银行风险信息管理系统(共8篇)
1.银行风险信息管理系统 篇一
商业银行信息科技风险管理指引
第一章 总 则
第一条 为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。
第二条 本指引适用于在中华人民共和国境内依法设立的法人商业银行。
政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
第三条 本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第四条 本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第五条 信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章 信息科技治理
第六条 商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。
第七条 商业银行的董事会应履行以下信息科技管理职责:
(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。
(二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。
(三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。
(四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。
(五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。
(六)在建立良好的公司治理的基础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设,建立人才激励机制。
(七)确保内部审计部门进行独立有效的信息科技风险管理审计,对审计报告进行确认并落实整改。
(八)每年审阅并向银监会及其派出机构报送信息科技风险管理的报告。
(九)确保信息科技风险管理工作所需资金。
(十)确保银行所有员工充分理解和遵守经其批准的信息科技风险管理制度和流程,并安排相关培训。
(十一)确保本法人机构涉及客户信息、账务信息以及产品信息等的核心系统在中国境内独立运行,并保持最高的管理权限,符合银监会监管和实施现场检查的要求,防范跨境风险。
(十二)及时向银监会及其派出机构报告本机构发生的重大信息科技事故或突发事件,按相关预案快速响应。
(十三)配合银监会及其派出机构做好信息科技风险监督检查工作,并按照监管意见进行整改。
(十四)履行信息科技风险管理其他相关工作。 第八条 商业银行应设立首席信息官,直接向行长汇报,并参与决策。首席信息官的职责包括:
(一)直接参与本银行与信息科技运用有关的业务发展决策。
(二)确保信息科技战略,尤其是信息系统开发战略,符合本银行的总体业务战略和信息科技风险管理策略。
(三)负责建立一个切实有效的信息科技部门,承担本银行的信息科技职责。确保其履行:信息科技预算和支出、信息科技策略、标准和流程、信息科技内部控制、专业化研发、信息科技项目发起和管理、信息系统和信息科技基础设施的运行、维护和升级、信息安全管理、灾难恢复计划、信息科技外包和信息系统退出等职责。
(四)确保信息科技风险管理的有效性,并使有关管理措施落实到相关的每一个内设机构和分支机构。
(五)组织专业培训,提高人才队伍的专业技能。
(六)履行信息科技风险管理其他相关工作。
第九条 商业银行应对信息科技部门内部管理职责进行明确的界定;各岗位的人员应具有相应的专业知识和技能,重要岗位应制定详细完整的工作手册并适时更新。对相关人员应采取下列风险防范措施:
(一)验证个人信息,包括核验有效身份证件、学历证明、工作经历和专业资格证书等信息。
(二)审核信息科技员工的道德品行,确保其具备相应的职业操守。
(三)确保员工了解、遵守信息科技策略、指导原则、信息保密、授权使用信息系统、信息科技管理制度和流程等要求,并同员工签订相关协议。
(四)评估关键岗位信息科技员工流失带来的风险,做好安排候补员工和岗位接替计划等防范措施;在员工岗位发生变化后及时变更相关信息。 第十条 商业银行应设立或指派一个特定部门负责信息科技风险管理工作,并直接向首席信息官或首席风险官(风险管理委员会)报告工作。该部门应为信息科技突发事件应急响应小组的成员之一,负责协调制定有关信息科技风险管理策略,尤其是在涉及信息安全、业务连续性计划和合规性风险等方面,为业务部门和信息科技部门提供建议及相关合规性信息,实施持续信息科技风险评估,跟踪整改意见的落实,监控信息安全威胁和不合规事件的发生。
第十一条 商业银行应在内部审计部门设立专门的信息科技风险审计岗位,负责信息科技审计制度和流程的实施,制订和执行信息科技审计计划,对信息科技整个生命周期和重大事件等进行审计。
第十二条 商业银行应按照知识产权相关法律法规,制定本机构信息科技知识产权保护策略和制度,并使所有员工充分理解并遵照执行。确保购买和使用合法的软硬件产品,禁止侵权盗版;采取有效措施保护本机构自主知识产权。
第十三条 商业银行应依据有关法律法规的要求,规范和及时披露信息科技风险状况。
第三章 信息科技风险管理
第十四条 商业银行应制定符合银行总体业务规划的信息科技战略、信息科技运行计划和信息科技风险评估计划,确保配臵足够人力、财力资源,维持稳定、安全的信息科技环境。
第十五条 商业银行应制定全面的信息科技风险管理策略,包括但不限于下述领域:
(一)信息分级与保护。
(二)信息系统开发、测试和维护。
(三)信息科技运行和维护。
(四)访问控制。
(五)物理安全。
(六)人员安全。
(七)业务连续性计划与应急处臵。 第十六条 商业银行应制定持续的风险识别和评估流程,确定信息科技中存在隐患的区域,评价风险对其业务的潜在影响,对风险进行排序,并确定风险防范措施及所需资源的优先级别(包括外包供应商、产品供应商和服务商)。
第十七条 商业银行应依据信息科技风险管理策略和风险评估结果,实施全面的风险防范措施。防范措施应包括:
(一)制定明确的信息科技风险管理制度、技术标准和操作规程等,定期进行更新和公示。
(二)确定潜在风险区域,并对这些区域进行详细和独立的监控,实现风险最小化。建立适当的控制框架,以便于检查和平衡风险;定义每个业务级别的控制内容,包括:
1.最高权限用户的审查。
2.控制对数据和系统的物理和逻辑访问。
3.访问授权以“必需知道”和“最小授权”为原则。 4.审批和授权。 5.验证和调节。 第十八条 商业银行应建立持续的信息科技风险计量和监测机制,其中应包括:
(一)建立信息科技项目实施前及实施后的评价机制。
(二)建立定期检查系统性能的程序和标准。
(三)建立信息科技服务投诉和事故处理的报告机制。
(四)建立内部审计、外部审计和监管发现问题的整改处理机制。
(五)安排供应商和业务部门对服务水平协议的完成情况进行定期审查。
(六)定期评估新技术发展可能造成的影响和已使用软件面临的新威胁。
(七)定期进行运行环境下操作风险和管理控制的检查。
(八)定期进行信息科技外包项目的风险状况评价。 第十九条 中资商业银行在境外设立的机构及境内的外资商业银行,应当遵守境内外监管机构关于信息科技风险管理的要求,并防范因监管差异所造成的风险。
第四章 信息安全
第二十条 商业银行信息科技部门负责建立和实施信息分类和保护体系,商业银行应使所有员工都了解信息安全的重要性,并组织提供必要的培训,让员工充分了解其职责范围内的信息保护流程。
第二十一条 商业银行信息科技部门应落实信息安全管理职能。该职能应包括建立信息安全计划和保持长效的管理机制,提高全体员工信息安全意识,就安全问题向其他部门提供建议,并定期向信息科技管理委员会提交本银行信息安全评估报告。信息安全管理机制应包括信息安全标准、策略、实施计划和持续维护计划。
信息安全策略应涉及以下领域:
(一)安全制度管理。
(二)信息安全组织管理。
(三)资产管理。
(四)人员安全管理。
(五)物理与环境安全管理。
(六)通信与运营管理。
(七)访问控制管理。
(八)系统开发与维护管理。
(九)信息安全事故管理。
(十)业务连续性管理。
(十一)合规性管理。
第二十二条 商业银行应建立有效管理用户认证和访问控制的流程。用户对数据和系统的访问必须选择与信息访问级别相匹配的认证机制,并且确保其在信息系统内的活动只限于相关业务能合法开展所要求的最低限度。用户调动到新的工作岗位或离开商业银行时,应在系统中及时检查、更新或注销用户身份。
第二十三条 商业银行应确保设立物理安全保护区域,包括计算机中心或数据中心、存储机密信息或放臵网络设备等重要信息科技设备的区域,明确相应的职责,采取必要的预防、检测和恢复控制措施。
