商業(yè)銀行IT風(fēng)險(xiǎn)管理框架-及評(píng)價(jià)體系研究課件

商業(yè)銀行IT風(fēng)險(xiǎn)管理框架

及評(píng)價(jià)體系研究

二零一二年六月學(xué)生：陳云龍導(dǎo)師：唐勇副教授商業(yè)銀行IT風(fēng)險(xiǎn)管理框架

及評(píng)價(jià)體系研究2匯報(bào)提綱結(jié)論與展望案例分析IT風(fēng)險(xiǎn)管理評(píng)價(jià)體系的建立IT風(fēng)險(xiǎn)管理模型的提出

選題背景

2匯報(bào)提綱結(jié)論與展望案例分析IT風(fēng)險(xiǎn)管理評(píng)價(jià)體系的建立IT風(fēng)31、基本概念——IT風(fēng)險(xiǎn)IT風(fēng)險(xiǎn)是指信息科技在商業(yè)銀行運(yùn)用過(guò)程中，由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽(yù)風(fēng)險(xiǎn)?！渡虡I(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》《巴塞爾新資本協(xié)議》將IT風(fēng)險(xiǎn)作為操作風(fēng)險(xiǎn)的一個(gè)重點(diǎn)進(jìn)行防范。31、基本概念——IT風(fēng)險(xiǎn)IT風(fēng)險(xiǎn)是指信息科技在商業(yè)銀行運(yùn)用41、基本概念——IT風(fēng)險(xiǎn)管理通過(guò)建立有效的機(jī)制，實(shí)現(xiàn)對(duì)商業(yè)銀行IT風(fēng)險(xiǎn)的識(shí)別、計(jì)量、監(jiān)測(cè)和控制，促進(jìn)商業(yè)銀行安全、持續(xù)、穩(wěn)健運(yùn)行，推動(dòng)業(yè)務(wù)創(chuàng)新，提高信息技術(shù)使用水平，增強(qiáng)核心競(jìng)爭(zhēng)力和可持續(xù)發(fā)展能力?！渡虡I(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》相關(guān)概念：包括IT治理、信息安全管理、IT內(nèi)部控制、IT審計(jì)、業(yè)務(wù)連續(xù)性管理、IT項(xiàng)目建設(shè)、IT運(yùn)行管理等，不同概念的側(cè)重點(diǎn)各不相同。本文所指IT風(fēng)險(xiǎn)管理分為廣義的概念和狹義的概念，廣義的IT風(fēng)險(xiǎn)管理，涵蓋上述概念的有關(guān)內(nèi)容，將組織的IT管理活動(dòng)都視為對(duì)IT風(fēng)險(xiǎn)的管理活動(dòng)。狹義的IT風(fēng)險(xiǎn)管理，特指組織圍繞IT風(fēng)險(xiǎn)所開展的具體的識(shí)別、計(jì)量、監(jiān)測(cè)和控制活動(dòng)。如未特指，本文所指IT風(fēng)險(xiǎn)管理是廣義的概念。41、基本概念——IT風(fēng)險(xiǎn)管理通過(guò)建立有效的機(jī)制，實(shí)現(xiàn)對(duì)商業(yè)52、問(wèn)題的提出必要性：IT風(fēng)險(xiǎn)是瞬間能導(dǎo)致一家銀行倒閉的風(fēng)險(xiǎn)。數(shù)據(jù)集中化、業(yè)務(wù)系統(tǒng)化、系統(tǒng)網(wǎng)絡(luò)化、渠道多元化破壞性大、影響面廣、隱蔽性高、專業(yè)性強(qiáng)管理現(xiàn)狀：IT風(fēng)險(xiǎn)管理能力亟待提高人力資源緊張、監(jiān)督評(píng)價(jià)機(jī)制缺失、風(fēng)險(xiǎn)防范能力弱難點(diǎn)：缺乏有效的“操作指南”種類繁多的理論、標(biāo)準(zhǔn)、制度、方法如何入手？如何評(píng)價(jià)？無(wú)所適從52、問(wèn)題的提出必要性：IT風(fēng)險(xiǎn)是瞬間能導(dǎo)致一家銀行倒閉的風(fēng)63、研究目的借鑒國(guó)內(nèi)外有關(guān)IT風(fēng)險(xiǎn)管理的理論、標(biāo)準(zhǔn)和規(guī)范，提出IT風(fēng)險(xiǎn)管理的一般框架，建立相應(yīng)的評(píng)價(jià)體系該IT風(fēng)險(xiǎn)管理框架和評(píng)價(jià)體系能兼容現(xiàn)有的標(biāo)準(zhǔn)和規(guī)范，且簡(jiǎn)單易懂、指導(dǎo)性強(qiáng)63、研究目的借鑒國(guó)內(nèi)外有關(guān)IT風(fēng)險(xiǎn)管理的理論、標(biāo)準(zhǔn)和規(guī)范，74、參考依據(jù)理論和方法：管理層次理論、平衡記分卡；風(fēng)險(xiǎn)管理、公司治理、IT治理相關(guān)理論。標(biāo)準(zhǔn)：COBIT、ITIL、ISO17799/27001、信息安全風(fēng)險(xiǎn)管理指南（GBZ_24364-2009）制度：商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引、信息安全等級(jí)保護(hù)管理辦法74、參考依據(jù)理論和方法：管理層次理論、平衡記分卡；風(fēng)險(xiǎn)管理8匯報(bào)提綱結(jié)論與展望案例分析IT風(fēng)險(xiǎn)管理評(píng)價(jià)體系的建立IT風(fēng)險(xiǎn)管理模型的提出

