购买

¥ 30.0

加入VIP
  • 专属下载特权
  • 现金文档折扣购买
  • VIP免费专区
  • 千万文档免费下载

上传资料

关闭

关闭

关闭

封号提示

内容

首页 商业银行信息科技风险监管讲座

商业银行信息科技风险监管讲座.ppt

商业银行信息科技风险监管讲座

烟雨梦兮
2018-10-14 0人阅读 举报 0 0 暂无简介

简介:本文档为《商业银行信息科技风险监管讲座ppt》,可适用于IT/计算机领域

CopyrightbyCHENYL信息科技风险监管知识讲座年月主要内容一、信息科技风险监管概况二、信息科技风险监管目标和手段三、主要监管制度介绍四、信息科技风险监管体系简介五、基层银行机构科技风险监管的思考一、信息科技风险监管概况信息科风险监管背景某银行核心系统故障全国中断营业小时某行海南分行供电中断导致停业小时年银联跨行交易全面中断小时屡次发生的网络安全事件:年初多家银行网银系统遭受攻击年底我省某行网银系统遭受DDos攻击年底某行成都分行发生网银客户资金被盗事件年奥运开幕式某国有银行网络遭攻击……近年来随着银行机构系统网络化、数据集中化科技风险问题日益突出科技风险的特点是风险变化快、蔓延快、影响范围大银监会信息科技监管历程发布信息科技风险管理指引开展信息科技风险内部和外部评价审计开展信息科技风险奥运专项自查发布新的《商业银行信息科技风险管理指引》《银行业重要信息系统投产与变更管理办法》部署信息科技风险非现场系统《商业银行数据中心监管指引》自年月发布《银行业金融机构信息系统风险管理指引》开始银监会正式对银行科技风险进行监管近年来推出一系列制度和措施监管工作逐步走向规范化。银监会开展的主要工作制定一系列制度和标准持续开展信息科技风险监管培训组织开展信息科技风险现场检查推动实施信息科技非现场监管组织开展重要时点信息科技自查整改及时发布各类信息科技风险提示银行机构信息科技风险状况科技风险管控意识提高科技治理架构初步建立科技基础设施不断完善运行维护能力不断加强重视加强灾备建设及开展应急演练银行机构信息科技风险状况个别银行科技治理认识不到位重眼前建设轻长远规划科技治理架构未有效运行应急演练开展实战性不足基层银行机构科技力量薄弱二、信息科技风险监管目标与手段信息科技风险监管目标降低信息系统连续性和安全性风险程度到可接受范围保障信息系统连续性和安全性保护银行信息资产(信息系统、数据)保护存款人利益维护社会稳定信息科技风险监管目标连续性:即业务连续性保证信息系统稳定、持续地提供服务通俗地说就是系统“不能断”。安全性:保证数据的保密性、完整性、可用性通俗地说就是数据“不能丢”。所有科技风险事件都可以归于信息系统连续性或安全性出问题的事件。信息科技风险监管目标连续性事件案例案例:年月上旬某大型银行某省分行在供电部门预先通知停电的情况下因发电机故障、主机存储控制卡损坏等原因造成全省业务无法正常运营达小时分钟。案例:年月日某行网上银行系统发生一起因DDOS攻击引发的系统故障经内外部专家诊断为外部分布式攻击。攻击来自互联网多个地方和多台机器持续时间分钟。故障刚发生阶段的现象表现为网银客户登录网银主页面缓慢或超时无法访问。监控系统显示网上银行主页服务器系统资源压力迅速增大进程达到系统最大进程数超过日常监控进程数四倍。案例:年月日某全国性银行核心业务系统数据库故障导致全国柜面等各项业务中断近四小时。案例:年月日:至:某分行综合前置机系统出现故障造成全辖个网点对外营业中断近三个小时。信息科技风险监管目标安全性事件案例案例:年月日至年月日某银行成都分行发生一起网上银行客户资金被盗案件涉及被盗帐号个总金额万元。犯罪嫌疑人通过本人及雇用他人在银行办理借记卡并开通个人网银业务以合法身份进入该银行大众版网银系统然后利用网络下载的黑客软件对该银行大众版网银系统进行攻击和破译发现漏洞后作案。犯罪嫌疑人利用网银客户端交易数据包未对转出卡号、转入帐号客户隶属关系进行校验而且主机系统对网银服务端上传的个别交易数据验证不充分的程序逻辑缺陷通过模拟浏览器与服务端通讯的方式非法截取并篡改交易数据盗取他人资金。信息科技风险监管目标安全性事件案例案例:某行市分行发生一起内部员工违规利用网银动用客户资金的案件。年月份支行客户部网银操作员及复核员在为客户办理网银业务时发现操作IC卡已经过期遂联系市分行网银管理员黄某办理换卡事宜并告知其操作密码。黄某利用自己作为管理员保管“管理证书”之便进入系统修改了某对公客户的网银证书和密码再通过集团理财帐户实行网银转帐动用客户帐户上万元用于炒权证。案例:某行柜员在为客户办理购买基金手续过程中,利用电脑终端画面可以屏幕打印功能,没有进行实际交易,套打基金交易凭证交予客户,将客户资金转入其控制的账户涉案金额万元。电脑终端可随意进行屏幕打印,存在明显缺陷,使作案人有机可乘信息科技风险监管目标安全性事件案例案例:近期某银行机构发现不法分子根据互联网上下载的“特征码识别程序”自行编写密码猜解软件通过锁定某一固定密码反复轮训帐号的方式对多家银行网银系统发起暴力猜测攻击最终非法获取两家银行数百个客户的网银帐号、查询密码等信息。案例:近期某银行机构发现不法分子根据互联网上下载的“特征码识别程序”自行编写密码猜解软件通过锁定某一固定密码反复轮训帐号的方式对多家银行网银系统发起暴力猜测攻击最终非法获取两家银行数百个客户的网银帐号。案例:某行借记卡被通过手机银行猜解密码涉及张借记卡。信息科技风险监管目标如何判断是否达到目标?信息科技风险(包括连续性和安全性风险)的计量判断信息科技风险程度是否在可接受范围基本概念资产对组织具有价值的信息或资源是安全策略保护的对象。主要包括:支持设施(例如建筑、供电、供水、空调等)硬件资产(例如计算机设备、路由交换机、交换机等)信息资产(例如数据库和数据文档、系统文件、用户手册、培训资料、操作和支持程序等)软件资产(例如应用软件、系统软件、开发工具和使用程序等)生产能力或服务能力人员无形资产(例如信誉、形象等)其他(参照:、信息安全风险评估规范P、信息系统安全管理要求P)基本概念资产价值资产的重要程度或敏感程度的表征。资产价值是资产的属性也是进行资产识别的主要内容。(出处:、信息安全风险评估规范P)基本概念威胁可能导致对系统或组织危害的不希望事故的潜在起因。威胁的分类可按照造成威胁的因素分为人为因素威胁和环境因素威胁按照威胁的表现形式可以分为软硬件故障、物理环境影响、无作为或操作失误、管理不倒位、恶意代码、越权或滥用、网络攻击、物理攻击、泄密、篡改、抵赖等。(出处:、信息安全风险评估规范P、P)基本概念脆弱性可能被威胁所利用的资产或若干资产的薄弱环节。资产的脆弱性包括物理布局、组织、规程、人事、管理、行政、硬件、软件或信息等的弱点。(出处:、信息安全风险评估规范P、信息系统安全管理要求P)基本概念安全措施保护资产、抵御威胁、减少脆弱性、降低安全事件的影响以及打击信息犯罪而实施的各种实践、规程和机制。(出处:、信息安全风险评估规范P)基本概念剩余风险采取了安全措施后信息系统仍然可能存在的风险。(出处:、信息安全风险评估规范)基本概念风险的计量人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。风险值=R(A,T,V)=R(安全事件可能性,安全事件造成的损失)A资产T威胁V脆弱性安全事件的可能性=L(TV)=L(威胁出现频率脆弱性)安全事件造成的损失=F(IaVa)=(资产价值脆弱性严重程度)风险计量原理图威胁识别脆弱性识别资产识别脆弱性的严重程度威胁出现的频率资产价值安全事件造成的损失安全事件的可能性风险值信息科技风险要素关系图信息科技风险监管目标如何判断信息科技风险程度是否在可接受范围?