20XX年信息科技风险监管知识讲座.ppt

指标体系—固有风险指标 信息科技服务 外包子领域 风险成因 信息科技服务外包 外包人员变动导致外包服务持续性受影响，导致服务质量下降、进度拖延等可能性。 过度依赖外包商，导致出现“太依赖而不能替换的外包商”。 外包商完全位于境外或。外包商性质及提供服务的形式对机构的可能影响。如：境外外包商，外包商采用非授权工具提供服务，外包商常驻机构与其内部员工共同进行现场作业等。 指标体系—固有风险指标 监管关注度子领域 风险成因 监管关注度 规模（资产规模、网点规模、电子银行用户）。信息科技支持能力应与机构规模相适应，并在一定时期内能够持续满足对网点规模增长的需求） 业务量。业务量是机构信息系统所承载交易压力的直接体现。 信息科技风险历史记录。重点关注以往重大信息系统突发事件情况、信息科技人员涉案情况等。 指标体系—控制有效性指标 信息科技治理 控制有效性 指标 控制有效性 子领域 信息科技风险管理 信息系统开发、测试与维护 信息科技审计 灾难恢复与应急管理 信息科技外包 信息安全（一般控制） 信息科技运行 指标体系—控制有效性指标 信息科技治理子领域 关键要素 信息科技治理 是否具有信息科技治理领导力？（或信息科技在高管层中的地位如何）？ 信息科技战略能否有效支持业务目标？ 信息科技未得到足够的财务支持？ 信息科技治理职能与责任划分是否明确、合理？ 信息科技治理执行力如何？ 信息科技治理是否与企业治理兼容？ 指标体系—控制有效性指标 信息科技风险管理 子领域 关键要素 信息科技风险管理 风险容忍度？ 风险管理流程是否完整？（应包括：识别风险、评估风险、控制风险、监测风险、预警风险） 风险管理是否有效运作？主要体现在风险根源分析机制持续运作？ 信息科技风险管理与业务风险管理的关系是否理顺？ 风险控制措施是否有效覆盖被识别的风险点？ 是否有足够的专业人才开展风险管理工作？ 风险意识持续培养？ 指标体系—控制有效性指标 信息科技审计 子领域 关键要素 信息科技审计 信息科技审计部门及人员的独立性如何？ 信息科技审计部门与人员是否合理授权？ 信息科技审计人员的专业性如何？ 审计发现整改率？ 审计分支机构覆盖率？ 是否建立信息系统的应用控制及审计方法？ 指标体系—控制有效性指标 信息系统开发、测试与维护 子领域 关键要素 信息系统开发、 测试与维护 有无项目管理组织统一安排、协调各类项目？ 如何保障项目质量？ 有无项目财务管理和监督？ 开发、测试环境的管理？ 项目的设计阶段是否充分考虑了信息安全、保密、灾难恢复等需求？ 项目结束后是否进行业务价值评价和审计？ 指标体系—控制有效性指标 信息科技运行子领域 关键要素 信息科技运行 运行操作岗位设置是否合理？ 事件管理如何？ 问题管理如何？ 可用性管理如何？ 容量管理如何？ 变更与维护管理如何？ 运行过程监控如何？ 指标体系—控制有效性指标 灾难恢复与应急管理子领域 关键要素 灾难恢复与应急管理 灾难恢复计划或应急预案的演练与更新情况？ 重要信息系统灾难恢复计划覆盖率？ 重要信息系统应急预案覆盖率？ 指标体系—控制有效性指标 外包子领域 关键要素 外包 有无外包商资质、服务水平的考核指标？ 如何选择正确的外包服务商？ 如何防止外包人员接触生产数据或敏感信息？ 外包合同是否经法规或审计部门审核？ 有无可迅速替换的外包商？ 信息科技风险管理/监管手段 银行机构 保护系统连续性和安全性的具体手段： 基础设施建设（机房、网络、主机） 灾备中心 双机热备 双运营上线路 信息安全防护体系 防火墙、IPS 桌面管理系统 日常系统运行监控 项目开发、外包过程管理 应急管理（应急预案、应急保障、应急演练） 信息科技风险管理/监管手段 监管部门 制度标准制定 非现场监管和现场检查 准入审核及机构评级 荷兰央行：银行执照、人员任免、计提资本、罚款 组织协调、促进资源共享 三、主要监管制度介绍 主要监管制度介绍 银监会拟发布制度 《银监会行政许可事项中信息科技核准条件的补充规定》和《银行业金融机构重要信息系统投产及变更管理办法》 《商业银行首席信息官管理办法》 1、《商业银行信息科技风险管理指引》 信息科技风险管理 信息科技治理 信息科技审计 业务持续性管理 信息安全管理 信息科技运行 项目开发、 测试 外包管理 主要概念： 信息科技风险 是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉风险。 ——《商业银行信息科技风险管理指引》第四条 信息科技风险与操作风险的关系——莆