信息科技风险报告

2024-11-08

信息科技风险报告（精选7篇）

1.信息科技风险报告篇一

银行信息科技风险自查报告

在人们越来越注重自身素养的今天，报告的适用范围越来越广泛，我们在写报告的时候要注意语言要准确、简洁。你还在对写报告感到一筹莫展吗？以下是小编为大家收集的银行信息科技风险自查报告，仅供参考，欢迎大家阅读。

银行信息科技风险自查报告1

按照上级领导的指示，我行认真贯彻精神，为充分做好重要时期金融网络和信息系统安全保障工作，防范我行信息科技风险，保障计算机系统运行和操作安全，建立和完善信息科技风险管理机制。对我行的信息科技工作进行了一次全面的自我评估及审查。现将审查情况报告如下：

一、设备间建设规范和管理规范

（1）设备间安装了温湿度仪表，以用来监控机房温度和湿度，并能够及时开启控温控湿设备来保证机房的温度和湿度。

（2）设备间每周由网点经理或支行行长来对设备间的环境状况进行检查，并登记成册，以确保设备间保持整洁和规范。

（3）设备间严格控制出入人员，并保证营业网点外来人员有相关证件登记。

（4）支行技术人员每年一次对设备间的主要设备进行巡检，确保设备能够正常使用，并在相关登记本上记录。

二、应急管理和终端安全

（1）支行会不定期对一些预案进行检查，确保这些预案是最新的，且告知网点人员张贴在需要的地方。

（2）支行每年会抽取一定的网点人员进行培训和演练，并书写心得和体会，确保网点人员能够正确的应对突发状况。

（3）支行每月会不定期的抽查相关电脑的软件安装情况，检查是否存在私自安装不必要的软件，以及是否私自开通ADSL等违规的网络。

银行信息科技风险自查报告2

一、网络运行风险

1、来自互联网和移动磁介质上病毒的攻击。随着我区农村信用社电子化建设的发展，计算机技术在农村信用社各项业务中的广泛应用，部分员工因病毒防范意识较为薄弱，加上计算机水平又是参差不齐，有的员工很难主动发现客户端系统出现的漏洞从而实施补丁升级，U盘滥用且从不进行病毒扫描，这样就容易造成内部信息泄漏或网络阻塞，中断重要业务的正常运行。

二、操作流程风险

随着业务的更新和科技步伐的加快，员工的计算机操作业务能力与严格执行规范程序不适应,综合柜员制未能全面落实,不能够完全掌握农信社的各项业务操作流程及处置程序,必然会造成操作失误而导致风险。操作风险大致分为以下几方面:

1、操作行为不规范,安全防范意识差。目前，我区农村信用社计算机操作员一般只通过了短期辅导培训，未能全面掌握计算机理论知识及运用技术，主要表现在：一是一些操作人员对计算机知识的`缺乏，

经常出现操作性错误；二是操作人员基本安全意识不强，缺乏安全防范意识；三是人员调离或岗位变动时不及时注销操作员，导致操作员不便于管理；四是人离机不退，个别人随意离开工作岗位，也不签退，给他人可乘之机，造成了严重的信息安全隐患。

2、不严格执行操作流程，造成安全隐患。由于部分员工跟不上当前农村信用社电子化建设步伐，对推出的硬件设备以及电子化产品及功能不熟悉或风险意识不强等原因造成了在操作过程中出现系列风险。一是操作人员不严格执行硬件设备的操作流程，造成设备损坏，致使重要业务中断的风险；二是没有定期对机器除尘、保养，使微机在较恶劣环境下带“病”工作，计算机运行报错或元器件损坏时有发生，影响了信用社窗口的服务效率和形象；三是不严格按照业务操作流程操作业务系统程序，给他人或科技结算中心造成不必要的负担。

为此我们将严格按照省市联社关于计算机管理的一系列相关要求，对日常计算机信息管理中存在的问题经行重点监督和整改：

1、严格业务系统、办公系统与因特网等公众系统的隔离，无法隔离的要随时升级杀毒程序，同时严格移动磁介质的使用范围、杀毒流程。加强员工计算机知识培训，提高员工的电脑操作技能，制定防

毒策略，养成良好的上网习惯，严防病毒侵害。

2、加强对一线人员的操作流程、各项基本规定的培训，加强对信息专管员的培训，提高其处理计算机及网络故障、防范计算机及网络风险的能力；对业务操作人员要重点抓好计算机知识的普及培训工作，建立各种形式的岗位培训和定期轮训制度，提高职工的政治素质、业务技能、敬业精神、计算机业务操作水平和安全防范综合能力。一线人员的操作和授权不能流于形式，坚决杜绝各种混岗现象，严格遵循管理制度。

