文档介绍：商业银行信息科技风险管理解决方案
目前,国际上宣布实施新资本协议的国家和地区都按照新协议的要求,明确将操作风险纳入资本监管的范畴,而信息科技风险是操作风险的重要组成部分。
为加强商业银行的信息科技风险管理,提升信息科技风险管理能力,09年3月份银监会正式发布了《商业银行信息科技风险管理指引》(以下简称《指引》),这是继出台有关《商业银行操作风险管理指引》、《商业银行市场风险管理指引》和《商业银行合规风险管理指引》等一系列的监管文件之后,银监会发布的又一重要风险管理指引。该指引适用于在中华人民共和国境内依法设立的法人商业银行。政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
信息科技风险是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。它和操作风险、信用风险、市场风险一样,是商业银行面临的主要风险。现阶段商业银行已经基本完成了信息化建设,在金融管制放松、业务全球化、金融创新步伐加快以及信息技术的迅猛发展的大背景下,国际银行业金融机构的信息科技风险有增大的趋势,国际银行业和监管当局都日益重视信息科技与操作风险的管理和监管。目前,国际上宣布实施新资本协议的国家和地区都按照新协议的要求,明确将操作风险纳入资本监管的范畴,而信息科技风险是操作风险的重要组成部分。
需求分析
合规性需求:
近年来,国家各部门不断推出了各种监管要求,对IT管控领域也提出了明确的要求。其中与银行业信息科技风险相关的法律、法规与行业监管指引有:
2002年,美国国会发布了SOX《萨班斯—奥克斯利法案》;
2004年9月30日,中国银监会发布了《商业银行内部控制评价办法》;
2006年,银监会发布《电子银行安全评估指引》、《银行业金融机构信息系统风险管理指引》和《银行业金融机构内部审计指引》;
2006年6月,国务院国资委出台了《中央企业全面风险管理指引》;
2007年,公安部明确了《信息系统等级保护基本要求与实施指南》;
2009年3月,银监会发布《商业银行信息科技风险管理指引》;
谷安天下依据信息科技风险管理体系,从整体上分为IT治理、IT管理、IT控制与审计三个方面,并在此基础上结合多年的行业咨询经验,陆续开发了IT风险管理咨询服务与IT风险管控系列软件系统。
信息安全风险管理需求
银行业随着信息化工作的不断深入,信息系统的开发、维护与运行均面临较大的挑战,如何保障业务的持续运营,如何支撑银行各项业务的风险管理,如何保障客户与自身信息的安全,成为各商业银行信息科技部门与风险管理部门的重要任务,因此信息科技风险的管理就显得迫在眉睫。商业银行针对信息科技风险需要审视:
? 是否对所有潜在的重大IT风险都进行了识别、评估和管理?
? 面对数量众多的IT风险,应如何对其进行管理?
? 如何在全行范围内推行全面IT风险管理?
? 如何将IT风险管理体制与企业日常IT管理和运营相融合?
? IT风险管理的角色、责任和义务是否合理或明确?
? 如何增强风险意识,培育风险管理文化?
《信息科技风险管理指引》解析
本次颁布的《商业