|
|
|
|
|
|
來源: 發布日期: 點擊量:
通過開展信息科技風險管理咨詢工作,全面、準確地了解銀行的信息科技風險管理現狀,基于銀監會發布的《商業銀行信息科技風險管理指引》、《數據中心監管指引》、《業務連續性管理指引》、《信息科技外包風險監管指引》等監管合規要求,結合商業銀行自身現狀,完善信息科技治理架構,涉及信息科技風險管理合規框架,開展信息科技風險評估并建立風險持續檢測機制,指導商業銀行在信息安全、信息系統開發維護、科技運行、業務連續性、信息科技外包等領域建立并完善各類風險控制措施,有效滿足監管要求。
構建合規框架以《商業銀行信息科技風險管理指引》為框架,關聯映射各類內外部合規要求,包括但不限于內部現有制度文件、ISO27001、ISO20000、CMMI等。確保各類合規要求均被有效整合在信息科技風險合規框架內。基于整體合規框架的要求,指導銀行完善現有信息科技風險管理組織架構,進一步明確信息科技風險管理職責歸屬,優化跨部門協調工作機制。
規劃科技風險建設藍圖
基于銀行信息科技風險管理現狀,規劃3到5年的信息科技風險管理整體工作目標,結合現有不足,繪制體系建設發展路線圖。從管理、技術、意識能力三大方面出發,參照同業先進經驗,比照監管要求的動態變化,規劃后續信息科技風險管理工作相關任務項,結合任務緊迫程度、實施難度、資源需求等各方面因素綜合考慮,確定后續建設藍圖。
依據巴塞爾委員會的觀點,我們可以將風險管理過程分為四個步驟,包括識別、評估、監測、控制/緩釋。這一過程需要使用不同的工具和方法來實現,主要包括風險的識別和評估工具-風險和控制自我評估、風險監測工具-關鍵風險指標、對低頻高損極端風險的應對工具-業務連續性計劃,以及其他的基礎性工具,如損失數據收集和分析,風險損失報告等。在《操作風險管理與監管的穩健做法》和《管理指引》中,列舉出的一些商業銀行管理操作風險的具體方法,包括操作風險和內部控制的評估、損失事件報告和損失數據收集、關鍵風險指標監測、新產品和新業務的風險評估、操作風險報告等。這些方法或工具在管理操作風險的過程中發揮著不同的作用。
風險管理體系框架
風險管理制度完善在信息科技風險管理制度完善中,咨詢顧問將對信息科技風險管理文件框架進行完善,將以信息科技監管要求及科技業務種類為線索,將信息科技風險管理相關制度要求納入此框架中。
信息科技風險管理制度劃分為信息科技治理、信息科技風險管理、信息安全、信息系統開發測試和維護、信息科技運行、業務連續性管理、外包以及審計八個風險管理域。
信息科技風險管理制度分類示例
科技風險評估方法優化由于銀行業務的高速增長以及信息技術的飛速發展,使得信息科技風險具有不斷變化的特性。比如,通過充分風險論證的生產系統,短期內無風險隱患,而隨著生產環境的壓力逐步擴大,系統的脆弱性就會逐步暴露出來;一個具有很高安全性的電子銀行,隨著病毒的不斷變種,黑客技術的提高,新的安全問題就會暴露出來;一臺裝有最新防護設備的ATM,犯罪分子通過對ATM的刻意研究揣摩,并采取一定的手段避開防護設備,就有可能采用新的手段進行犯罪。因此,信息科技的風險評估工作要求更加嚴格,不僅要充分考慮當前情況,更應該對將來可能發生的情況作全面而充分的考慮。
安言咨詢將在風險評估后續工作規劃中,協助客戶建立風險庫的更新與完善機制,完善各部門信息科技風險情報搜集職責,對相關信息科技風險進行搜集,持續完善信息科技風險庫,為信息科技風險評估工作提供可靠依據。
信息科技風險庫組成
信息科技風險庫更新頻率
評估流程優化完善機制在風險評估流程的設計和實施過程中,要對流程進行不斷的改進,以期取得最佳的效果。因此,安言咨詢將在風險評估后續工作規劃中協助客戶建立評估流程優化完善機制,對現有風險評估工作流程的梳理、完善和改進。
風險評估流程優化的主要途徑是環節簡化和時序調整。對于某些效率低下或邏輯不合理的流程,也可以完全推翻原有流程,運用重新設計的方法獲得流程的優化。
流程優化機制
相關知識: