商业银行it风险管理框架跟评价体系研究探究教材.pptVIP

商业银行IT风险管理框架及评价体系研究 汇报提纲 1、基本概念——IT风险 IT风险是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉风险。 ——《商业银行信息科技风险管理指引》 《巴塞尔新资本协议》将IT风险作为操作风险的一个重点进行防范。 1、基本概念——IT风险管理 通过建立有效的机制，实现对商业银行IT风险的识别、计量、监测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。 ——《商业银行信息科技风险管理指引》 相关概念：包括IT治理、信息安全管理、IT内部控制、IT审计、业务连续性管理、IT项目建设、IT运行管理等，不同概念的侧重点各不相同。 本文所指IT风险管理分为广义的概念和狭义的概念，广义的IT风险管理，涵盖上述概念的有关内容，将组织的IT管理活动都视为对IT风险的管理活动。狭义的IT风险管理，特指组织围绕IT风险所开展的具体的识别、计量、监测和控制活动。如未特指，本文所指IT风险管理是广义的概念。 2、问题的提出 必要性：IT风险是瞬间能导致一家银行倒闭的风险。 数据集中化、业务系统化、系统网络化、渠道多元化 破坏性大 、影响面广、隐蔽性高、专业性强 管理现状：IT风险管理能力亟待提高 人力资源紧张、监督评价机制缺失、风险防范能力弱 难点：缺乏有效的“操作指南” 种类繁多的理论、标准、制度、方法 如何入手？如何评价？无所适从 3、研究目的 借鉴国内外有关IT风险管理的理论、标准和规范，提出IT风险管理的一般框架，建立相应的评价体系 该IT风险管理框架和评价体系能兼容现有的标准和规范，且简单易懂、指导性强 4、参考依据 理论和方法：管理层次理论、平衡记分卡；风险管理、公司治理、IT治理相关理论。 标准：COBIT、ITIL、ISO 17799/27001、信息安全风险管理指南（GBZ_24364-2009） 制度：商业银行信息科技风险管理指引、信息安全等级保护管理办法 汇报提纲 1、基本框架的提出 域和流程的分解？ 2、基本框架的划分——按域维度 2、基本框架的划分——按域维度 域和流程的定义：总结各标准和规范的异同点，进行整合归并。 8个域：IT治理 、IT风险管理 、IT审计 、IT系统建设 、IT系统运行 、业务连续性管理 、外包管理 、信息安全管理 每个域下定义若干流程，共21个流程： IT风险管理的层次？ 3、基本框架的划分——按层次划分 4、最终框架的建立 4、举例 汇报提纲 1、评价的目的 掌握IT风险管理情况 查找差距 分析原因 持续改进。 2、评价标准和方法 评价标准： 评价IT风险管理的好与坏的参照物 。 来源：1、国家有关制度和规定 ；2、国际上普遍认可和采用的标准 方法：平衡记分卡有关评价指标的建立方法。 3、平衡记分卡 4、评价方法 3、评价体系的建立 3、评价体系的建立 3、评价体系的建立 汇报提纲 1、A银行基本情况 2、基础信息收集 3、指标评分 4、IT风险管理情况分析 4、IT风险管理情况分析 5、对策建议 汇报提纲 A银行除了针对具体不足制定改进措施外，要提高IT风险管理水平，还需要从以下关键环节入手: 明确IT风险管理目标 完善IT治理架构 开展具体的IT风险监测、评估和控制 -*- 二零一二年六月 学生：陈云龙 导师：唐勇副教授 结论与展望 案例分析 IT风险管理评价体系的建立 IT风险管理模型的提出 选题背景 结论与展望 案例分析 IT风险管理评价体系的建立 IT风险管理模型的提出 选题背景 风险评估 风险监测 风险控制 IT风险 管理目标 1、风险识别 2、风险计量 3、风险评估 1、排定风险控制的优先级 2、采取具体措施控制风险 1、收集和监测 2、发现和预警 1、业务连续性 2、信息安全性 3、业务发展 IT风险管理 IT系统建设 IT系统运维 信息安全管理 项目管理 系统开发 变更管理 配置管理 物理安全 网络安全 … … … … 管理域1 管理域2 管理域3 流程1 流程2 流程3 流程4 流程5 流程6 监测 评估 控制 监测 评估 控制 监测 评估 控制 监测 评估 控制 监测 评估 控制 监测 评估 控制 … … … 决策层 管理层 执行层 执行管理层制定的管理政策、制度和流程，落实改进措施 提出IT发展和风险管理的总体要求，建立IT风险管理组织架构，进行IT发展和风险管理重要决策 落实决策层关于IT发展和风险管理的总体要求 管理域:IT系统建设 　 管理流程:项目管理 　 2、完善系统功能、性能和安全性。 2、系统功能、性能和安全性测