3、严格操作规范及操作权限管理

随着农村信用社的发展，信贷系统，财务系统，OA系统的成功上线并投入使用，操作人员必须学习和掌握农村信用社的操作流程和各项规章制度,加强制度执行力的管理。操作员密码必须定期不定期修改，并严格按规定设置操作员及操作员密码，还需定期修改密码，多用字母或符号，严禁使用6位相同数字或电话号码或生日号码等，严禁口头或电话告知操作密码。

4、加强内控建设，强化监督，完善防范机制。首先，建立柜员岗位制约为主，做到责任到岗、落实到人、相互制约、互相监督。其次，

全面落实以主任、内勤主任为主的监管体系，确保做到实时监管，及时发现问题，及时进行整改，消除风险隐患。再则，加强会计事后监督和电视监控系统管理，加大查处力度，重点是督促基层社各项计算机制度执行与落实，提升基层执行力，以此推进和完善防范制度，切实做到防患于未然。

5、日常维护方面，由基社信息专管员负责每周一次对机房卫生清理和设备故障排查，发现问题及时上报科技信息部处理；每月在各基社网点信息专管员的配合下，对网络设备的运行和管理进行维护和检查至少一次，全辖的ATM和POS机由科技信息部统一管理，落实基社网点专人负责，加大专管人员的培训，使日常操作、维护工作和安全防范措施得以落实。

银行信息科技风险自查报告3

一、网络运行风险

来自互联网和移动磁介质上病毒的攻击。随着我区农村信用社电子化建设的发展，计算机技术在农村信用社各项业务中的广泛应用，部分员工因病毒防范意识较为薄弱，加上计算机水平又是参差不齐，有的员工很难主动发现客户端系统出现的漏洞从而实施补丁升级，U盘滥用且从不进行病毒扫描，这样就容易造成内部信息泄漏或网络阻塞，中断重要业务的正常运行。

二、操作流程风险

1、操作行为不规范,安全防范意识差。目前，我区农村信用社计算机操作员一般只通过了短期辅导培训，未能全面掌握计算机理论知识及运用技术，主要表现在：

一是一些操作人员对计算机知识的缺乏，经常出现操作性错误；

二是操作人员基本安全意识不强，缺乏安全防范意识；

三是人员调离或岗位变动时不及时注销操作员，导致操作员不便于管理；

四是人离机不退，个别人随意离开工作岗位，也不签退，给他人可乘之机，造成了严重的信息安全隐患。

2、不严格执行操作流程，造成安全隐患。由于部分员工跟不上当前农村信用社电子化建设步伐，对推出的硬件设备以及电子化产品及功能不熟悉或风险意识不强等原因造成了在操作过程中出现系列风险。

一是操作人员不严格执行硬件设备的操作流程，造成设备损坏，致使重要业务中断的风险；

二是没有定期对机器除尘、保养，使微机在较恶劣环境下带“病”工作，计算机运行报错或元器件损坏时有发生，影响了信用社窗口的服务效率和形象；

三是不严格按照业务操作流程操作业务系统程序，给他人或科技结算中心造成不必要的负担。

为此我们将严格按照省市联社关于计算机管理的一系列相关要求，对日常计算机信息管理中存在的问题经行重点监督和整改：

1、严格业务系统、办公系统与因特网等公众系统的隔离，无法隔离的要随时升级杀毒程序，同时严格移动磁介质的使用范围、杀毒流程。加强员工计算机知识培训，提高员工的电脑操作技能，制定防毒策略，养成良好的上网习惯，严防病毒侵害。

3、严格操作规范及操作权限管理

4、加强内控建设，强化监督，完善防范机制。首先，建立柜员岗位制约为主，做到责任到岗、落实到人、相互制约、互相监督。其次，全面落实以主任、内勤主任为主的监管体系，确保做到实时监管，及时发现问题，及时进行整改，消除风险隐患。再则，加强会计事后监督和电视监控系统管理，加大查处力度，重点是督促基层社各项计算机制度执行与落实，提升基层执行力，以此推进和完善防范制度，切实做到防患于未然。

2.信息科技风险报告篇二

关键词：金融科技,信息技术,外包模式,应对策略

一、引言

进入21世纪以来, 信息技术呈现爆炸式发展, 我国金融市场全面开放后, 商业银行经营环境逐渐改变、经营体制改革不断深化, 银行业的市场竞争也随之趋于白热化, 高质量、低成本的市场需求使得越来越多的商业银行选择将信息技术进行外包, 不仅能降低自身的投资风险, 还可以将有限的资源更多地投入到核心业务中, 从而降低成本、提高效率、集中优势资源, 最终提升自身核心竞争力, 获取市场竞争优势。

然而, 信息技术外包在给银行带来诸多优势的同时, 自身也蕴含了诸多风险, 随着信息科技与银行业务融合度越来越高, 信息科技风险事件频发。信息科技的可靠性、安全性和有效性直接关系银行的稳健运行, 其蕴含的风险甚至能引发银行的系统性安全隐患, 导致银行金融体系无法正常运转。因而不可忽视银行信息技术外包潜在的和已产生的风险, 应对其进行分析, 并找出应对策略和风险管理办法, 从而做到趋利避害, 更好地建设我国商业银行信息技术外包规制。

