搜索
1信息科技风险管理浅谈陈文雄2009年11月2提纲一、信息科技现状二、防范信息科技风险的要点31、我国银行业电子化和信息化建设经过二三十年的发展,取得了世界瞩目的成绩。同时面临许多挑战2、我国银行业金融机构信息化水平发展很不平衡用户数交易量一、信息科技现状43、信息科技治理不到位治理文化未形成、公司治理与IT治理、治理架构不全、责任不清晰、人员不足、培训不到位4、信息科技的价值不能充分体现信息资产与财务资产无标准与有标准一、信息科技现状5一、信息科技现状5、信息科技风险的定位不清楚或不恰当。信息科技风险与总体风险的关系过于间接,在新巴塞尔协议中,把信息科技风险定位为操作风险的一部分,实际上,与其他风险相比,信息科技风险的影响比其他风险大得多流动性与系统问题水能载舟也能覆舟6、信息技术是万能的处理能力强记忆无限场所无限智能与弱智电梯运行67、信息安全面临挑战一是银行业金融机构之间的差异性大,用一个标准衡量,既不利于大银行的信息安全保障,也不利于小机构的发展;二是我国银行业开放参与国际合作,面临来自资本市场、会计准则和信息披露要求等方面的严峻挑战;三是公众意识淡薄;四是安全测评不到位;五是金融危机影响IT的投入,外包方有变数;六是新资本协议的实施对系统产生的新要求;七是混业经营带来新的管理压力。一、信息科技现状7一、信息科技现状8、业务处理同质化87年股市黑色星期一多家机构共用同一服务商9、信息科技只定为支持服务只关注业务的需求不关注决策810、内控目标不合理合规不是内控最终目标“要我做变我要做”过度崇拜认证和形式主义不用信息科技防范整体风险一、信息科技现状9一、信息科技现状11、信息科技工作的实际情况“说起来很重要、做起来急着要、排起队来次要、出了问题什么都不要”信息科技管理是“一把手”工程信息科技风险管理靠“事件推动”好了伤疤忘了痛信息科技风险管理本身“灯下黑”信息科技工作评价标准重建轻管对事件零容忍100与60分10二、防范信息科技风险的要点1、定位信息科技是支柱风险防范还处于初级阶段治理是关键2、讲特色,要以“我”为主、与文化交融特色是提高风险管控能力和发展业务的根本。应多元化地开展信息科技风险管理工作手机短信一卡通3、建立中国特色的治理文化解决西方文化与东方文化的融合114、忧患IT事件频发911数据保护与责任外部因素影响电源、通信、软硬件、人员网络威胁信息泄露美国电网5、价值观念风险与价值的关系地震滑坡楼房坍塌鲜明的时段特色常态化安全目标与投入同城备份和异地备份(效率与概率)二、防范信息科技风险的要点126、用“三贴近”转变IT价值贴近领导战略一致、决策支持提高话语权贴近业务率先分析研究技术应用的发展引领业务体现生产力的作用贴近最终用户以高水准的服务提高认同感用服务水平承诺来明确服务内容变无目标、无标准为有目标和标准化二、防范信息科技风险的要点137、全员参与信息安全人人有责(木桶原理)安全要有明确的目标,达到目标要有相应的投入信息安全的要求需要人人了解和遵守,全员要在安全和便利中找到折中点安全责任的单一化会造成应负责任旁落业务需求不足或不准确会引发业务系统重大事故和系统可扩展性差系统开发和更新的反复奥运票务二、防范信息科技风险的要点14紧急变更对系统稳定性影响重大地震捐款规划业务发展规划舆情会无限扩大信息系统故障的危害应对舆情要发挥大家的力量社会责任二、防范信息科技风险的要点15终端用户的安全意识淡薄对知识产权、计算机网络的安全会产生严重影响自主产权保护随意安装屏幕保护口令共享资料共享管理帐户(信任、责任与保护)客户等敏感信息的保护业务连续性与应急业务连续性的要求知晓度新应急要求(按影响的人数)摆脱就技术论技术人工服务(帐篷银行、吹的价值)横向的联系和合作风险的识别、计量、监测和控制(可知与可控)二、防范信息科技风险的要点16谢谢!