商业银行IT风险管理框架及评价体系研究二零一二年六月学生：陈云龙导师：唐勇副教授2汇报提纲结论与展望结论与展望案例分析案例分析IT风险管理评价体系的建立风险管理评价体系的建立IT风险管理模型的提出风险管理模型的提出 选题背景选题背景 31、基本概念、基本概念IT风险vITIT风险是指信息科技在商业银行运用过程中，由风险是指信息科技在商业银行运用过程中，由于于自然因素、人为因素、技术漏洞和管理缺陷自然因素、人为因素、技术漏洞和管理缺陷产产生的操作、法律和声誉风险。生的操作、法律和声誉风险。 商业银行商业银行信息科技风险管理指引信息科技风险管理指引 v巴塞尔新资本协议巴塞尔新资本协议将将ITIT风险作为操作风险的风险作为操作风险的一个重点进行防范。一个重点进行防范。41、基本概念、基本概念IT风险管理v通过建立有效的机制，实现对商业银行通过建立有效的机制，实现对商业银行ITIT风险的识别、计量、监测风险的识别、计量、监测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。高信息技术使用水平，增强核心竞争力和可持续发展能力。 商业银行信息科技风险管理指引商业银行信息科技风险管理指引 v相关概念：包括相关概念：包括ITIT治理、信息安全管理、治理、信息安全管理、ITIT内部控制、内部控制、ITIT审计、业审计、业务连续性管理、务连续性管理、ITIT项目建设、项目建设、ITIT运行管理等，不同概念的侧重点各运行管理等，不同概念的侧重点各不相同。不相同。v本文所指本文所指ITIT风险管理分为广义的概念和狭义的概念，广义的风险管理分为广义的概念和狭义的概念，广义的ITIT风险风险管理，涵盖上述概念的有关内容，管理，涵盖上述概念的有关内容，将组织的将组织的ITIT管理活动都视为管理活动都视为对对ITIT风险的管理活动风险的管理活动。狭义的。狭义的ITIT风险管理，特指组织围绕风险管理，特指组织围绕ITIT风风险所开展的具体的识别、计量、监测和控制活动。如未特指，本文险所开展的具体的识别、计量、监测和控制活动。如未特指，本文所指所指ITIT风险管理是广义的概念。风险管理是广义的概念。52、问题的提出、问题的提出v必要性：IT风险是瞬间能导致一家银行倒闭的风险。数据集中化、业务系统化、系统网络化、渠道多元化 破坏性大 、影响面广、隐蔽性高、专业性强v管理现状：IT风险管理能力亟待提高人力资源紧张、监督评价机制缺失、风险防范能力弱v难点：缺乏有效的“操作指南”种类繁多的理论、标准、制度、方法如何入手？如何评价？无所适从63、研究目的、研究目的v借鉴国内外有关IT风险管理的理论、标准和规范，提出IT风险管理的一般框架，建立相应的评价体系 v该IT风险管理框架和评价体系能兼容现有的标准和规范，且简单易懂、指导性强74、参考依据、参考依据v理论和方法：管理层次理论、平衡记分卡；风险管理、公司治理、IT治理相关理论。v标准：COBIT、ITIL、ISO 17799/27001、信息安全风险管理指南（GBZ_24364-2009）v制度：商业银行信息科技风险管理指引、信息安全等级保护管理办法8汇报提纲结论与展望结论与展望案例分析案例分析IT风险管理评价体系的建立风险管理评价体系的建立IT风险管理模型的提出风险管理模型的提出 选题背景选题背景 91、基本框架的提出、基本框架的提出风险评估风险评估风险监测风险监测风险控制风险控制IT风险风险管理目标管理目标1、风险识别风险识别2、风险计量、风险计量3、风险评估、风险评估 1、排定风险控制、排定风险控制的优先级的优先级2、采取具体措施、采取具体措施控制风险控制风险 1、收集和监测收集和监测 2、发现和预警发现和预警 1、业务连续性业务连续性 2、信息安全性信息安全性3、业务发展业务发展10域和流程的分解？