二、银行信息技术外包的概念

服务外包是指企业将价值链中原本由自身提供的具有基础性、共性、非核心的IT业务和基于IT的业务流程剥离出来后, 外包给企业外部专业服务提供商来完成的经济活动。因此, 服务外包应该是基于信息网络技术的, 其服务性工作 (包括业务和业务流程) 通过计算机操作完成, 并采用现代通信手段进行交付, 使企业通过重组价值链、优化资源配置, 降低成本并增强企业核心竞争力。

2005年2月, 巴塞尔银行监管委员会公布了《金融服务外包》, 为金融服务外包监管提供指引。该文件将金融服务外包定义为“受管制实体在持续性的基础上利用第三方来完成一些一般由受管制现在或将来所从事的事务, 而不论该第三方当事人是否为公司集团内的一个附属企业, 或为公司集团外的某一当事人。”可以简单地将外包理解为“使用外部资源完成由内部资源负责的任务”。银行信息技术外包即银行以合同方式委托信息技术服务供应商提供所需的信息技术服务, 同时还伴随着银行的信息技术资产由信息技术供应商管理、运营、支持和维护, 其具体业务包括信息设备的引进和维护、信息技术应用的开发和维护、信息系统的运作和管理等。通过将信息技术外包, 银行可以集中精力发展核心业务, 增强自身核心竞争力, 同时还能保持自身信息技术水平的先进性, 从而达到提升自身的市场竞争力的目的。

三、我国银行信息技术外包现状及特征

(一) 我国信息技术外包现状

自从20世纪90年代开始, 我国银行便开始了经营体制改革, 外包业务正是改革创新中的一个重要方面。国内银行在激烈的市场竞争中想要站稳脚跟, 就必须集中精力发展自己的核心业务和优势领域, 以此提升自己的综合竞争力, 而自身并不擅长的领域就以外包的方式交给在这方面具有优势的企业。银行业的信息技术外包主要包括银行信息系统、通信网络和应用系统的管理, 系统备份、信息备份、设备更新及维护等服务, 手机银行、网上银行等新型业务, 以及数据分析、办公自动化等综合技术业务。随着科技进步和金融发展, 以及全球一体化经济浪潮的到来, 我国银行业逐渐与世界金融市场接轨, 越来越多的商业银行开始寻求更高效的管理方案和更先进的发展经验, 因此信息技术外包也逐渐普遍起来。由于国内缺乏统一的监管制度, 各家银行分别选择适合自身发展的外包服务提供商, 寻求最优信息技术外包模式。虽然我国信息技术外包业务起步较晚, 但是随着这几年的发展已经取得了很大的成就, 技术水平显著提高, 因而我国银行凭借着外包企业优质的软硬件环境最大化了自身的竞争优势。国内银行信息技术外包形式主要为“传统外包服务”, 即外包服务商向银行提供一对一的运营维护外包服务, 其服务形式专注于针对客户银行的个性化服务, 用户和厂商签订固定价格。市场上还有“管理托管式服务”和“效用计算模式”等外包类型, 在未来几年内这3种服务类型将共同存在。

(二) 信息技术外包特征

1. 银行对于信息系统的安全性、保密性和精确性要求高。由于银行业务关系到储蓄方和投资方的切身利益, 同时还掌握了双方的信用数据、财务数据、交易数据等重要信息, 因此信息系统需要具有极强的保密性。同时银行的每一个数字都与金钱挂钩, 即使很小的误差也能造成巨大的损失, 因此信息系统也需要具有相当强的精确性。另外, 由于银行的信息和数据十分重要, 坚决不允许信息被泄露或网络受到攻击, 一旦银行信息泄露将导致银行与客户双方的利益遭受严重损失, 同时还会使银行的权威性受到质疑, 因此银行信息系统需要非常高的安全性。

2. 银行业对信息技术外包认识不足, 风险管理不到位。虽然近些年来我国商业银行逐渐与国际金融业接轨, 在管理模式上有了创新和转变, 而且对于信息技术外包也有一定的经验, 但是大部分银行并未开展全方位的信息技术外包, 主要还是因为外包的目的仅限于降低成本, 这样的动因导致国内银行信息技术外包的局限性较高且模式较单一, 因此国内商业银行需要对于信息技术外包有全方位的认识和更深入的思考。

3. 银行信息系统规模大, 建设成本高, 维护成本高。银行机构庞大, 内部数据错综复杂, 各分支机构业务种类不同, 数据流量大且业务范围广, 因此对于银行信息系统建设的专业性要求高, 需要一次性投入高成本才能完成。而后期的维护和支持服务也需要花费大量财力和人力, 业务量相当庞大, 因此如果商业银行想要做好信息技术外包, 就需要选择在信息技术领域有经验的外包服务商。

