商业银行IT风险管理框架及评价体系研究(PPT35张)
合集下载
商业银行业务经营与管理 第11章商业银行风险管理PPT精品文档44页
三、信用风险监测与报告
(一)风险监测指标
1.不良资产/贷款率 =(次级类贷款+可疑类贷款+损失类贷款)/各项贷款
×100% 2.预期损失率
=预期损失/资产风险暴露×100%
3.单一(集团)客户授信集中度 =最大一家(集团)客户贷款总额/资本净额×100%
4.贷款风险迁徙率 5.不良贷款拨备覆盖率
四、银行风险管理的整体框架
(一)银行风险管理模块
1.风险管理环境 2.风险管理目标和政策制定 3.风险监测与识别 4.风险评估 5.风险定价与处置 6.流程控制 7.风险信息处理和报告 8.后续评价和改进
风险管理模块关系:
风险管理环境
风
流
险
程
环
控
境
制
风险管理目标和政策设定 风险识别 风险评估 风险应对
五、发达国家商业银行市场风险管理 的经验
(一)瑞士银行的条线管理 (二)美国花旗银行的择类管理 (三)英国巴克莱银行的规范统一风险管理程序
思考与讨论
1.根据风险因子的不同,市场风险通常可分为哪些 风险?
2.市场风险控制的一般方法有哪些?
第四节 商业银行操作风险管理
主要内容
一、操作风险识别 二、操作风险评估 三、操作风险监测与报告 四、操作风险控制
而给商业银行造成经济损失的风险。
二、市场风险计量
(一)缺口分析 当市场利率发生变动时,并非所有的资产和负债都会受 到影响。 敏感性资产、敏感性负债、正缺口、负缺口。 (二)久期分析 久期的绝对值越高,表明利率变动将会对银行的经济价 值产生较大的影响。
(三)外汇敞口分析 外汇敞口主要来源于银行表内外业务中的货币金额和期限 错配。 (四)风险价值(Value at Risk,VaR) 风险价值是指在一定的持有期和置信水平下,利率、汇率 等市场风险要素的变化可能对资产价值造成的最大损失。 (五)敏感性分析 单个市场风险要素、微小变化、收益或经济价值、影响
【精品课件】商业银行风险管理基本框架
➢ 确保国家法律规定和商业银行内部 规章制度的贯彻执行。
➢ 确保商业银行发展战略和经营目标 的全面实施和充分实现。
➢ 确保风险管理体系的有效性。 ➢ 确保业务记录、财务信息和其他管
理信息的及时、真实和完整。
商业银行内部控制
内部控制的要素
➢ 内部控制环境。 ➢ 风险识别与评估。 ➢ 内部控制措施。 ➢ 信息交流与反馈。 ➢ 监督评价与纠正。
7 银行应保持公司治理的透明度
董事会和高级管理层应了解银行的运营架构,包括在低透明度 8 国家或在透明度不高的架构下开展业务(即了解银行的架构)
商业银行公司治理
我国商业银行公司治理原则
1
完全股东大会、董事会、监事会、高级管理层的 议事制度和决策程序
2
明确股东、董事、监事和高级管理人员的权利、 义务
德尔菲方法
风 险
情景分析法
识
故障树分析法
别
专家预测方法
方
法
筛选—监测—诊断法
资产财务状况分析法
风险计量
风险计量 是指在识别银行的业务活动
可能面临某种类型的风险之后,应用一 定的方法估计和测定发生风险损失的概 率和损失大小,以及对银行产生影响的 程度。
➢风险计量是商业银行风险管理的第二步, 是银行进行风险控制的基础。
➢ OECD(经济合作与发展组织)将公司治理定义
为:“公司管理层、董事会、股东以及其他 利益相关者之间的一整套关系。
商业银行公司治理
商业银行公司治理的原则
董事会成员应称职,清楚理解其在公司治理中的角色,有能力 1 对银行的各项事务做出正确的判断
董事会应核准银行的战略目标和价值准则并监督其在全行的传
方
操作风险
法
➢ 确保商业银行发展战略和经营目标 的全面实施和充分实现。
➢ 确保风险管理体系的有效性。 ➢ 确保业务记录、财务信息和其他管
理信息的及时、真实和完整。
商业银行内部控制
内部控制的要素
➢ 内部控制环境。 ➢ 风险识别与评估。 ➢ 内部控制措施。 ➢ 信息交流与反馈。 ➢ 监督评价与纠正。
7 银行应保持公司治理的透明度
董事会和高级管理层应了解银行的运营架构,包括在低透明度 8 国家或在透明度不高的架构下开展业务(即了解银行的架构)
商业银行公司治理
我国商业银行公司治理原则
1
完全股东大会、董事会、监事会、高级管理层的 议事制度和决策程序
2
明确股东、董事、监事和高级管理人员的权利、 义务
德尔菲方法
风 险
情景分析法
识
故障树分析法
别
专家预测方法
方
法
筛选—监测—诊断法
资产财务状况分析法
风险计量
风险计量 是指在识别银行的业务活动
可能面临某种类型的风险之后,应用一 定的方法估计和测定发生风险损失的概 率和损失大小,以及对银行产生影响的 程度。