第二十四条 商业银行应根据信息安全级别,将网络划分为不同的逻辑安全域(以下简称为域)。应该对下列安全因素进行评估,并根据安全级别定义和评估结果实施有效的安全控制,如对每个域和整个网络进行物理或逻辑分区、实现网络内容过滤、逻辑访问控制、传输加密、网络监控、记录活动日志等。
(一)域内应用程序和用户组的重要程度。
(二)各种通讯渠道进入域的访问点。
(三)域内配臵的网络设备和应用程序使用的网络协议和端口。
(四)性能要求或标准。
(五)域的性质,如生产域或测试域、内部域或外部域。
(六)不同域之间的连通性。
(七)域的可信程度。
第二十五条 商业银行应通过以下措施,确保所有计算机操作系统和系统软件的安全:
(一)制定每种类型操作系统的基本安全要求,确保所有系统满足基本安全要求。
(二)明确定义包括终端用户、系统开发人员、系统测试人员、计算机操作人员、系统管理员和用户管理员等不同用户组的访问权限。
(三)制定最高权限系统账户的审批、验证和监控流程,并确保最高权限用户的操作日志被记录和监察。
(四)要求技术人员定期检查可用的安全补丁,并报告补丁管理状态。
(五)在系统日志中记录不成功的登录、重要系统文件的访问、对用户账户的修改等有关重要事项,手动或自动监控系统出现的任何异常事件,定期汇报监控情况。
第二十六条 商业银行应通过以下措施,确保所有信息系统的安全:
(一)明确定义终端用户和信息科技技术人员在信息系统安全中的角色和职责。
(二)针对信息系统的重要性和敏感程度,采取有效的身份验证方法。
(三)加强职责划分,对关键或敏感岗位进行双重控制。
(四)在关键的接合点进行输入验证或输出核对。
(五)采取安全的方式处理保密信息的输入和输出,防止信息泄露或被盗取、篡改。
(六)确保系统按预先定义的方式处理例外情况,当系统被迫终止时向用户提供必要信息。
(七)以书面或电子格式保存审计痕迹。
(八)要求用户管理员监控和审查未成功的登录和用户账户的修改。
第二十七条 商业银行应制定相关策略和流程,管理所有生产系统的活动日志,以支持有效的审核、安全取证分析和预防欺诈。日志可以在软件的不同层次、不同的计算机和网络设备上完成,日志划分为两大类:
(一)交易日志。交易日志由应用软件和数据库管理系统产生,内容包括用户登录尝试、数据修改、错误信息等。交易日志应按照国家会计准则要求予以保存。
(二)系统日志。系统日志由操作系统、数据库管理系统、防火墙、入侵检测系统和路由器等生成,内容包括管理登录尝试、系统事件、网络事件、错误信息等。系统日志保存期限按系统的风险等级确定,但不能少于一年。
商业银行应保证交易日志和系统日志中包含足够的内容,以便完成有效的内部控制、解决系统故障和满足审计需要;应采取适当措施保证所有日志同步计时,并确保其完整性。在例外情况发生后应及时复查系统日志。交易日志或系统日志的复查频率和保存周期应由信息科技部门和有关业务部门共同决定,并报信息科技管理委员会批准。
第二十八条 商业银行应采取加密技术,防范涉密信息在传输、处理、存储过程中出现泄露或被篡改的风险,并建立密码设备管理制度,以确保:
(一)使用符合国家要求的加密技术和加密设备。
(二)管理、使用密码设备的员工经过专业培训和严格审查。
(三)加密强度满足信息机密性的要求。
(四)制定并落实有效的管理流程,尤其是密钥和证书生命周期管理。
第二十九条 商业银行应配备切实有效的系统,确保所有终端用户设备的安全,并定期对所有设备进行安全检查,包括台式个人计算机(PC)、便携式计算机、柜员终端、自动柜员机(ATM)、存折打印机、读卡器、销售终端(POS)和个人数字助理(PDA)等。 第三十条 商业银行应制定相关制度和流程,严格管理客户信息的采集、处理、存贮、传输、分发、备份、恢复、清理和销毁。
第三十一条 商业银行应对所有员工进行必要的培训,使其充分掌握信息科技风险管理制度和流程,了解违反规定的后果,并对违反安全规定的行为采取零容忍政策。
第五章 信息系统开发、测试和维护
第三十二条 商业银行应有能力对信息系统进行需求分析、规划、采购、开发、测试、部署、维护、升级和报废,制定制度和流程,管理信息科技项目的优先排序、立项、审批和控制。项目实施部门应定期向信息科技管理委员会提交重大信息科技项目的进度报告,由其进行审核,进度报告应当包括计划的重大变更、关键人员或供应商的变更以及主要费用支出情况。应在信息系统投产后一定时期内,组织对系统的后评价,并根据评价结果及时对系统功能进行调整和优化。 第三十三条 商业银行应认识到信息科技项目相关的风险,包括潜在的各种操作风险、财务损失风险和因无效项目规划或不适当的项目管理控制产生的机会成本,并采取适当的项目管理方法,控制信息科技项目相关的风险。
第三十四条 商业银行应采取适当的系统开发方法,控制信息系统的生命周期。典型的系统生命周期包括系统分析、设计、开发或外购、测试、试运行、部署、维护和退出。所采用的系统开发方法应符合信息科技项目的规模、性质和复杂度。
第三十五条 商业银行应制定相关控制信息系统变更的制度和流程,确保系统的可靠性、完整性和可维护性,其中应包括以下要求:
(一)生产系统与开发系统、测试系统有效隔离。
(二)生产系统与开发系统、测试系统的管理职能相分离。
(三)除得到管理层批准执行紧急修复任务外,禁止应用程序开发和维护人员进入生产系统,且所有的紧急修复活动都应立即进行记录和审核。
(四)将完成开发和测试环境的程序或系统配臵变更应用到生产系统时,应得到信息科技部门和业务部门的联合批准,并对变更进行及时记录和定期复查。
第三十六条 商业银行应制定并落实相关制度、标准和流程,确保信息系统开发、测试、维护过程中数据的完整性、保密性和可用性。
第三十七条 商业银行应建立并完善有效的问题管理流程,以确保全面地追踪、分析和解决信息系统问题,并对问题进行记录、分类和索引;如需供应商提供支持服务或技术援助,应向相关人员提供所需的合同和相关信息,并将过程记录在案;对完成紧急恢复起至关重要作用的任务和指令集,应有清晰的描述和说明,并通知相关人员。
第三十八条 商业银行应制定相关制度和流程,控制系统升级过程。当设备达到预期使用寿命或性能不能满足业务需求,基础软件(操作系统、数据库管理系统、中间件)或应用软件必须升级时,应及时进行系统升级,并将该类升级活动纳入信息科技项目,接受相关的管理和控制,包括用户验收测试。
第六章 信息科技运行
第三十九条 商业银行在选择数据中心的地理位臵时,应充分考虑环境威胁(如是否接近自然灾害多发区、危险或有害设施、繁忙或主要公路),采取物理控制措施,监控对信息处理设备运行构成威胁的环境状况,并防止因意外断电或供电干扰影响数据中心的正常运行。
第四十条 商业银行应严格控制第三方人员(如服务供应商)进入安全区域,如确需进入应得到适当的批准,其活动也应受到监控;针对长期或临时聘用的技术人员和承包商,尤其是从事敏感性技术相关工作的人员,应制定严格的审查程序,包括身份验证和背景调查。
第四十一条 商业银行应将信息科技运行与系统开发和维护分离,确保信息科技部门内部的岗位制约;对数据中心的岗位和职责做出明确规定。 第四十二条 商业银行应按照有关法律法规要求保存交易记录,采取必要的程序和技术,确保存档数据的完整性,满足安全保存和可恢复要求。
第四十三条 商业银行应制定详尽的信息科技运行操作说明。如在信息科技运行手册中说明计算机操作人员的任务、工作日程、执行步骤,以及生产与开发环境中数据、软件的现场及非现场备份流程和要求(即备份的频率、范围和保留周期)。
第四十四条 商业银行应建立事故管理及处臵机制,及时响应信息系统运行事故,逐级向相关的信息科技管理人员报告事故的发生,并进行记录、分析和跟踪,直到完成彻底的处臵和根本原因分析。商业银行应建立服务台,为用户提供相关技术问题的在线支持,并将问题提交给相关信息科技部门进行调查和解决。
第四十五条 商业银行应建立服务水平管理相关的制度和流程,对信息科技运行服务水平进行考核。
第四十六条 商业银行应建立连续监控信息系统性能的相关程序,及时、完整地报告例外情况;该程序应提供预警功能,在例外情况对系统性能造成影响前对其进行识别和修正。 第四十七条 商业银行应制定容量规划,以适应由于外部环境变化产生的业务发展和交易量增长。容量规划应涵盖生产系统、备份系统及相关设备。
第四十八条 商业银行应及时进行维护和适当的系统升级,以确保与技术相关服务的连续可用性,并完整保存记录(包括疑似和实际的故障、预防性和补救性维护记录),以确保有效维护设备和设施。
第四十九条 商业银行应制定有效的变更管理流程,以确保生产环境的完整性和可靠性。包括紧急变更在内的所有变更都应记入日志,由信息科技部门和业务部门共同审核签字,并事先进行备份,以便必要时可以恢复原来的系统版本和数据文件。紧急变更成功后,应通过正常的验收测试和变更管理流程,采用恰当的修正以取代紧急变更。
第七章 业务连续性管理
第五十条 商业银行应根据自身业务的性质、规模和复杂程度制定适当的业务连续性规划,以确保在出现无法预见的中断时,系统仍能持续运行并提供服务;定期对规划进行更新和演练,以保证其有效性。
