指标74个 固有风险： 23个 监管关注度： 9个 控制有效性：42个 定性指标90个 固有风险： 10个(手工2个) 控制有效性：80个(手工8个) 固有风险： 33个 监管关注度： 9个 控制有效性：122个 指标合计164个 基本思想 自动化 自动抽得指标结果、自动评分、自动汇总、自动分级 灵活性 标准化 审核标准规范化、评分规则标准化、参数标准化 得分可调整、结果可调整、参数调节因子 评估流程 综合风险水平 非现场监管报表 监管人员评判调整指标得分 系统自动生成指标得分 监管关注度调节因子 固有风险分级结果 控制有效性分级结果 生成 后续监管工作 参数值 监管关注度调节因子 固有风险分级结果 控制有效性分级结果 抽取 评估打分表示例 指标分值及意义 固有风险 5分制，分值越高，固有风险越高 控制有效性 监管关注度 5分制，分值越高，关注度越高 5分制，分值越高，控制有效性越强 参数表 参数值 参数值=行业基准值×参数调节因子 行业基准值：行业平均值或手工设定的经验值 参数调节因子：用于调整行业基准值的因子，可根据评估结果进行手动调节 行业平均值 1.全行业 2.按资产规模分三类：大、中、小，划分标准可调整 3.按机构类型分七类：政策性银行、国有商业银行及邮政储蓄银行、股份制商业银行、城市商业银行及城市信用社、省联社及农村商业银行、农村合作银行及农村信用社、外资法