4. 银行对新信息技术应用需求强烈, 需要能够对市场业务迅速作出调整。外包员工对于自身领域的新信息技术较为熟悉, 却不熟悉银行内部工作流程;银行信息技术部门人员对信息技术更新较慢, 但是对于银行业务较为熟悉。因此对于银行提出的新技术、新业务需求, 外包服务提供商应多与银行信息部门人员沟通交流, 以便对银行市场业务需求迅速做出调整, 尽快适应银行新的需求。

四、银行信息技术外包可能造成的风险

商业银行进行信息技术外包可谓是一把“双刃剑”, 在得到极大优势的同时必然要面临相应的风险。

(一) 过分依赖服务商可能导致“套牢”

银行将信息技术外包后, 与服务商签订合同, 而服务商在得到外包合同后很可能在合同上和技术上“套牢”银行, 银行在投入了大量财力和人力后如果想替换服务商, 需要投入更高的成本, 因此服务商可能利用这种情况提出一些额外的要求, 来获取后续合同和更多的利润, 而银行只能满足外包服务商的额外要求。

因此, 这也关系到银行对外包服务商的监督和激励, 如果没有良好的监督机制和激励策略, 外包服务商便不会有足够的动力为银行提供服务, 甚至会产生道德风险和投机风险, 对银行利益造成威胁。

(二) 合同签订出现风险

合同部分是信息外包业务的最关键部分, 银行和外包服务商签订的合同需要科学有效, 合同是否明确规定了双方的义务责任以及激励惩罚机制, 直接决定了外包服务的有效性和可行性。因此能否在合同中科学地划定双方责任、义务和奖惩机制, 直接关系到双方的利益以及双方出现冲突时能否有效解决矛盾, 更直接关系到银行能否有效维护自身的合法权益。如果合同缺乏灵活性, 将会导致信息技术变革时银行无法应对外包变化, 只能投入更大成本。

(三) 基于社会环境的风险

银行和外包服务商信息不对称能够引起交易风险, 而社会这个宏观环境也是引起外包风险的一个不可忽视的因素。由于国内信息技术外包业务起步较晚, 对应的市场机制和调节功能并不健全, 相应的法律法规较国外也不够完整, 没有对外包服务商的运作和维护等服务提出明确的规定和规章, 因此只能依照一般银行要求去做, 服务的条款也是由银行和外包服务商制定, 因此外包市场的稳定性较差。假如银行发现外包服务商有违规行为而采取法律手段解决, 就我国目前的相关法律法规而言, 很难给双方一个较为满意的处理办法, 因而导致陷入僵局。

(四) 服务商对于新技术掌握可能不强

提供外包服务的关键是外包服务商强大的技术力量, 外包服务商专业技术是否强大直接决定了外包项目能否保质按时完成, 以及完成的情况是否能够满足银行的要求。虽然银行在挑选外包服务商的时候会专门进行一系列严格的考察和评估, 然而这并不意味外包服务商与银行业务具体结合后一定能够提供高质量、高效率的服务。一旦因为外包服务商技术力量支撑不足而导致外包项目被迫延迟甚至半途而废, 对银行来说在时间和成本上都是巨大的损失。外包服务商的专业技能主要包括以下几面:提供必要服务的能力、对当前和未来需求的支持能力、关键人员的技术能力、针对风险的应急措施和反应能力。如果外包服务商的技术人员专业化技术知识和经验欠缺, 会严重影响外包项目的信息化建设, 还会影响该信息技术外包项目对社会组织的适应性和针对性;如果外包服务商缺乏对市场需求的洞察力和先进的信息技术, 将会在后期新技术的开发上跟不上银行的实际需求, 无法为银行提供最先进的信息技术, 最终影响银行的综合竞争力。

(五) 可能存在道德风险

银行选择外包服务商是出于信任, 而过分的信任有可能让外包服务商为了自身利益, 利用银行的信任做出损害银行的行为, 这种行为被称为道德风险。如果银行对外包服务商依赖性过强, 便会受制于承包商, 不仅严重影响信息技术服务的先进性和灵活性, 转变承包商或推出外包业务关系也会变得十分困难。

五、银行信息技术外包风险的应对策略

对于银行信息技术外包存在的风险, 首先国内银行应该重视这些可能对自身造成重大损失的风险, 其次应该找出对策积极应对这些风险。

(一) 银行应与外包服务商共同建立应急预案

银行的信息系统部门应与外包服务商制定全面的针对本行信息系统的应急预案, 对外包业务进行全面考虑, 包括其可能因为各种原因导致的服务中断等后果以及对应的解决办法。如果信息系统外包缺乏全面的应急计划, 将会导致不必要的信息泄露、信誉风险、财务损失等问题, 最终损害银行声誉、威胁客户隐私权, 对银行造成不利影响。因此, 需要建立健全信息技术安全保障机制, 确保信息系统管理部门有健全的信息技术安全保障措施和应急恢复能力。另外, 应急预案必须包括对外包服务商替换的成本, 如果外包服务商表现欠佳或不符合银行要求, 银行迫不得已需要将其替换甚至取消业务, 然而这样做的成本较高, 因此需要将此成本纳入应急预案中。