➢风险计量是商业银行风险管理的第二步, 是银行进行风险控制的基础。
➢ OECD(经济合作与发展组织)将公司治理定义
为:“公司管理层、董事会、股东以及其他 利益相关者之间的一整套关系。
商业银行公司治理
商业银行公司治理的原则
董事会成员应称职,清楚理解其在公司治理中的角色,有能力 1 对银行的各项事务做出正确的判断
董事会应核准银行的战略目标和价值准则并监督其在全行的传
方
操作风险
法
商业银行风险管理基本架构教材.ppt
(3)corporate governance; and
(4)the management and regulation of financial institutions.
Ph.D Seminar in Financial Economics,Spring 2008 ,Tong Yu
Behavioral Finance Corporate Governance Security Issues Market Microstructure Asset Pricing Tests Derivative Pricing Variance Decomposition Institutional Investor Behavior Pension, Financing and Investment Banking, Credit and Loan Performance Fixed Income Securities and Credit Risk Liquidity Risk and Limit to Arbitrage Mutual Fund Performance Stock-bond Return Relations
(2)明确股东、董事、监事和高级管理人员 的权利、义务;
(3)建立、健全以监事会为核心的监督机制; (4)建立完善的信息报告和信息披露制度; (5)建立合理的薪酬制度,强化激励约束机
制。
国际组织关于公司治理的要求
经济合作与发展组织(OECD)的公司治理准 则。OECD提出了良好的公司治理应符合6条 原则。P36
Jean Tirole, 2001, Corporate Governance, Econometrica 69 (1), 1–35.
La Porta, R., F. Lopez-de-Silanes, A. Shleifer, and R. W. Vishny (2002), “Investor Protection and Corporate Valuation,” Journal of Finance, 57, 1147-1170.
(4)the management and regulation of financial institutions.
Ph.D Seminar in Financial Economics,Spring 2008 ,Tong Yu
Behavioral Finance Corporate Governance Security Issues Market Microstructure Asset Pricing Tests Derivative Pricing Variance Decomposition Institutional Investor Behavior Pension, Financing and Investment Banking, Credit and Loan Performance Fixed Income Securities and Credit Risk Liquidity Risk and Limit to Arbitrage Mutual Fund Performance Stock-bond Return Relations
(2)明确股东、董事、监事和高级管理人员 的权利、义务;
(3)建立、健全以监事会为核心的监督机制; (4)建立完善的信息报告和信息披露制度; (5)建立合理的薪酬制度,强化激励约束机
制。
国际组织关于公司治理的要求
经济合作与发展组织(OECD)的公司治理准 则。OECD提出了良好的公司治理应符合6条 原则。P36
Jean Tirole, 2001, Corporate Governance, Econometrica 69 (1), 1–35.
La Porta, R., F. Lopez-de-Silanes, A. Shleifer, and R. W. Vishny (2002), “Investor Protection and Corporate Valuation,” Journal of Finance, 57, 1147-1170.
