信息系统变更风险评估量化模型设计与应用.docxVIP

信息系统变更风险评估量化模型设计与应用

目录TOC\o1-5\h\z\oCurrentDocument编者按1

刖舌1\oCurrentDocument.商业银行信息科技风险管理政策解读2

\oCurrentDocument监管政策时间线梳理2

\oCurrentDocument监管机制的方法、方式和手段3

\oCurrentDocument信息科技风险关注重点4\oCurrentDocument.变更风险评估量化模型设计思路5

\oCurrentDocument2.1.设定指标5

\oCurrentDocument2.1.1.变更基线5

\oCurrentDocument2.1.2.变更影响6

\oCurrentDocument2.1.3.异常可能性6

\oCurrentDocument2.1.4.异常控制6

\oCurrentDocument2.1.5.异常影响6

\oCurrentDocument2.2.指标量化7

\oCurrentDocument2.3.风险定级9

\oCurrentDocument2.4.模型试算10\oCurrentDocument3.模型在变更管理中的应用10

\oCurrentDocument3.L增设变更分级评估表11

\oCurrentDocument3.2.强化变更分级分类审批11

\oCurrentDocument3.3.加强技术支持和保障11编者按

本文从银行信息系统变更风险防控的实际需求出发，综合考虑变更实施及特护期间的各项因素，创新提出了一种由一、二级指标组成的变更风险评估量化模型，并以某国有商业银行在变更分级管理活动中的实践为例进行简要说明。

1—

刖百

第1页共12页

（产品成熟度C；）（操作成熟度C；）（百品复杂度C1）作复杂度C3,TOC\o1-5\h\z/\

异常可能性C=C1xC2+C3xC4

1.\-II

/\风险值S=Ax?+CxDXE）

[变更影响B=Bi+B2+B3）（异常控制D=D1XD2）（异常膨响E），，、,、

（计划停机Bi）（验证有效性Di）（应急有效性D2）（性能容￡名）

（其他影响B3）图1各级指标及风险值计算方法

4.模型试算

在变更风险评估与定级模型初步设计完成后，可能还存在指标设计缺乏针对性、量化取值不合理、可操作性不强的情况。因此，为确保模型科学合理可落地操作，需要组织各专业部门对定级模型开展多轮次的变更试算，即通过使用该模型对本专业的变更场景进行风险评估，分析和评价试算过程和结果，最后再对模型进行调优。在此过程中，试算变更的覆盖面应满足以下要求：一是覆盖本部门各个应用系统的典型变更；二是覆盖本部门所有类型的标准变更；三是覆盖最近1?2年内本部门实施的重大变更；四是试算变更数量不低于规定数量。如此，通过各变更申请、变更实施部门的变更定级试算，即可加强定级模型的可操作性，并通过变更定级模型的优化，提高定级模型的精确性和适用性，为其在变更管理活动中的实际应用打下坚实的基础。

3.模型在变更管理中的应用

以某国有商业银行为例，生产运行部门平均每周评审变更90余个，在投产当周那么数量更多，最多时单周到达200余个变更。由于变更数量较多、频率较高，且变更分级不够准确，变更实施后易引发生产事件处置解决不及时，或造成业务连续性影响与变更级别不匹配的情况发生。为加强变更风险识别与管控，切实推进变更分级精细化管理，该行从生产运行的实际需求出发，将风险第10页共12页

评估量化模型应用到变更管理中，并以此为契机深入开展了一系列精细化管理活动。

1.增设变更分级评估表

变更申请部门组织填报变更风险评估表，通过模型计算变更风险值，确定变更级别，并将其作为对该变更进行分级管理的基础和依据。《变更分级评估表》界面如图2所不，该表格中包含了定级模型的所有5项一■级指标、11项二级指标。其中，白色底纹的单元格为待选单元格，均采用了下拉菜单形式，变更申请人需根据变更实际情况选取合适的备选项。在选取完所有待选单元格内容后，表格将自动计算得出变更风险值S和对应的变更级别。除了在“变更风险评估补充信息〃栏注明其他需注意的变更信息，变更申请人还可通过切换其他标签页，查看变更分级标准及变更定级指标的具体取值与含义，进而计算得到风险评估值及变更级别。

殳更吊线

殳更类型

■rrk

?3美

受更层微

分行层线

1

灾普等S

灾笛等[5]

殳更光