選題背景

8匯報(bào)提綱結(jié)論與展望案例分析IT風(fēng)險(xiǎn)管理評(píng)價(jià)體系的建立IT風(fēng)91、基本框架的提出風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)監(jiān)測(cè)風(fēng)險(xiǎn)控制IT風(fēng)險(xiǎn)管理目標(biāo)1、風(fēng)險(xiǎn)識(shí)別2、風(fēng)險(xiǎn)計(jì)量3、風(fēng)險(xiǎn)評(píng)估

1、排定風(fēng)險(xiǎn)控制的優(yōu)先級(jí)2、采取具體措施控制風(fēng)險(xiǎn)

1、收集和監(jiān)測(cè)

2、發(fā)現(xiàn)和預(yù)警

1、業(yè)務(wù)連續(xù)性

2、信息安全性3、業(yè)務(wù)發(fā)展91、基本框架的提出風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)監(jiān)測(cè)風(fēng)險(xiǎn)控制IT風(fēng)險(xiǎn)1、風(fēng)險(xiǎn)10域和流程的分解？IT風(fēng)險(xiǎn)管理IT系統(tǒng)建設(shè)IT系統(tǒng)運(yùn)維信息安全管理項(xiàng)目管理系統(tǒng)開發(fā)變更管理配置管理物理安全網(wǎng)絡(luò)安全…………管理域1管理域2管理域3流程1流程2流程3流程4流程5流程6監(jiān)測(cè)評(píng)估控制監(jiān)測(cè)評(píng)估控制監(jiān)測(cè)評(píng)估控制監(jiān)測(cè)評(píng)估控制監(jiān)測(cè)評(píng)估控制監(jiān)測(cè)評(píng)估控制………10域和流程的分解？IT風(fēng)險(xiǎn)管理IT系統(tǒng)建設(shè)IT系統(tǒng)運(yùn)維信息112、基本框架的劃分——按域維度112、基本框架的劃分——按域維度122、基本框架的劃分——按域維度域和流程的定義：總結(jié)各標(biāo)準(zhǔn)和規(guī)范的異同點(diǎn)，進(jìn)行整合歸并。8個(gè)域：IT治理、IT風(fēng)險(xiǎn)管理、IT審計(jì)、IT系統(tǒng)建設(shè)、IT系統(tǒng)運(yùn)行、業(yè)務(wù)連續(xù)性管理、外包管理、信息安全管理每個(gè)域下定義若干流程，共21個(gè)流程：122、基本框架的劃分——按域維度域和流程的定義：總結(jié)各標(biāo)準(zhǔn)13IT風(fēng)險(xiǎn)管理的層次？決策層管理層執(zhí)行層執(zhí)行管理層制定的管理政策、制度和流程，落實(shí)改進(jìn)措施

提出IT發(fā)展和風(fēng)險(xiǎn)管理的總體要求，建立IT風(fēng)險(xiǎn)管理組織架構(gòu)，進(jìn)行IT發(fā)展和風(fēng)險(xiǎn)管理重要決策

落實(shí)決策層關(guān)于IT發(fā)展和風(fēng)險(xiǎn)管理的總體要求

13IT風(fēng)險(xiǎn)管理的層次？決策層管理層執(zhí)行層執(zhí)行管理層制定的管143、基本框架的劃分——按層次劃分143、基本框架的劃分——按層次劃分154、最終框架的建立154、最終框架的建立164、舉例決策層IT風(fēng)險(xiǎn)監(jiān)測(cè)：IT風(fēng)險(xiǎn)評(píng)估：IT風(fēng)險(xiǎn)控制：1、掌握重大項(xiàng)目進(jìn)展情況。