商业银行风险管理概述PPT课件
第13页/共37页
监管原则——CAMEL(原则)
• 是美国监管当局对金融机构进行监管的原则,我国也 采用了这一原则。主要对金融机构从以下几个方面进 行监管:
C— capital Adequacy(资本) A— asset Quality(资产质量) M—management(管理水平) E— Earnings(盈利能力) L— Liquidity(资产流动性)
第31页/共37页
2004新资本协议的特 点
• 特点: • 对各种风险均提出了一整套循序渐进的资本计量方法,通过灵活的制度
安排,力求建立良好的激励机制,鼓励银行在不断改进和完善风险管理 系统,进而更为准确地测定一定风险状况下所需要的资本水平; • 重视银行内部风险管理对最低资本要求的补充作用,力求将资本管理与 风险管理有机结合,避免出现过度强调资本充足,而忽略银行业内控建 设因其他风险而使银行陷入经营困境的现象; • 允许满足监管标准的银行采用自己的内部数据来确定操作风险监管资本。
IRB高级法 银行提供的估量值 银行提供的估量值 银行提供的估量值
期限(M)
委员会规定的监管指标或者 由各国监管当局自己决定允
许采用银行提供的估计值 (但不包括某些风险暴露)
银行提供的估计值 (但不包括某些风险
暴露)
第28页/共37页
监管的原则:
1.银行应具备与其风险状况相适应的评估总量资本的一整套程序,以及维 持资本水平的战略; 2.监管当局应检查和评价银行内部充足率的评估情况及其战略,以及银行 监测和确保满足监管资本比率的能力; 3.监管当局应希望银行的资本高于最低资本监管标准比率,并应有能力要 求银行持有高于最低标准的资本; 4.监管部门应争取及早干预,避免银行的资本低于抵御风险所需的最低水 平。
监管原则——CAMEL(原则)
• 是美国监管当局对金融机构进行监管的原则,我国也 采用了这一原则。主要对金融机构从以下几个方面进 行监管:
C— capital Adequacy(资本) A— asset Quality(资产质量) M—management(管理水平) E— Earnings(盈利能力) L— Liquidity(资产流动性)
第31页/共37页
2004新资本协议的特 点
• 特点: • 对各种风险均提出了一整套循序渐进的资本计量方法,通过灵活的制度
安排,力求建立良好的激励机制,鼓励银行在不断改进和完善风险管理 系统,进而更为准确地测定一定风险状况下所需要的资本水平; • 重视银行内部风险管理对最低资本要求的补充作用,力求将资本管理与 风险管理有机结合,避免出现过度强调资本充足,而忽略银行业内控建 设因其他风险而使银行陷入经营困境的现象; • 允许满足监管标准的银行采用自己的内部数据来确定操作风险监管资本。
IRB高级法 银行提供的估量值 银行提供的估量值 银行提供的估量值
期限(M)
委员会规定的监管指标或者 由各国监管当局自己决定允
许采用银行提供的估计值 (但不包括某些风险暴露)
银行提供的估计值 (但不包括某些风险
暴露)
第28页/共37页
监管的原则:
1.银行应具备与其风险状况相适应的评估总量资本的一整套程序,以及维 持资本水平的战略; 2.监管当局应检查和评价银行内部充足率的评估情况及其战略,以及银行 监测和确保满足监管资本比率的能力; 3.监管当局应希望银行的资本高于最低资本监管标准比率,并应有能力要 求银行持有高于最低标准的资本; 4.监管部门应争取及早干预,避免银行的资本低于抵御风险所需的最低水 平。
商业银行风险评级PPT课件
应用级安全
• 用户权限 • 报表访问控制 • 安全配置文件
数据库安全
• 行级安全 • 列级安全
第28页/共33页
