信息科技风险点控制点清单梳理 汇报.pptx

2013年信息科技风险与控制评估工作汇报 目录 项目背景与目标 1 工作回顾 2 工作成果展示 3 梳理过程中问题发现 4 下一步工作 5 一、项目背景与目标 背景 目标 现阶段作工 下一步工作 IT风险/控制全面自评估报告 项目时间表 阶段一：风险点/控制点清单梳理 工作成果 信息科技风险专项检查报告 信息科技风险点/控制点清单 阶段二：开展风险控制全面自评估 2013年2月 2013年3月 2013年4月 2013年5月 2013年6-9月 工作阶段 成果 阶段三：开展信息科技风险专项检查 一、项目背景与目标 现阶段工作 下一步工作 目录 项目背景与目标 1 工作回顾 2 工作成果展示 3 梳理过程中的发现 4 下一步工作 5 二、工作回顾 项目启动 明确项目目标及预期成果 确立项目需求并编制工作模版 计划时间安排及人员部署 二. 现有资料整理 根据IT风险管理项目一期成果对375个风险描述和控制活动进行整理 根据安永内部控制规范项目对进行整理，包括139个风险点159个控制点。 制度梳理 共梳理光大现行政策、制度、细则、体系约85份，期间运维中心制度不断更新，在工作中进行反复梳理、更新底稿。 访谈及初稿确认 初步完成风险控制梳理底稿后跟据梳理结果，访谈控制涉及的相关团队进行风险控制确认。项目过程中访谈人员约50人，涉及团队约20个。 终稿确认及反馈 结合访谈了解的实际情况，对风险控制梳理初稿进行修改，完成终稿，十大板块共梳理子流程124个、风险点347个，控制点381个；对问题形成建议。 信息风险专项检查 按照风险控制梳理成果，对信息科技十大领域进行内控自评估，对控制的执行情况进行评估。 信息科技风险/控制评估 对347个信息科技风险进行评估，建立关键风险指标 对381个控制进行评估，已设计并完善相关控制，已更好地应对风险 二、工作回顾 风险领域 子领域个数 子流程个数 风险点 控制点 信息科技治理 22 14 22 22 信息科技战略与架构 11 11 12 12 信息科技风险管理 17 5 12 17 信息安全 59 55 52 53 信息系统开发、测试与维护 74 70 67 74 信息科技运行 102 81 89 99 业务连续性 26 6 25 25 外包 49 44 43 49 数据管理 29 29 25 30 已有成果： 普华永道一期风险控制梳理成果，重点针对科技风险指引及COBIT 风险因素清单 安永2011年内部控制规范梳理成果 监管要求及制度 光大现有制度，包括政策、制度、细则、体系及其他等85份 银监会、财政部、人民银行等机构颁布的行业监管要求等18份 体系 ITIL 体系 研发过程体系 数据体系架构 全面质量管理体系 风险控制输出 目录 项目背景与目标 1 工作回顾 2 工作成果展示 3 梳理过程中的发现 4 下一步工作 5 科技风险管理分类标准 在现有体系框架下，对风险领域做了适当调整，调整后的风险领域包括10个一级领域、55个二级领域 新建了风险损失事件类型标准，将风险损失事件分为可用性、准确性、访问性、敏捷性四类系统类损失，合规、声誉、违约/欺诈、经济、其他五类非系统类损失 新建了控制目录标准，包括政策与制度，技术标准，组织架构、岗位职责与人员，监督与检查，流程，技术6个一级目录，29个二级目录 风险控制清单 梳理形成了9份风险控制清单（业务应用控制领域不在此次梳理范围内），清单中包括347个风险点以及381个控制点 三、工作成果展示 每个信息科技领域对应一个风险控制清单 依据风险损失事件类型标准，对风险进行清晰定位 依据控制目录标准对识别出的控制进行分类 工作成果展示-概述 三、工作成果展示 3.1 工作成果展示-风险领域 3.1.1 介绍 依据光大现有的风险领域并结合光大现状 ，我们保留了现有领域的一级目录，并对 领域的二级三级目录进行了重新调整，使 各领域中的控制活动与此领域的相关性最 大。按照一级目录划分形成的十大信息科 技领域如下： 信息科技治理 信息科技战略与架构 信息科技风险管理 信息安全 信息系统开发、测试与维护 信息科技运行 业务连续性 外包 数据管理 业务应用控制 3.1.2 作用 有助于对风险损失事件进行归集整理 有助于将KRI（关键风险指标）按风险领域进行更好的呈现 三、工作成果展示 修改为“预算管理” 修改为“IT战略与程序” 新增“IT风险管理框架” 新增“IT风险报告” 新增“系统下线” 新增“项目立项” 新增“系统选型” 新增“项目验收与结项” 新增“项目后评价” 新增“突发事件恢复” 新增“危机管理” 新增“应急管理” 新增“外包决策” 新增“人员管理” 新增“外包的监管报送和风险评估” 3.1.3 工作总结——梳理情况展示 修改为“系统安全”