第五十一条 商业银行应评估因意外事件导致其业务运行中断的可能性及其影响,包括评估可能由下述原因导致的破坏:
(一)内外部资源的故障或缺失(如人员、系统或其他资产)。
(二)信息丢失或受损。
(三)外部事件(如战争、地震或台风等)。
第五十二条 商业银行应采取系统恢复和双机热备处理等措施降低业务中断的可能性,并通过应急安排和保险等方式降低影响。
第五十三条 商业银行应建立维持其运营连续性策略的文档,并制定对策略的充分性和有效性进行检查和沟通的计划。其中包括:
(一)规范的业务连续性计划,明确降低短期、中期和长期中断所造成影响的措施,包括但不限于:
1.资源需求(如人员、系统和其他资产)以及获取资源的方式。
2.运行恢复的优先顺序。
3.与内部各部门及外部相关各方(尤其是监管机构、客户和媒体等)的沟通安排。
(二)更新实施业务连续性计划的流程及相关联系信息。
(三)验证受中断影响的信息完整性的步骤。
(四)当商业银行的业务或风险状况发生变化时,对本条
(一)到
(三)进行审核并升级。
第五十四条 商业银行的业务连续性计划和应急演练结果应由信息科技风险管理部门或信息科技管理委员会确认。
第八章 外 包
第五十五条 商业银行不得将其信息科技管理责任外包,应合理谨慎监督外包职能的履行。
第五十六条 商业银行实施重要外包(如数据中心和信息科技基础设施等)应格外谨慎,在准备实施重要外包时应以书面材料正式报告银监会或其派出机构。
第五十七条 商业银行在签署外包协议或对外包协议进行重大变更前,应做好相关准备,其中包括:
(一)分析外包是否适合商业银行的组织结构和报告路线、业务战略、总体风险控制,是否满足商业银行履行对外包服务商的监督义务。
(二)考虑外包协议是否允许商业银行监测和控制与外包相关的操作风险。
(三)充分审查、评估外包服务商的财务稳定性和专业经验,对外包服务商进行风险评估,考查其设施和能力是否足以承担相应的责任。
(四)考虑外包协议变更前后实施的平稳过渡(包括终止合同可能发生的情况)。
(五)关注可能存在的集中风险,如多家商业银行共用同一外包服务商带来的潜在业务连续性风险。
第五十八条 商业银行在与外包服务商合同谈判过程中,应考虑的因素包括但不限于:
(一)对外包服务商的报告要求和谈判必要条件。
(二)银行业监管机构和内部审计、外部审计能执行足够的监督。
(三)通过界定信息所有权、签署保密协议和采取技术防护措施保护客户信息和其他信息。
(四)担保和损失赔偿是否充足。
(五)外包服务商遵守商业银行有关信息科技风险制度和流程的意愿及相关措施。
(六)外包服务商提供的业务连续性保障水平,以及提供相关专属资源的承诺。
(七)第三方供应商出现问题时,保证软件持续可用的相关措施。
(八)变更外包协议的流程,以及商业银行或外包服务商选择变更或终止外包协议的条件,例如:
1.商业银行或外包服务商的所有权或控制权发生变化。 2.商业银行或外包服务商的业务经营发生重大变化。 3.外包服务商提供的服务不充分,造成商业银行不能履行监督义务。
第五十九条 商业银行在实施双方关系管理,以及起草服务水平协议时,应考虑的因素包括但不限于:
(一)提出定性和定量的绩效指标,评估外包服务商为商业银行及其相关客户提供服务的充分性。
(二)通过服务水平报告、定期自我评估、内部或外部独立审计进行绩效考核。
(三)针对绩效不达标的情况调整流程,采取整改措施。 第六十条 商业银行应加强信息科技相关外包管理工作,确保商业银行的客户资料等敏感信息的安全,包括但不限于采取以下措施:
(一)实现本银行客户资料与外包服务商其他客户资料的有效隔离。
(二)按照“必需知道”和“最小授权”原则对外包服务商相关人员授权。
(三)要求外包服务商保证其相关人员遵守保密规定。
(四)应将涉及本银行客户资料的外包作为重要外包,并告知相关客户。
(五)严格控制外包服务商再次对外转包,采取足够措施确保商业银行相关信息的安全。
(六)确保在中止外包协议时收回或销毁外包服务商保存的所有客户资料。
第六十一条 商业银行应建立恰当的应急措施,应对外包服务商在服务中可能出现的重大缺失。尤其需要考虑外包服务商的重大资源损失,重大财务损失和重要人员的变动,以及外包协议的意外终止。
第六十二条 商业银行所有信息科技外包合同应由信息科技风险管理部门、法律部门和信息科技管理委员会审核通过。商业银行应设立流程定期审阅和修订服务水平协议。
第九章 内部审计
第六十三条 商业银行内部审计部门应根据业务的性质、规模和复杂程度,对相关系统及其控制的适当性和有效性进行监测。内部审计部门应配备足够的资源和具有专业能力的信息科技审计人员,独立于本银行的日常活动,具有适当的授权访问本银行的记录。
第六十四条 商业银行内部信息科技审计的责任包括:
(一)制定、实施和调整审计计划,检查和评估商业银行信息科技系统和内控机制的充分性和有效性。
(二)按照第(一)款规定完成审计工作,在此基础上提出整改意见。
(三)检查整改意见是否得到落实。
(四)执行信息科技专项审计。信息科技专项审计,是指对信息科技安全事故进行的调查、分析和评估,或审计部门根据风险评估结果对认为必要的特殊事项进行的审计。
第六十五条 商业银行应根据业务性质、规模和复杂程度,信息科技应用情况,以及信息科技风险评估结果,决定信息科技内部审计范围和频率。但至少应每三年进行一次全面审计。
第六十六条 商业银行在进行大规模系统开发时,应要求信息科技风险管理部门和内部审计部门参与,保证系统开发符合本银行信息科技风险管理标准。
第十章 外部审计
第六十七条 商业银行可以在符合法律、法规和监管要求的情况下,委托具备相应资质的外部审计机构进行信息科技外部审计。
第六十八条 在委托审计过程中,商业银行应确保外部审计机构能够对本银行的硬件、软件、文档和数据进行检查,以发现信息科技存在的风险,国家法律、法规及监管部门规章、规范性文件规定的重要商业、技术保密信息除外。
第六十九条 商业银行在实施外部审计前应与外部审计机构进行充分沟通,详细确定审计范围,不应故意隐瞒事实或阻挠审计检查。
第七十条 银监会及其派出机构必要时可指定具备相应资质的外部审计机构对商业银行执行信息科技审计或相关检查。外部审计机构根据银监会或其派出机构的委托或授权对商业银行进行审计时,应出示委托授权书,并依照委托授权书上规定的范围进行审计。
第七十一条 外部审计机构根据授权出具的审计报告,经银监会及其派出机构审阅批准后具有与银监会及其派出机构出具的检查报告同等的效力,被审计的商业银行应根据该审计报告提出整改计划,并在规定的时间内实施整改。
第七十二条 商业银行在委托外部审计机构进行外部审计时,应与其签订保密协议,并督促其严格遵守法律法规,保守本银行的商业秘密和信息科技风险信息,防止其擅自对本银行提供的任何文件进行修改、复制或带离现场。
第十一章 附 则
第七十三条 未设董事会的商业银行,应当由其经营决策机构履行本指引中董事会的有关信息科技风险管理职责。
第七十四条 银监会依法对商业银行的信息科技风险管理实施监督检查。
第七十五条 本指引由银监会负责解释、修订。
第七十六条 本指引自颁布之日起施行,《银行业金融机构信息系统风险管理指引》(银监发„2006‟63号)同时废止。
2.银行风险信息管理系统 篇二
如上图所示, 内部控制系统是指银行充分利用自身力量, 抓好内部控制;外部控制系统是指银行在利用自身力量之外所需要的外部环境。从总体上来看, 内部控制是基础, 外部控制是保障, 两者缺一不可。
一、银行信息技术风险管理的内部控制策略
(一) 提高思想认识
1.领导重视是关键
银行领导层应从关系到银行生死存亡的高度来认识银行信息技术风险防范工作的重要性, 持之以恒地抓好信息安全工作, 实行“安全工作一把手”负责制, 落实“安全工作一票否决制”。
2.要有忧患意识
不要在技术上近乎完美, 却因一时主观疏忽而满盘皆输。如严格规定不准任何员工随意进入机房, 但却忘了防范清洁工;花大手笔购置故障率为千万分之一的服务器, 却忘防范监控录像带轻易流入二手市场。
3.重在全员参与
信息技术风险控制涉及各个部门、各个环节, 仅靠一个部门是做不好的, 必须建立各部门共同参与的协调工作机制。
(二) 加强技术防范
1.建立密码技术信息安全保障体系。建成身份识别与认证、信息保密、数字签名、密钥管理以及银行卡安全应用等需要的密码技术信息安全保障体系。
2.建立网络漏洞扫描和入侵检测系统;同时还安装内网非法外联检测系统, 及时发现银行内网非法外联情况。
3.建立防火墙系统, 给防火墙制定安全可靠的访问控制策略, 对外隐藏内部重要业务系统。
4.建立计算机病毒防治系统和补丁自动分发系统, 并将银行计算机病毒防治系统纳入国家计算机病毒应急中心应急体系。
5.建立网络安全控制策略, 如按资金业务和办公业务将银行内部网进行划分, 实现资金业务和办公业务在局域网的Vlan划分和访问控制, 在广域网的分道传输和负载均衡, 重点保障资金业务安全运行, 并防止内部员工作案。