计量当前信息科技风险程度计量最低信息科技风险程度依据:国家规范银监会制度法规行业标准自身接受程度(投入成本<=损失成本)比较当前信息科技风险程度和最低信息科技风险程度基本概念风险评估资产识别威胁识别脆弱性识别已有安全措施确认人员病毒病情预防措施信息安全风险评估人员健康查体检风险管理实施流程图风险评估准备威胁识别资产识别脆弱性识别已有安全措施的确认风险计算风险是否接受制定风险处理计划并评估残余风险是否接受残余风险实施风险管理保持已有的安全措施评估过程文档评估过程文档评估过程文档是否风险评估文档记录风险分析否……信息科技风险管理监管手段银行机构治理层面明确董事会职责、成立信息科技风险管理委员会建立科技风险三道防线(科技、风险、审计部门)制定全行信息科技风险管理战略规划管理层面科技部门风险部门审计部门具体手段信息科技风险管理监管手段银行机构保护系统连续性和安全性的具体手段:基础设施建设(机房、网络、主机)灾备中心双机热备双运营上线路信息安全防护体系防火墙、IPS桌面管理系统日常系统运行监控项目开发、外包过程管理应急管理(应急预案、应急保障、应急演练)信息科技风险管理监管手段监管部门制度标准制定非现场监管和现场检查准入审核及机构评级荷兰央行:银行执照、人员任免、计提资本、罚款组织协调、促进资源共享三、主要监管制度介绍主要监管制度介绍Sheet《商业银行信息科技风险管理指引》,《银行业重要信息系统投产与变更管理办法》,《商业银行数据中心监管指引》,《银行业重要信息系统突发事件应急管理规范(试行)》,《银行业金融机构信息系统安全保障问责方案》,《银行业金融机构信息科技非现场监管报表》,《商业银行信息科技风险现场检查指南》,SheetSheet银监会拟发布制度《银监会行政许可事项中信息科技核准条件的补充规定》和《银行业金融机构重要信息系统投产及变更管理办法》《商业银行首席信息官管理办法》、《商业银行信息科技风险管理指引》信息科技风险管理信息科技治理信息科技审计业务持续性管理信息安全管理信息科技运行项目开发、测试外包管理主要概念:信息科技风险是指信息科技在商业银行运用过程中由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉风险。《商业银行信息科技风险管理指引》第四条信息科技风险与操作风险的关系莆田网银案件信息科技风险管理的目标是通过建立有效的机制实现对商业银行信息科技风险的识别、计量、监测和控制促进银行安全、持续、稳健运行推动业务创新提高信息技术使用水平增强核心竞争力和可持续发展能力。《商业银行信息科技风险管理指引》第五条三道防线信息科技风险管理的关键是要建立三道防线第一道防线是指信息科技管理需要全员参与主要职责落在科技部门第二道防线是风险管理即从风险的角度如何防范职责落在风险部门第三道防线是审计监督即内审和外审职责落在审计部门三道防线相互作用形成立体防护网。、《商业银行信息科技风险管理指引》要点:信息科技治理明确商业银行董事会职责要求设立首席信息官明确了首席信息官职责明确三道防线要求:明确信息科技管理、信息科技风险管理、信息科技审计的责任部门和职责内容风险管理部门职责:将科技风险纳入总体风险管理体系负责制定信息科技风险管理策略负责持续开展信息科技风险识别、监测、计量、评估根据风险评估结果制定风险防范措施审计部门职责:组织开展内部和外部审计要求配备具有专业能力的信息科技审计人员独立开展审计至少每三年开展一次全面审计、《商业银行信息科技风险管理指引》要点:业务连续性管理制定业务连续性规划确保在出现无法预见的中断时系统仍能持续运行并提供服务。