1、評(píng)估現(xiàn)有IT項(xiàng)目管理組織架構(gòu)有效性。1、建立項(xiàng)目管理組織機(jī)構(gòu)。2、掌握IT項(xiàng)目資源配置情況2、審核重要項(xiàng)目2、涉及全局的IT項(xiàng)目建設(shè)的組織協(xié)調(diào)管理層IT風(fēng)險(xiǎn)監(jiān)測(cè)：IT風(fēng)險(xiǎn)評(píng)估：IT風(fēng)險(xiǎn)控制：1、掌握項(xiàng)目管理情況。評(píng)估項(xiàng)目實(shí)施過(guò)程風(fēng)險(xiǎn)控制情況1、制定項(xiàng)目管理制度，對(duì)項(xiàng)目管理流程進(jìn)行規(guī)范2、掌握IT項(xiàng)目資源配置情況

2、明確項(xiàng)目建設(shè)過(guò)程中對(duì)項(xiàng)目風(fēng)險(xiǎn)評(píng)估的要求。執(zhí)行層IT風(fēng)險(xiǎn)監(jiān)測(cè)：IT風(fēng)險(xiǎn)評(píng)估:IT風(fēng)險(xiǎn)控制：1、掌握系統(tǒng)功能需求。1、系統(tǒng)設(shè)計(jì)方案風(fēng)險(xiǎn)評(píng)估。1、完善系統(tǒng)設(shè)計(jì)方案。2、掌握系統(tǒng)設(shè)計(jì)方案2、系統(tǒng)功能、性能和安全性測(cè)試。2、完善系統(tǒng)功能、性能和安全性。

管理流程:項(xiàng)目管理

管理域:IT系統(tǒng)建設(shè)164、舉例決策層IT風(fēng)險(xiǎn)監(jiān)測(cè)：IT風(fēng)險(xiǎn)評(píng)估：IT風(fēng)險(xiǎn)控17匯報(bào)提綱結(jié)論與展望案例分析IT風(fēng)險(xiǎn)管理評(píng)價(jià)體系的建立IT風(fēng)險(xiǎn)管理模型的提出

選題背景

17匯報(bào)提綱結(jié)論與展望案例分析IT風(fēng)險(xiǎn)管理評(píng)價(jià)體系的建立IT181、評(píng)價(jià)的目的掌握IT風(fēng)險(xiǎn)管理情況查找差距分析原因持續(xù)改進(jìn)。181、評(píng)價(jià)的目的掌握IT風(fēng)險(xiǎn)管理情況192、評(píng)價(jià)標(biāo)準(zhǔn)和方法評(píng)價(jià)標(biāo)準(zhǔn)： 評(píng)價(jià)IT風(fēng)險(xiǎn)管理的好與壞的參照物。來(lái)源：1、國(guó)家有關(guān)制度和規(guī)定；2、國(guó)際上普遍認(rèn)可和采用的標(biāo)準(zhǔn)方法：平衡記分卡有關(guān)評(píng)價(jià)指標(biāo)的建立方法。192、評(píng)價(jià)標(biāo)準(zhǔn)和方法評(píng)價(jià)標(biāo)準(zhǔn)：203、平衡記分卡203、平衡記分卡214、評(píng)價(jià)方法1、風(fēng)險(xiǎn)活動(dòng)2、關(guān)鍵控制點(diǎn)3、評(píng)價(jià)指標(biāo)214、評(píng)價(jià)方法1、風(fēng)險(xiǎn)活動(dòng)223、評(píng)價(jià)體系的建立1、戰(zhàn)略發(fā)展目標(biāo)商業(yè)銀行業(yè)務(wù)發(fā)展總目標(biāo)2、內(nèi)部控制目標(biāo)IT風(fēng)險(xiǎn)管理的目標(biāo)，包括業(yè)務(wù)連續(xù)性目標(biāo)、信息安全目標(biāo)和業(yè)務(wù)發(fā)展目標(biāo)3、關(guān)鍵成功因素8個(gè)IT管理域4、關(guān)聯(lián)流程每個(gè)管理域包括若干管理流程，共21個(gè)管理流程5、關(guān)鍵控制點(diǎn)每個(gè)流程從決策、管理、執(zhí)行三個(gè)層面和監(jiān)測(cè)、評(píng)估、控制三個(gè)方面包括若干關(guān)鍵控制點(diǎn)6、評(píng)價(jià)指標(biāo)每個(gè)關(guān)鍵控制點(diǎn)包括若干評(píng)價(jià)指標(biāo)223、評(píng)價(jià)體系的建立1、戰(zhàn)略發(fā)展目標(biāo)商業(yè)銀行業(yè)務(wù)發(fā)展總目標(biāo)233、評(píng)價(jià)體系的建立共設(shè)計(jì)94個(gè)指標(biāo)，指標(biāo)體系如下圖所示：233、評(píng)價(jià)體系的建立共設(shè)計(jì)94個(gè)指標(biāo)，指標(biāo)體系如下圖所示：243、評(píng)價(jià)體系的建立指標(biāo)類型評(píng)分方法： 專家打分法

