银行业金融机构信息科技风险评估体系v9【银字-第51号】

附件一银行业金融机构信息科技风险评估指南（2011版） 目录第一章总则.............................................................................................................................21.1目的....................................................................................................................................21.2适用范围............................................................................................................................3第二章信息科技风险评估框架.................................................................................................42.1信息科技风险评估指标......................................................................................................42.2信息科技风险评估方法......................................................................................................5第三章风险评估指标...............................................................................................................83.1固有风险指标.....................................................................................................................83.2控制有效性指标.................................................................................................................9第四章风险评估方法.............................................................................................................104.1概述..................................................................................................................................104.2固有风险评估...................................................................................................................104.3控制有效性评估...............................................................................................................124.4综合评估..........................................................................................................................144.4.1综合风险水平.........................................................................................................144.4.2综合评估结论.........................................................................................................144.4.3综合评估卡............................................................................................................154.5撰写风险评估报告............................................................................................................16附件一固有风险指标.............................................................................................................18附件二控制有效性指标.........................................................................................................31附件三综合评估结论描述参考...............................................................................................54 ~ 1 ~ 第一章总则1.1目的为规范银行业金融机构信息科技非现场风险评估工作，建立有效的信息科技风险评估指标体系及风险评估方法，依据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中国银行业监督管理委员会信息科技非现场监管指引（试行）》、《商业银行信息科技风险监管指引》和其他相关法律、法规，制定本指南。本指南主要目的包括：1.建立一套完整、合理、开放的信息科技风险评估指标及评估方法，以求客观反映银行业金融机构信息科技风险现状及管控水平，为各级监管部门全面开展信息科技风险非现场监管工作提供参考和指导。2.坚持以风险导向监管的原则，全面、持续地识别、监测、分析、评估机构信息科技风险，提高各级监管部门信息科技风险信息采集和分析能力，采取具有针对性的监管措施，提高信息科技风险非现场监管效率。3.为后续实现对银行业金融机构信息科技风险的持续监管、分类监管和风险预警，以及推行同质同类银行业金融机构比较和差别监管模式等监管评价、评级工作提供参考和依据，以此形成有效的信息科技风险日常监管机制，及时纠正和制止危及银 ~ 2 ~  ~ 3 ~ 行业金融机构健康发展的风险因素，保障信息科技安全、稳健运行。4.进一步将信息科技风险纳入银监会全面风险监管框架，以识别、评估、监测和控制银行业金融机构信息科技风险为主线，通过信息科技风险识别与综合风险评价相结合，现场检查与非现场监管相结合，客观数据与主观判断相结合等方式方法，逐步丰富和完善信息科技风险非现场监管体系。本指南主要内容包括：1.信息科技风险评估框架2.信息科技风险评估指标3.信息科技风险评估方法银监会及其派出机构信息科技监管部门应利用本指南中的监管指标及评估方法，定期或不定期开展银行业金融机构机构信息科技风险信息收集和风险评估工作。1.2适用范围本指南主要适用于中国银行业监督管理委员会（以下简称银监会）及其派出机构对在中华人民共和国境内依法设立的法人银行业金融机构（以下简称机构）进行信息科技风险评估。第二章信息科技风险评估框架本指南所指信息科技风险非现场监管是指非现场监管人员按照风险为本的监管理念，全面、持续的收集和分析机构的信息科技固有风险和控制信息，分析、评估信息科技风险水平，制定监管计划合理配置监管资源，并实施一系列分类监管措施的周而复始的过程。信息科技风险评估框架如图1所示：信息科技风险评估指标控制有效性指标固有风险指标固有风险水平控制有效性信息科技风险评估方法信息科技综合风险水平图1：信息科技风险评估框架上述框架主要由信息科技风险评估指标以及信息科技风险评估方法两部分内容构成。2.1信息科技风险评估指标信息科技风险评估指标（以下简称评估指标）是在监管工作中定期或不定期使用的，具有可比性的，可反映机构信息科技现状和风险水平的一系列判断结果、数值或比率。评估指标分为固有风险维度和控制有效性维度。 ~ 4 ~ 固有风险维度由风险子领域、评估指标和参考评估标准三部分组成。监管人员通过定量和定性分析，识别、评估机构信息科技固有风险水平。控制有效性维度包括控制子领域、评估指标和参考评估标准三部分。监管人员通过定量和定性分析，评估机构信息科技控制有效性。本指南主要采用定量和定性两类指标对信息科技风险进行分析。定量指标结果是一个正数，它有可能是某个正数区间范围内的任何一个数值，指标得分根据指标结果区间给出。定性指标结果基于报送数据、日常风险监测和现场检查掌握的情况，由监管人员参照评估标准逐项评判，按照机构实际情况与标准的符合程度给出指标得分。具体评估指标详见附件一、二。2.2信息科技风险评估方法信息科技风险评估方法是通过对信息科技风险种类、风险程度和风险发展趋势进行识别分析，对信息科技的风险状况、风险管理的充分性以及外部风险因素的影响做出判断，并在此基础上对机构的整体风险水平做出评估。本指南采用定性与定量相结合的方式开展信息科技风险评估工作。信息科技风险评估方法主要包括以下内容： ~ 5 ~ （一）风险识别。信息科技监管人员基于银行业金融机构信息科技非现场监管报表，以及其他各种渠道收集的信息技术发展态势、安全威胁、漏洞等信息，全面识别银行业金融机构面对的信息科技风险，并形成风险和控制清单。附件一、二根据当前银行业信息科技风险状况，给出了一份通用的固有风险和控制子领域评估清单。（二）风险评估。本指南中的信息科技风险评估主要用于考量机构的信息科技综合风险水平。信息科技监管人员根据信息科技风险评估指标、计算方法、评判标准开展评估工作。信息科技风险评估分为信息科技固有风险水平评估和信息科技风险控制有效性评估两部分内容。机构整体信息科技风险水平按照公式：【信息科技综合风险水平】＝【固有风险】－【控制措施有效性】得出。如有必要，信息科技监管人员可依据本指南开展信息科技某领域专项风险评估。（三）风险分析。风险分析是对风险评估结果的进一步解析和确认。信息科技监管人员可以采取快速现场巡查、专题调研、专家会诊等多种方式方法，深入分析机构乃至行业中的突出信息科技风险成因，以利于制定有针对性的监管措施。（四）基准分析。信息科技监管人员可基于所有银行业金融机构的风险评估结果，建立行业层面、地区层面、同质同类机构层面、信息科技专项领域层面的风险评估基准，并进一步构建信 ~ 6 ~  ~ 7 ~ 息科技监管风险基线。（五）评估报告。信息科技监管人员在风险评估和风险分析的基础上，分别撰写各机构信息科技风险评估报告，并根据机构信息科技风险水平高低，提出相匹配的监管意见和建议，合理分配监管资源。第三章风险评估指标3.1固有风险指标固有风险是指在不考虑内部控制措施的前提下，由于内部因素和客观环境的影响，经营运作可能发生重大错误的风险。信息科技固有风险是固有风险的重要组成部分，特指机构在