业务影响分析:人员、系统或其他资产的故障或缺失信息丢失、战争、台风、地震采取双机热备、制定应急计划、购买商业保险、《商业银行信息科技风险管理指引》要点:项目开发、测试管理开发环境和生产环境物理隔离禁止开发和维护人员随意进入生产系统组织开展系统上线后评价外包管理重要外包报告外包风险评估服务水平协议安全保密要求(包含敏感客户信息)应急措施、《商业银行信息科技风险管理指引》要点:系统运行管理制定详细的运行操作说明系统运行监控容量规划变更管理事件管理信息安全管理安全策略(物理安全、人员安全、访问控制、数据加密等)活动日志保存(交易日志、系统日志)、《商业银行信息科技风险管理指引》、《银行业重要信息系统突发事件应急管理规范(试行)》作用:规范并促进了银行业金融机构做好重要信息系统突发事件应急管理提高对突发事件的综合管理能力和应急处置能力。主要概念重要信息系统:指支撑银行业金融机构关键业务其信息安全和系统服务安全关系公民、法人和组织权益或社会秩序和公共利益甚至影响国家安全的信息系统要点:明确定义了董事会及高管层、风险管理部门、信息科技管理部门和业务管理部门在突发事件中的职责要求明确了应急领导小组、应急执行小组、应急保障小组的职责分工对突发事件进行分级定义将突发事件按照影响范围和持续时间分为特别重大突发事件(两个以上省业务中断超过小时或一个省超过小时)、重大突发事件(两个以上省业务中断半小时或一个省超小时)、交大突发事件(一个省业务中断超半小时)三个级别、《银行业重要信息系统突发事件应急管理规范(试行)》要点:要求银行机构建立信息科技风险防范体系制定信息系统RTO(最短恢复时间目标)、RPO(最近恢复点目标)指标、《银行业重要信息系统突发事件应急管理规范(试行)》正常处理初始响应激活恢复流程积压业务正常处理最近备份备份备份恢复结束目标恢复点事件在成功恢复之前数据可能会遗失、损坏、或无法获取目标恢复阶段(RTO)处理间隙:位于损坏点与恢复正常处理之间的滞后时间段灾难声明、《银行业重要信息系统突发事件应急管理规范(试行)》要点:对信息科技风险识别、评估、监测、预警的各个环节提出了具体要求对银行机构制定应急预案、开展应急演练、应急响应及报告机制、日常应急保障等应急管理内容提出了具体要求。重要突发事件发生后分钟内将情况报监管部门、小时内提交正式报告、一级事件每两小时报告进展、《银行业重要信息系统投产与变更管理办法》概念重要信息系统:指支撑银行业金融机构关键业务其信息安全和系统服务安全关系公民、法人和组织权益或社会秩序和公共利益甚至影响国家安全的信息系统投产和变更内容:支撑重要信息系统运行的机房、网络设施投产、机房场地迁移、网络及核心业务系统应用架构变更、核心业务系统版本变更等。要点加强和规范银行机构信息系统投产和变更管理避免系统投产或变更过程造成业务中断或数据丢失情况重要信息系统投产前至少个工作日、变更前至少个工作日向监管部门报告实施后个月内提交投产或变更情况报告、《商业银行数据中心监管指引》概念数据中心:生产中心和灾备中心灾备中心:商业银行为保障业务连续性在生产中心故障、听短或瘫痪后能够接替生产中心运行具备专用场所、进行数据处理和支持重要业务持续运行的组织。同城灾备中心:同一地理区域一般距离数十公里可防火灾、建筑物破坏、电力或通信中断异地灾备中心:不同地理区域、距离数百公里以上不会同是面临地震、台风、洪水等同类灾难风险。要求:总资产千亿元人民币且跨省经营的法人银行及省级农信社要建立异地灾备中心灾难恢复等级达到级以上其他法人银行应设立同城灾备中心并实现数据异地备份灾难恢复等级达到级以上。正式运营前至少个工作日向监管部门报告变更数据中心场所要提前月报告对数据中心选址、基本配置提出明确要求灾难恢复等级达到级灾难恢复等级达到级:数据实施备份级:数据定期备份、《商业银行数据中心监管指引》灾难恢复等级达到级:电子传输及完整设备支持数据定期备份灾难恢复等级达到级:实时数据传输及完整设备支持数据实施备份灾难恢复等级达到级:数据零丢失和远程集群支持。