(二) 建立全面的信息技术外包风险管理文化

信息技术外包能够顺利实施的基础是银行对风险的良好掌控和管理, 因此银行要建立全面有序的外包风险管理文化。应确立全面的风险管理指导思想, 将信息技术外包风险要素全面纳入风险管理范畴。外包风险可能给银行造成巨大损失, 因此不能仅将它视为等同于银行的内部控制, 需要推进风险管理, 对风险进行有效地识别、检测和控制, 将风险管理和防控作为经营管理的要务, 做到全面统一信息技术外包风险管理范、全程监管信息技术外包过程、培养全员信息技术外包风险管理意识、引进最新信息技术风险管理方法措施、努力全面发展银行内部的风险管理文化。

(三) 建立良好的信息技术人才培养机制

21世纪最有价值的资源就是人才, 银行信息技术风险管理和防控的要素中, 人才是拥有决定性作用的因素, 因此外包过程及风险管理过程需要对银行业务、信息技术、数理统计等方面都十分精通的复合型人才。银行应该培养银行内部员工的专业知识、信息技术能力以及风险管理观念, 全面提升各业务条线员工的综合素质, 或招聘选拔一批高学历、有责任感、精通业务和信息技术的管理人才, 最终组建一支高层次、复合型、高素质的信息技术外包风险管理团队。

六、结论

银行信息技术外包已经成为当代银行发展的一种趋势, 也是银行想要提升核心竞争力必不可少的一方面, 其优点十分明显:银行通过利用信息技术服务商提供的专业技能和先进的管理经验, 产生成本优势、专业优势和业务优势, 将有限资源集中在核心竞争力的提升上, 发展自身优势并提升市场竞争力。然而由于我国金融机构信息技术服务外包处于起步阶段, 银行在享受信息技术带来外包的同时还面临许多外包服务蕴含的风险, 如外包合同签订的风险、信息技术外包文化缺失风险、基于社会环境的风险、外包服务商考察评估不严格的风险等。

国内银行对于风险的管理和防控还有很长的路要走, 不仅要遵循银行信息系统外包风险防控的指引原则, 还要制定全面的指导政策, 在外包服务商的评估、考察和选择上也要考虑潜在的风险因素, 建立针对突发情况应急预案以及紧急恢复方案, 健全信息技术安全, 建立全面的信息技术外包风险管理文化, 并通过培养或招聘的形式发展高层次、复合型的信息技术人才, 提高员工素质, 最终建立一套完整的信息技术外包管理控制体系, 提高我国银行信息技术风险管理水平, 增强银行核心竞争力和可持续发展能力, 促进我国银行安全、持续、稳健的发展。

参考文献

[1]陈生萍.从外包商层面探讨银行IT外包的风险及对策[J].人力资源管理:学术版, 2009 (11) :5-6.

[2]黄珽.我国银行服务外包研究分析[J].科技信息, 2010 (34) :363.

[3]胡浩青.商业银行金融外包服务对策与展望[J].中国金融电脑, 2010 (10) :13-15.

[4]张磊.信息科技外包风险管理现状与对策[J].金融电子化, 2012 (9) :52-54.

[5]张雪东.美国银行业服务外包监管的经验借鉴[J].南方金融, 2012 (12) :54-58.

3.商业银行的信息科技风险管理篇三

关键词：商业银行；信息科技；风险管理

中图分类号： F830.33 文献标识码：A 文章编号：1006-3544（2013）05-0031-02

一、商业银行信息科技风险

在信息技术与银行业务深度融合的今天，信息科技风险事件往往涉及范围广、客户多、金额大，在给银行造成经济损失的同时，也会带来很大的声誉损失。银监会前主席刘明康曾表示：“如果银行系统中断1小时，将直接影响该行的基本支付业务；中断1天，将对其声誉造成极大伤害；中断2～3天以上不能恢复，将直接危及其他银行乃至整个金融系统的稳定。”因此，可以毫不夸张地说信息科技安全运行和健康发展是银行业务正常开展的重要保障和基本前提，关乎银行声誉、金融安全和社会稳定。表1显示了近年来商业银行发生的几起典型信息科技风险事件。