多种鉴权机制保障用户安全
分析系统鉴权 Windows NT鉴权 LDAP鉴权 数据库安全
第29页/共33页
内容安排
背景介绍 系统特点 系统功能 系统演示 交流讨论
第30页/共33页
增减角度
贷款政策和程序 次级类 可疑类 损失类
第13页/共33页
分析思路
资产安全状况分析
不良贷款变动 行业集中度
不良贷款
信贷决策程序 风险分类制度
总资产
保证/抵押贷款
非信贷资产管理
分类角度 组成角度 增减角度
一、现金 二、银行存款 三、贵金属 四、存放中央项 五、存放同业项 六、拆放同业 七、存放联行 八、应收及预付 九、短期投资 十、委托贷款资
净利息头 寸占收息 资产比率
有息负债 利息支付 率
分析思路
流动性状况分析
•资金来源
流动性 风险评估
流动性需求 模拟和 分析和计算 预测
•资金的调配 •对流动性的管理情况 •以主动负债的能力 •管理层的能力
需要评估每一 种可能对银行 流动性风险产 生影响的因素, 并量化每种因 素的影响程度
流动性指标法 资金结构法 缺口分析法
➢ 面向对象的元数据结构 ➢ 面向对象的业务建模方法
第19页/共33页
系统的设计
• 纯粹的面向对象
• 纯粹的Web访问模式➢ 多层(N-Tiers)体系结构
• 纯粹的行业标准
➢ 纯粹的HTML/DHTML ➢ 与客户端相同的操作形式
• 纯粹的开放API
➢ 与C/S几乎对等的报表功能 ✓ 适合防火墙部署
商业银行风险管理基本框架(ppt 48页)
商业银行管理战略和风险管理的关系商业银行风险管理基本框架商业银行风险管理环境商业银行风险管理组织商业银行风险管理流程商业银行风险管理信息系统22商业银行风险管理组织221董事会及其专门委员会董事会是商业银行的最高风险管理决策机构承担商业银行管理的最终责任确保商业银行有效识别计算监测和控制各项业务所承担的各种风险
①风险管理战略和策略符合经营目标的要求;
②所采取的具体措施符合风险管理战略和策略的要求 ,并在成本/收益基础上保持有效性;
③通过对风险诱因的分析,发现管理中存在的问题, 以完善风险管理程序。
按照国际最佳实践,在日常风险管理操作中,具体的 风险管理/控制措施可以采取从基层业务单位到业务领域风 险管理委员会,最终到达高级管理层的三级管理方式。
⑤董事会和高级管理层应有效发挥内部审计部门、外 部审计单位及内部控制部门的作用。在公司治理过程中, 审计是至关重要的,审计的有效性会保证董事会及高级管 理层职能的实现。
⑥董事会应确保薪酬政策及其做法与商业银行的公司 文化、长期目标和战略、控制环境相一致。
⑦商业银行应保持公司治理的透明度。这是商业银行 正常运转的积极表现,否则,商业银行将很难把握董事会 和高级管理层是否对其行为和表现负责。
董事会通常指派专门委员会(通常为最高风险管理委员 会)负责拟定具体的风险管理政策和指导原则
最高风险管理委员会以及业务单位风险管理委员会委 员,可以由商业银行内部具有丰富管理经验的人士担任, 也可由外部专家/顾问担任。 风险管理总监应当是商业银行董事会成员,同时担任商业 银行副总裁或以上职务。
2.2.2监事会
商业银行风险管理环境 商业银行风险管理组织 商业银行风险管理流程 商业银行风险管理信息系统
2.3商业银行风险管理流程
①风险管理战略和策略符合经营目标的要求;
②所采取的具体措施符合风险管理战略和策略的要求 ,并在成本/收益基础上保持有效性;
③通过对风险诱因的分析,发现管理中存在的问题, 以完善风险管理程序。
按照国际最佳实践,在日常风险管理操作中,具体的 风险管理/控制措施可以采取从基层业务单位到业务领域风 险管理委员会,最终到达高级管理层的三级管理方式。