IT風(fēng)險(xiǎn)管理評(píng)價(jià)總得分=∑（子領(lǐng)域得分*子領(lǐng)域權(quán)重）

IT風(fēng)險(xiǎn)管理評(píng)級(jí)：弱：(0<IT風(fēng)險(xiǎn)管理評(píng)價(jià)得分<=50)中弱：(50<IT風(fēng)險(xiǎn)管理評(píng)價(jià)得分<=70)中強(qiáng)：(70<IT風(fēng)險(xiǎn)管理評(píng)價(jià)得分<=90)強(qiáng)：(90<IT風(fēng)險(xiǎn)管理評(píng)價(jià)得分<=100)

243、評(píng)價(jià)體系的建立指標(biāo)類型評(píng)分方法：25匯報(bào)提綱結(jié)論與展望案例分析IT風(fēng)險(xiǎn)管理評(píng)價(jià)體系的建立IT風(fēng)險(xiǎn)管理模型的提出

選題背景

25匯報(bào)提綱結(jié)論與展望案例分析IT風(fēng)險(xiǎn)管理評(píng)價(jià)體系的建立IT261、A銀行基本情況某地方法人銀行，分支行48家，截至2011年末，該行資產(chǎn)總額498億元

IT系統(tǒng)架構(gòu)建設(shè)方面，已建立了兩地三中心的運(yùn)行體系，即一個(gè)數(shù)據(jù)中心，一個(gè)同城災(zāi)備中心和一個(gè)異地災(zāi)備中心IT風(fēng)險(xiǎn)管理方面，目前有科技部人員48人，承擔(dān)主要的科技項(xiàng)目建設(shè)、信息系統(tǒng)運(yùn)維和IT風(fēng)險(xiǎn)管控任務(wù)。風(fēng)險(xiǎn)管理部、審計(jì)稽核部初步具備IT風(fēng)險(xiǎn)管理職能，初步具備監(jiān)督制約機(jī)制261、A銀行基本情況某地方法人銀行，分支行48家，截至2272、基礎(chǔ)信息收集從IT治理、IT風(fēng)險(xiǎn)管理、IT審計(jì)、IT系統(tǒng)建設(shè)、IT系統(tǒng)運(yùn)行、業(yè)務(wù)連續(xù)性管理、外包管理、信息安全管理等八個(gè)領(lǐng)域，以及決策層、管理層、執(zhí)行層三個(gè)層面收集和了解A銀行截至2011年底IT風(fēng)險(xiǎn)管理評(píng)價(jià)基礎(chǔ)信息，并與2010年相比較了解取得的進(jìn)展272、基礎(chǔ)信息收集從IT治理、IT風(fēng)險(xiǎn)管理、IT審計(jì)、IT283、指標(biāo)評(píng)分283、指標(biāo)評(píng)分294、IT風(fēng)險(xiǎn)管理情況分析各管理域得分情況

294、IT風(fēng)險(xiǎn)管理情況分析各管理域得分情況304、IT風(fēng)險(xiǎn)管理情況分析各管理層次得分情況

304、IT風(fēng)險(xiǎn)管理情況分析各管理層次得分情況315、對(duì)策建議A銀行除了針對(duì)具體不足制定改進(jìn)措施外，要提高IT風(fēng)險(xiǎn)管理水平，還需要從以下關(guān)鍵環(huán)節(jié)入手:

明確IT風(fēng)險(xiǎn)管理目標(biāo)完善IT治理架構(gòu)

開展具體的IT風(fēng)險(xiǎn)監(jiān)測(cè)、評(píng)估和控制

315、對(duì)策建議A銀行除了針對(duì)具體不足制定改進(jìn)措施外，要提高32匯報(bào)提綱結(jié)論與展望案例分析IT風(fēng)險(xiǎn)管理評(píng)價(jià)體系的建立IT風(fēng)險(xiǎn)管理模型的提出

選題背景

32匯報(bào)提綱結(jié)論與展望案例分析IT風(fēng)險(xiǎn)管理評(píng)價(jià)體系的建立IT33研究結(jié)論本文所提出的IT風(fēng)險(xiǎn)管理框架和評(píng)價(jià)體系能在一定程度上解決商業(yè)銀行IT風(fēng)險(xiǎn)管理“如何做”的問(wèn)題：明確了IT風(fēng)險(xiǎn)管理的目標(biāo)

提出了IT風(fēng)險(xiǎn)管理的統(tǒng)一視角——監(jiān)測(cè)、評(píng)估、控制

具有普適性和可拓展性特點(diǎn)

明確了IT風(fēng)險(xiǎn)管理的職責(zé)——決策層、管理層、執(zhí)行層

提供了實(shí)施IT風(fēng)險(xiǎn)管理的具體方法

33研究結(jié)論本文所提出的IT風(fēng)險(xiǎn)管理框架和評(píng)價(jià)體系能在一定程34研究展望IT風(fēng)險(xiǎn)的度量問(wèn)題

