【正文】 監(jiān)管，近年來推出一系列制度和措施，監(jiān)管工作逐步走向規(guī)范化。監(jiān)控系統(tǒng)顯示網(wǎng)上銀行主頁服務(wù)器系統(tǒng)資源壓力迅速增大 ， 進(jìn)程達(dá)到系統(tǒng)最大進(jìn)程數(shù) ， 超過日常監(jiān)控進(jìn)程數(shù)四倍 。 黃某利用自己作為管理員保管 “ 管理證書 ” 之便 ， 進(jìn)入系統(tǒng) ， 修改了某對公客戶的網(wǎng)銀證書和密碼 ， 再通過集團(tuán)理財帳戶實行網(wǎng)銀轉(zhuǎn)帳 ， 動用客戶帳戶上 。 （出處： 信息安全風(fēng)險評估規(guī)范 P1） 基本概念 ? 威脅 ? 可能導(dǎo)致對系統(tǒng)或組織危害的不希望事故的潛在起因。 —— 《 商業(yè)銀行信息科技風(fēng)險管理指引 》 第四條 ? 信息科技風(fēng)險與操作風(fēng)險的關(guān)系 ——莆田網(wǎng)銀案件 ? 信息科技風(fēng)險管理的目標(biāo) ? 是通過建立有效的機(jī)制，實現(xiàn)對商業(yè)銀行信息科技風(fēng)險的 識別、計量、監(jiān)測和控制 ，促進(jìn)銀行安全、持續(xù)、穩(wěn)健運(yùn)行，推動業(yè)務(wù)創(chuàng)新，提高信息技術(shù)使用水平，增強(qiáng)核心競爭力和可持續(xù)發(fā)展能力。 ? 要求： ? 總資產(chǎn) 1千億元人民幣且跨省經(jīng)營的法人銀行及省級農(nóng)信社要建立異地災(zāi)備中心，災(zāi)難恢復(fù)等級達(dá)到 5級以上，其他法人銀行應(yīng)設(shè)立同城災(zāi)備中心并實現(xiàn)數(shù)據(jù)異地備份，災(zāi)難恢復(fù)等級達(dá)到 4級以上。 【 控制有效性 】 是指機(jī)構(gòu)所采用的信息科技風(fēng)險控制措施的設(shè)計與執(zhí)行效果滿足監(jiān)管機(jī)構(gòu)和信息科技風(fēng)險管理要求的程度。 ? 公共基礎(chǔ)設(shè)施（電力、電信、交通、機(jī)房建筑等）服務(wù)中斷、異常，對機(jī)構(gòu)業(yè)務(wù)持續(xù)運(yùn)行產(chǎn)生不利影響。 ? 外部機(jī)構(gòu)擁有或分享本機(jī)構(gòu)生產(chǎn)數(shù)據(jù)的控制權(quán)，例如：監(jiān)管要求、審計需要、外包等。如：境外外包商，外包商采用非授權(quán)工具提供服務(wù)，外包商常駐機(jī)構(gòu)與其內(nèi)部員工共同進(jìn)行現(xiàn)場作業(yè)等。 ? 5分制，先系統(tǒng)自動評分，再人工調(diào)整 ? 監(jiān)管關(guān)注度得分 =∑(指標(biāo)得分 /5*指標(biāo)分值 ) 固有風(fēng)險調(diào)整后得分 = 固有風(fēng)險得分 監(jiān)管關(guān)注度調(diào)節(jié)因子 監(jiān)管關(guān)注度評分 固有風(fēng)險調(diào)整 固有風(fēng)險評估分級 固有風(fēng)險分級 低： (0固有風(fēng)險調(diào)整后得分 =50) 中低： (50固有風(fēng)險調(diào)整后得分 =70) 中高： (70固有風(fēng)險調(diào)整后得分 =90) 高： (90固有風(fēng)險調(diào)整后得分 =100) 控制有效性評估分級 控制有效性分級 弱： (0控制有效性得分 =50) 中弱： (50控制有效性得分 =70) 中強(qiáng)： (70控制有效性得分 =90) 強(qiáng)： (90控制有效性得分 =100) 綜合風(fēng)險水平 綜合風(fēng)險水平 1級 1 級 1級 2 級 1級 3 級 1級 4 級 1級 5 級 1級 6 級 固有風(fēng)險 低 中低 中高 高 控制有效性 強(qiáng) 中強(qiáng) 中弱 弱 綜合評估矩陣 綜合風(fēng)險水平 控制有效性 強(qiáng) 中強(qiáng) 中弱 弱 固有風(fēng)險 高 三級 四級 五級 六級 中高 二級 三級 四級 五級 中低 一級 二級 三級 四級 低 一級 一級 二級 三級 綜合風(fēng)險水平 控制有效性 強(qiáng) 中強(qiáng) 中弱 弱 固有風(fēng)險 高 中高 中高 高 高 中高 中低 中低 中高 高 中低 低 中低 中高 中高 低 低 低 中低 中低 綜合評估矩陣 綜合評估卡 綜合評估結(jié)論 綜合評估結(jié)果調(diào)整 ?綜合考慮固有風(fēng)險水平、控制有效性、風(fēng)險發(fā)展趨勢、極端 評估指標(biāo)和領(lǐng)域、監(jiān)管經(jīng)驗及機(jī)構(gòu)實際情況 ?遵循 “ 風(fēng)險多監(jiān)管、低風(fēng)險少監(jiān)管 ” 的原則 ?對信息科技風(fēng)險水平、監(jiān)管意見進(jìn)行描述 ?