、《银行业金融机构信息系统安全保障问责方案》要点要求法人银行机构签署信息系统安全保障责任书明确高管人员对信息系统安全保障的管理责任对管理失职造成不良后果的追究责任、《银行业金融机构信息科技非现场监管报表》要点:明确信息科技风险部门为报送责任部门包括份年度报告、张年度报表、张季度报表、张实时报表、《商业银行信息科技风险现场检查指南》要点明确了商业银行目前主要的信息科技风险领域、主要风险点阐明了检查思路和主要方法帮助检查人员明确检查目标从而提高信息科技风险现场检查的有效性和针对性提升现场检查质量。提供评价银行信息科技风险管理各领域状况的参考标准并提出了具体的检查要求和步骤进一步规范了信息科技风险现场检查的程序、手段和行为是银监会及各级派出机构实施现场检查工作的一个重要参考依据和检查指导工具。指明商业银行信息科技风险防控的重点领域、方向和关键风险点提出了风险识别、预警和控制的具体手段商业银行可以充分借鉴《指南》内的信息科技风险防控原则和指导思想应用到银行信息科技建设和管理实践中成为指导银行全面开展科技风险防控、提升管理能力的有力武器。四、信息科技风险监管架构信息科技风险监管体系信息科技风险监管年度计划数据采集与审核信息科技风险分析与评估信息科技风险现场检查信息科技风险监测风险提示、预警及应急处理年度信息科技监管评级年度信息科技监管报告体系概述总体框架固有风险控制有效性=剩余风险固有风险指标控制有效性指标信息科技综合风险水平信息科技风险评估指标固有风险水平控制有效性风险评估流程方法体系概述剩余风险综合分析矩阵剩余风险控制有效性强中强中弱弱固有风险高三级四级五级六级中高二级三级四级五级中低一级二级三级四级低一级一级二级三级体系概述基础定义《体系》基础定义:【固有风险】是指在不考虑内部控制结构的前提下由于内部因素和客观环境的影响经营运作可能发生重大错误的风险。【信息科技固有风险】是固有风险的重要组成部分特指机构在运用信息技术的运用过程中所面对的固有风险。信息科技固有风险可以通过获取相关信息进行衡量和评价其识别与评估是一个全面信息收集与综合分析研判的过程。【控制有效性】是指机构所采用的信息科技风险控制措施的设计与执行效果满足监管机构和信息科技风险管理要求的程度。【风险评估】是通过对信息科技风险种类、风险程度和风险发展趋势进行识别分析对信息科技的风险状况、风险管理的充分性以及外部风险因素的影响做出判断并在此基础上对机构的整体风险水平做出评估。体系概述数据关系风险评估指标非现场监管报表其他监管干预现场检查结果监管评级现场检查结果结果结果指标体系固有风险指标重要信息系统数据中心运行与灾备信息科技项目信息科技服务外包系统恢复及数据保护监管关注度信息科技固有风险指标指标体系固有风险指标重要信息系统核心业务系统替换后影响未消除导致业务无法正常运行。重要信息系统重大变动影响业务正常运行。重要信息系统复杂程度高存在安全性和完整性问题。关键信息系统缺乏稳定性以致影响业务正常运行。指标体系固有风险指标数据中心运行与灾备数据中心的重大变动对信息科技正常运行产生不利影响。数据中心与灾备中心(场所)地理位置分布对机构应对灾难产生不利影响。公共基础设施(电力、电信、交通、机房建筑等)服务中断、异常对机构业务持续运行产生不利影响。指标体系固有风险指标系统恢复及数据保护除负责本机构系统恢复外机构还提供对外部机构共享本机构系统恢复设施的服务。本机构系统恢复设施的失效可能影响对方的系统恢复增加本机构在经济责任、法律及声誉等方面的风险。本机构系统恢复依赖于外部机构的恢复设施外部机构系统恢复设施的失效可能影响本机构的系统恢复。仍在使用已过时或缺乏厂商技术支持的系统恢复设施或技术。生产数据脱离生产环境进入办公环境或互联网环境。例如基于数据仓库技术的商业智能系统的运用。其数据基础源自生产数据。外部机构拥有或分享本机构生产数据的控制权例如:监管要求、审计需要、外包等。指标体系固有风险指标信息科技项目项目变动不可避免若变动频繁、随意性大可能导致项目目标无法按要求实现。项目规模及复杂度难以驾驭。