IT投入成本效益的計(jì)算問(wèn)題

34研究展望IT風(fēng)險(xiǎn)的度量問(wèn)題28、舉一而反三，聞一而知十，及學(xué)者用功之深，窮理之熟，然后能融會(huì)貫通，以至于此。――朱熹

29、讀書之樂(lè)樂(lè)陶陶，起并明月霜天高?！祆?/p>

30、讀書之法無(wú)他，惟是篤志虛心，反復(fù)詳玩，為有功耳。――朱熹

31、讀書無(wú)疑者須教有疑，有疑者卻要無(wú)疑，到這里方是長(zhǎng)進(jìn)?！祆?/p>

32、為學(xué)之道，莫先于窮理；窮理之要，必先于讀書。——朱熹

33、讀書譬如飲食，從容咀嚼，其味必長(zhǎng)；大嚼大咀，終不知味也。——朱熹

34、讀書無(wú)疑者，須教有疑，有疑者，卻要無(wú)疑，到這里方是長(zhǎng)進(jìn)?！祆?/p>

35、舉一而反三，聞一而知十，及學(xué)者用功之深，窮理之熟，然后能融會(huì)貫通，以至于此?！祆?6、我從未知道過(guò)有什么苦惱是不能為一小時(shí)的讀書所排遣的。——孟德斯鳩

37、喜愛(ài)讀書，就等于把生活中寂寞無(wú)聊的時(shí)光換成巨大享受的時(shí)刻?！系滤锅F38、有時(shí)間讀書，有時(shí)間又有書讀，這是幸福；沒(méi)有時(shí)間讀書，有時(shí)間又沒(méi)書讀，這是苦惱?！?/p>

39、讀書人不一定有知識(shí)，真正的常識(shí)是懂得知識(shí)，會(huì)思想，能工作?！焯亓?8、舉一而反三，聞一而知十，及學(xué)者用功之深，窮理之熟，然后商業(yè)銀行IT風(fēng)險(xiǎn)管理框架

及評(píng)價(jià)體系研究

二零一二年六月學(xué)生：陳云龍導(dǎo)師：唐勇副教授商業(yè)銀行IT風(fēng)險(xiǎn)管理框架

及評(píng)價(jià)體系研究37匯報(bào)提綱結(jié)論與展望案例分析IT風(fēng)險(xiǎn)管理評(píng)價(jià)體系的建立IT風(fēng)險(xiǎn)管理模型的提出

選題背景

2匯報(bào)提綱結(jié)論與展望案例分析IT風(fēng)險(xiǎn)管理評(píng)價(jià)體系的建立IT風(fēng)381、基本概念——IT風(fēng)險(xiǎn)IT風(fēng)險(xiǎn)是指信息科技在商業(yè)銀行運(yùn)用過(guò)程中，由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽(yù)風(fēng)險(xiǎn)。——《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》《巴塞爾新資本協(xié)議》將IT風(fēng)險(xiǎn)作為操作風(fēng)險(xiǎn)的一個(gè)重點(diǎn)進(jìn)行防范。31、基本概念——IT風(fēng)險(xiǎn)IT風(fēng)險(xiǎn)是指信息科技在商業(yè)銀行運(yùn)用391、基本概念——IT風(fēng)險(xiǎn)管理通過(guò)建立有效的機(jī)制，實(shí)現(xiàn)對(duì)商業(yè)銀行IT風(fēng)險(xiǎn)的識(shí)別、計(jì)量、監(jiān)測(cè)和控制，促進(jìn)商業(yè)銀行安全、持續(xù)、穩(wěn)健運(yùn)行，推動(dòng)業(yè)務(wù)創(chuàng)新，提高信息技術(shù)使用水平，增強(qiáng)核心競(jìng)爭(zhēng)力和可持續(xù)發(fā)展能力?！渡虡I(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》相關(guān)概念：包括IT治理、信息安全管理、IT內(nèi)部控制、IT審計(jì)、業(yè)務(wù)連續(xù)性管理、IT項(xiàng)目建設(shè)、IT運(yùn)行管理等，不同概念的側(cè)重點(diǎn)各不相同。本文所指IT風(fēng)險(xiǎn)管理分為廣義的概念和狹義的概念，廣義的IT風(fēng)險(xiǎn)管理，涵蓋上述概念的有關(guān)內(nèi)容，將組織的IT管理活動(dòng)都視為對(duì)IT風(fēng)險(xiǎn)的管理活動(dòng)。狹義的IT風(fēng)險(xiǎn)管理，特指組織圍繞IT風(fēng)險(xiǎn)所開展的具體的識(shí)別、計(jì)量、監(jiān)測(cè)和控制活動(dòng)。如未特指，本文所指IT風(fēng)險(xiǎn)管理是廣義的概念。41、基本概念——IT風(fēng)險(xiǎn)管理通過(guò)建立有效的機(jī)制，實(shí)現(xiàn)對(duì)商業(yè)402、問(wèn)題的提出必要性：IT風(fēng)險(xiǎn)是瞬間能導(dǎo)致一家銀行倒閉的風(fēng)險(xiǎn)。數(shù)據(jù)集中化、業(yè)務(wù)系統(tǒng)化、系統(tǒng)網(wǎng)絡(luò)化、渠道多元化破壞性大、影響面廣、隱蔽性高、專業(yè)性強(qiáng)管理現(xiàn)狀：IT風(fēng)險(xiǎn)管理能力亟待提高人力資源緊張、監(jiān)督評(píng)價(jià)機(jī)制缺失、風(fēng)險(xiǎn)防范能力弱難點(diǎn)：缺乏有效的“操作指南”種類繁多的理論、標(biāo)準(zhǔn)、制度、方法如何入手？如何評(píng)價(jià)？無(wú)所適從52、問(wèn)題的提出必要性：IT風(fēng)險(xiǎn)是瞬間能導(dǎo)致一家銀行倒閉的風(fēng)413、研究目的借鑒國(guó)內(nèi)外有關(guān)IT風(fēng)險(xiǎn)管理的理論、標(biāo)準(zhǔn)和規(guī)范，提出IT風(fēng)險(xiǎn)管理的一般框架，建立相應(yīng)的評(píng)價(jià)體系該IT風(fēng)險(xiǎn)管理框架和評(píng)價(jià)體系能兼容現(xiàn)有的標(biāo)準(zhǔn)和規(guī)范，且簡(jiǎn)單易懂、指導(dǎo)性強(qiáng)63、研究目的借鑒國(guó)內(nèi)外有關(guān)IT風(fēng)險(xiǎn)管理的理論、標(biāo)準(zhǔn)和規(guī)范，424、參考依據(jù)理論和方法：管理層次理論、平衡記分卡；風(fēng)險(xiǎn)管理、公司治理、IT治理相關(guān)理論。標(biāo)準(zhǔn)：COBIT、ITIL、ISO17799/27001、信息安全風(fēng)險(xiǎn)管理指南（GBZ_24364-2009）制度：商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引、信息安全等級(jí)保護(hù)管理辦法74、參考依據(jù)理論和方法：管理層次理論、平衡記分卡；風(fēng)險(xiǎn)管理43匯報(bào)提綱結(jié)論與展望案例分析IT風(fēng)險(xiǎn)管理評(píng)價(jià)體系的建立IT風(fēng)險(xiǎn)管理模型的提出

選題背景

8匯報(bào)提綱結(jié)論與展望案例分析IT風(fēng)險(xiǎn)管理評(píng)價(jià)體系的建立IT風(fēng)441、基本框架的提出風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)監(jiān)測(cè)風(fēng)險(xiǎn)控制IT風(fēng)險(xiǎn)管理目標(biāo)1、風(fēng)險(xiǎn)識(shí)別2、風(fēng)險(xiǎn)計(jì)量3、風(fēng)險(xiǎn)評(píng)估

1、排定風(fēng)險(xiǎn)控制的優(yōu)先級(jí)2、采取具體措施控制風(fēng)險(xiǎn)

1、收集和監(jiān)測(cè)

2、發(fā)現(xiàn)和預(yù)警

1、業(yè)務(wù)連續(xù)性

2、信息安全性3、業(yè)務(wù)發(fā)展91、基本框架的提出風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)監(jiān)測(cè)風(fēng)險(xiǎn)控制IT風(fēng)險(xiǎn)1、風(fēng)險(xiǎn)45域和流程的分解？IT風(fēng)險(xiǎn)管理IT系統(tǒng)建設(shè)IT系統(tǒng)運(yùn)維信息安全管理項(xiàng)目管理系統(tǒng)開發(fā)變更管理配置管理物理安全網(wǎng)絡(luò)安全…………管理域1管理域2管理域3流程1流程2流程3流程4流程5流程6監(jiān)測(cè)評(píng)估控制監(jiān)測(cè)評(píng)估控制監(jiān)測(cè)評(píng)估控制監(jiān)測(cè)評(píng)估控制監(jiān)測(cè)評(píng)估控制監(jiān)測(cè)評(píng)估控制………10域和流程的分解？IT風(fēng)險(xiǎn)管理IT系統(tǒng)建設(shè)IT系統(tǒng)運(yùn)維信息462、基本框架的劃分——按域維度112、基本框架的劃分——按域維度472、基本框架的劃分——按域維度域和流程的定義：總結(jié)各標(biāo)準(zhǔn)和規(guī)范的異同點(diǎn)，進(jìn)行整合歸并。8個(gè)域：IT治理、IT風(fēng)險(xiǎn)管理、IT審計(jì)、IT系統(tǒng)建設(shè)、IT系統(tǒng)運(yùn)行、業(yè)務(wù)連續(xù)性管理、外包管理、信息安全管理每個(gè)域下定義若干流程，共21個(gè)流程：122、基本框架的劃分——按域維度域和流程的定義：總結(jié)各標(biāo)準(zhǔn)48IT風(fēng)險(xiǎn)管理的層次？決策層管理層執(zhí)行層執(zhí)行管理層制定的管理政策、制度和流程，落實(shí)改進(jìn)措施

提出IT發(fā)展和風(fēng)險(xiǎn)管理的總體要求，建立IT風(fēng)險(xiǎn)管理組織架構(gòu)，進(jìn)行IT發(fā)展和風(fēng)險(xiǎn)管理重要決策

落實(shí)決策層關(guān)于IT發(fā)展和風(fēng)險(xiǎn)管理的總體要求

13IT風(fēng)險(xiǎn)管理的層次？決策層管理層執(zhí)行層執(zhí)行管理層制定的管493、基本框架的劃分——按層次劃分143、基本框架的劃分——按層次劃分504、最終框架的建立154、最終框架的建立514、舉例決策層IT風(fēng)險(xiǎn)監(jiān)測(cè)：IT風(fēng)險(xiǎn)評(píng)估：IT風(fēng)險(xiǎn)控制：1、掌握重大項(xiàng)目進(jìn)展情況。

1、評(píng)估現(xiàn)有IT項(xiàng)目管理組織架構(gòu)有效性。1、建立項(xiàng)目管理組織機(jī)構(gòu)。2、掌握IT項(xiàng)目資源配置情況2、審核重要項(xiàng)目2、涉及全局的IT項(xiàng)目建設(shè)的組織協(xié)調(diào)管理層IT風(fēng)險(xiǎn)監(jiān)測(cè)：IT風(fēng)險(xiǎn)評(píng)估：IT風(fēng)險(xiǎn)控制：1、掌握項(xiàng)目管理情況。評(píng)估項(xiàng)目實(shí)施過(guò)程風(fēng)險(xiǎn)控制情況1、制定項(xiàng)目管理制度，對(duì)項(xiàng)目管理流程進(jìn)行規(guī)范2、掌握IT項(xiàng)目資源配置情況

2、明確項(xiàng)目建設(shè)過(guò)程中對(duì)項(xiàng)目風(fēng)險(xiǎn)評(píng)估的要求。執(zhí)行層IT風(fēng)險(xiǎn)監(jiān)測(cè)：IT風(fēng)險(xiǎn)評(píng)估:IT風(fēng)險(xiǎn)控制：1、掌握系統(tǒng)功能需求。1、系統(tǒng)設(shè)計(jì)方案風(fēng)險(xiǎn)評(píng)估。1、完善系統(tǒng)設(shè)計(jì)方案。2、掌握系統(tǒng)設(shè)計(jì)方案2、系統(tǒng)功能、性能和安全性測(cè)試。2、完善系統(tǒng)功能、性能和安全性。

管理流程:項(xiàng)目管理

管理域:IT系統(tǒng)建設(shè)164、舉例決策層IT風(fēng)險(xiǎn)監(jiān)測(cè)：IT風(fēng)險(xiǎn)評(píng)估：IT風(fēng)險(xiǎn)控52匯報(bào)提綱結(jié)論與展望案例分析IT風(fēng)險(xiǎn)管理評(píng)價(jià)體系的建立IT風(fēng)險(xiǎn)管理模型的提出