⑤董事会和高级管理层应有效发挥内部审计部门、外 部审计单位及内部控制部门的作用。在公司治理过程中, 审计是至关重要的,审计的有效性会保证董事会及高级管 理层职能的实现。
⑥董事会应确保薪酬政策及其做法与商业银行的公司 文化、长期目标和战略、控制环境相一致。
⑦商业银行应保持公司治理的透明度。这是商业银行 正常运转的积极表现,否则,商业银行将很难把握董事会 和高级管理层是否对其行为和表现负责。
董事会通常指派专门委员会(通常为最高风险管理委员 会)负责拟定具体的风险管理政策和指导原则
最高风险管理委员会以及业务单位风险管理委员会委 员,可以由商业银行内部具有丰富管理经验的人士担任, 也可由外部专家/顾问担任。 风险管理总监应当是商业银行董事会成员,同时担任商业 银行副总裁或以上职务。
2.2.2监事会
商业银行风险管理环境 商业银行风险管理组织 商业银行风险管理流程 商业银行风险管理信息系统
2.3商业银行风险管理流程
商业银行IT风险管理框架 及评价体系研究PPT课件
21
3、评价体系的建立
1、战略发展目标 2、内部控制目标 3、关键成功因素 4、关联流程 5、关键控制点 6、评价指标
商业银行业务发展总目标
IT风险管理的目标,包括业务连续性目标、 信息安全目标和业务发展目标
8个IT管理域
每个管理域包括若干管理流程,共21个管理 流程
每个流程从决策、管理、执行三个层面和监 测、评估、控制三个方面包括若干关键控 制点
相关概念:包括IT治理、信息安全管理、IT内部控制、IT审计、业 务连续性管理、IT项目建设、IT运行管理等,不同概念的侧重点各 不相同。
本文所指IT风险管理分为广义的概念和狭义的概念,广义的IT风险
管理,涵盖上述概念的有关内容,将组织的IT管理活动都视为 对IT风险的管理活动。狭义的IT风险管理,特指组织围绕IT风
每个关键控制点包括若干评价指标
22
3、评价体系的建立
共设计94个指标,指标体系如下图所示:
23
3、评价体系的建立
指标类型评分方法:
专家打分法
IT风险管理评价总得分=∑(子领域得分*子领域权重)
IT风险管理评级 :
弱:(0<IT风险管理评价得分<=50) 中弱:(50<IT风险管理评价得分<=70) 中强:(70<IT风险管理评价得分<=90) 强:(90<IT风险管理评价得分<=100)
2、审核重要项目
2、涉及全局的IT项目建设 的组织协调
IT风险监测:
IT风险评估:
IT风险控制:
1、掌握项目管理情况。
评估项目实施过程风险 控制情况
1、制定项目管理制度,对 项目管理流程进行规范
银行风险管理组织架构图库精品PPT课件
①确定实施目标 和方案
②审核实施方案
风险管理委员会
审计和关联 交易控制委员会
风险控制委员会 (信用风险)
①评估信用风险 ②在董事会批准的
框架范围内制订 策略/政策 ③最高级别的信用 审批机构
董事会
监事会
审计委员会
管理 审核与监督
行长室
资产负债管理委员会 (流动市场风险)
①确定资产/负债管 理目标
②确立有关流动性/ 市场风险和监管 执行方面的政策/ 流程
各行信用卡管理模式汇总表
中信银行
信用卡业务管理模式 事业部
工商银行
渤海银行 兴业银行 建设银行
事业部
尚未建立 事业部 事业部
深圳发展银行
总行一级部
招商银行 民生银行
事业部 成立信用卡股份公司
信用卡风险管理体系
是否派驻风险总监
信用卡风险管理委员会统筹 未派风险总监 管理信用卡业务相关风险; 卡中心建立独立风险控制部 门。 卡中心建立独立风险控制部 未派风险总监 门。总行风险管理部统一开 发零售评级模型。
操作风险报告
©2010 Deloitte Touche Tohmatsu Limited. All rights reserved.