项目资源不足使项目难以按时、按质完成进而影响业务目标的实现。指标体系固有风险指标信息科技服务外包外包人员变动导致外包服务持续性受影响导致服务质量下降、进度拖延等可能性。过度依赖外包商导致出现“太依赖而不能替换的外包商”。外包商完全位于境外或。外包商性质及提供服务的形式对机构的可能影响。如:境外外包商外包商采用非授权工具提供服务外包商常驻机构与其内部员工共同进行现场作业等。指标体系固有风险指标监管关注度规模(资产规模、网点规模、电子银行用户)。信息科技支持能力应与机构规模相适应并在一定时期内能够持续满足对网点规模增长的需求)业务量。业务量是机构信息系统所承载交易压力的直接体现。信息科技风险历史记录。重点关注以往重大信息系统突发事件情况、信息科技人员涉案情况等。指标体系控制有效性指标信息科技治理控制有效性指标信息科技风险管理信息系统开发、测试与维护信息科技审计灾难恢复与应急管理信息科技外包信息安全(一般控制)信息科技运行指标体系控制有效性指标信息科技治理是否具有信息科技治理领导力?(或信息科技在高管层中的地位如何)?信息科技战略能否有效支持业务目标?信息科技未得到足够的财务支持?信息科技治理职能与责任划分是否明确、合理?信息科技治理执行力如何?信息科技治理是否与企业治理兼容?指标体系控制有效性指标信息科技风险管理风险容忍度?风险管理流程是否完整?(应包括:识别风险、评估风险、控制风险、监测风险、预警风险)风险管理是否有效运作?主要体现在风险根源分析机制持续运作?信息科技风险管理与业务风险管理的关系是否理顺?风险控制措施是否有效覆盖被识别的风险点?是否有足够的专业人才开展风险管理工作?风险意识持续培养?指标体系控制有效性指标信息科技审计信息科技审计部门及人员的独立性如何?信息科技审计部门与人员是否合理授权?信息科技审计人员的专业性如何?审计发现整改率?审计分支机构覆盖率?是否建立信息系统的应用控制及审计方法?指标体系控制有效性指标信息系统开发、测试与维护有无项目管理组织统一安排、协调各类项目?如何保障项目质量?有无项目财务管理和监督?开发、测试环境的管理?项目的设计阶段是否充分考虑了信息安全、保密、灾难恢复等需求?项目结束后是否进行业务价值评价和审计?指标体系控制有效性指标信息科技运行运行操作岗位设置是否合理?事件管理如何?问题管理如何?可用性管理如何?容量管理如何?变更与维护管理如何?运行过程监控如何?指标体系控制有效性指标灾难恢复与应急管理灾难恢复计划或应急预案的演练与更新情况?重要信息系统灾难恢复计划覆盖率?重要信息系统应急预案覆盖率?指标体系控制有效性指标外包有无外包商资质、服务水平的考核指标?如何选择正确的外包服务商?如何防止外包人员接触生产数据或敏感信息?外包合同是否经法规或审计部门审核?有无可迅速替换的外包商?指标体系控制有效性指标信息安全管理信息资产普查与分级?跨部门协调的信息安全执行组织?物理安全?物理访问控制?逻辑访问控制?版本管理?配置管理?日志管理?网络管理?数据安全?评估指标定量指标个固有风险:个监管关注度:个控制有效性:个定性指标个固有风险:个(手工个)控制有效性:个(手工个)固有风险:个监管关注度:个控制有效性:个指标合计个基本思想自动化自动抽得指标结果、自动评分、自动汇总、自动分级灵活性标准化审核标准规范化、评分规则标准化、参数标准化得分可调整、结果可调整、参数调节因子评估流程非现场监管报表参数值评估打分表示例指标分值及意义固有风险分制分值越高固有风险越高控制有效性监管关注度分制分值越高关注度越高分制分值越高控制有效性越强参数表参数值参数值=行业基准值×参数调节因子行业基准值:行业平均值或手工设定的经验值参数调节因子:用于调整行业基准值的因子可根据评估结果进行手动调节行业平均值全行业按资产规模分三类:大、中、小划分标准可调整按机构类型分七类:政策性银行、国有商业银行及邮政储蓄银行、股份制商业银行、城市商业银行及城市信用社、省联社及农村商业银行、农村合作银行及农村信用社、外资法人商业银行参数值行业平均值参数值行业平均值行业平均值使用行业固定值时调节因子通常设为固有风险指标的参数调节因子设为时平均值相当于得分(中低上限)监管关注度指标的调节因子设为时平均值相当于得分(监管关注度调节因子下限)控制有效的指标的调节因子为时平均值得分(中弱上限)。