選題背景

17匯報(bào)提綱結(jié)論與展望案例分析IT風(fēng)險(xiǎn)管理評(píng)價(jià)體系的建立IT531、評(píng)價(jià)的目的掌握IT風(fēng)險(xiǎn)管理情況查找差距分析原因持續(xù)改進(jìn)。181、評(píng)價(jià)的目的掌握IT風(fēng)險(xiǎn)管理情況542、評(píng)價(jià)標(biāo)準(zhǔn)和方法評(píng)價(jià)標(biāo)準(zhǔn)： 評(píng)價(jià)IT風(fēng)險(xiǎn)管理的好與壞的參照物。來(lái)源：1、國(guó)家有關(guān)制度和規(guī)定；2、國(guó)際上普遍認(rèn)可和采用的標(biāo)準(zhǔn)方法：平衡記分卡有關(guān)評(píng)價(jià)指標(biāo)的建立方法。192、評(píng)價(jià)標(biāo)準(zhǔn)和方法評(píng)價(jià)標(biāo)準(zhǔn)：553、平衡記分卡203、平衡記分卡564、評(píng)價(jià)方法1、風(fēng)險(xiǎn)活動(dòng)2、關(guān)鍵控制點(diǎn)3、評(píng)價(jià)指標(biāo)214、評(píng)價(jià)方法1、風(fēng)險(xiǎn)活動(dòng)573、評(píng)價(jià)體系的建立1、戰(zhàn)略發(fā)展目標(biāo)商業(yè)銀行業(yè)務(wù)發(fā)展總目標(biāo)2、內(nèi)部控制目標(biāo)IT風(fēng)險(xiǎn)管理的目標(biāo)，包括業(yè)務(wù)連續(xù)性目標(biāo)、信息安全目標(biāo)和業(yè)務(wù)發(fā)展目標(biāo)3、關(guān)鍵成功因素8個(gè)IT管理域4、關(guān)聯(lián)流程每個(gè)管理域包括若干管理流程，共21個(gè)管理流程5、關(guān)鍵控制點(diǎn)每個(gè)流程從決策、管理、執(zhí)行三個(gè)層面和監(jiān)測(cè)、評(píng)估、控制三個(gè)方面包括若干關(guān)鍵控制點(diǎn)6、評(píng)價(jià)指標(biāo)每個(gè)關(guān)鍵控制點(diǎn)包括若干評(píng)價(jià)指標(biāo)223、評(píng)價(jià)體系的建立1、戰(zhàn)略發(fā)展目標(biāo)商業(yè)銀行業(yè)務(wù)發(fā)展總目標(biāo)583、評(píng)價(jià)體系的建立共設(shè)計(jì)94個(gè)指標(biāo)，指標(biāo)體系如下圖所示：233、評(píng)價(jià)體系的建立共設(shè)計(jì)94個(gè)指標(biāo)，指標(biāo)體系如下圖所示：593、評(píng)價(jià)體系的建立指標(biāo)類型評(píng)分方法： 專家打分法

IT風(fēng)險(xiǎn)管理評(píng)價(jià)總得分=∑（子領(lǐng)域得分*子領(lǐng)域權(quán)重）

IT風(fēng)險(xiǎn)管理評(píng)級(jí)：弱：(0<IT風(fēng)險(xiǎn)管理評(píng)價(jià)得分<=50)中弱：(50<IT風(fēng)險(xiǎn)管理評(píng)價(jià)得分<=70)中強(qiáng)：(70<IT風(fēng)險(xiǎn)管理評(píng)價(jià)得分<=90)強(qiáng)：(90<IT風(fēng)險(xiǎn)管理評(píng)價(jià)得分<=100)

243、評(píng)價(jià)體系的建立指標(biāo)類型評(píng)分方法：60匯報(bào)提綱結(jié)論與展望案例分析IT風(fēng)險(xiǎn)管理評(píng)價(jià)體系的建立IT風(fēng)險(xiǎn)管理模型的提出

選題背景

25匯報(bào)提綱結(jié)論與展望案例分析IT風(fēng)險(xiǎn)管理評(píng)價(jià)體系的建立IT611、A銀行基本情況某地方法人銀行，分支行48家，截至2011年末，該行資產(chǎn)總額498億元

IT系統(tǒng)架構(gòu)建設(shè)方面，已建立了兩地三中心的運(yùn)行體系，即一個(gè)數(shù)據(jù)中心，一個(gè)同城災(zāi)備中心和一個(gè)異地災(zāi)備中心IT風(fēng)險(xiǎn)管理方面，目前有科技部人員48人，承擔(dān)主要的科技項(xiàng)目建設(shè)、信息系統(tǒng)運(yùn)維和IT風(fēng)險(xiǎn)管控任務(wù)。風(fēng)險(xiǎn)管理部、審計(jì)稽核部初步具備IT風(fēng)險(xiǎn)管理職能，初步具備監(jiān)督制約機(jī)制261、A銀行基本情況某地方法人銀行，分支行48家，截至2622、基礎(chǔ)信息收集從IT治理、IT風(fēng)險(xiǎn)管理、IT審計(jì)、IT系統(tǒng)建設(shè)、IT系統(tǒng)運(yùn)行、業(yè)務(wù)連續(xù)性管理、外包管理、信息安全管理等八個(gè)領(lǐng)域，以及決策層、管理層、執(zhí)行層三個(gè)層面收集和了解A銀行截至2011年底IT風(fēng)險(xiǎn)管理評(píng)價(jià)基礎(chǔ)信息，并與2010年相比較了解取得的進(jìn)展272、基礎(chǔ)信息收集從IT治理、IT風(fēng)險(xiǎn)管理、IT審計(jì)、IT633、指標(biāo)評(píng)分283、指標(biāo)評(píng)分644、IT風(fēng)險(xiǎn)管理情況分析各管理域得分情況

294、IT風(fēng)險(xiǎn)管理情況分析各管理域得分情況654、IT風(fēng)險(xiǎn)管理情況分析各管理層次得分情況

304、IT風(fēng)險(xiǎn)管