商业银行信息科技风险评估研究(2011)

《股份制商业银行风险 评级体系》 评级体系》
表达
评估方法及多级指标体系的构建思想及步骤
首先，确定若干评估度量域， 首先，确定若干评估度量域，每一个度量域包含 若干度量类，对每一个度量类又有若干度量项， 若干度量类，对每一个度量类又有若干度量项， 借鉴《商业银行信息科技风险管理指引》 借鉴《商业银行信息科技风险管理指引》的九个 方面。（ 个域，46个类 841项度量指标 。（9 个类， 项度量指标） 方面。（9个域，46个类，841项度量指标） 然后，通过适当的方法为每一个指标选择权重； 然后，通过适当的方法为每一个指标选择权重； 最后，采用逐级加权平均对每一个指标进行评价， 最后，采用逐级加权平均对每一个指标进行评价， 得出综合评价分数。 得出综合评价分数。
商业银行信息科技风险评估研究
注：中国工商银行博士后工作站 ——杨涛(2011) 杨涛(2011) 中国人民大学博士后流动站
主要内容
信息科技风险评估体系的设计思想
多级指标体系的构建
Βιβλιοθήκη Baidu
评估模型的设计
设计调查问卷进行实证分析
商业银行信息科技风险评估体系制定的依据
《商业银行信息科技风 险管理指引》 险管理指引》
THE END！ ！
单项评估模型
A=A1 *W1+A2*W2+…+Ai*Wi 代表度量域中的第i 注：Ai代表度量域中的第i个度量类的分数 Wi代表各度量类在该度量域中的权重
如何确定分数、 如何确定分数、 权重？ 权重？
评价信息科技风险管理工作成效，需要考虑控制措施 定义、控制措施执行情况和工作记录情况三个方面。 每个单项的评分标准如下表2：
本文作者建议确定权重的方法： 步骤1：以Delphi方法通过反复征求专家意见得到不同 指标权重的初值；（工作成效评价） 步骤2：通过层次分析法根据各指标权重的相对重要性 构造判断矩阵，计算出各层次的组合权重； 步骤3：利用熵值法对得到的组合权重进行修正。
随着中国对银行科技风险监管的加强和重视， 随着中国对银行科技风险监管的加强和重视，不同指 标的权重大小应随着银行科技风险的变化和监管的重 点和难点的变化而适时作出调整。 点和难点的变化而适时作出调整。
表1：信息科技风险指标体系表 信息科技风险指标体系表
一级指标 指标项 权重 二级指标 指标项 信息科技战略和信息科技年度计划 信息科技治理组织结构 科技制度和技术规范管理 信息科技治理 0.1 科技检查 科技考评 科技培训 风险管理策略 信息科技风险管理 0.1 风险识别和评估 风险防范和监测 组织和人员安全 信息分类及保护 物理环境的的安全管理 网络安全 信息安全 0.2 软件安全管理 主机及系统安全 密码技术管理 信息安全事件管理 科技文档安全 应用开发类项目管理 研究和工程类实施项目管理 采购类项目管理 项目管理 0.1 项目评审管理 验收考核管理 软件产品管理 需求分析 应用开发 0.1 应用设计及开发 单元、集成与系统测试 验收测试 测试管理 0.1 适应性测试 服务水平管理 可用性管理 性能和容量管理 事件管理 问题管理 运维管理 0.1 变更管理 操作管理 应急管理 数据管理 配置管理 业务连续性管理组织 业务连续性管理 0.1 业务连续性管理流程 外包管理 对外服务管理 第三方与外包管理 0.1 外部服务管理 合作伙伴管理 供应商管理 0.5 0.2 0.2 0.2 0.2 0.2 0.1 0.1 0.1 0.1 0.1 0.5 0.5 0.1 0.1 0.1 0.1 0.1 0.2 0.1 0.1 0.2 0.4 0.4 0.5 0.2 0.1 0.1 0.2 0.5 0.3 0.1 0.1 0.1 0.1 0.1 0.2 0.1 0.1 0.1 0.2 0.2 0.2 权重 0.2 0.3 0.1
对某行的运行管理领域开展信息科技风险评估， 结果如下:
实证分析图如下： 实证分析图如下：
结果分析：变更管理。变更管理包括版本投产变更和运行变 变更管理。 变更管理 更管理两部分,共包括 个风险点,126个题目 存在差异项 共包括20个风险点 个题目,存在差异项 更管理两部分 共包括 个风险点 个题目 存在差异项28 占评估要点的22.22%。评估发现的差异项主要体现在变 个,占评估要点的 占评估要点的 。 更申请、变更方案的制定等方面。 更申请、变更方案的制定等方面。 在变更要素的规范性方面,某行存在的差异主要包括变 在变更要素的规范性方面 某行存在的差异主要包括变 更申请时间不符合要求、变更回退方案不够详细、 更申请时间不符合要求、变更回退方案不够详细、变更审批 流程不规范等方面,要求加强变更管理 要求加强变更管理,严格执行科技制度的 流程不规范等方面 要求加强变更管理 严格执行科技制度的 有关规定。 有关规定。