行业平均值参数调节因子统一维护生效后才能评分固有风险评分流程指标评分关键风险因素评分子领域评分关键风险因素得分=∑(指标得分*指标分值)子领域得分=∑关键风险因素得分固有风险评分固有风险得分=∑(子领域得分*子领域权值)分制先系统自动评分再人工调整固有风险评分固有风险评估示例监管关注度评分流程监管关注度指标评分监管关注度评分监管关注度调节因子监管关注度得分<=时调节因子=<监管关注度得分<=时调节因子=<监管关注度得分<=时调节因子=<监管关注度得分<=时调节因子=分制先系统自动评分再人工调整监管关注度得分=∑(指标得分*指标分值)固有风险调整后得分=固有风险得分×监管关注度调节因子监管关注度评分固有风险调整固有风险评估分级控制有效性评估分级控制有效性分级弱:(<控制有效性得分<=)中弱:(<控制有效性得分<=)中强:(<控制有效性得分<=)强:(<控制有效性得分<=)综合风险水平综合风险水平级级级级级级固有风险低中低中高高控制有效性强中强中弱弱综合评估矩阵综合风险水平控制有效性强中强中弱弱固有风险高三级四级五级六级中高二级三级四级五级中低一级二级三级四级低一级一级二级三级综合评估矩阵综合风险水平控制有效性强中强中弱弱固有风险高中高中高高高中高中低中低中高高中低低中低中高中高低低低中低中低综合评估卡综合评估结论综合评估结果调整综合考虑固有风险水平、控制有效性、风险发展趋势、极端评估指标和领域、监管经验及机构实际情况遵循“风险多监管、低风险少监管”的原则对信息科技风险水平、监管意见进行描述对固有风险较高的领域和控制有效性较弱的领域进行简要描述综合评估结论对信息科技风险水平、监管意见进行描述对固有风险较高的领域和控制有效性较弱的领域进行简要描述综合评估结论评估结果运用掌握风险状况识别、判断机构的风险状况和严重程度(生成报表)实施分类监管明确监管重点明确非现场监管、现场检查的频率和范围针对性地采取监管措施提高监管有效性五、基层银行机构科技风险监管的思考基层银行机构科技风险监管的思考基层银行机构科技管理的特点分支机构为主数据上收科技人员少操作风险事件多发基层银行机构科技监管的目标连续性安全性基层银行机构科技风险监管的思考基层银行机构科技监管的内容开展调查摸清全辖银行机构科技风险管理情况建立联系人制度定期收集评估银行机构科技运行情况开展信息科技风险现场检查督促银行落实银监会各项监管要求(报告制度等)组织开展银行机构信息科技管理横向交流现场检查的方式内容功能监管和机构监管结合操作风险和科技风险兼顾现场检查的重点:总结信息科技风险监管概貌了解目标:连续性和安全性手段:银行监管部门主要制度依据信息科技风险监管体系基层银行机构信息科技风险监管基层银行机构科技风险监管的思考现场检查的内容:从常见问题、薄弱环节入手高管意识环境安全内控管理科技人员道德风险操作风险(初始密码管理、代发工资卡)应急管理CopyrightbyCHENYL

用户评价(0)

关闭

新课改视野下建构高中语文教学实验成果报告(32KB)

抱歉,积分不足下载失败,请稍后再试!

提示

试读已结束,如需要继续阅读或者下载,敬请购买!

文档小程序码

使用微信“扫一扫”扫码寻找文档

1

打开微信

2

扫描小程序码

3

发布寻找信息

4

等待寻找结果

我知道了
评分:

/95

商业银行信息科技风险监管讲座

VIP

在线
客服

免费
邮箱

爱问共享资料服务号

扫描关注领取更多福利