商业银行信息科技风险评估研究.pptx

商商业银行信息科技行信息科技风险评估研究估研究 杨涛杨涛杨涛杨涛(2011)(2011)(2011)(2011)注：中国工商银行博士后工作站注：中国工商银行博士后工作站注：中国工商银行博士后工作站注：中国工商银行博士后工作站 中国人民大学博士后流动站中国人民大学博士后流动站中国人民大学博士后流动站中国人民大学博士后流动站主要内容信息科技信息科技风险评估体系的估体系的设计思想思想多多级指指标体系的构建体系的构建评估模型的估模型的设计设计调查问卷卷进行行实证分析分析商业银行信息科技风险评估体系制定的依据商商业银行信息科技行信息科技风险管理指引管理指引股份制商股份制商业银行行风险评级体系体系表达表达评估方法及多级指标体系的构建思想及步骤首先，确定若干评估度量域，每一个度量域包含若首先，确定若干评估度量域，每一个度量域包含若干度量类，对每一个度量类又有若干度量项，借鉴干度量类，对每一个度量类又有若干度量项，借鉴商业银行信息科技风险管理指引商业银行信息科技风险管理指引的九个方面。的九个方面。（9 9个域，个域，4646个类，个类，841841项度量指标）项度量指标）然后，通过适当的方法为每一个指标选择权重；然后，通过适当的方法为每一个指标选择权重；最后，采用逐级加权平均对每一个指标进行评价，最后，采用逐级加权平均对每一个指标进行评价，得出综合评价分数。得出综合评价分数。表表1 1：信息：信息科技科技风险指指标体系表体系表一级指标二级指标指标项权重指标项权重信息科技治理0.1信息科技战略和信息科技年度计划0.2信息科技治理组织结构0.3科技制度和技术规范管理0.1科技检查0.2科技考评0.1科技培训0.1信息科技风险管理0.1风险管理策略0.2风险识别和评估0.5风险防范和监测0.3信息安全0.2组织和人员安全0.1信息分类及保护0.1物理环境的的安全管理0.1网络安全0.1软件安全管理0.1主机及系统安全0.2密码技术管理0.1信息安全事件管理0.1科技文档安全0.1项目管理0.1应用开发类项目管理0.2研究和工程类实施项目管理0.2采购类项目管理0.2项目评审管理0.2验收考核管理0.1软件产品管理0.1应用开发0.1需求分析0.2应用设计及开发0.4单元、集成与系统测试0.4测试管理0.1验收测试0.5适应性测试0.5运维管理0.1服务水平管理0.1可用性管理0.1性能和容量管理0.1事件管理0.1问题管理0.1变更管理0.1操作管理0.1应急管理0.1数据管理0.1配置管理0.1业务连续性管理0.1业务连续性管理组织0.5业务连续性管理流程0.5第三方与外包管理0.1外包管理0.2对外服务管理0.2外部服务管理0.2合作伙伴管理0.2供应商管理0.2单项评估模型单项评估模型A=AA=A1 1*W*W1 1+A+A2 2*W*W2 2+A+Ai i*W*Wi i注：注：A Ai i代表度量域中的第代表度量域中的第i i个度量类的分数个度量类的分数 W Wi i代表各度量类在该度量域中的权重代表各度量类在该度量域中的权重如何确定分数、如何确定分数、权重？重？评价信息科技风险管理工作成效，需要考虑控制措施定义、控制措施执行情况和工作记录情况三个方面。每个单项的评分标准如下表2：本文作者建议确定权重的方法：步骤1：以Delphi方法通过反复征求专家意见得到不同指标权重的初值；（工作成效评价）步骤2：通过层次分析法根据各指标权重的相对重要性构造判断矩阵，计算出各层次的组合权重；步骤3：利用熵值法对得到的组合权重进行修正。随着中国随着中国对银行科技行科技风险监管的加管的加强和重和重视，不同指，不同指标的的权重大小重大小应随着随着银行科技行科技风险的的变化和化和监管的重管的重点和点和难点的点的变化而适化而适时作出作出调整。整。实证分析分析图如下：如下：对某行的运行管理领域开展信息科技风险评估，结果如下:结果分析：变更管理。更管理。变更管理包括版本投更管理包括版本投产变更和运行更和运行变更管理两部分更管理两部分,共包括共包括20个个风险点点,126个个题目目,存在差异存在差异项28个个,占占评估要点的估要点的22.22%。评估估发现的差异的差异项主要体主要体现在在变更申更申请、变更方案的制定等方面。更方案的制定等方面。在在变更要素的更要素的规范性方面范性方面,某行存在的差异主要包括某行存在的差异主要包括变更申更申请时间不符合要求、不符合要求、变更回退方案不更回退方案不够详细、变更更审批批流程不流程不规范等方面范等方面,要求加要求加强变更管理更管理,严格格执行科技制度的行科技制度的有关有关规定。定。THE END！