根据中国银监会发布的《商业银行信息科技风险管理指引》，信息科技风险是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。在巴塞尔新资本协议体系中，信息科技风险被视为操作风险的一种。它具有区别于一般操作风险的特殊性：（1）风险因素复杂，大量使用外包和新技术使得风险控制的复杂度大幅提高。（2）潜伏性、偶发性和不确定性突出。比如，通过充分风险论证的生产系统，短期内无风险隐患，而随着生产环境的压力逐步扩大，系统的脆弱性就会逐步暴露；一个具有很高安全性的电子银行，随着病毒的不断变种，黑客技术的提高，新的安全问题就会出现。（3）信息科技风险一般不直接造成经济损失，其造成的间接损失难以计量且极可能引发声誉风险。（4）影响范围广。单个信息系统的故障就可能影响银行多项业务。在银行数据大集中的形势和背景下，信息科技风险也趋于集中，成为惟一能使银行瞬间瘫痪的风险。

从国内的监管导向看，笔者认为信息科技风险管理有两个重要的目标：一是保证银行业务的稳定和连续；二是保护客户信息安全。如果不能实现这两个目标，则可能引发直接或间接的经济损失以及声誉风险和法律风险。

二、信息科技风险的影响因素

从前述信息科技风险管理的两个目标出发，可以通过分析影响目标实现的因素来了解引致信息科技风险的原因。影响银行业务的稳定和连续的因素主要有软硬件故障、人员误操作、关键人员离岗、系统超负荷运行、网络瘫痪、电力中断、病毒传播、应用系统及版本出现异常、数据缺失或丢失、外包服务不到位、自然灾害或人为损坏设备、缺少业务连续性计划、灾备基础设施不健全、日常应急演练不充分，等等。影响客户信息安全的因素主要有内部人员利用流程、权限漏洞盗用客户数据；外部人员运用技术手段侵入系统盗用客户信息；内外勾结盗用客户信息、外包服务商泄密等等。

以上这些因素在巴塞尔新资本协议中也有相关的描述。巴塞尔新资本协议对操作风险的损失事件形态分为7个类型，吴博（2010）将其中与信息科技风险的损失事件有关的三个类型整理后大致覆盖了引发信息科技风险的因素，见表2。

当然，上述这些影响信息科技风险管理目标实现的因素仍只是引发信息科技风险的中间变量，其本身也可被视作信息科技风险的表现形式。透过这些表现可以很容易发现管理不到位才是导致信息科技风险的最根本原因。

从实践来看，近年来信息科技快速发展有力支持了商业银行各项业务的快速扩张。但同时，管理、运行维护跟不上的矛盾也日渐突出，“重建设、轻管理、重开发、轻运维”的现象较为普遍。有监管部门研究表明，近年来发生的信息科技风险事件中，多数事件发生都源于制度不健全、流程不完善、落实不到位，很少有纯粹技术原因引发的事件。因此，可以说管理到位是防范信息科技风险的关键。

三、信息科技风险管理措施

信息科技风险管理应贯穿于信息科技工作的全流程，涉及到信息科技风险管理的“三道防线”，需要由信息科技部门和各业务部门共同完成。具体管理措施如下：

1. 完善风险治理架构，各司其职。构建和完善信息科技风险管理的三大防线，即信息科技管理、信息科技风险管理、信息科技风险审计，从三个不同角度、不同纬度，对风险进行立体防控。需要注意的是三大防线的安排不应是简单的对应信息科技风险管理的事前、事中、事后三阶段，风险管理部门、审计部门应积极参与到业务连续性计划制定、应急演练、系统开发、外包管理等信息科技日常风险管理工作中，实现风险管理的前移。

2. 健全管理制度体系，重在执行。建立、健全信息科技管理制度和业务操作流程并认真执行。制度建设要从新产品上线或新系统投产前开始，要建立完善的上线或投产方案以及上线或投产后相关的管理制度和业务流程，并制定回退机制或应急预案以应对意外情况。同时，要积极研究各类信息安全风险案例，总结归纳新的风险点，有针对性地完善制度。要建立制度执行的监督评价机制，商业银行的董事会、监事会、高级管理层以及审计部门要切实监督评价信息科技各项制度的执行情况，对制度执行不到位的责任人要进行问责或处罚。

3. 合理规划系统资源，未雨绸缪。（1）纵向规划发展进度。在系统规划设计阶段就要评估能否满足未来较长时间的业务需求，合理安排系统升级、版本切换等工作。（2）横向匹配系统资源。在系统资源短期内不变的情况下，合理分配资源，通过系統分级，将资源优先分配给等级高的系统以保障重要系统的稳健运行。

4. 密切监测系统运行，防患未然。通过技术平台对信息系统的运行状况进行全程监控。一、二级骨干网是否畅通、网点终端和自助设备是否运行正常、应用系统是否正常服务、是否有异常交易、网络是否遭到非法入侵等，都必须纳入实时监控范围，以确保在第一时间发现问题和风险点，及时采取应对措施，防患于未然。