對固有風(fēng)險較高的領(lǐng)域和控制有效性較弱的領(lǐng)域進(jìn)行簡要描述 綜合評估結(jié)論 評估結(jié)果運(yùn)用 掌握風(fēng)險狀況 識別、判斷 機(jī)構(gòu) 的風(fēng)險狀況和嚴(yán)重程度 （生成報表） 實施分類監(jiān)管 明確監(jiān)管重點 明確 非現(xiàn)場監(jiān)管、現(xiàn)場檢查的頻率和范圍 針對性地采取監(jiān)管措施，提高監(jiān)管有效性 五、 基層銀行機(jī)構(gòu)科技風(fēng)險監(jiān)管的思考 基層銀行機(jī)構(gòu)科技風(fēng)險監(jiān)管的思考 ? 基層銀行機(jī)構(gòu)科技管理的特點 ? 分支機(jī)構(gòu)為主 ? 數(shù)據(jù)上收 ? 科技人員少 ? 操作風(fēng)險事件多發(fā) ? 基層銀行機(jī)構(gòu)科技監(jiān)管的目標(biāo) ? 連續(xù)性 ? 安全性 基層銀行機(jī)構(gòu)科技風(fēng)險監(jiān)管的思考 ? 基層銀行機(jī)構(gòu)科技監(jiān)管的內(nèi)容 ? 開展調(diào)查 ， 摸清全轄銀行機(jī)構(gòu)科技風(fēng)險管理情況 ? 建立聯(lián)系人制度 ? 定期收集評估銀行機(jī)構(gòu)科技運(yùn)行情況 ? 開展信息科技風(fēng)險現(xiàn)場檢查 ? 督促銀行落實銀監(jiān)會各項監(jiān)管要求 （ 報告制度等 ） ? 組織開展銀行機(jī)構(gòu)信息科技管理橫向交流 ? 現(xiàn)場檢查的方式內(nèi)容 ? 功能監(jiān)管和機(jī)構(gòu)監(jiān)管結(jié)合 ? 操作風(fēng)險和科技風(fēng)險兼顧 ? 現(xiàn)場檢查的重點： 總結(jié) ? 信息科技風(fēng)險監(jiān)管概貌了解 ? 目標(biāo) ： 連續(xù)性和安全性 手段：銀行 /監(jiān)管部門 ? 主要制度依據(jù) ? 信息科技風(fēng)險監(jiān)管體系 ? 基層銀行機(jī)構(gòu)信息科技風(fēng)險監(jiān)管 基層銀行機(jī)構(gòu)科技風(fēng)險監(jiān)管的思考 ? 現(xiàn)場檢查的內(nèi)容 ： ? 從常見問題 、 薄弱環(huán)節(jié)入手 – 高管意識 – 環(huán)境安全 – 內(nèi)控管理 187。 指標(biāo)體系 — 控制有效性指標(biāo) 信息科技治理 控制有效性 指標(biāo) 控制有效性 子領(lǐng)域 信息科技風(fēng)險管理 信息系統(tǒng)開發(fā)、測試與維護(hù) 信息科技審計 災(zāi)難恢復(fù)與應(yīng)急管理 信息科技外包 信息安全（一般控制） 信息科技運(yùn)行 指標(biāo)體系 — 控制有效性指標(biāo) 信息科技治理子領(lǐng)域 關(guān)鍵要素 信息科技治理 ? 是否具有信息科技治理領(lǐng)導(dǎo)力？（或信息科技在高管層中的地位如何）？ ? 信息科技戰(zhàn)略能否有效支持業(yè)務(wù)目標(biāo)？ ? 信息科技未得到足夠的財務(wù)支持？ ? 信息科技治理職能與責(zé)任劃分是否明確、合理？ ? 信息科技治理執(zhí)行力如何？ ? 信息科技治理是否與企業(yè)治理兼容？ 指標(biāo)體系 — 控制有效性指標(biāo) 信息科技風(fēng)險管理 子領(lǐng)域 關(guān)鍵要素 信息科技風(fēng)險管理 ? 風(fēng)險容忍度？ ? 風(fēng)險管理流程是否完整？（應(yīng)包括：識別風(fēng)險、評估風(fēng)險、控制風(fēng)險、監(jiān)測風(fēng)險、預(yù)警風(fēng)險） ? 風(fēng)險管理是否有效運(yùn)作？主要體現(xiàn)在風(fēng)險根源分析機(jī)制持續(xù)運(yùn)作？ ? 信息科技風(fēng)險管理與業(yè)務(wù)風(fēng)險管理的關(guān)系是否理順？ ? 風(fēng)險控制措施是否有效覆蓋被識別的風(fēng)險點？ ? 是否有足夠的專業(yè)人才開展風(fēng)險管理工作？ ? 風(fēng)險意識持續(xù)培養(yǎng)？ 指標(biāo)體系 — 控制有效性指標(biāo) 信息科技審計 子領(lǐng)域 關(guān)鍵要素 信息科技審計 ? 信息科技審計部門及人員的獨立性如何？ ? 信息科技審計部門與人員是否 合理授權(quán) ？ ? 信息科技審計人員的專業(yè)性如何？ ? 審計發(fā)現(xiàn)整改率？ ? 審計分支機(jī)構(gòu)覆蓋率？ ? 是否建立信息系統(tǒng)的應(yīng)用控制及審計方法？ 指標(biāo)體系 — 控制有效性指標(biāo) 信息系統(tǒng)開發(fā)、測試與維護(hù) 子領(lǐng)域 關(guān)鍵要素 信息系統(tǒng)開發(fā)、 測試與維護(hù) ? 有無項目管理組織統(tǒng)一安排、協(xié)調(diào)各類項目？ ? 如何保障項目質(zhì)量？ ? 有無項目財務(wù)管理和監(jiān)督？