6.加强银行信息系统软件平台的安全, 如采用安全级别较高的操作系统, 防范黑客利用操作系统平台本身的漏洞来攻击银行信息系统、同时可屏蔽掉应用系统的部分安全漏洞。
7.加强计算机机房实体防护。计算机房、配电室、空调间等计算机系统的重要基础设施要视为要害部门严格管理, 配备防盗、防火、防水、防雷、防磁、防鼠害等设备, 安装电视监控系统和环境检测系统。对重要计算机应安装电磁屏蔽, 以防止电磁辐射和干扰。安装机房设备远程监控系统, 随时监控电源、空调、服务器、网络设备等的运行情况。
8.研究、试点银行安全公共平台建设。建立统一的信息平台, 如:建立多网融合的通信平台、统一的信息交换安全平台和一体化的信息系统应用平台, 就可降低总成本, 克服“信息孤岛”。
9.定期做好银行技术维护资料的收集、整理与汇编, 使科技人员在日常技术维护中, 找到窍门、少走弯路, 增强对业务系统故障高效处理的能力。
(三) 完善内控制度
完善内部控制制度, 就应制订相应的人防、物防、技防和联防制度。其中, 人防制度是指针对与计算机信息系统相关的人而建立起来的安全防范制度, 包括岗位责任制、业务运行管理制度、人员管理制度等;物防制度是指保证计算机信息系统各种设备实体安全而建立起来的相应制度, 包括环境安全、设备安全、媒体安全等;技防制度是指技术防范制度, 主要包括保证操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密与信息鉴别等方面的制度;联防制度是指在计算机系统中的各个不同个体间的横向防范制度, 如业务系统主管、业务操作员、程序维护员之间的相互制约制度, 行业安全管理部门与公安部门、设备与软件供应商、生产商之间的横向协调及分工负责制度等。
(四) 强化队伍建设
银行内部员工, 既是信息系统的最大潜在威胁, 也是最可靠的安全防线。这就需从以下几个方面来强化银行内部队伍建设。
1.加强思想道德建设。
2.加强业务技术培训。
3.建立分级管理体制, 使各级管理人员的权利和责任明确划分。
4.留住技术人才, 建立一个与科技人员相适应的弹性人事制度。
5.加强信息安全人才建设, 从科技人员中选拔政治立场坚定、事业心强, 技术过硬的人员来充实信息技术安全管理队伍。
(五) 实施等级保护
实施等级保护, 首先就是要根据国家风险评估有关标准, 采取以自评为主、委托评估和检查评估为辅的方式, 在银行信息系统方案设计、建设投产和运行维护各个阶段实施必要的风险评估, 加强对银行信息系统投产运行和重要应用变更前的风险评估。银行重要信息系统, 如与资金业务密切相关的支付清算系统、国库会计系统等, 要求每两年至少要进行一次评估, 根据评估结果, 及时整改存在的问题, 实施安全加固。完成风险评估后, 根据银行信息资产重要程度, 合理定级, 将不同资产和对象划分为关键、重要和一般三个级别, 实施等级保护。
(六) 建立应急体系
针对数据大集中新格局, 银行建立应急体系, 而建立灾难备份系统更是迫在眉睫。这要求实施数据集中的银行业应同步规划、同步建设、同步运行信息系统灾难恢复系统。已完成灾难备份实施的, 要建立应急预案演练制度, 定期组织有业务部门参与的演练和生产系统实战演练, 定期对双机热备系统进行切换演练。
二、银行信息技术风险管理的外部控制策略
(一) 加强信息系统的金融监管
1.设立专门银行信息技术风险监管部门。
2.建立银行技术风险评级体系。
3.实行银行技术风险分级监管。技术风险分级监管建立在银行技术风险评级的基础之上, 对不同银行的检查程序、检查频率、检查内容以及检查人员都有所不同。
4.建立银行技术风险预警系统。建立银行技术风险预警数据库, 并对银行技术风险事故进行科学分类, 采用数据挖掘技术和方法, 对银行技术风险进行监测和预警。
5.建立银行技术风险报告制度。一是定期报告制度;二是重大事件报告制度。
6.走协同监管的道路。银行信息化的发展, 使得银行产品进一步综合化, 银行业、证券业和保险业之间的交叉程度加强, 分业监管的难度加大, 监管边界更加模糊。这就需要中国人民银行、银监会、证监会和保监会协同监管, 充分利用网络资源, 建立监管信息共享平台, 实现监管信息共享。
(二) 建立信息系统的审计机制
除了银行业管理部门加强金融监管之外, 还可借助第三方力量, 也就是建立信息系统的审计机制, 以有效解决“传统金融监管体制失当”的问题。
(三) 加快相关法规、标准建设
1.加快技术风险控制的相关法规建设
(1) 要通过立法建立国家信息安全组织管理体系, 建立高效的、职责分工明确的行政管理和业务组织体系, 建立信息安全标准和评估体系。
(2) 要加强信息犯罪的界定、裁决和惩罚立法。随着信息技术的发展, 信息犯罪趋向于智能化和复杂化, 同时电子数据的可复制性和易修改性给信息犯罪的调查取证工作和证据的效力与认定都带来前所未有的挑战。因此, 必须尽快完善有关信息犯罪的法律法规, 加大对入侵或者破坏银行计算机信息系统犯罪行为的打击力度。
(3) 要加强网络银行配套法律法规的制订。为使网络银行的发展有一个规范、明确的法律环境, 立法机关要密切关注网络银行的最新发展和科技创新及其对金融业和监管造成的影响, 研究、制定与完善有关的法律法规, 如数字签名法、电子证据法等。
2.加快技术风险控制的相关标准建设
首先, 需要建立银行信息化标准体系, 研究制定银行信息化发展所急需的基础性业务规范、技术标准, 为银行业实现互联互通奠定技术基础, 并提供统一的行业技术标准。其次, 要在银行信息化标准体系的基础上, 借鉴和吸收国际标准, 进一步完善银行信息安全标准化体系。
(四) 强化银行客户的安全意识
1.在开通银行业务时, 银行要加强对客户的安全教育, 如在客户办理银行卡或开通网上银行业务时, 提醒客户及时更改原始密码并要求客户不要将密码设置成“123456”、“888888”或个人生日等的简单密码。
2.在日常银行业务处理中, 银行要培养客户树立良好的风险意识。如登录并使用网上银行账户, 输入密码时, 尽量使用系统提供的软键盘。
3.充分利用新闻媒体对电子银行安全风险进行宣传报道, 向公众介绍犯罪分子利用电子银行盗取客户资金的手段, 提高客户防范风险的能力。
(五) 加强服务外包风险控制
首先从银行本身角度考虑, 这就要求银行综合考虑自我能力、价值能力和风险控制等因素, 合理引入服务外包机制。要加强服务外包全过程的跟踪管理, 适时对外包服务的实施过程风险和完成情况进行评估。
(六) 取得其他产业的支撑
1.国家基础设施保障。随着银行业务数据大集中, 通信与电力保障问题十分突出。如果出现通信线路故障或者电力故障, 后果将十分严重。因此需要提高电信、电力部门对银行各大数据中心和重点业务系统的保障等级。
2.信息安全产业支撑。建议国家加大对高技术含量的信息安全产业的资金投入, 加大对高技术含量的信息安全产业的政策支持, 加强对信息安全产品、从业人员、服务厂商资质等的评测认证工作。
3.建立与公安机关在打击银行技术犯罪的协作配合机制。一方面, 银行发现与信息技术犯罪有关案件的线索, 及时通报公安机关。另一方面, 公安机关要将查处情况及安全措施建议及时反馈银行机构, 以便银行加强安全防范工作。
(七) 加强国际合作
3.银行风险信息管理系统 篇三
监管对信息化建设新要求
过去五年,我国银行业信息科技建设取得了长足进步,全国银行机构信息科技总投入和科技人员数量逐年增加,多家银行机构将IT风险纳入全面风险管理。从总体情况看,影响我国银行业信息科技稳健发展的关键问题正在有序解决,信息科技治理稳步提升。银行在信息化建设保持迅速发展的同时,也面临三个矛盾:一是信息化建设复杂度不断提升与资源和管理能力发展滞后的矛盾,与银行业务迅猛发展相比,信息科技在组织机构、人才、技术、经验等方面均储备不足;二是应急管理能力提升与业务连续性管理能力相对滞后的矛盾,我国银行机构灾难备份和应急管理能力稳步提升,但与业务连续性管理全面要求还有差距,对业务连续性的认识还有待深化;三是电子银行蓬勃发展与信息科技风险突出的矛盾,截至2010年,超过100家国内银行机构开展网上银行业务,交易总金额增长迅猛,已成为银行主要交易渠道,由此带来的容量压力显现,同时,手机银行业务增长迅速,相关风险骤增。
为推动提升我国银行业信息化建设与信息科技风险管理水平,加强行业信息交流和共享,探讨“十二五”银行业信息科技发展战略,中国银监会开设了中国银行业信息科技风险管理年会并将其制度化。在2011年11月举办的“中国银行业信息科技风险管理2011年会暨银行业信息科技风险管理高层指导委员会第一次会议”上,监管部门针对银行信息化建设面临的矛盾和潜在风险,结合行业现状与特点,对银行机构提出了新的要求:
夯实全面风险管理基础。银行应加强数据治理和数据标准工作,从战略角度启动和开展数据治理工作,将数据治理与IT治理、公司治理有机结合起来。加强全面风险管理的信息系统建设,新监管标准对商业银行风险管理的精细化、透明化提出了前所未有的高要求,特别是对数据的完整性、准确性、一致性和及时性要求很高,这些都要通过IT系统实现。银行要统筹开展IT架构规划,保证资源投入,切实完成符合新监管要求的数据基础设施和应用系统建设,并通过这一过程促进系统全面整合和共享,不仅为风险管理,也为产品开发、业务经营、管理决策等应用系统的架构提升奠定基础,进一步发挥信息科技引领作用,促进IT战略与业务战略的协同。
切实提升银行信息科技风险管理能力。银行机构应将信息科技风险纳入全面风险管理,培养对信息科技风险的内生抵御能力。注重IT治理,借鉴国际经验,切实把握信息科技风险管理中的主要矛盾,挖掘深层次问题,解决形似神不似的问题;加强信息科技规划,建立专门管理团队,完善规划的制订、评价、更新机制,全面开展应用架构、数据架构、基础架构的规划整理工作;加强IT内部审计,发挥审计第三道防线的作用。
同时,成立银行业信息科技风险管理高层指导委员会,以加强对银行业信息科技发展与风险管理的专业指导;深入传导监管要求,为银行信息化建设提供决策咨询;促进部门、行业之间的沟通交流,促进银行机构之间的相互协作。银监部门将努力完善信息科技审慎监管框架,不断提升信息科技监管有效性。
创新对信息科技的内在要求
21世纪的银行业是以信息科技为基础的,信息科技已完全“集成”到银行的业务和经营管理过程,与其“一体化”,成为其不能缺少的组成部分。银行转型和电子银行发展对科技创新和风险管理提出了更高的要求。
我国银行业在经营模式上最显著的变化之一,是电子银行高速发展。电子渠道在降低成本、扩大交易规模、加快产品创新速度等方面的作用日益显著。据统计,2010年,国内某大型银行电子银行的交易量相当于其17000个物理网点的交易量。在电子银行体系中,业务、科技密不可分,业务模式创新、产品研发,都需要信息科技最直接、最有力的支持。
银行业务转型的一个重要机制,是银行内部有功能完善的业务流程,具备高度差异化的产品功能与定价功能,而合理的业务流程需要各应用系统之间良好的互联互通和数据信息共享。
银行业围绕业务结构优化和流程银行改造,以及客户信息和风险数据的整合,要求信息科技有更快的响应能力、更安全的保障能力、更强大的支持能力,达到有效细分市场,有效识别客户,满足客户个性化、综合化要求的经营目标。这需要银行机构进一步促进信息科技与业务的融合,增强信息科技创新与服务的能力,充分发挥信息科技引领作用。
“十二五”期间,我国银行业发展的方向,是锐意进取,科学创新,不断提高发展质量和水平,确保更加安全、稳健,更加有竞争力。信息科技要承担起提升金融创新能力,强化风险管理,提高发展质量的使命。首先,信息科技要成为推动银行转变发展模式,实现差异化战略的关键原动力。创新是银行业发展的源泉,创新的核心已经不是简单地增加产品种类,而是要跟踪消费者需求,以信息科技的广泛深入应用,开展一系列的制度、流程、产品的再造和创新,提升竞争力。树立科技引领的理念,逐步推动信息技术与业务发展的深度融合,为可持续发展夯实基础。其次,信息科技要成为构建全面风险管理体系的助推器。银行机构要建立一体化全面风险管理体系,涵盖各类风险,贯穿风险战略制订、风险监控、风险管理和压力测试各个环节,这要求银行机构以业务和风险管理为基础,以信息科技为手段,加快建立数据标准体系,加强数据治理,提高风险数据质量,构建全面风险管理基础设施,实现风险计量精细化,风险决策科学化,风险管理体系化。
风险管理对信息科技内在要求
随着IT技术和互联网的发展应用,信息科技成为银行运行中最关键的因素,银行业的风险特征也随之发生了显著变化。信息科技应用最显著的效果,就是带来了交易量的高速发展,同时也增加了市场的复杂性和脆弱性,增强了风险的传染性,实质上形成了新的风险类型。2010年以来,世界范围内银行业信息科技风险事件频发。例如,2011年4月,韩国农协银行内部网络遭黑客攻击,导致部分数据被删除和篡改,大量服务器瘫痪,系统服务中断三天,影响正常业务开展;澳大利亚国民核心系统故障。这些事件体现了信息科技风险的突发性、传导性和放大效应。
金融危机后,国际金融稳定理事会等一些国际组织,对金融危机中银行业风险管理和IT建设所暴露出的问题进行研究和探讨,认为金融危机最深刻的教训之一,是金融机构IT系统不能有效支持风险数据整合,导致风险数据失真,不能在企业层面和跨业务条线层面识别风险。因此,建立更加完善的信息系统,关系到银行机构风险防范的长期性和有效性。同时,完善的信息系统也是银行完善运营机制、提升管理效率、丰富产品和服务、强化风险管理的有力支撑和保障。
当前我国银行业身处复杂的国际经济金融环境,时值“十二五”开局之年,信息科技要承担起提升金融创新能力,强化风险管理的重要使命。我国银行业金融机构要保持清醒的头脑,以更加宽广的视野、更加前瞻的思维谋划信息科技发展蓝图;要进一步树立合规意识、忧患意识、风险意识,以“保运营安全、促业务发展”为主导思想,加强领导、统筹规划,加强保障、有序推进,以科技进步和创新推动银行核心竞争力的提升。
4.银行风险信息管理系统 篇四
科技信息风险管理进行专项审计的报告(模板)
为有效防范、控制、化解利用信息系统进行业务处理、经营管理和内部控制过程中产生的风险,促进XXX农村信用社安全、持续、稳健发展,根据《商业银行内部控制指引》、《商业银行信息科技风险管理指引》和有关信息系统管理的法规、XXX联社审计部根据市审计中心审计工作的安排,对本联社的科技信息风险管理进行了专项审计,现将审计情况报告如下:
一、基本情况 略。
二、审计依据
银监会《商业银行信息科技风险管理指引》、银监会《商业银行数据中心监管指引》及省联社信息科技相关制度和本联社信息科技相关管理文件。
三、组织架构、制度建设及管理情况
1、信息科技治理组织架构
(1)县联社董事会下设科技信息安全管理委员会,信息安全管理委员会下设应急处理领导小组。
科技管理委员会负责统一规划全社的信息化建设,指导和监督科技部门的各项工作,审议全社计算机网络的设计方案、软件项目招标、设备招标和统一采购及日常管理中重大问题的研究和建议。
信息系统应急处理领导小组负责组织制定全辖应急处置的实施细则,统一组织、协调、指导、检查全辖应急处置的管理;负责全辖信息系统突发事件的应急指挥、组织协调和过程控制
(2)成立了科技部,加强了科技运维信息治理。(3)科技风险审计工作由联社稽核审计部完成。
2、信息科技管理制度(1)安全管理
对安全管理活动中的各类管理内容,依据省联社相关制度建立安全管理制度,制定了由安全策略、管理制度、操作规程等构成的全面的信息安全管理。安全管理制度审定周期为一年一次,并且及时发现缺漏或不足对制度进行修订,并有修订记录
(2)事件管理
制订了安全事件报告和处置管理制度—《信息安全事件管理制度》明确安全事件类型,规定安全事件的现场处理、事件报告和后期恢复的管理职责,并根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响,对安全事件进行等级划分,制定安全事件报告和响应处理程序,确定事件的报告流程,响应和处置方法等,并对发现的安全弱点和可疑事件有《异常情况上报规定》
(3)应急处理
建立较为完善的信息系统应急恢复策略《河北省农村信用社联合社计算机信息系统应急处理方案》,对各业务信息
系统进行分类,按照重要程度,确定保障级别,制定了各信息系统突发事件专项应急预案。
(4)安全操作规范及管理流程
联社有完整的信息安全管理流程,控制信息安全管理。包括介质管理、网络管理、维护及故障处理制度、软硬件变更流程、备份管理、机房管理、监控管理、密钥管理、巡检制度等等科技管理各项流程。
四、信息科技风险管理情况
(一)物理环境管理
1、机房的物理访问控制:机房实现门禁控制,严防外部人员进入机房擅自操作。
2、系统密码均由专门人员掌管,计算机终端无人看管时锁定;
3、机房采用集中监控,监控清晰全面,机房环境设施均有专人岗位值班管理,参数实行24小时不间断监控,岗位人员具备管理监控专业素质。
4、机房供电系统均采用双UPS供电,线路冗余性好,负载能力强,完全能够满足机房电力需求。
5、机房空调系统的有效性和冗余性,给排风系统的有效性:机房空调系统安全有效,给排风系统工作正常。
6、中心机房配套防盗窃、防雷、防火、防水、防静电、温湿度控制等措施,确保机房正常运转。
(二)网络管理
综合业务系统与外围办公系统严格隔离,不存在混接现
象。中心机房配备路由器、交换机各两套,承载业务转接,数据传输,互为备份。县到市主干线路为电信和联通,县到网点线路为移动和联通线路,保障生产通讯线路通畅运行。网络设备管理配置均由专人分管负责,确保合理操作,保障网络通畅、安全;
(三)应用安全
1、业务应用系统的用户授权及鉴别认证措施。业务应用系统用户密码相关业务人员各自保管,通过操作号和密码进行身份鉴别认证。人员离开时应设置屏幕密码保护或退出到登陆状态。
2、业务应用系统的用户访问控制。系统软件用户访问实现权限控制,各级人员只能进行权限内操作
(四)数据管理
本联社信息系统的数据是实时存放于省中心,数据备份工作也由省中心统一完成。
(五)设备管理
本联社按要求实行严格的内、外网隔离,对不同的设备实行不同的安全防护措施。对接入内网的PC机已在省联社的统一部署下安装卡巴斯基防病毒客户端,由后台服务器定期升级,实时有效防止计算机病毒入侵;对于柜面用终端安装卡巴斯基防病毒软件,有效控制病毒通过U盘等移动存储设备进行传播和有效识别所有接入设备;对于工作需要配备的外网办公用机,安装杀毒软件,实时在线升级防护。
五、检查发现存在的不足
检查发现工作日志对停电没有记录;存在外包机构开发人员用自带电脑同时接入本社内外网情况;各网点均存在wifi无线密码控制能力弱问题。
通过检查联社管理层级和信息科技风险管理部门,以工作制度和岗位责任制的形式规定了其管理职责的工作内容与操作要求,为各部门实施相应的信息科技风险管理活动提供了依据和指导。
XXX银行审计部
5.银行风险信息管理系统 篇五
防控工作自查报告
自##年数据大集中以来,我行依托省联社的科技支撑,各项信息管理系统逐步完善,初步建成了信息科技支撑系统,由省联社提供的核心系统对日常业务进行集中处理,其中核心数据的备份、系统运行管理均由省联社统一管理,我行工作重点在于对网络设备、通讯线路及柜面终端设备的正常运行进行科技支撑,因此我行在信息科技风险管理方面的风险较少。目前,根据我行现有业务要求和信息科技发展的规划,要求我们对信息管理、人员、技术等方面提升信息安全管理水平和管理能力,建立管理与技术相结合的全方位的风险管理体系。具体来说,主要采取以下几方面的措施开展信息安全工作。
一、将信息科技风险管理和信息安全纳入我行“十二五”信息科技发展规划。为了提高信息科技风险管理能力,提升信息科技对业务战略发展的可持续支持能力,我行于年初制定了“十二五”信息科技发展规划,信息科技风险管理和信息安全成为科技规划的重要组成部分之一。科技规划中明确了信息科技发展方向,强调了科技基础建设,提高信息科技风险管理水平,有效防范信息科技风险。
二、完善信息科技治理,大力开展信息科技风险管理制度建设。从只注重提高硬件配置水平逐步转变为同时注重软件投入和业务管理的综合管理。例如,以前我们在信息安全管理普遍存在一个误区,人为部署了高性能的硬件设备、实现网络设备双机热备、内外网严格的物理隔离、做好了生产运行风险控制,就算完成了信息科技风险控制的工作,其实不然,因为信息安全不单是技术问题,更是管理问题,只有持续完善信息科技治理架构,从组织架构和制度等管理层面采取防范措施,才能真正实现信息安全管理的目标。
三、我行在信息科技风险治理方面的措施主要包括三方面。
a)认真学习和领会监管机构对信息科技风险管理的要求,吸收借鉴同业经验,将监管要求和同业经验转化为行内工作规范,建立系统完善的信息科技风险管理组织架构和机制,建立以电子银行部、合规部、稽核部为主体的信息科技风险三道防线;成立以主管领导为组长的信息系统突发事件应急小组、应急处置小组和科技支持保障小组,做好突发事件应急处理。
b)建立健全信息科技规章制度。为了做好制度建设,我行领导高度重视,以我行流程银行建设为契机,完善了相关制度,理顺了相关制度的制定、修订、废止流程和审批制度流程,切实抓好制度建设。
c)采取有效的信息科技风险管理的制度,防范和化解信 2 息安全风险。首先,完善基础设施建设,对中心机房进行改造,更换老旧的硬件设备,提高硬件设备防范风险的能力;二是改造电源环境,做好业务连续性建设,为基层网点更换UPS电源;三是提升运行管理的水平,推进运行流程化和集中化管理,防范操作风险,确保信息系统的安全稳定运行。四是完善应急预案,积极配合省联社开展应急演练,切实提高风险防控水平。
四、严格设备接入管理,提高设备管理水平。近日,省联社推出了桌面管理系统,该系统提供全面高效的计算机设备管理解决办法,可以监控行内IT环境的变化,保障计算机设备正常运行,大幅度降低运行维护成本,并可提供详尽的统计报表输出,综合反映软硬件信息变动、当前配置等,帮助总行管理好全辖计算机设备。按照省联社的部署,该系统计划于下半年上线,届时将有力的提高我行信息科技管理的效率和风险管控水平。
五、软件正版化是今年我行信息科技工作的一项重点内容。根据aa省软件正版化工作联席会议下发的《关于推进中小金融机构使用正版软件工作的通知》()精神,结合我行的实际情况,为加快对盗版或未经授权、许可软件的清理换装工作,推进我行软件正版化工作,确保我行软件正版化工作目标的实现,结合我行实际情况,制定了《**银行软件正版化工作实施方案》,根据方案的进度安排,我行已于本月进入更换正版软件和培训阶段。
6.银行风险信息管理系统 篇六
前 言
为防范银行业金融机构信息科技风险,保障信息系统运行和操作安全,根据中国银监会《银行业金融机构信息系统风险管理指引》,提出对银行业金融机构信息科技风险内部和外部审计要点,以切实加强银行业金融机构对战略性风险、操作风险、声誉和法律风险的管理
和控制,强化银行业金融机构作为信息安全第一责任人的责任,建立和完善信息科技风险管理机制,进行有针对性的分类监管。银行业金融机构的内部和外部审计机构应按评价审计要点确定审计目标和范围,制定审计计划、实施审计行为并提供审计报告。
一、信息科技治理和组织结构
目的:确立信息科技治理、组织结构和相关权责,使董事会、独立的审计部门和相关业务部门定期借助于真实业务数据和使用效果识别和明确信息系统操作的实施效果;在充分考虑银行业金融机构及其服务供应各方的变化的基础上,采取有针对性措施加强信息科技治理和组织结构。
(一)制度建设
1、信息科技管理制度体系的建设情况;
2.已发布实施的主要制度规章和管理办法; 3.管理制度规章和管理办法的制定、审批和修订流程.
(二)组织结构
1.信息科技管理的领导和决策机构设置,其职能和工作机制;
2.长期和短期信息科技发展规划的制定、审批和修订;
3.信息科技部门的设置、职责和相互关系,重点包括:系统开发、技术支持、系统操作维护和系统安全;
4.专门的技术风险管理部门设置,其职责和工作机制;
5.技术风险审计部门或岗位设置,审计频率以及问题纠正机制情况:
6.信息科技人员的专业素质和培训情况; 7.信息科技风险内部审计人员的素质和培训情况。
二、信息安全管理
目的:充分考虑与信息科技系统相关的风险,维护金融业务的正常操作:保证被认可的用户能够通过科学高效的系统架构、操作流程和管理措施迅速地访问所需信息;确保数据和系统的完整性、机密性和稳定性等。
(一)信息安全基本要求
l.信息安全工怍的基本原则、基本规划;
2.信息安全管理的流程、组织架构和职责分配;
3.信息安全的技术体系;
4.信息安全风险评估和分级控制;
5.信息安全的教育培训,包括法规教育、安全知识教育和职业道德教育等。
(二)逻辑访问的风险与控制
1.访问控制原则;
2.访问授权的授权与核准;
3.逻辑访问风险的定义、分类和应对措施;
4.访问控制软件的使用情况;
5.磁卡、钥匙和口令密码等重要身份凭证的管理。
(三)网络安全控制
1.内网的安全管理(Intranet的接入安全); 外网的安全管理(Internet和Extranet的接入安全);
3.加密技术应用和私钥的管理:
4.防火墙的设置、维护和管理: 5.入侵检测系统。
(四)环境的风险和控制 1.消防及防水设施: 2.不间断电源保护: 3.人员疏散计划和通道。
(五)物理访问的风险与控制 1.出入通道锁具的可靠性:
2.摄像监测设施、警报系统和警卫配备;
3.访客、外包服务人员、勤务人员出入管理规定; 4.入口数量控制;
5.计算机终端无人看管时的锁定; 6.敏感性设施及场所的标识隐匿; 7.文件柜的锁定和监控.
(六)软件的风险与控制 1.软件的病毒防护和管理; 2.软件的升级和补丁管理; 3.软件使用许可和授权管理。
三、信息科技项目开发和变更管理
目的:提高信息科技管理效率,实现信息科技对主体业务发展的有效支持保证信息科技与企业战略的协调一致。
(一)项目开发管理
1.项目管理的主要规章制度,包括:项目的审批流程,参与部门的职责划分、时间进度和财务预算管理、质量检测、风险评估等;
2.项目周期管理的涵盖范围,包括:立项、可行性分析、制定需求、方案设计、程序开发.系统测试、系统验收、使用培训、实施操作和维护等; 3.开发环境、测试环境、生产环境严格分离情况;
4.外部技术资源(包括软件、硬件、服务等)管理,包括申请、测评、购买(合同)、使用等。
(二)项目变更管理
1.变更管理的主要规章制度;
2.变更管理的审批授权机制和工作流程: 3.变更管理的登记、备案和存档;
(三)项目资料文档管理体系
1.项目资料文档的管理职责;
2.资料文档的起草和审批职责;
3.资料文档格式标准化规范:
4.程序资料文档的完整保存:程序设计和代码标准、程序描述程序设计资料、代码清单、源代码命名规则、系统操作指南等;
5.项目资科文档的完整保存:项目需求、可行性分析、阶段实施记录(启动、计划、设计、开发、测试、实施、后评价等)。
(四)系统设计开发外包缺陷风险管理
1.代码检查;
2.文档管理(包括:功能规则说明书,系统设计规则说明书,操作运行手册); 3.技术传送.
四、信息系统运行和操作管理
目的:保证当前和规划的信息科技营运体系能够充分满足董事会及高级管理层战略目标实现的需要,围绕战略目标合理配置人力资源、系统设备和管理资料,建立并完善适当的内部控制环境,并依照规范程序有效识别、测量、控制和化解操作风险。
(一)信息系统运行体系建设情况
1.信息系统运行体系的组织架构;
2.信息系统运行体系的总体规划、管理办法、技术标准和信息系统运行体系各组成部分的管理细则;
3.对于银行核心业务系统的持续性或阶段性监测:响应时间和处理量、系统承载能力、任务处理失败的次数、比例、类型和原因、系统使用的峰值和均值,系统使用趋向和容量等。
(二)操作环境控制和预防性维护情况
1.信息科技资产清单登记,包括计算机设备(供贷商和型号)、网络组件、应用和系统软件(品名、发布日期和版本号)、应用处理模式(实时处理、批赴理和延时处理);
2.对信息系统性能和容量的管理: 制定反映各类连接物理位置和交互关系的系统图和拓扑图;
4.信息系统环境控制和预防性维护应对方案,包括:不间断电源、不间断网络通信、物理环境适宜度控制(温度、灰尘.湿度等)、计算机连线、消防、防渗水、内部和服务商日常预防性维护的管理等。
(三)生产变更管理
l.变更管理的主要准则和规章制度:
2.变更管理的审批授权机制和工作流程:
3.变更管理的登记、备案和存档;
4.非计划性紧急变更的实施方案、备份和恢复。
(四).信息科技操作风险控制措施
1.信息系统操作风险控制机制和流程;
2.人力资源管理方案:对所有敏感性岗位人员的持续性背景检查,充分的职责分离和岗位轮换,有效避免人员过度流失的政策.有效的岗位职权中止规定;
3.信息资料档案管理:对信息输出文件的控制和管理(电子和纸质文档的调阅、打印、复制、存放、销毁等)。信息文件的传输管理(网络隔离、加密技术的应用).存储介质废弃和处理,内容的备份和恢复等。
(五)日志管理
1.对网络设备、防火墙、主机、数据库等系统产生的日志.实现100%的采集; 2.对采集的日志设定的保存期限; 3.日志资料的安全保护和调阅管理制度; 4.日志监控和管理的岗位和人员设置情况。
五、业务持续性规划
目的:制定并不断完善书面的信息科技系统风险应急处理方案,使信息科技风险管理涵盖整个机构的信息科技系统的管理、维护、重启、恢复等各环节。
(一)董事会和高级管理层在业务持续性规划中的职责和工作机制 1.规划与业务发展策略的一致性;
2.资源和专业人员的配备情况; 管理体系架构和风险控制策略制定情况; 4.商业保险的使用和覆盖情况;
(二).业务持续性规划的制定和实施
1.业务持续性规划的涵盖范围;
2.预测性的业务影响分析机制;
3.业务恢复的组织机构和应对措施;
4.业务持续性规划中涉及的各类文档和资料管理。
(三)备份中心的管理与操作 备份中心的建设、配置、组织机构和操作机制;
2.备份中心的使用状况: 3.备份中心的检测、维护和更新。
(四)业务持续性规划的测试和维护
1.对业务持续性规划的定期或不定期测试,包括:测试范围、频率、对测试结果的评估分析等:
7.银行业信息科技风险管理能力探究 篇七
关键词:银行业网络安全
0 前言
随着银行业对信息科技的高度依赖,银行信息系统的安全性、可靠性和有效性直接关系到整个银行业的安全和国家金融体系的稳定。核心业务系统、网上银行、自助终端、银行卡等具有高科技含量的系统和设备被广泛应用,各个银行信息科技在设备规模和技术水平不断提高的同时,信息科技风险管理却相对显得薄弱,其风险的潜在性也随着金融产品的增加而增大,风险的复杂性也越来越强。
为加强银行的信息科技风险管理,提升信息科技风险管理能力,银监会制定的《电子银行业务管理办法》、《电子银行安全评估指引》、《银行信息科技风险管理指引》等法规制度相继出台,构建和完善了银行内与信息技术应用有关的组织架构及工作程序,有效地识别、度量、跟踪和控制信息技术风险。
1 需求分析
银行进行信息化建设起步较早,但传统的安全管理方式是将分散在各地、不同种类的安全防护系统分别进行管理,各系统单独保护,相互冲突和割裂,形成信息孤岛,导致安全信息分散,互不相通,安全策略难以保持一致;此外,各安全系统单独建设,造成分散、低水平重复投资,在建立长效机制方面也考虑较少,难以做到可持续运行、发展和完善。这种传统的管理运行方式已成为许多安全隐患的根源,因此银行信息系统对信息安全体系的建设既需要符合政策合规性管理的要求,又存在自身安全保障体系建设的需求。
同时,大多数银行信息系统建设还存在滞后问题。系统设计、系统运行、外包、业务连续性以及技术操作等一系列新的信息系统风险正逐渐暴露在我们的面前,形成了一定的安全隐患。
2 银行信息科技风险管理
银行应从业务需求出发,遵从风险管理的理念,在银行信息技术战略规划的基础上,借鉴国际最佳实践经验,实现全面的信息科技风险管理,实现以下的建设目标:(1)保障业务持续,促进业务发展;(2)保证信息的机密性、完整性和可用性(如图1)。
为了保障业务系统稳定、安全运行,银行应加强信息科技风险管理体系建设:一是完善组织体系建设,建立有效的信息科技治理机构,明确权限,落实责任;二是实施风险管理,识别整个信息系统的薄弱环节,区分业务风险和信息科技风险,制定出相应的风险防范办法,加以落实并对结果进行检查,建立起自身的风险防范机制;三是加强信息科技管理,采用多种技术建立纵深防御体系,完善应急响应体系和业务连续性计划,建立灾备恢复体系,规范日常信息系统运维流程。四是通过实施安全审计,做好信息系统的安全检查工作。
3 银行信息安全保障体系建设方案
银行信息安全保障体系的建设是一个体系化的工程,涉及信息安全策略体系、信息安全管理体系、信息安全技术体系、信息安全运作体系四个部分。其中信息安全策略体系是核心内容,覆盖信息安全工作的各个方面,对管理、技术、运维体系中的各种安全控制措施和机制的部署提出目标和原则;安全管理体系是安全工作的管理和实施体系,监督各种安全工作的开展,协调银行各部门在安全实施中的分工和合作,保证安全目标的实现;安全运作体系是对安全生命周期中各个安全环节的要求,包括安全工程管理机制,安全预警机制、定期的安全风险识别和控制机制、应急响应机制和定期的安全培训机制等;安全技术体系是对实现银行信息安全的具体措施,银行安全安全策略、安全管理、安全运维必须依托相应的技术手段方可执行,技术体系包括了身份认证、访问控制、加密、防恶意代码、安全加固、监控、日志审计和备份恢复,是银行安全保障体系的重要支撑(如图2)。
根据银行信息科技风险管理的需要,参照近年来信息安全领域出现的信息系统安全保障理论模型和技术框架(如IATF等)、信息安全管理标准ISO/IEC 27002:2005和ISO/IEC TR 13335系列标准以及IT治理相关理论,结合银行业的特点和信息化现状,建设信息安全保障体系,为银行信息系统的平稳运行和业务的持续开展提供强有力的保障,提升信息科技风险防范和响应能力。
(1)根据信息安全级别,将网络划分为不同的逻辑安全域,对每个域和整个网络进行物理或逻辑分区,通过部署系列安全产品实现网络内容过滤、逻辑访问控制、入侵检测、网络监控、记录活动日志等。
(2)部署安全管理中心(SOC)对网络设备、安全设备、服务器等产生的日志进行收集分析,监控各系统的安全状态,产生的各类IT运维及安全事件通过工单管理模块分派处理事件的责任人,实现全网风险的有效管理。
(3)为了确定信息科技中存在隐患的区域,评价信息科技风险对银行业务的潜在影响并确定风险防范措施及所需资源的优先级别,应定期进行信息科技风险的全面识别与评估,对信息科技风险管理工作中存在的问题提出有效整改措施,建立信息科技风险管理策略和评估流程。
4 总结
网络安全风险在信息时代的今天愈加凸显,需要引起更多的关注和重视,也将在未来面对更多的挑战。本文从宏观的角度对银行业的信息安全体系建设做了详细的介绍,希望能为大家的信息安全保障和管理工作提供一些新的思路。
参考文献
[1]商业银行信息科技风险管理指引.
[2]商业银行数据中心监管指引.
[3]ISO 27002:2005信息安全管理体系实施指南.
[4]李东卫.商业银行信息科技风险的分析与对策.中国银行业监督管理委员会阳泉监管分局.
[5]唐磊.商业银行信息科技风险现状与管理策略分析.中国工商银行股份有限公司苏州分行信息科技部.