深圳发展银行风险管理架构
风险类别 信用风险
市场风险 操作风险
归口部门
管理模式
分管领导
信贷管理部 信贷审批中心
垂直管理模式, 首席风险执行官 由总行指派分行 CRO 的风险执行官, 实行垂直上报, 个人负责。
内部状况评审委员会 (操作风险)
①对全行范围内的内 部 控制系统进行评 审
稽核监督管理委员会 (内部审计)
①保持内部审计的权 威性、独立性和有 效性
②审核实施方案
风险管理委员会
审计和关联 交易控制委员会
风险控制委员会 (信用风险)
①评估信用风险 ②在董事会批准的
框架范围内制订 策略/政策 ③最高级别的信用 审批机构
董事会
监事会
审计委员会
管理 审核与监督
行长室
资产负债管理委员会 (流动市场风险)
①确定资产/负债管 理目标
②确立有关流动性/ 市场风险和监管 执行方面的政策/ 流程
各行信用卡管理模式汇总表
中信银行
信用卡业务管理模式 事业部
工商银行
渤海银行 兴业银行 建设银行
事业部
尚未建立 事业部 事业部
深圳发展银行
总行一级部
招商银行 民生银行
事业部 成立信用卡股份公司
信用卡风险管理体系
是否派驻风险总监
信用卡风险管理委员会统筹 未派风险总监 管理信用卡业务相关风险; 卡中心建立独立风险控制部 门。 卡中心建立独立风险控制部 未派风险总监 门。总行风险管理部统一开 发零售评级模型。
操作风险报告
©2010 Deloitte Touche Tohmatsu Limited. All rights reserved.
深圳发展银行风险管理架构
风险类别 信用风险
市场风险 操作风险
归口部门
管理模式
分管领导
信贷管理部 信贷审批中心
垂直管理模式, 首席风险执行官 由总行指派分行 CRO 的风险执行官, 实行垂直上报, 个人负责。
内部状况评审委员会 (操作风险)
①对全行范围内的内 部 控制系统进行评 审
稽核监督管理委员会 (内部审计)
①保持内部审计的权 威性、独立性和有 效性
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
对IT风险的管理活动。狭义的IT风险管理,特指组织围绕IT风
险所开展的具体的识别、计量、监测和控制活动。如未特指,本文
所指IT风险管理是广义的概念。
4
2、问题的提出 必要性:IT风险是瞬间能导致一家银行倒 闭的风险。
数据集中化、业务系统化、系统网络化、渠道多元化 破坏性大 、影响面广、隐蔽性高、专业性强
风险监测
风险控制
9
域和流程的分解?
IT风险管理
管理域1 IT系统建设
管理域2 IT系统运维
管理域3 信息安全管理
…
流程6
流程1 项目管理
流程2
流程3 变更管理
流程4
流程5 物理安全
…
系统开发
…
配置管理
…
网络安全
监测 评估 控制
监测
监测 评估 控制
监测
监测 评估 控制
监测
…
评估 控制
…
评估 控制
…
评估 控制
2、审核重要项目
IT风险评估: 评估项目实施过程风险 控制情况
汇报提纲
选题背景
IT风险管理模型的提出
IT风险管理评价体系的建立
案例分析 结论与展望
17
1、评价的目的
掌握IT风险管理情况 查找差距
分析原因
持续改进。
18
2、评价标准和方法
评价标准:
评价IT风险管理的好与坏的参照物 。
信息科技风险管理指引》
《巴塞尔新资本协议》将IT风险作为操作风险的
一个重点进行防范。
3
1、基本概念——IT风险管理
通过建立有效的机制,实现对商业银行IT风险的识别、计量、监测
和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提
高信息技术使用水平,增强核心竞争力和可持续发展能力。 —— 《商业银行信息科技风险管理指引》 相关概念:包括IT治理、信息安全管理、IT内部控制、IT审计、业 务连续性管理、IT项目建设、IT运行管理等,不同概念的侧重点各 不相同。 本文所指IT风险管理分为广义的概念和狭义的概念,广义的IT风险 管理,涵盖上述概念的有关内容,将组织的IT管理活动都视为
15
4、举例
IT风险监测:
决策层 1、掌握重大项目进展 情况。 2、掌握IT项目资源配 置情况 IT风险监测: 管理层 1、掌握项目管理情况。 2、掌握IT项目资源配 置情况 IT风险监测: 执行层 1、掌握系统功能需求。 2、掌握系统设计方案 IT风险评估: 1、系统设计方案风险 评估。 2、系统功能、性能和 安全性测试。 管理流程:项目管理 管理域 16 :IT系统建设
全等级保护管理办法
7
汇报提纲
选题背景
IT风险管理模型的提出
IT风险管理评价体系的建立
案例分析 结论与展望
8
1、基本框架的提出
1、业务连续性 2、信息安全性 3、业务发展 风险评估 1、风险识别 2、风险计量
3、风险评估
IT风险 管理目标 1、排定风险控制 的优先级 2、采取具体措施 控制风险
1、收集和监测 2、发现和预警
来源:1、国家有关制度和规定 ;2、国际上普遍认可
和采用的标准
方法:平衡记分卡有关评价指标的建立方法。
19
3、平衡记分卡
20
4、评价方法
1、风险活动 2、关键控制点 3、评价指标
21
3、评价体系的建立
1、战略发展目标 商业银行业务发展总目标 IT风险管理的目标,包括业务连续性目标、 信息安全目标和业务发展目标 8个IT管理域 每个管理域包括若干管理流程,共21个管理 流程 每个流程从决策、管理、执行三个层面和监 测、评估、控制三个方面包括若干关键控 制点 每个关键控制点包括若干评价指标
22
ห้องสมุดไป่ตู้
2、内部控制目标
3、关键成功因素
4、关联流程
5、关键控制点
6、评价指标
3、评价体系的建立
共设计94个指标,指标体系如下图所示:
23
3、评价体系的建立
指标类型评分方法:
专家打分法
IT风险管理评价总得分=∑(子领域得分*子领域权重)
IT风险管理评级 :
弱:(0<IT风险管理评价得分<=50) 中弱:(50<IT风险管理评价得分<=70) 中强:(70<IT风险管理评价得分<=90) 强:(90<IT风险管理评价得分<=100)
12
IT风险管理的层次?
提出IT发展和风险管理的总体要求,建立IT 决策层 风险管理组织架构,进行IT发展和风险管理 重要决策
管理层 落实决策层关于IT发展和风险管理的总体要
求
执行管理层制定的管理政策、制度和流程 执行层 ,落实改进措施
13
3、基本框架的划分——按层次划分
14
4、最终框架的建立
IT风险评估:
1、评估现有IT项目管 理组织架构有效性。
IT风险控制:
1、建立项目管理组织机构。 2、涉及全局的IT项目建设 的组织协调 IT风险控制: 1、制定项目管理制度,对 项目管理流程进行规范 2、明确项目建设过程中对 项目风险评估的要求。 IT风险控制: 1、完善系统设计方案。 2、完善系统功能、性能和 安全性。
管理现状:IT风险管理能力亟待提高
人力资源紧张、监督评价机制缺失、风险防范能力弱
难点:缺乏有效的“操作指南”
种类繁多的理论、标准、制度、方法 如何入手?如何评价?无所适从
5
3、研究目的
借鉴国内外有关IT风险管理的理论、标准和规范, 提出IT风险管理的一般框架,建立相应的评价体
商业银行IT风险管理框架 及评价体系研究
学生:陈云龙
导师:唐勇副教授 二零一二年六月
汇报提纲
选题背景
IT风险管理模型的提出
IT风险管理评价体系的建立
案例分析 结论与展望
2
1、基本概念——IT风险
IT风险是指信息科技在商业银行运用过程中,由
于自然因素、人为因素、技术漏洞和管理缺陷产
生的操作、法律和声誉风险。 ——《商业银行
系
该IT风险管理框架和评价体系能兼容现有的标准
和规范,且简单易懂、指导性强
6
4、参考依据
理论和方法:管理层次理论、平衡记分卡;风险 管理、公司治理、IT治理相关理论。
标准:COBIT、ITIL、ISO 17799/27001、信息安
全风险管理指南(GBZ_24364-2009)
制度:商业银行信息科技风险管理指引、信息安
10
2、基本框架的划分——按域维度
11
2、基本框架的划分——按域维度
域和流程的定义:总结各标准和规范的异同点, 进行整合归并。
8个域:IT治理 、IT风险管理 、IT审计 、IT系统
建设 、IT系统运行 、业务连续性管理 、外包管
理 、信息安全管理
每个域下定义若干流程,共21个流程: