学习先进 科技引领全面推进风险管理信息化建设

学习先进科技引领全面推进风险管理信息化建设

时间：2012-09-04 文章来源：中国远洋运输（集团）总公司

风险的不确定性是当今信息时代和后工业社会的基本特征，只有有效地管理不确定性才能使企业良性发展。国资委《中央企业全面风险管理指引》（以下简称《指引》）对中央企业风险管理工作提出了明确要求。中国远洋运输（集团）总公司（以下简称“中远集团”）认识到企业管理理念和体系发展到今天已经进入以全面风险管理为核心的可持续发展时代，鉴于风险管理的全面性、复杂性和技术性，传统的依靠人力推动和运作方式进行管理创新的方法已经不能满足推行全面风险管理的要求，而且全面风险管理体系建设是一项需要企业投入大量资源并且持之以恒的复杂系统工程，需要通过现代技术手段——全面风险管理信息系统支持。

由于全面风险管理的开展不仅会引发企业价值观念的改变，需要有强大的决策策略推动力、科学管理和技术服务的支撑，需要深入理解风险的内涵、正确使用工具和测评技术以及评价方法、合理配置资源、有效控制风险，才能够真正将企业风险管理的要求与企业的战略和运营相结合。用全面风险管理的理念推动企业战略转换，推动企业经营模式转换，推动企业业务流程再造，引发企业“业态”变革，从而实现公司价值、环境和自然资源的发展与和谐。所以这项工作并非能够一蹴而就取得成功的，而是需要一个长期不断积累和发展的过程。企业实施全面风险管理必须依托现代的信息和网络技术，才能更好地支持自身战略的发展。

同时，由于中远集团为大型企业集团，全面风险管理是一项自上而下，战略层面到操作层面贯通的复杂的系统工程，要使整个集团上下各级，多家企业，共同实施全面风险管理，就要形成并依托推行的载体和手段，要先期统一风险语言、评价标准和业务风险控制流程，开发上下贯通信息系统将总部的要求固化形成人机对话系统，减少人为干扰和信息衰减，提高效率。

因此必须结合企业自身特点，通过信息化手段将全面风险管理理念加以实现，以支持企业风险管理体系的实施和落地。中远集团在借助全面风险管理信息系统，科学实施《指引》，实现可持续发展方面做出了有益的探索并取得了显著成效。

一、结合国内外先进管理经验，持续推进全面风险管理管理工作

中远集团一直高度重视管理建设与完善工作，并结合集团发展实际不断引进、学习、应用先进的管理理念和方法进行管理改革与创新，提升全集团的综合管理水平，保障集团风险得到全面有效的控制。2003年，中远集团在国内率先引入AS4360和COSO的ERM风险管理标准相关理论和概念，与公司的质量、环境和职业健康安全管理体系充分结合，建设完整的管理系统。2004年，中远集团积极配合国资委开展“企业全面风险管理研究课题组”的

工作，作为第一家试点单位参加国资委的全面风险管理调研工作。2005年初，中远集团在风险管理调研基础上，为配合全集团全面风险管理体系建设工作的开展，实施了集团的风险评估工作，编制了风险库，绘制了风险图谱，为公司进行风险管理决策、制定风险管理策略、确定风险管理建设工作重点、有效配置管理资源提供依据。2006年，中远集团按照国资委《中央企业全面风险管理指引》进行流程再造，将全面风险管理的条款与要求融入到公司管理决策和业务程序之中，并将风险管理职责的要求和风险授权通过工作标准落实到每位中远人的实际行动中。2008年开始，在中远（集团）总公司完成了全面风险管理体系框架的搭建，建立了全面风险管理信息系统，成为第一家建立全面风险管理信息系统的中央企业，并根据财政部等五部委颁布的《企业内部控制基本规范》和国家风险管理标准《GB/T

24353-2009 风险管理原则与实施指南》进行了完善。

自2009年起，中国远洋作为中远集团的主要试点企业之一，以风险为导向率先针对内部控制程序进行了深入的梳理和优化工作，基本搭建完毕内部控制框架。2011年，中国远洋作为境内外上市公司强制实施《企业内部控制基本规范》和配套指引，在公司总部和下属六家公司范围内开展了内部控制建设和改进完善工作。目前，已建立内部控制体系的单位占公司资产比重超过70%。

2012年，按照国资委中央企业管理提升活动的总体安排，中远集团积极开展全面风险管理专项提升活动，结合公司管理提升总体方案积极开展风险诊断工作，并积极推进投资评估、燃油期货等专项风险管理工作。

二、运用信息化手段推动全面风险管理实施，以全面风险管理信息系统作为操作平台整合风险管理行为

中远集团围绕推进全面风险管理工作，建立中远集团全面风险管理信息系统满足三个方面推进要求：

一是通过信息化手段建立风险管理体系，落实工作责任。明确风险管控工作的归口部门，完善企业原有管理体系，固化风险的收集，辨识，评估流程。将内控制度和体系运作，按照企业风险管理的一般过程，集成在系统平台上运行。

二是信息系统结合企业实际，融入生产经营。能够保障从企业发展战略、日常运营、风险应对和监控预警等各方面均能落实国资委《指引》的有关要求。

三是信息系统辅助编制发布全面风险管理各层次报告，加强沟通交流。在提高企业风险管理报告编制效率的同时还将风险管理理念以网站形式在企业内部进行宣传，加快营造企业风险管理文化氛围。成为集团用于向下属公司的管理输出和统一管理文化的载体。

中远集团从2003年进行内部控制和管理体系建设时就同步开发了风险管理信息系统基

础，2006年将“中远集团全面风险管理体系系统”作为重点建设项目。全面风险管理信息系统依据中远集团多年风险管理实践经验，结合自身管理体系要求，同时研究对比国内外相关风险管理特点，逐步扩展设计形成的现有规模。根据中远集团的管理现状，不断对照国际先进企业的最佳管理实践，通过先进的技术手段将全面风险管理的流程“固化”作为提升中远集团管理水平的重要工作之一，并以此进行风险管理和分析，追溯并延续风险信息和指标数据、统一评价标准，避免各下属公司因体系建设的重复投资浪费。

在全面风险管理体系系统项目建设的基础上，按照《指引》第五十六条，风险管理信息系统应实现信息在各职能部门、业务单位之间的集成与共享，既满足单项业务风险管理的要求，也要满足企业整体和跨职能部门、业务单位的风险管理综合要求，中远集团开发了全面风险管理信息系统。功能包括：风险策略的制定、风险信息的收集、风险评估、风险分析、风险应对、风险监控、风险管理体系的管理、与业务系统的集成、重大风险的监控预警机制、风险报告、体系监控、风险知识库的管理、厂务公开等内容，并与全球契约可持续发展相结合，完善沟通和披露机制，形成一套完整的全面风险管理信息平台。满足《指引》对信息系统中的信息采集、存储、加工、分析、测试、传递、报告、披露等功能的要求。同时全面风险管理系统实现各专业业务风险集成管理，统一报告相关领导的功能，提升了各专业业务风险控制和风险管理的水平。全面风险管理信息平台是中远可持续发展平台的重要组成部分，也是作为中远可持续发展目标的战略举措之一。

2011年，中远以五部委《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》等为指导，结合中远实际情况，对中远全面风险管理信息平台的功能进行扩充，建立一套以企业内控与风险管理为核心的管理信息系统。通过这套系统建设、实施和运转，中远将形成动态的自我风险辨识能力，达到及时辨识、预防风险，设计并采用相应的管理、控制措施，减少风险损失。

三、总体规划、分步实施，科学推进全面风险管理信息系统建设工作

中远集团按照国资委《指引》所规定企业风险管理的一般过程，结合全面风险管理是一个长期的持续改进管理模式，增加了策动力和资源配置以及授权要求，形成了可持续发展的管理模式。根据企业管理经验进一步分解可以落实的步骤，中远集团创造性提供科学地建设风险管理系统的实施和推行16步法，以年为周期一个循环，实现一次管理创新。

中远全面风险管理信息系统按照总体规划、分步实施的原则实施，科学推进中远的风险管理工作不断向深入发展。

中远集团在2005年成功完成全面风险管理信息系统一期的开发，成为第一家建立全面风险管理信息系统的中央企业，2006年进行全面风险管理信息系统二期开发，完成社会责任风险可持续发展信息系统和法律风险信息系统的开发。2007年立项全面风险管理信息系统三期，经过2008年和2009年两年时间的开发、测试和试运行，该信息平台2010年初步投入使用。为了进一步适应五部委对企业内部控制的规范化管理要求，系统在2011年扩

充了“内控调查与诊断”、“内控评价”等功能模块。该信息平台目前的应用范围已经覆盖了中远集团总公司以及下属企业。

四、结合工作实际，持续优化完善全面风险管理信息系统的基本功能

中远全面风险管理信息系统功能构成图如下：

中远集团全面风险管理信息系统支持从风险辨识、分析、评价、应对、监控以及改进的全过程，同时参考PDCA的管理方法，实现风险管理工作的持续改进，为及时向国资委或其他相关方报告风险管理成果提供了便捷的沟通平台。经过多年的实践和完善，目前系统主要功能介绍如下：

（一）风险评估

中远集团按照国资委《指引》的要求，结合AS4360风险管理体系标准，参考美国COSO 全面风险管理框架，运用六西格玛技术，开发出中远集团风险评估的方法，运用风险频次、风险影响程度和风险预知与应对难度三维独立变量，1-10连续数据的评价方法，科学地进行风险评估。集团各部门和各公司以风险为主线实施管理，针对各自业务管理风险特点实施管理，在管理控制好运营风险的基础上，将重点扩大到战略风险、市场风险、财务风险和法律风险。由于风险评估的范围大、层次深、参与人多，用手工进行采集和分析，工作量大、准确度低，运用开发风险管理信息平台的风险评估系统可以全集团的人单点登录完成风险评

估，根据全员风险评价的结果，自动计算各项风险以及风险事件的影响程度、发生概率、应对难度和重要性等值，按照重要程度进行排序，并通过图形化的方式直观地展现风险的分布情况，实现重大风险的监控。

风险评估程序图

风险频谱示意图

系统建立了多层结构的中远风险框架，并根据中远业务的发展以及管理的深化，实时更新框架结构和内容，并可按年度生成不同的中远风险框架。

通过持续的风险辨识活动，系统逐步累积形成了风险事件库，可按照风险的责任部门和所属风险框架等多个维度进行统计和汇总。

基于风险评估结果，结合集团发展现状和当前外部环境，对集团当前面临的风险类别、风险特征和重大风险排序进行修正，形成对集团总公司风险现状的全面、准确判断，确定当前的重大风险，明确管理重点。

根据集团发展战略、风险评估结果和管理资源现状，研究、确定集团的总体风险偏好与承受度方案，明确对当前各重大风险的应对策略要求，为具体风险管理提供决策标准和指导方针。

结合当前的国际金融环境，针对评估出的重大风险，选取了其中的套期保值风险和投资评估风险，制定其具体的管理解决方案。套期保值风险管理解决方案进一步明确了公司在开展燃油期货业务、FFA业务、利率汇率风险管理业务中的风险管理策略，选取了明确的监控指标并定义了相应的风险承受度。同时，套期保值风险管理解决方案还优化了相关的内控要求（如止损制度）、并对每一个风险控制点，明确了相应的控制方案，作为预防风险的重要手段，编制了金融风险管理程序。投资评估风险管理解决方案围绕投资决策目标的设定、投资风险的揭示和分析、投资风险的审查等技术层面的问题，设计了完整的投资风险评估工作机制，并明确了投资评估风险的管理策略方法。

（二）全面风险管理体系文件

为保证中远集团实施可持续发展和全面风险管理制度化、规划化，进行流程再造。将全面风险管理、全球契约的条款要求融入中远集团管理决策和业务程序，建立各个关键流程风险管理程序，并将全球契约社会责任、风险管理职责的要求、指标管理和风险授权通过工作标准，落实到每位中远人的实际行动中。2007年集团总公司完成全面风险管理体系的建设，形成量化的风险管理体系。

中远集团在现代质量管理体系的基础上，对现有的67个主管理程序和121个子管理程序再次进行了全面的梳理和优化。管理程序涵盖了中远集团全有的业务管理领域、职能管理领域和后勤管理领域，并以风险为导向，建立了完备的程序管理框架。程序管理框架由程序属性、风险属性、控制属性、监督考核属性等要素组成，形成了程序规范、风险可控、措施明确、监督有力的运转机制。在管理程序优化的基础上，中远集团还重新搭建了集团内控程序管理的框架，形成了以全面风险管理理论为指导的内控管理体系，统一了集团的内控管理语言。中远集团各公司在原有管理体系的基础上，分别建立本公司的内部控制体系。

在内部控制制度和程序梳理的基础上，中远集团建立了全面风险管理体系，明确了相关风险管理机构的组织职责、工作流程、风险管理报告要求和风险管理业绩考核机制，并以全面风险管理制度和全面风险管理手册的形式加以落实。风险管理工作流程由风险评估、风险管理策略制定、风险管理解决方案制定、风险管理监督与改进等四个模块组成。

（三）内部控制管理

1.内控体系

内控体系包括：内控框架、内控主程序、内控子程序、工作步骤、控制点、内控制度等基础信息的维护与管理功能，并在此基础上实现内控业务流程固化，将内部控制文件体系建设工作统一纳入，系统提供方便的查询，修订功能。

2.内控调查与诊断

内控调查和诊断主要是对风险现状调查和诊断报告功能。包括调查数据项定制、风险现状信息采集、诊断报告的编制和发布、系统接口管理、综合统计查询等功能，通过此功能，可以对企业和各下属公司内部外部中的风险现状进行识别收集和维护。

（3）穿行测试

系统提供对内控调查问卷的设计完整性测试，以及对内控子程序各个控制点的执行有效

性测试。

3.风险审核

风险审核是对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，是审计部门进行的风险审计、过程审计和项目审计以及后评估。

（四）《中远集团全面风险管理年度报告》编制工作

按照国资委要求，从2009年起每年组织编报中远集团全面风险管理年度报告。各公司按照可持续发展信息管理平台中设定的国资委全面风险管理报告框架，参照所提供的模本要求，对本公司风险管理情况进行总结并予以上报。

为保证每年4月底前向国资委提交《中央企业全面风险管理报告》，每年12月中旬与当年可持续发展报告数据和素材收集工作一并部署，并运用全面风险管理平台填报。并自动生成资料集锦，便于编制工作的高效开展。

（五）重大风险监控和与现有系统对接情况

全面风险管理系统对整个集团的重大风险进行系统监控。全面风险管理系统是上下贯通的信息系统，采取的是总体搭建、分步实施、自上而下、试点先行、逐步并轨的建设原则，自集团总公司、到中国远洋、到中国远洋三级公司，同时扩展其他二级公司的放射性推进方式，逐步运用信息化技术将集团总公司到各所属公司的重大风险的管理和监控预警机制固化，并将多种算法内嵌入，能够实现重大风险的监控。

全面风险管理系统具有从现有系统直接提取数据并进行监控的功能。但为保证现有管理信息系统的正常运作避免干扰，采取在全面风险管理系统上进行分析和监控的设计。

下一步，中远集团进一步拓展全面风险管理系统的功能和覆盖范围，逐步实现内部控制自我评价工作的信息化和对重大风险监控全面监控，同时将着力全面风险管理信息平台向中远集团所属公司全面推广，逐步形成集团总公司和所属企业统一的风险数据库。

商业银行信息科技风险管理解决方案

商业银行信息科技风险管理解决方案 本帖最后由 infosec123 于 2009-9-23 17:16 编辑 背景 为加强商业银行的信息科技风险管理，提升信息科技风险管理能力，09年3月份银监会正式发布了《商业银行信息科技风险管理指引》（以下简称《指引》），这是继出台有关《商业银行操作风险管理指引》、《商业银行市场风险管理指引》和《商业银行合规风险管理指引》等一系列的监管文件之后，银监会发布的又一重要风险管理指引。该指引适用于在中华人民共和国境内依法设立的法人商业银行。政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。 信息科技风险是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。它和操作风险、信用风险、市场风险一样，是商业银行面临的主要风险。现阶段商业银行已经基本完成了信息化建设，在金融管制放松、业务全球化、金融创新步伐加快以及信息技术的迅猛发展的大背景下，国际银行业金融机构的信息科技风险有增大的趋势，国际银行业和监管当局都日益重视信息科技与操作风险的管理和监管。目前，国际上宣布实施新资本协议的国家和地区都按照新协议的要求，明确将操作风险纳入资本监管的范畴，而信息科技风险是操作风险的重要组成部分。 需求分析合规性需求： 近年来，国家各部门不断推出了各种监管要求，对IT管控领域也提出了明确的要求。其中与银行业信息科技风险相关的法律、法规与行业监管指引有： 2002年，美国国会发布了SOX《萨班斯[url=; 2004年9月30日，中国银监会发布了[url=; 2006年，银监会发布《电子银行安全评估指引》、《[url=;

金融业信息科技风险管理

信息科技风险管理办法 第一章总则 第一条为有效防范运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险，促进我行各项业务安全、持续、稳健运行，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《商业银行信息科技风险管理指引》、《营口沿海银操作风险管理指引》，以及国家信息安全相关要求和有关法律法规，制定本管理办法。 第二条本管理办法所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术，在我行业务交易处理、经营管理和内部控制等方面的应用，并包括进行信息科技治理，建立完整的管理组织架构，制订完善的管理制度和流程。 第三条本管理办法所称信息科技风险，是指信息科技在我行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 第四条信息科技风险管理的目标是通过建立有效的机制，实现对我行信息科技风险的识别、计量、监测和控制，促进我行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。

第二章机构职责 第五条根据我行信息科技治理的要求，法定代表人是本机构信息科技风险管理的第一责任人，负责组织本管理办法的贯彻落实, 董事会应履行以下信息科技管理职责： （一）遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准，落实中国银行业监督管理委员会（以下简称银监会）相关监管要求。 （二）审查批准信息科技战略，确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。 （三）掌握主要的信息科技风险，确定可接受的风险级别，确保相关风险能够被识别、计量、监测和控制。 （四）规范职业道德行为和廉洁标准，增强内部文化建设，提高全体人员对信息科技风险管理重要性的认识。 （五）设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会，负责监督各项职责的落实，定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。 （六）在建立良好的公司治理的基础上进行信息科技治理，形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设，建立人才激励机制。

中小银行信息科技管理中存在的问题及改进建议

中小银行信息科技管理中存在的问题及改进建议 随着我国银行业信息化建设的持续发展，信息科技与银行业务的深度融合，银行业的发展已经离不开信息技术的支持，信息科技已经成为当今银行业业务发展的核心支撑，其重要性不言而喻。然而，信息科技在退推动银行业快速发展的同时，随之而来的信息科技风险亦不容忽视，已经成为影响银行业稳定发展的重要因素。一旦信息科技环节出现风险，将会给银行经营带来巨大影响，甚至是造成银行业务停滞，影响百姓生活及社会稳定。笔者结合村镇银行自身发展，对中小银行信息科技日常管理中存在的问题及改进措施提出以下建议。 一、现状与问题 （一）对信息科技风险认识不到位，管理体系不完善 以村镇银行为例，其信息科技风险管理水平还处在风险管理的初级阶段。有些村镇银行虽然制定了发展战略，但缺乏与业务发展战略相一致的信息科技发展战略，同样也缺乏信息科技风险战略来指导信息科技风险管控工作，信息科技风险管理尚未纳入全面的风险管理体系。首先是信息科技风险认识上不到位。在作为小银行的村镇银行中普遍存在着一些问题，例如对信息科技风险了解的不够细致，对信息科技风险管理相对薄弱，信息科技的风险管理缺乏业务、风险管理、内部审计等部门甚至更高级管理层的有力支持。其次，信息科技管理体系不完善。大部分村镇银行虽然制定了相关的信息科技管理制度，但制度建设、人员管理、岗位设置缺少整体的风险管理概念，缺少完整的信息科技安全管理体系。

（二）科技投入水平普遍较低 目前，中小商业银行的科技收入整体能力偏低。科技投入主要包括项目建设费用、日常运行维护费用、科技人员成本、其他费用等项目。以村镇银行为例，很大数量的村镇银行尚未自行开发业务系统，多是租用发起行的业务系统。这部分村镇银行从本质上可以看作是发起行的一个支行，业务系统运维的重头戏一般都由发起行信息科技部来实施。同时村镇银行高级管理层对科技的重视程度不够，信息科技的投入占运营成本的比重较小，大多在2%以下，该资金份额难以完全满足业务系统运行的维护需要，导致村镇银行部分硬件投入不足，常用易损设备备份不足，一些重要设备达不到双机热备的要求，出现设备损坏无备用设备，无法及时更换，影响正常业务开展的问题。更有一部分硬件设备超寿命运行，做不到及时更换，给信息系统的后期维护带来较大的负担，在银行业务开展的同时也暴露出较大的信息科技风险。 （三）科技队伍建设严重滞后，人才储备不足 信息科技发展的核心是科技人才，银行的信息化建设和发展离不开科技人员的支持。据统计先进银行科技人员平均占银行总人数的比例为3%-4%。然而对于现阶段的村镇银行而言，信息科技人员的配比却严重偏低，人员配备严重不足，存在着较大的人员缺口，从这个角度来看，农村金融机构的信息化能力不足与信息科技人员不足有着必然的联系。现实的情况不免让人感到忧虑，无法满足科技管理的整体要求。

信息科技风险管理策略分析

附件：信息科技风险管理分类应对策略 根据信息科技风险分类情况，以二级风险为限，制定信息科技风险分类应对策略如下： A1.信息科技治理风险应对策略 信息科技治理风险包括三个二级风险：信息科技组织风险、道德文化风险以及人员管理风险。每个二级风险的内容和应对策 略如下： 风险 编号 风险名称风险描述风险应对策略 1.1信息科技组织 在信息科技风险管理机构及专建立完善的信息科技治理架构。以法风险业委员会设置、履职等方面的定代表人为第一责任人，囊括理事 不确定因素，以及在部门/岗位 会、监事会、风险管理委员会、信息 设置、职责划分、垂直归口管 科技风险管理委员会、信息科技部、理等方面的不确定因素所带来 稽核审计部、风险管理部、人力资源的影响。 部、监察部等部门。明确各部门在信 息科技风险管理工作中的职责； 每个部门根据在信息科技风险管 理中的职责设立相应的岗位，合理 分配相应的责、权、利，执行信息 科技风险管理工作； 省联社各部门应指导、监督办事 处、各县级农村合作金融机构相应 部门的信息科技风险管理工作。 1.2道德文化风险在文化培育、融合、再造等过 在建立道德、诚信、公正的氛围，对 程中的不确定因素，以及员工 员工进行相关的培训，作为员工日常 在价值观认同、行为规范遵循 工作的行为准则之一； 等方面的不确定因素所带来的影响。建立畅通的沟通渠道，任何与陕西省农村合作金融机构道德文化标 准的偏离都得到及时和充分的反映，并被立即调查和纠正。 1.3人员管理风险在从人员聘用到离职整个服务 建立完善的人员招聘、培训、考核、 期间内的不确定因素所带来的激励、离职等制度和流程，并确保得 影响。 到有效执行； 加强信息科技风险管理专业人员 配备，提高信息科技风险管理水 平；

《商业银行信息科技风险管理指引》WORD版

商业银行信息科技风险管理指引 第一章总则 第一条为加强商业银行信息科技风险管理，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》，以及国家信息安全相关要求和有关法律法规，制定本指引。 第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。 政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。 第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术，在商业银行业务交易处理、经营管理和内部控制等方面的应用，并包括进行信息科技治理，建立完整的管理组织架构，制订完善的管理制度和流程。

第四条本指引所称信息科技风险，是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 第五条信息科技风险管理的目标是通过建立有效的机制，实现对商业银行信息科技风险的识别、计量、监测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。 第二章信息科技治理 第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人，负责组织本指引的贯彻落实。 第七条商业银行的董事会应履行以下信息科技管理职责：（一）遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准，落实中国银行业监督管理委员会（以下简称银监会）相关监管要求。 （二）审查批准信息科技战略，确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。

商业银行信息科技风险管理指引

商业银行信息科技风险管理指引目录 第一章总则 第二章信息科技治理 第三章信息科技风险管理 第四章信息安全 第五章信息系统开发、测试和维护 第六章信息科技运行 第七章业务连续性管理 第八章外包 第九章内部审计 第十章外部审计 第十一章附则第一章总则 第二章信息科技治理 第三章信息科技风险管理 第四章信息安全 第五章信息系统开发、测试和维护 第六章信息科技运行 第七章业务连续性管理 第八章外包 第九章内部审计第十章外部审计第十一章附则展开编辑本段第一章总则第一条为加强商业银行信息科技风险管理，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》，以及国家信息安全相关要求和有关法律法规，制定本指引。第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术，在商业银行业务交易处理、经营管理和内部控制等方面的应用，并包括进行信息科技治理，建立完整的管理组织架构，制订完善的管理制度和流程。第四条本指引所称信息科技风险，是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。第五条信息科技风险管理的目标是通过建立有效的机制，实现对商业银行信息科技风险的识别、计量、监测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。 编辑本段第二章信息科技治理 第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人，负责组织本指引的贯彻落实。第七条商业银行的董事会应履行以下信息科技管理职责：（一）遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准，落实中国银行业监督管理委员会（以下简称银监会）相关监管要求。（二）审查批准信息科技战略，确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。 （三）掌握主要的信息科技风险，确定可接受的风险级别，确保相关风险能够被识别、计量、监测和控制。（四）规范职业道德行为和廉洁标准，增强内部文化建设，提高全体人设立一个由来自高级管理层、信息科技（五）员对信息科技风险管理重要性的认识。． 部门和主要业务部门的代表组成的专门信息科技管理委员会，负责监督各项职责的落实，定期向

【项目管理知识】信息化项目中的风险管理

信息化项目中的风险管理 实施任何项目都有风险，即在企业投入相应资源后没有如期实现项目目标。出现项目风险的根源在于，在项目实施过程中会发生很多意想不到的某些事件，这些事件导致实际结果偏离预期目标。和工程项目相比，信息化项目的实施风险更大，因为信息化项目是看不见、摸不着的项目。如何规避信息化项目的风险呢？ 项目风险管理，就是在项目实施过程中对项目可能出现的问题进行主动而系统的识别、评估并及时采取相应的应对措施和行动，减少风险带来的损失。风险管理由风险识别、风险评估和风险应对三个部分组成。 风险识别 风险识别就是确定风险事件及其来源。由于风险的不确定性，风险识别实际上只能算是一种预测分析，是对可能会给项目目标实现带来负面影响的环节和因素所进行的假想。目的是做到有备无患，当实际风险发生时能有效应对。 需要注意的是，风险识别将贯穿于项目实施的全过程，而不仅仅是项目的开始阶段。风险因素可能来自需求、技术、资金、实施方等各个方面，但项目实施根本的目标是实现项目的期望，因此风险识别也应重点关注影响项目期望的因素。同时在风险识别过程中，也需要辩证地分析风险因素的负面效应（即风险带来的威胁）和正面效应（即潜在的机会）。 具体的项目风险识别方法，主要有： ①头脑风暴法，就是由项目小组成员在一起，反复假设“如果……，那就会……”，充分预测信息化项目中出现的各种情况，从而尽可能多的找出影响项目成功实施的因素。

②专家判断法，即请教擅长信息化项目实施的专家、学者、教授，经验丰富的项目经理、实施顾问等，从理论与实践多方面来判断项目风险因素的正面效应和负面效应。 ③调查问卷法，即事先设计相应的表格、问卷，然后选取特定的调查对象，然后总结出项目的风险；另外，询问项目组成员也非常有帮助，问问他们以前做过的项目里曾发生过哪些意料不到的问题。也许管理部门又提出了新的优先项目，也许的成员突然不能参加进来了，也许预算减少了，也许其中的一项任务完成拖期了，也许另一个小组超出了预算，或者也许出现了未预见到的技术问题……要把进度（包括可能延误项目的因素）、人员（包括威胁到位的因素）、财务（包括威胁预算的因素）以及范围（包括导致终产品的难以完成的因素）等各方面的风险一一区分开来。 ④经验总结法，就是借助以往企业信息化项目实施的经验教训，来类推、联想这个信息化项目中的风险因素。 ⑤理论分析法，即通过建立数学模型等方法从理论上来分析信息化项目的风险，比如决策树、敏感性分析、蒙特卡罗模拟等。 风险评估 风险评估又称作风险量化，就是比较风险的大小，从而决定是否需要采取相应的应对措施。风险评估的方法很多，归纳起来主要包括以下几种：用风险发生的概率来评估风险发生的可能性；用风险带来的损失来评估风险发生的严重性；用现有的手段能否控制风险的发生来评估风险发生的可控性；用风险影响的地域大小、对象多少等来评估风险影响的范围；用风险发生在项目生命周期的阶段来评估风险发生的时间。

信息科技风险专项检查自查报告总结.doc

********商业银行行股份有限公司********银行信息科技风险专项自查报告 ************中心： 为认真贯彻《关于开展2019年度信息科技风险专项检查的通知》精神，充分做好做好国庆期间金融网络和信息系统安全保障工作，防范我行信息科技风险，保障计算机系统运行和操作安全，建立和完善信息科技风险管理机制。根据《****农商银行系统重点业务风险点排查指引（试行）》规定及人民银行、银保监局和公安局关于网络安全保障工作要求。我行由分管信息科技领导、信息技术部组成自查工作小组，于8月19日-23日开展自查工作。现将自查情况汇报如下： 一、总体情况 随着当前信息化建设步伐不断加快，我行各项业务对于信息系统的依赖日益加深，随之而来的系统和网络安全已成为安全管理的关键环节，其中薄弱环节成为信息科技风险的重要内容，网络安全运行工作事关经营、管理大局。从防范科技风险的高度充分认识到加强系统和网络安全运行工作的必要性和重要意义，正确处理了发展与安全的关系，一手抓信息化建设，一手抓风险防范。截至报告日，全行上下已经按照统一标准建立起较完善的网络和信息安全风险防范体系。

二、组织架构、制度建设及管理情况 （一）信息科技治理组织架构 1.强化“三会一层”履职。成立了以高管层和主要业务部门参加的信息科技管理委员会，定期或不定期履行职责，审议信息科技相关重大事件，本年度共计召开信息科技管理会议2次。 2.加大专业人员配备。设立首席信息官。参与我行与信息科技运用有关的业务发展决策，确保信息科技发展战略符合本行的总体业务战略和信息科技风险管理策略。 3.明确部门职责分工。明晰信息科技实施、风险管理及审计职责。信息技术部负责信息科技实施、管理工作，各支行设立兼职或专职计算机管理员，配合信息技术部开展应用推广、故障处理、设备维护工作；合规与风险管理部负责协调制定有关信息科技风险管理策略，尤其是在涉及信息安全、业务连续性计划和合规性风险等方面；内部审计部负责信息科技审计制度和流程的实施，制订和执行信息科技审计计划。 （二）信息科技管理制度建设 1.安全管理方面。对安全管理活动中的各类管理内容建立安全管理制度，制定了由安全策略、管理制度等构成的全面的信息安全管理总则《********商业银行行计算机信息安全管理办法》，安全管理办法经信息科技管理委员会审定，审定周期为一年一次，并且及时发现缺漏或不足对制度进行修订。 2.应急管理方面。建立了较为完善的信息系统应急管理办法《********商业银行行计算机信息系统应急管理办法》，

商业银行信息科技风险管理指引英文版

Commercial Banks ' Information Technology Chapter I General Provisions Article 1. Pursuant to the Law of the People 's Republic of China on Banking Regulation and Supervision, the Law of the People's Republic of China on Commercial Banks, the Regulations of the People's Republic of China on Administration of Foreign-funded Banks, and other applicable laws and regulations, the Guidelines on the Risk Management of Commercial Banks' Information Technology (hereinafter referred to as the Guidelines) is formulated. Article 2. The Guidelines apply to all the commercial banks legally incorporated within the territory of the People's Republic of China. The Guidelines may apply to other banking institutions including policy banks, rural cooperative banks, urban credit cooperatives, rural credit cooperatives, village banks, loan companies, financial asset management companies, trust and investment companies, finance firms, financial leasing companies, automobile financial companies and money brokers. Article 3. The term “information technology ” stated in the

信息化项目风险应对措施

信息化项目风险应对措施 针对风险评估的结果，制定相应的应对措施去响应风险，就是风险应对，其目的是创造机会，回避威胁。风险应对中，需要对风险的正面效应（即潜在的机会）制定增强措施，对风险的负面效应（即可能的威胁）制定应付方法。对于不同的风险，需要根据其重要性、影响大小以及已经确定的处理优先次序，采取相应的措施加以控制，对负面风险的反应可以是尽量避免、努力减小或设法接收。另外，在处理风险时需要注意应对的“及时性”和“反复性”，即在第一时间对各种突发的风险作出判断并采取措施；对已经发生或已经得到控制的风险经常进行回顾，确保风险能够得到稳定长期的控制。信息系统项目风险应对的措施主要有：①修正项目目标或范围。尽管有深入的项目调研和详尽的项目规划，但信息化项目过程中的需求改变常常难以避免，因此为保证项目的实施效果，对项目的目标或范围加以必要修正，能够有效应对项目偏离需求的风险。 ②加强培训。加强项目培训能够提高参与项目的IT人员和业务人员甚至管理人员、决策者对信息化项目的认知，对规避项目的实施风险有良好的效果。③准备风险保证金，适当预留项目计划时间。信息化实施往往周期较长，在项目预算中预留一定数量的风险保证金，时间计划中预留一定的时间，能够有效应对由于项目需求改变或者范围增加而造成的时间和成本风险。④始终贯彻项目管理的标准流程。严格执行项目管理中的时间、成本、质量控制等标准流程，能够有助于控制项目风险。⑤引入第三方咨询和监理。信息化项目初期尤其是刚刚开展信息化项目的企业，在信息化项目实施中引入第三方咨询和监理，能够利用第三方的专家优势和对项目实施的经验来应对项目风险。⑥加长模拟阶段的周期。信息化项目中最重要的是信息系统与企业业务流程的结合，因此

2019年度信息科技风险管理报告

信息科技风险管理报告 根据《银行业金融机构全面风险管理指引》《**农村商业银行股份有限公司董事会议事规则》及有关要求，现将**（以下简称“本行”）2019年度信息科技风险管理报告报告如下。 一、2019年基本情况 按照《**农村商业银行股份有限公司岗位职责》，本行信息科技管理工作归口于电子金融部，设信息系统维护岗2人。成立了计算机信息安全管理工作领导小组和信息系统重大突发事件应急管理领导小组等，组织架构齐全。 二、2019年主要工作 （一）内部控制工作。本行结合内部控制评价工作对相关的科技管理制度和操作规程进行梳理和归类，及时修改相关制度办法，使其具有系统性、可操作性。现执行的制度有《**农村商业银行股份有限公司信息系统设施设备管理办法（试行）》、《**农村商业银行股份有限公司信息系统数据安全管理办法（试行）》、《**农村商业银行股份有限公司员工介质管理办法》、《**农村商业银行股份有限公司信息系统突发事件应急预案（试行）》、《**农村商业银行股份有限公司便携式移动金融服务终端管理暂行办法》等规章制度。 （二）系统管理工作。信息系统由**省农村信用合作联社开发、测试和维护，我行对全辖机具设备和线路进行调试、维护和管理，确保信息系统的正常运行。一是省中心已对数据建立异地

灾备，保证极端情况下生产系统正常运行。本行进行了各系统在不同运营商线路切换的演练。二是关注系统安全漏洞最新情况，及时对新发现的安全漏洞打上安全补丁，目前系统已是最新最完整版本，已安装了最新补丁。三是系统均安装了省联社指定桌面管理系统和病毒查杀软件，对病毒、恶意代码进行安全防护。同时，严格控制操作人员在机器上运行可能携带恶意代码、病毒的脚本的外来第三方软件。 （三）设备管理工作。本行对业务设备领用、报废进行全流程管理。设置有一名专职科技人员对业务设备进行日常巡检、维护、更换，确保业务设备不掉线及正常工作。科技人员按照规定对计算机进行必要的设备日常监测、检查、记录，并及时掌握设备的运行状况。通过查阅ITSM管理平台，及时受理各网点提交的系统运行故障、业务处理差错、业务需求申请等业务工单，对其审核后，提交相关部门处理。对营业网点上报的网络故障信息及时给予电话指导或现场处理。 （四）机房管理工作。本行使用电信、移动、联通终端设备，路由器和交换机均放置总行三楼机房，机房场地、安全通道、防水等符合机房建设要求，灾害防御措施完善、设备齐全，供配电系统、空调系统、机房防雷和消防系统符合相关技术要求。 （五）安全管理工作 1.网络安全工作。我行将外网与生产网络实行物理隔离，对所有进入内网的终端均进行绑定，路由器远程登录采取ssh认

商业银行信息科技风险动态监测规程

商业银行信息科技风险动态监测规程 （征求意见稿） 第一章总则 第一条为加强商业银行信息科技风险监管的及时性和前瞻性，实现对商业银行信息科技风险的持续和动态监测，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及其他相关法律法规，制定本规程。 第二条信息科技风险动态监测是针对商业银行信息科技活动中的重点风险领域，通过选取关键风险指标，持续开展风险监测，动态跟踪风险趋势、前瞻研判风险态势并及时采取监管措施的过程。 第三条信息科技风险动态监测遵循分级负责、属地监管、重在法人、风险为本的原则。 第四条信息科技风险动态监测体系由监测指标、监测数据管理、指标运用及监测工作流程组成。 第五条本规程适用于在中华人民共和国境内依法设立的商业银行，包括中资商业银行、外资独资商业银行和中外合资银行。 政策性银行、农村信用社、农村合作银行、村镇银行以及经银监会及其派出机构批准成立的其他银行业金融机构参照执行。 第二章动态监测指标选取原则及分类

第六条信息科技风险动态监测指标由商业银行信息科技基础运行数据经采集、加工、计算形成，综合反映了商业银行信息科技风险水平及风险管控能力。 第七条监测指标选取遵循以下四个原则： （一）代表性：能够反映商业银行信息科技风险水平和控制效果，体现信息科技对业务的支撑能力； （二）综合性：能够涵盖商业银行信息科技风险存在的主要环节，反映信息系统多种要素的风险状况； （三）敏感性：能够通过指标波动直接体现商业银行信息科技风险水平的变化情况； （四）可获取性：能够通过商业银行信息系统直接获取或通过定量计算间接获取，具备明确、可靠的数据来源。 第八条商业银行信息科技风险动态监测指标分为稳定性指标、安全性指标和规模性指标三类。其中稳定性指标、安全性指标直接反映商业银行信息科技风险状况，规模性指标主要反映信息科技对业务的支撑能力，间接反映商业银行信息科技风险状况。 第三章动态监测指标体系 第九条稳定性指标表示商业银行信息系统对业务提供支持和满足业务需求的有效、可靠程度，包括系统可用率、系统交易成功率、投产变更成功率等。

XX银行信息科技风险管理策略

XX银行信息科技风险管理策略 xx银行信息科技风险管理策略 随着信息科技与我行业务的深度融合～我行业务对信息系统的依赖性日益增强～防范信息科技风险的重要性凸显出来。我行深入分析信息科技管理工作～针对面临的信息科技风险～制定了信息科技风险管理策略。 一、我行面临的主要信息科技风险 1.业务中断风险 保障业务连续性是我行信息科技工作中的最重要的部分。我行面临的首要的问题是～信息系统建设严重滞后与业务发展。一旦产生软硬件故障、系统超负荷运行、主干网络中断、病毒传播、人为非法操作造成系统不稳定等因素～极易造成银行业务的中断。 2.数据安全风险 数据是我行的基础～我行要为客户提供一个可靠的环境确保数据资料的准确性和安全性。随着业务的发展～数据量不断增大～数据安全风险凸显。 数据安全风险包括两方面:一是数据窃取～主要是数据遭到窃取或者恶意篡改～导致客户信息资料外泄～引发客户不满～引发法律风险问题,二是数据丢失～主要是受到自然灾害、房屋倒塌等突发事件造成的存储介质毁坏～导致存储介质中数据丢失。 3.电子银行风险 电子银行银行风险主要是电子支付安全问题～包括ATM诈骗以及利用钓鱼网站、木马程序盗取客户的账号和密码等一些行为导致的客 1