域和流程的分解？IT风险管理风险管理IT系统建设系统建设IT系统运维系统运维信息安全管理信息安全管理项目管理项目管理系统开发系统开发变更管理变更管理配置管理配置管理物理安全物理安全网络安全网络安全管理域管理域1管理域管理域2管理域管理域3流程流程1流程流程2流程流程3流程流程4流程流程5流程流程6监测监测评估评估控制控制监测监测评估评估控制控制监测监测评估评估控制控制监测监测评估评估控制控制监测监测评估评估控制控制监测监测评估评估控制控制112、基本框架的划分、基本框架的划分按域维度按域维度122、基本框架的划分、基本框架的划分按域维度按域维度v域和流程的定义：总结各标准和规范的异同点，进行整合归并。v8个域：IT治理、IT风险管理、IT审计、IT系统建设、IT系统运行、业务连续性管理、外包管理、信息安全管理v每个域下定义若干流程，共21个流程：13IT风险管理的层次？风险管理的层次？决策层决策层决策层管理层管理层管理层执行层执行层执行层执行管理层制定的管理政策、制度和流程，落实改进措施 提出IT发展和风险管理的总体要求，建立IT风险管理组织架构，进行IT发展和风险管理重要决策 落实决策层关于IT发展和风险管理的总体要求 143、基本框架的划分、基本框架的划分按层次划分按层次划分154、最终框架的建立、最终框架的建立164、举例、举例决策层决策层ITIT风险监测风险监测： ITIT风险评估：风险评估： ITIT风险控制风险控制： 1、掌握重大项目进展情况。 1、评估现有IT项目管理组织架构有效性。 1、建立项目管理组织机构。 2、掌握IT项目资源配置情况2、审核重要项目2、涉及全局的IT项目建设的组织协调管理层管理层ITIT风险监测：风险监测： ITIT风险评估：风险评估：ITIT风险控制：风险控制： 1、掌握项目管理情况。 评估项目实施过程风险控制情况1、制定项目管理制度，对项目管理流程进行规范 2、掌握IT项目资源配置情况2、明确项目建设过程中对项目风险评估的要求。执行层执行层ITIT风险监测：风险监测： ITIT风险评估风险评估: : ITIT风险控制：风险控制： 1、掌握系统功能需求。 1、系统设计方案风险评估。 1、完善系统设计方案。 2、掌握系统设计方案2、系统功能、性能和安全性测试。2、完善系统功能、性能和安全性。管理流程管理流程: :项目管理管理域管理域: :IT系统建设17汇报提纲结论与展望结论与展望案例分析案例分析IT风险管理评价体系的建立风险管理评价体系的建立IT风险管理模型的提出风险管理模型的提出 选题背景选题背景 181、评价的目的、评价的目的v掌握IT风险管理情况v查找差距v分析原因v持续改进。192、评价标准和方法、评价标准和方法v评价标准：评价IT风险管理的好与坏的参照物。来源：1、国家有关制度和规定；2、国际上普遍认可和采用的标准v方法：平衡记分卡有关评价指标的建立方法。203、平衡记分卡、平衡记分卡214、评价方法、评价方法1 1、风险活动、风险活动2、关键控制点、关键控制点3、评价指标、评价指标223、评价体系的建立、评价体系的建立1 1、战略发展目标、战略发展目标商业银行业务发展总目标2 2、内部控制目标、内部控制目标IT风险管理的目标，包括业务连续性目标、信息安全目标和业务发展目标3 3、关键成功因素、关键成功因素8个IT管理域4 4、关联流程、关联流程每个管理域包括若干管理流程，共21个管理流程5 5、关键控制点、关键控制点每个流程从决策、管理、执行三个层面和监测、评估、控制三个方面包括若干关键控制点6 6、评价指标、评价指标每个关键控制点包括若干评价指标233、评价体系的建立、评价体系的建立v共设计94个指标，指标体系如下图所示：243、评价体系的建立、评价体系的建立v指标类型评分方法：专家打分法 