5. 落实业务连续计划，加强演练。要在全行层面建立和完善可操作性强、覆盖各信息科技系统的业务连续性计划和应急预案，包括业务恢复机制、风险化解和转移措施、数据备份以及应对媒体的统一策略等。针对新发生的突发事件以及新发现的薄弱环节，要及时对预案进行总结更新。加强应急预案演练，以保障银行在突发重大事件面前，能从容应对，迅速恢复生产运营，尽可能降低损失。

6. 推进科技队伍建设，提升能力。首先，要明确岗位职责，因岗定人，岗位匹配，并落实岗位制衡。其次，要完善激励约束机制，以激发员工的主观能动性，并使科技队伍保持基本稳定。最后，要加强培训，培养员工风险防范意识和风险防范能力，提高员工的信息科技业务水平。

4.信息科技风险报告篇四

查报告

一、网络运行风险

二、操作流程风险

随着业务的更新和科技步伐的加快，员工的计算机操作业务能力与严格执行规范程序不适应,综合柜员制未能全面落实 ,不能够完全掌握农信社的各项业务操作流程及处置程序,必然会造成操作失误而导致风险。操作风险大致分为以下几方面:

1、操作行为不规范,安全防范意识差。目前，我区农村信用社计算机操作员一般只通过了短期辅导培训，未能全面掌握计算机理论知识及运用技术，主要表现在：一是一些操作人员对计算机知识的缺乏，经常出现操作性错误；二是操作人员基本安全意识不强，缺乏安全防范意识；三是人员调离或岗位变动时不及时注销操作员，导致操作员不便于管理；四是人离机不退，个别人随意离开工作岗位，也不签退，给他人可乘之机，造成了严重的信息安全隐患。

为此我们将严格按照省市联社关于计算机管理的一系列相关要求，对日常计算机信息管理中存在的问题经行重点监督和整改：

毒策略，养成良好的上网习惯，严防病毒侵害。

3、严格操作规范及操作权限管理

5.银行信息科技风险的治理途径篇五

中国农业发展银行总行营运中心李小庆

信息科技风险治理的主要目标是为了采取一定的有效措施，规避信息科技风险带来的损失，同时需要平衡信息科技风险防控所收获的价值和开展信息科技风险防控活动所需的成本。257 信息化建设一直是现代银行发展战略的重要组成部分。最近十年，银行信息化建设一直在高速向前发展。随着数据大集中工程的启动及完成，银行信息化从信息基础设施到业务系统的建设，都取得了较为明显的成效，信息化总体架构已经成熟，各类业务应用系统已经初具规模。各类信息系统已经成为银行提供客户服务、获取市场价值、培育核心竞争力的重要途径。

但是，随着银行信息化规模的日益扩大，信息科技风险的防控及治理始终是银行信息化建设和管理的薄弱环节。2009年，银监会发布《商业银行信息科技风险治理指引》（以下简称《指引》），从信息安全、信息系统开发和信息科技运行等多个层面对信息科技风险治理进行了清晰规定。从《指引》中，我们可以解读到，信息科技风险治理是以可接受的成本识别、控制、降低可能影响信息系统风险的过程，通过风险识别，制定信息科技风险治理策略，采取适当的控制目标与控制方式对风险进行控制，使风险被避免、转移或降低到一个可以被接受的水平，同时考虑控制费用与风险之间的平衡。信息科技风险治理体系主要包含信息科技风险识别、分析与评价，信息科技风险的计量，信息科技的治理思路和控制措施。

一、信息科技风险识别、分析与评价

信息科技风险治理的主要目标是在可接受成本的范围内，分析信息系统面临的潜在风险，并采取一定措施控制和防御风险的过程。风险识别是指对组成信息科技风险因素在系统中潜在可能性认识的过程，风险分析是指系统化地识别和分析风险来源和风险类型，风险评价是指按组织制定的风险标准计算风险水平，确定风险严重性。

1．风险识别

信息科技风险的组成因素，一般包含价值信息资产、信息资产面临的威胁、信息资产的脆弱性等。信息资产是对组织具有价值的信息资源，是风险控制措施保护的对象。信息资产面临的威胁是可能对信息资产或组织造成损害的潜在因素。信息资产脆弱性是信息资产可能被威胁利用的弱点。风险识别是对信息系统和信息基础设施的威胁、脆弱性和风险的识别，它包含以下元素：被特定威胁利用的信息资产的一种或一组脆弱性，导致信息资产丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的集合。风险识别过程是综合分析信息科技风险各组成因素，包含信息资产的价值、对信息资产的威胁和威胁发生的可能性、信息资产脆弱性、现有的风险控制提供的保护等，从而导出风险的过程。银行对信息科技风险一般具有偏好性考虑，其结果受到业务需求及战略目标、文化、业务流程、风险要求、信息规模和结构的影响，因此在风险识别实施前，应确定风险识别的范围和目标，建立适当的组织结构，建立系统化的风险识别方法，获得管理者对风险识别工作的批准。

