商业银行IT风险管理框架及评价体系研究

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

商业银行IT风险管理框架及评价体系研究二零一二年六月学生:陈云龙导师:唐勇副教授-2-汇报提纲结论与展望案例分析IT风险管理评价体系的建立IT风险管理模型的提出选题背景-3-1、基本概念——IT风险IT风险是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉风险。——《商业银行信息科技风险管理指引》《巴塞尔新资本协议》将IT风险作为操作风险的一个重点进行防范。-4-1、基本概念——IT风险管理通过建立有效的机制,实现对商业银行IT风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。——《商业银行信息科技风险管理指引》相关概念:包括IT治理、信息安全管理、IT内部控制、IT审计、业务连续性管理、IT项目建设、IT运行管理等,不同概念的侧重点各不相同。本文所指IT风险管理分为广义的概念和狭义的概念,广义的IT风险管理,涵盖上述概念的有关内容,将组织的IT管理活动都视为对IT风险的管理活动。狭义的IT风险管理,特指组织围绕IT风险所开展的具体的识别、计量、监测和控制活动。如未特指,本文所指IT风险管理是广义的概念。-5-2、问题的提出必要性:IT风险是瞬间能导致一家银行倒闭的风险。数据集中化、业务系统化、系统网络化、渠道多元化破坏性大、影响面广、隐蔽性高、专业性强管理现状:IT风险管理能力亟待提高人力资源紧张、监督评价机制缺失、风险防范能力弱难点:缺乏有效的“操作指南”种类繁多的理论、标准、制度、方法如何入手?如何评价?无所适从-6-3、研究目的借鉴国内外有关IT风险管理的理论、标准和规范,提出IT风险管理的一般框架,建立相应的评价体系该IT风险管理框架和评价体系能兼容现有的标准和规范,且简单易懂、指导性强-7-4、参考依据理论和方法:管理层次理论、平衡记分卡;风险管理、公司治理、IT治理相关理论。标准:COBIT、ITIL、ISO17799/27001、信息安全风险管理指南(GBZ_24364-2009)制度:商业银行信息科技风险管理指引、信息安全等级保护管理办法-8-汇报提纲结论与展望案例分析IT风险管理评价体系的建立IT风险管理模型的提出选题背景-9-1、基本框架的提出风险评估风险监测风险控制IT风险管理目标1、风险识别2、风险计量3、风险评估1、排定风险控制的优先级2、采取具体措施控制风险1、收集和监测2、发现和预警1、业务连续性2、信息安全性3、业务发展-10-域和流程的分解?IT风险管理IT系统建设IT系统运维信息安全管理项目管理系统开发变更管理配置管理物理安全网络安全…………管理域1管理域2管理域3流程1流程2流程3流程4流程5流程6监测评估控制监测评估控制监测评估控制监测评估控制监测评估控制监测评估控制………-11-2、基本框架的划分——按域维度-12-2、基本框架的划分——按域维度域和流程的定义:总结各标准和规范的异同点,进行整合归并。8个域:IT治理、IT风险管理、IT审计、IT系统建设、IT系统运行、业务连续性管理、外包管理、信息安全管理每个域下定义若干流程,共21个流程:-13-IT风险管理的层次?决策层管理层执行层执行管理层制定的管理政策、制度和流程,落实改进措施提出IT发展和风险管理的总体要求,建立IT风险管理组织架构,进行IT发展和风险管理重要决策落实决策层关于IT发展和风险管理的总体要求-14-3、基本框架的划分——按层次划分-15-4、最终框架的建立-16-4、举例决策层IT风险监测:IT风险评估:IT风险控制:1、掌握重大项目进展情况。1、评估现有IT项目管理组织架构有效性。1、建立项目管理组织机构。2、掌握IT项目资源配置情况2、审核重要项目2、涉及全局的IT项目建设的组织协调管理层IT风险监测:IT风险评估:IT风险控制:1、掌握项目管理情况。评估项目实施过程风险控制情况1、制定项目管理制度,对项目管理流程进行规范2、掌握IT项目资源配置情况2、明确项目建设过程中对项目风险评估的要求。执行层IT风险监测:IT风险评估:IT风险控制:1、掌握系统功能需求。1、系统设计方案风险评估。1、完善系统设计方案。2、掌握系统设计方案2、系统功能、性能和安全性测试。2、完善系统功能、性能和安全性。管理流程:项目管理管理域:IT系统建设-17-汇报提纲结论与展望案例分析IT风险管理评价体系的建立IT风险管理模型的提出选题背景-18-1、评价的目的掌握IT风险管理情况查找差距分析原因持续改进。-19-2、评价标准和方法评价标准:评价IT风险管理的好与坏的参照物。来源:1、国家有关制度和规定;2、国际上普遍认可和采用的标准方法:平衡记分卡有关评价指标的建立方法。-20-3、平衡记分卡-21-4、评价方法1、风险活动2、关键控制点3、评价指标-22-3、评价体系的建立1、战略发展目标商业银行业务发展总目标2、内部控制目标IT风险管理的目标,包括业务连续性目标、信息安全目标和业务发展目标3、关键成功因素8个IT管理域4、关联流程每个管理域包括若干管理流程,共21个管理流程5、关键控制点每个流程从决策、管理、执行三个层面和监测、评估、控制三个方面包括若干关键控制点6、评价指标每个关键控制点包括若干评价指标-23-3、评价体系的建立共设计94个指标,指标体系如下图所示:-24-3、评价体系的建立指标类型评分方法:专家打分法IT风险管理评价总得分=∑(子领域得分*子领域权重)IT风险管理评级:弱:(0IT风险管理评价得分=50)中弱:(50IT风险管理评价得分=70)中强:(70IT风险管理评价得分=90)强:(90IT风险管理评价得分=100)-25-汇报提纲结论与展望案例分析IT风险管理评价体系的建立IT风险管理模型的提出选题背景-26-1、A银行基本情况某地方法人银行,分支行48家,截至2011年末,该行资产总额498亿元IT系统架构建设方面,已建立了两地三中心的运行体系,即一个数据中心,一个同城灾备中心和一个异地灾备中心IT风险管理方面,目前有科技部人员48人,承担主要的科技项目建设、信息系统运维和IT风险管控任务。风险管理部、审计稽核部初步具备IT风险管理职能,初步具备监督制约机制-27-2、基础信息收集从IT治理、IT风险管理、IT审计、IT系统建设、IT系统运行、业务连续性管理、外包管理、信息安全管理等八个领域,以及决策层、管理层、执行层三个层面收集和了解A银行截至2011年底IT风险管理评价基础信息,并与2010年相比较了解取得的进展-28-3、指标评分-29-4、IT风险管理情况分析各管理域得分情况-30-4、IT风险管理情况分析各管理层次得分情况-31-5、对策建议A银行除了针对具体不足制定改进措施外,要提高IT风险管理水平,还需要从以下关键环节入手:明确IT风险管理目标完善IT治理架构开展具体的IT风险监测、评估和控制-32-汇报提纲结论与展望案例分析IT风险管理评价体系的建立IT风险管理模型的提出选题背景-33-研究结论本文所提出的IT风险管理框架和评价体系能在一定程度上解决商业银行IT风险管理“如何做”的问题:明确了IT风险管理的目标提出了IT风险管理的统一视角——监测、评估、控制具有普适性和可拓展性特点明确了IT风险管理的职责——决策层、管理层、执行层提供了实施IT风险管理的具体方法-34-研究展望IT风险的度量问题IT投入成本效益的计算问题fudachenyl@163.comCopyrightbychenyl

1 / 35
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功