IT风险管理评价总得分=（子领域得分*子领域权重） vIT风险管理评级 ：弱：(0IT风险管理评价得分=50)中弱：(50IT风险管理评价得分=70)中强：(70IT风险管理评价得分=90)强：(90IT风险管理评价得分=100) 25汇报提纲结论与展望结论与展望案例分析案例分析IT风险管理评价体系的建立风险管理评价体系的建立IT风险管理模型的提出风险管理模型的提出 选题背景选题背景 261、A银行基本情况银行基本情况v某地方法人银行，分支行48家，截至2011年末，该行资产总额498亿元vIT系统架构建设方面，已建立了两地三中心的运行体系，即一个数据中心，一个同城灾备中心和一个异地灾备中心vIT风险管理方面，目前有科技部人员48人，承担主要的科技项目建设、信息系统运维和IT风险管控任务。风险管理部、审计稽核部初步具备IT风险管理职能，初步具备监督制约机制272、基础信息收集、基础信息收集v从IT治理、IT风险管理、IT审计、IT系统建设、IT系统运行、业务连续性管理、外包管理、信息安全管理等八个领域，以及决策层、管理层、执行层三个层面收集和了解A银行截至2011年底IT风险管理评价基础信息，并与2010年相比较了解取得的进展283、指标评分、指标评分294、IT风险管理情况分析风险管理情况分析v各管理域得分情况各管理域得分情况304、IT风险管理情况分析风险管理情况分析v各管理层次得分情况各管理层次得分情况315、对策建议、对策建议vA银行除了针对具体不足制定改进措施外，要提银行除了针对具体不足制定改进措施外，要提高高IT风险管理水平，还需要从以下关键环节入手风险管理水平，还需要从以下关键环节入手:明确明确IT风险管理目标风险管理目标完善完善IT治理架构治理架构开展具体的开展具体的IT风险监测、评估和控制风险监测、评估和控制32汇报提纲结论与展望结论与展望案例分析案例分析IT风险管理评价体系的建立风险管理评价体系的建立IT风险管理模型的提出风险管理模型的提出 选题背景选题背景 33研究结论研究结论v本文所提出的IT风险管理框架和评价体系能在一定程度上解决商业银行IT风险管理“如何做”的问题：明确了明确了IT风险管理的目标风险管理的目标提出了提出了IT风险管理的统一视角风险管理的统一视角监测、评估、控制监测、评估、控制具有普适性和可拓展性特点具有普适性和可拓展性特点明确了明确了IT风险管理的职责风险管理的职责决策层、管理层、执行层决策层、管理层、执行层提供了实施提供了实施IT风险管理的具体方法风险管理的具体方法34研究展望研究展望vIT风险的度量问题风险的度量问题vIT投入成本效益的计算问题投入成本效益的计算问题28、举一而反三，闻一而知十，及学者用功之深，穷理之熟，然后能融会贯通，以至于此。朱熹29、读书之乐乐陶陶，起并明月霜天高。朱熹30、读书之法无他，惟是笃志虚心，反复详玩，为有功耳。朱熹31、读书无疑者须教有疑，有疑者却要无疑，到这里方是长进。朱熹32、为学之道，莫先于穷理；穷理之要，必先于读书。朱熹33、读书譬如饮食，从容咀嚼，其味必长；大嚼大咀，终不知味也。朱熹34、读书无疑者，须教有疑，有疑者，却要无疑，到这里方是长进。朱熹35、举一而反三，闻一而知十，及学者用功之深，穷理之熟，然后能融会贯通，以至于此。朱熹36、我从未知道过有什么苦恼是不能为一小时的读书所排遣的。孟德斯鸠37、喜爱读书，就等于把生活中寂寞无聊的时光换成巨大享受的时刻。孟德斯鸠38、有时间读书，有时间又有书读，这是幸福；没有时间读书，有时间又没书读，这是苦恼。莫耶39、读书人不一定有知识，真正的常识是懂得知识，会思想，能工作。徐特立