户资金的损失。这类事件一旦发生～会严重影响我行声誉～处理不当会导致诉讼。 4.系统漏洞风险 系统漏洞风险是银行信息系统开发缺陷被发现和利用的风险。系统漏洞风险在系统设计之初难以发现～随着系统的推广及运行～风险逐渐暴露～一旦被人利用～会对我行造成极大影响。 5.IT外包风险 IT外包风险主要是外包服务商能否长期稳定地为我行提供高质量的服务～能否及时响应并修复系统故障～确保外包业务连续性。我行如果过度依赖外包服务商～一旦出现突发情况～势必会影响我行业务持续开展。 二、我行采取的信息科技风险管理策略 针对我行面临的主要的信息科技风险～我行在信息科技风险管理方面拟采取以下策略。 1.进一步完善信息科技风险管理制度 我行要进一步完善信息科技风险管理制度～进一步细化信息科技管理以及信息科技风险管理。重点做好业务连续性、灾备系统、外包管理、风险评估、内外部审计等五个方面制度的完善。 制度制定后～信息科技工作者要严格执行制度～或者提出合理化建议来修订制度～使制度成为一切工作的基础～真正给系统安全拉起一道不可逾越的防御线。 2.构建全面的信息科技风险监测和保障体系 2 逐步建立质量控制和测试体系～对信息系统的开发进行严格的风险论证和风险测试。对信息系统的运行状况进行全程监控～主干网络是否畅通、自助设备是否正常运行、数据库系统是否正常服务～是否有网络遭受外部非法入侵等必须纳入实时

商业银行信息科技风险管理指引(银监发2009[1].19)

-------------------------------------------------------------------------------- 商业银行信息科技风险管理指引 第一章总则 第一条为加强商业银行信息科技风险管理，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》，以及国家信息安全相关要求和有关法律法规，制定本指引。 第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。 政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。 第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术，在商业银行业务交易处理、经营管理和内部控制等方面的应用，并包括进行信息科技治理，建立完整的管理组织架构，制订完善的管理制度和流程。 第四条本指引所称信息科技风险，是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 第五条信息科技风险管理的目标是通过建立有效的机制，实现对商业银行信息科技风险的识别、计量、监测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。 第二章信息科技治理 第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人，负责组织本指引的贯彻落实。 第七条商业银行的董事会应履行以下信息科技管理职责： （一）遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准，落实中国银行业监督管理委员会（以下简称银监会）相关监管要求。 （二）审查批准信息科技战略，确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。 （三）掌握a主要的信息科技风险，确定可接受的风险级别，确保相关风险能够被识别、计量、监测和控制。 （四）规范职业道德行为和廉洁标准，增强内部文化建设，提高全体人员对信息科技风险管理重要性的认识。 （五）设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会，负责监督各项职责的落实，定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。 （六）在建立良好的公司治理的基础上进行信息科技治理，形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设，建立人才激励机制。 （七）确保内部审计部门进行独立有效的信息科技风险管理审计，对审计报告进行确认并落实整改。

信息科技风险管理规定

欢迎阅读信息科技风险管理办法 编制部门：科技信息部 版次号：A/0 生效日期：20160509

目录 修改记录 (3) 第一章总则 (3) 第二章机构职责 (4) 第三章信息科技风险管理 (10) 第四章 第五章 第六章 第七章 第八章 第九章 附件.

修改记录 第一条为有效防范公司运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险，促进我司各项业务安全、持续、稳健运行，根据《中华人民共和国互联网金融信息监督管理办法》、《互联网金融信息科技风险管理指引》，以及国家信息安全相关要求和有关法律法规，制定

本管理办法。 第二条本管理办法所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术，在我司业务交易处理、经营管理和内部控制等方面的应用，并包括进行信息科技治理，建立完整的管理组织架构，制订完善 第二章机构职责 第五条根据我司信息科技治理的要求，法定代表人是本机构信息科技风险管理的第一责任人，负责组织本管理办法的贯彻落实, 董事会应履行以下信息科技管理职责：

（一）遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准，落实中国互联网金融协会（以下简称互金协会）相关监管要求。 （二）审查批准信息科技战略，确保其与公司的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。 （三）掌握主要的信息科技风险，确定可接受的风险级别，确保相关风 对审 （八）每年审阅并向互金协会及其派出机构报送信息科技风险管理的年度报告。 （九）确保信息科技风险管理工作所需资金。 （十）确保公司所有员工充分理解和遵守经其批准的信息科技风险管理制度和流程，并安排相关培训。

浅析农业银行信息科技风险管理策略

浅析农业银行信息科技风险管理策略 发表时间：2018-11-20T18:05:16.970Z 来源：《防护工程》2018年第21期作者：王勇 [导读] 不仅是提高农业银行在行业中综合竞争力的有效手段，同时也是为用户提供稳定、安全的金融服务的重要保障。 中国农业银行股份有限公司攀枝花炳草岗支行四川攀枝花 617000 摘要：为了适应银行业务现代化、信息化的要求，信息时代的多种新型科学技术都被广泛应用于银行业务的管理之中。银行的金融服务信息化虽然使得用户体验得到极大的提升，但信息化带来的风险管控也是银行应当仔细分析并进行全方位规划的战略问题。为了有效提高银行的风险防控水平，维护信息科技在银行业务中使用的安全性，本文从风险管理的角度出发，详细分析并提出了农业银行信息科技风险管理的策略。 关键字：农业银行；信息科技；风险管理；策略 引言 信息系统安全运行是任何银行业务正常开展的必要前提和基本保障，它不仅影响到银行的声誉和金融安全问题，若银行的信息系统失去安全保障，还会在未来银行的客户来源和社会经济稳定发展方面造成一定损失。笔者详细分析了农业银行的信息科技风险管理策略，旨在为农业银行信息科技风险管理的安全性提高做出微薄的贡献。 1银行信息科技风险管理架构 1.1 IT治理 银行的信息科技风险管控任务直接由IT部门来直接管理，对信息安全存在的风险进行防范和管控，制定相应的预警指标，掌握好技术控制的同时，建立科学的应急处理系统，对可能发生的安全问题都要做好防备工作。 1.2 IT风险管理 IT风险管理应由内控合规管理和风险管理部门进行合作。先由风险管理部门将所有的银行信息科技风险整合成一个体系，建立信息科技的风险控制标准，做好统计信息科技风险的事件数量以及事件发生后的反思和再评估等工作。为了有利于对信息科技风险的评估和监测，还应当对不同事件进行分类和分级处理。内控合规管理部门则负责对风险管理部门的风险控制制度进行督察和审核，同时监督他们的内部控制、合规管理工作。 1.3 IT审计 审计部门要根据银行的相关监管要求，对风险状况做出判断，属于进行信息科技风险管理和评估的独立第三方机构，对风险管理工作、内部控制工作是否有效开展进行监控和评估，能够更好的促进银行的信息科技风险管理。 2农业银行信息科技风险的主要特点 2.1复杂性 造成农业银行信息科技风险升高的要素有很多，这就使得农业银行的信息科技风险管理存在一定的复杂性。如在系统升级、运营维护过程中，不仅涉及到系统的程序复杂，同时考虑到信息系统的建立需要多人管控的人员负责性，信息科技的风险不仅来源于人员的操作失误，也来源于复杂的计算机技术本身，因此，要建立好完善的银行信息科技风险管理体制，保障信息安全的同时，维护银行业务的可靠性。 2.2广泛性 农业银行的信息科技风险事件一旦发生，将会对社会产生广泛的影响，无论是对个人、企业还是国家经济来说，都会是一次重大的打击。信息安全的问题往往会产生连锁反应，不仅会使得银行的声誉受到损害，同时也可能会对国家信息机密的安全造成巨大影响。 2.3隐蔽性 由于信息技术本身存在复杂性，若在银行的信息科技系统中出现了漏洞，可能不会很快被监测到，也就是银行信息科技风险存在一定的隐蔽性。而这种特性就给银行的信息科技风险管理带来了难度和挑战，为此，要建全完善的风险管理系统，对信息科技部门的工作进行有效的监督，防止内部人员操作失误的同时，降低银行的信息科技风险。 3农业银行信息科技风险管理难点 3.1信息科技风险管理辩解定位认识的差异 在信息科技风险管理过程中，信息科技部门常把工作重点放在加快信息化建设和做好系统运行管理方面，对信息科技的风险控制和检查监测工作有时重视不够，没能够将各种风险控制措施内化到日常管理活动中，实现更有效的事先风险控制。有效的运用风险管理方法，能够降低各种风险的威胁和影响。若风险管控部门没有危机预防意识，就难以充分发挥信息科技风险管理的价值，造成信息科技风险管理工作重点不突出、考核管理导向偏差、工作效率不高等问题。 3.2信息沟通和分享缺乏有效监管渠道 从风险管理考核制度方面来说，如果清晰地上报了IT 管理中的风险隐患，将“不利于”其部门的绩效考核，故常存在以“半封闭、半遮掩”应对考核监督部门的信息科技风险监控检查工作，掩盖存在的风险隐患。在信息科技部门内部消除的风险隐患不能如实报告，存在漏报、少报甚至降低等级报告风险隐患的现象，导致各个部门之间获取的信息不一致的问题；在监控检查过程中提供的 IT 资料内容失真，不能充分反映信息科技风险隐患的真实情况。 信息科技部门日常运维过程中，存在用技术性问题掩盖管理和人为操作错误的情况，导致风险隐患的根源问题得不到彻底解决。同时这些信息科技风险事件和隐患没能及时、充分地传递到监管考核部门，导致其无法对该类事件和隐患进行统计、分析并及时给出修进建议，从而会造成更加严重的后果。 3.3各个对部门信息科技风险管理功能认识不全 信息科技部门内设的各种科室都存在认知不充分的问题，浅显地认为信息科技风险管理应由信息安全管理科室承担，而信息安全管理

银行信息科技风险管理制度模版

银行信息科技风险管理制度 第一章总则 第一条为进一步完善某银行（以下简称?本行?）全面风险管理体系，保证本行业务的可持续发展，依据中国银行业监督管理委员会《商业银行信息科技风险管理指引》、《某银行信息科技管理制度》，并结合本行实际，制定本办法。 第二条本办法所称信息科技风险是指本行在运用信息科技过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 第三条本行信息科技风险政策取向是：稳健。实行规避、预防、缓释、抵补等管理策略。 第四条本行通过搭建科学的风险管理组织架构、划分明确的风险管理职责、制定有效的风险管理制度和操作流程等措施，持续推动信息科技风险管理工作的开展。 第五条本行信息科技风险管理的管理原则是：全员参与、协调统一、预防为主、动态管理。 第六条本行信息科技风险的管理目标是通过建立完整、合理、有效的风险管理机制，实现对信息科技风险的识别、评估、计量、监测和控制，促进本行安全、持续、稳健运行，推动业务创新，提高本行信息技术使用水平，增强核心竞争力和可持续发展能力。 第二章信息科技风险的组织架构和职责 第七条建立与信息科技风险特点相适应的组织架构，包括董事会 （信息科技管理委员会）、信息科技风险控制部门、高级管理层（首席信息官）及信息科技部门。构建信息科技风险防范的?三道防线?，第一道防线，信息科技部门做好信息科技管理工作。第二道防线，风险管理部门进行信息科技风险分类与评估。稽核内审部门做好信息科技风险审计，作为第三道防线。 第八条董事会承担本行信息科技风险管理的最终职责。具体职责包括： （一）建立并完善分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构； （二）审查批准信息科技战略，确保其与本行的总体业务战略和重大策略相

信息科技风险管理办法

信息科技风险管理办法 编制部门：科技信息部 版次号：A/0 生效日期：20160509

目录 修改记录 (3) 第一章总则 (4) 第二章机构职责 (5) 第三章信息科技风险管理 (11) 第四章信息安全 (13) 第五章信息系统开发、测试和维护 (19) 第六章信息科技运行 (21) 第七章业务连续性管理 (24) 第八章外包与审计 (25) 第一节外包 (25) 第二节审计 (29) 第九章附则 (31) 附件 (32)

修改记录

第一章总则 第一条为有效防范公司运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险，促进我司各项业务安全、持续、稳健运行，根据《中华人民共和国互联网金融信息监督管理办法》、《互联网金融信息科技风险管理指引》，以及国家信息安全相关要求和有关法律法规，制定本管理办法。 第二条本管理办法所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术，在我司业务交易处理、经营管理和内部控制等方面的应用，并包括进行信息科技治理，建立完整的管理组织架构，制订完善的管理制度和流程。 第三条本管理办法所称信息科技风险，是指信息科技在我司运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 第四条信息科技风险管理的目标是通过建立有效的机制，实现对我司信息科技风险的识别、计量、监测和控制，促进我司

安全、持续、稳健运行，推动业务创新，提高信息技术使用水平， 增强核心竞争力和可持续发展能力。 第二章机构职责 第五条根据我司信息科技治理的要求，法定代表人是本机 构信息科技风险管理的第一责任人，负责组织本管理办法的贯彻 落实, 董事会应履行以下信息科技管理职责： （一）遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准，落实中国互联网金融协会（以下简称互金协会）相关监管要求。 （二）审查批准信息科技战略，确保其与公司的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。 （三）掌握主要的信息科技风险，确定可接受的风险级别，确保相关风险能够被识别、计量、监测和控制。 （四）规范职业道德行为和廉洁标准，增强内部文化建设，提高全体人员对信息科技风险管理重要性的认识。 （五）设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会，负责监督各项职责的