8.银行风险管理审计 篇八
[关键词]风险管理审计内部审计问题优势
风险管理起源于20世纪60、70年代,20世纪80年代在金融、保险、制造业等行业的大企业有了发展,从风险管理内容的规范性来看当属银行和保险业。风险管理审计是在20世纪末2l世纪初,随着风险管理导向内部控制时代的来临,风险管理成为内部审计关注的重点。它不仅关注传统的内部控制,更加关注有效的风险管理机制。内部审计人员通过对当前的风险分析确保其审计计划与经营计划相一致。风险管理成为组织中的关键流程,促使内部审计的工作重点不仅是测评控制,而且包括确认风险及测试管理风险的方法,风险管理审计是内部审计发展的新阶段。
一、银行风险的界定及类型
1.银行风险的界定
关于银行风险现有两种说法。一是指商业银行在经营中由于各种不确定因素而招致经济损失的可能性。二是指在货币经营和信用活动中,由于各种事先无法预料的不确定因素的影响,使银行的实际收益与预期收益发生背离,有蒙受经济损失或获得额外收益的双重机会和可能。本人同意第二个观点。
银行风险存在于银行价值链的每一个环节,可以说,银行自成立之日起就是在风险管理的过程中谋取收益的。对银行风险的正确理解须注意以下几点:(1)银行风险不等于银行损失。风险指的是发生不利或有利事件的可能性;而损失是消耗或丧失的东西,是原来不确定事件形成的一种事实。两者的着眼点不同,风险着眼于未来,损失着眼于现在和过去。(2)风险既是一种挑战又是一种机遇,它具有双重性。(3)它包含多层次风险内容且有动态性的范畴。多层次的风险包括法律风险、政策风险、决策风险和操作风险等。(4)商业银行风险更多的是经济运行中风险的反映,与经济主体的行为目标、决策方式和经济环境相联系,并不单纯是银行自身的问题。
2.银行风险的类型
我国银监会制定并于2005年2月1日起实施的《商业银行内部控制评价试行办法》指出,商业银行的主要风险包括信用风险、市场风险(含利率风险)、操作风险、流动性风险、法律风险以及声誉风险等。
从实践来看,对于银行影响比较大的风险主要有四种:信用风险、操作风险、市场风险和流动性风险。
二、内部审计在风险管理中的定位、职责与作用
内部审计是一种独立、客观的确认与咨询活动,它通过应用系统的、规范的方法,评价并改善风险、控制和治理过程的效果,帮助组织实现其目标。由于其自身的特点,内部审计参与风险管理拥有一定的优势。内部审计部门和人员熟悉本单位情况,对单位面临的风险更了解;内部审计部门和人员是组织内部成员,其利益同组织发展、兴衰密切相关,对防范各种风险、实现经营目标有着更强烈的责任感;内部审计部门不同于其他部门,不从事具体业务,其职能独立于业务管理部门,可以跳出业务各环节的圈子,从全局出发、综合、客观地对风险进行识别和评价,采取有效的风险控制措施。
1.内部审计在风险管理中的定位
现在我们所说的风险管理越来越趋向于广义的概念,公司治理也好、内部控制也好,实际上都属于风险管理的范畴,只是风险管理所涉及的层次有所不同,而内部审计一直都担任着重要的角色。2002年美国国会通过的《萨班斯一奥克斯法案》指出,董事会、高层管理者、外部审计师与内部审计师作为有效公司治理的基石,成为开展公司治理、内部控制必须职责的重要组成部分。因此,内部审计在风险管理中扮演的角色对组织机构整体风险控制是至关重要的。现在内部审计在风险管理过程中的定位应该是参与者、协作者和监管者。
2.内部审计在风险管理中的责任
风险管理是内部审计的一条主线。因此,内部审计应当也必须参与风险管理。随着风险管理导向内部控制时代的来临,内部审计的工作重点也发生了变化,现代内部审计除了关注传统的内部控制之外,更加关注有效的风险管理机制和健全的公司治理结构。但内部审计不等同于风险管理。IIA指出,内部审计师在建立和管理风险过程中所起的积极作用有别于“风险所有者”的作用。为了避免起到“风险所有者”的作用,内部审计师应该要求管理层证实其在确定、防范、监测风险以及风险“所有者”的责任。2004年9月,IIA针对COSO委员会新发布的全面风险管理框架,以《全面风险管理的内部审计角色》为题发表了一份职位说明书,指出,内部审计的核心职能有五项:为风险管理流程提供保证、确保风险得到正确评价、评估风险管理流程、评估关键风险的报告体系以及审核关键风险的管理活动。其次,职位说明书对内部审计在风险防范方面的职责也进行详细的描述:协助识别和评价风险、培训管群层如何应对风险、协调全面风险管理活动、完善风险报告体系、维护开发全面风险管理框架、支持建立全面风险管理、为决策层拟定风险管理战略。最后,也明确内部审计不应承担以下责任:(1)设定风险额度;(2)强加风险管理流程;(3)向管理层提供风险保证;(4)做出风险应对决策;(5)以管理者名义执行风险应对方案;(6)风险管理的受托责任。
3.内部审计在风险管理中的作用
国内外企业,特别是世界知名企业,如杜邦公司和微软公司的风险管理体系都比较完善,内部审计在企业风险管理体系中发挥了重要的作用。风险管理是一项重要的管理责任。要实现其业务目标,管理层应该保证拥有健全的风险管理过程,并能发挥作用。董事会和审计委员会应该在确定组织是否建立恰当的风险管理过程以及这些程序适当有效地运作等方面起监督作用。内部审计师应该通过检查、评价、报告风险管理过程的适当性和有效性并提出改进建议来协助管理层和审计委员会的工作。还需要指出的是,内部审计部门在组织风险管理过程中的作用可以随着时问的推移而发生变化,并可能有不同的作用:即从无任何作用,到作为内部审计工作计划的一部分对风险管理过程进行审计,到积极持续地支持并参与风险管理过程,到管理和协调对风险的管理过程。
总的来说,内部审计在风险管理中的作用概括为以下四个方面:一是检查与评价,内部审计部门运用审计手段对银行风险管理體系的充分性和有效性进行评估;二是管理与协调,内部审计利用自身优势,积极参与银行风险管理体系建设,对各种风险要素进行识别、分析、协调、管理,并提出控制风险的有效建议;三是顾问与咨询,内部审计师以咨询顾问身份协助企业确定针对风险进行管理的方法和控制措施,并评价其合理性与有效性;四是报告与防范,内部审计部门通过及时传递并督促落实风险审计的成果,使各类风险因素得到有效的控制和防范。
三、银行风险管理审计存在的问题
中国工商银行、中国建设银行等都有针对性地组织了风险管理与审计等课题的研究。但是银行内部审计在风险管理中还存着以下问题:
1.内部审计理念落后
相对于一般的工商业企业来说,银行风险管理在其价值链中占有重要位置,是银行成立以来一直倍受关注的问题。因此,其风险管理相对比较好,这就使得业内外的一些认为银行风险管理是完善的,这也造成了内部审计对风险管理认识的不充分,内审人员不能积极主动地去关注风险,制约了内部审计作用的发挥。
2.内部审计方法手段不能适应银行风险管理的需求
我国银行内部审计尚处于查错防弊、开展合规性审计阶段,局限于对经营部门及营业机构执行各项规章制度的事后审计上,主要进行的还是现场审计,非现场审计开展不够。而银行风险管理系统要求进行系统的、全面的风险管理,不仅要进行事前防范、事中控制、事后管理,还要进行信息处理,大力开展非现场审计。
3.内部审计在风险管理中的作用和地位不明确
商业银行对风险的管理分为风险管理部门和内部审计部门。风险管理部门负责总的风险管理,内部审计部门根据风险管理部门的风险评价结果实施内部审计。而实际上风险管理部门与内部审计部门的关系并未得以明确。
4.风险审计开展力度不够
内部审计部门有责任对业务主管部门所面临的外部和内部风险进行归纳、整理和分析,并向高级管理层提交风险分析报告,为高级管理层的经营决策提供参考。而现在的审计工作基本上是根据总、省行的工作部署来展开,独立开展审计工作不充分,对风险的规避效果不佳。
四、银行风险管理审计的优势
银行风险管理审计是建立在全面风险管理基础之上的一种内部审计技术方法,这种方法作为成功的全面风险管理规划的一个重要组成部分,更加关注企业的经营目标、管理层的风险承受、关键风险衡量指标等。目前银行风险管理审计还具有以下优势:
1.有利于内部审计从全局角度评价风险管理
由于银行是经营货币的特殊的金融企业,决定了银行业务流程上的任一环节都有风险因素存在,并且由于风险具有感染性、传染性、不对称性等特征,链上某一主体造成的风险或疏于风险管理带来的后果有时并不是由其直接承担,而是会通过一定的联系传递到其他主体,最终会导致银行陷入困境。内部审计,可以将每一个环节及周围环境来的风险因素考虑在内,有利于从战略高度全面评价银行风险管理。
2.有利于加强银行风险管理
风险管理审计作为风险管理的组成部分,都是为了实现组织战略目标、实现银行增加价值的目的。但是,二者的责任并不相同。风险管理需要对风险管理的措施和方法进行设计并负责执行,而风险管理审计则是负责对风险管理设计与执行情况进行测试、评价,并为管理层提供有关风险管理信息适度确认的责任。因此,在某种程度上可以说,风险管理审汁是更高层次的风险管理。当局者迷、旁观者清,所以风险管理审计可以从“局外人”的角度,跳出风险管理来对价值实现过程中的风险管理过程进行系统地、客观地评价,有利于银行加强风险管理。
3.更加有利于实现审计的价值
风险管理和风险管理审计的目的都是为了实现战略目标,实现银行价值增加。风险管理审计侧重于风险管理过程的评价,通过评价风险管理过程来减少由于风险造成的经营成本的增加,并且风险管理审汁作为一种内部审计,并不局限于风险管理的审计,因此通过对业务流程及周围环境分析,不仅可以提供一些经营管理等其他方面的建议,起到一举多效的作用,而且也有利于實现内部审计的价值。
4.有利于信息沟通,树立银行风险管理文化
银行内部各部门之间需要及时的信息沟通,才能有效地、及时地解决银行面临的风险问题。但是,各部门之间有时是不能做到这一点的。内部审计的独立地位使得内部审计需要了解所有部门的信息,通过询问、观察、调查问卷等审计技术综合掌握银行信息资料,将信息在不同部门传递、沟通,从而加深了各部门之间的相互了解,有利于各部门从全局角度考虑风险问题,树立良好的风险管理文化。
【银行风险信息管理系统】推荐阅读:
2024银行从业考试《风险管理》每日一练:风险管理信息系统08-23
银行声誉风险管理07-18
银行信贷风险管理系统10-18
村镇银行信用风险管理07-30
银行风险管理培训心得01-04
中国银行合规风险管理06-24
光大银行风险管理实例07-18
银行信贷风险管理分析08-17
商业银行风险管理习题11-08
商业银行合同风险管理12-16