2．风险分析

在进行风险识别之后，必须就各项风险对整个信息系统的影响程度做一些分析和评价，通常这些评价建立在以特性为依据的判断和以数据统计为依据的研究上。风险分析的方法非常多，一般采用统计学范畴内的概率、分布频率、平均数、众数等方法。但无论是哪一种工具，都各有长短，而且不可避免地会受到分析者的主观影响。可以通过多维度、多人员分析或者采取头脑风暴法等尽可能避免。此外，应当明确，风险是一种变化着的事物，基于这种易变条件上的预测和分析，是不可能做到十分精确和可靠的。所有的风险分析都只有一个目的，即尽量为避免信息系统提供的服务失控和为具体的信息系统开发和运行中突发问题预留足够的后备措施和缓冲空间。

3．风险评价

信息科技风险评价方法有两种：定量方法和定性方法。定量分析是试图从财务价值上对构成风险的信息资产的各项要素进行量化分析评价的一种方法，由于定量分析所依赖的数据的可靠性和有效性很难保证，加之对数据统计缺乏长期性，所以，定量分析方法在银行信息科技风险评价中并不常用，取而代之的是更容易实施的定性分析方法。

定性风险评价并不强求对构成风险的各个要素进行精确的量化评价，它有赖于评价者的经验判断、业界惯例以及组织自身定义的标准，来对风险要素进行相对的等级分化，最终得出的风险大小，只需要通过等级差别来分出优先顺序即可。事实上，银行最关心的是业务活动的持续性，对于影响业务活动持续性的各种风险问题，在有限的资源支持情况下，只需要抓住最突出的问题，有针对性地采取措施即可。

二、信息科技风险计量方法

风险计量是在风险识别的基础上，根据信息科技风险组成要素的相关属性进行赋值，进行综合计算最终获得信息科技风险值。信息资产的属性主要是资产价值，威胁的属性主要是威胁主体、影响程度、影响范围等，脆弱性的属性主要是信息资产缺陷的严重程度。风险计量的主要内容是对信息资产进行识别，并对信息资产的价值进行赋值；对威胁进行识别，描述威胁的属性，并对威胁潜在影响程度赋值；对信息资产的脆弱性进行识别，并对具体信息资产的脆弱性的严重程度赋值。风险计量原理如图1所示，具体计量方法进行如下介绍。

1．信息资产风险的计量

信息资产是指任何对银行具有价值的信息资产，包括计算机硬件、通信设施、机房、数据库、文档信息、软件、信息服务和人员等，所有这些信息资产都需要妥善保护。为了进一步定义其价值，一般需将其分类，除一般认可的软件、硬件、数据信息资产外，还需增加人员、服务等项目，在此基础上可进一步细分，以达到精细化管理的要求。对细分后的信息资产，需定义其价值。这里所讲的价值并不是财物价格，而是从信息科技风险的角度，即机密性、完整性、可用性的价值取值。如果采取三级分类法对信息资产进行划分，分类标准参照如下。

（1）关键信息资产：从保密性而言，对应为机密级，涵盖重要的信息、信息处理设施和系统资源，只能给少数必须知道者（特定的任务群体），一旦泄漏，会造成严重的损害（部门或特定范围）。

（2）重要信息资产：从保密性而言，对应为秘密级，涵盖一般性的商业秘密，泄漏后会造成一定的损害，但不会造成重大的影响与损失。未经授权的更改、破坏或误操作对信息系统造成一定的影响，或给业务带来明显冲击。

（3）普通信息资产：并非敏感信息，主要限于内部使用。一旦泄漏，并不会造成显著的影响。很难采用精确的财务方式来给信息资产确定价值，一般采用定性的方式来建立信息资产的价值或重要度，即按照事先确定的价值尺度将信息资产的价值划分为不同等级。经过信息资产识别与估价后，组织应根据信息资产价值的大小进一步确定需要保护的关键信息资产。

2．威胁风险的计量

威胁风险的计量用以评价威胁发生时对信息资产造成的潜在影响或后果，威胁一般能对信息基础设施进行损坏，还有可能导致信息泄密，或信息完整性和可用性受损，信息服务质量下降，严重的甚至可能造成信息系统崩溃、信息服务中断，直接影响银行的经营利润和声誉风险。不同的威胁可能对银行及其信息资产的影响程度不尽相同，其导致的价值损失可能也不一样，威胁的可能性可以采取资产的相对价值的损失度来衡量，资产的相对价值是通过折旧损耗之后资产的现值，价值损失度表示当信息资产遭遇威胁攻击之后，信息资产及信息服务质量遭受损失的程度。威胁的可能性一般可分为三级，取值标准如下。

（1）高：在业务活动持续期间，威胁发生后，会对资产的相对价值造成全部损失或巨大损失。

（2）中：在业务活动持续期间，威胁发生后，会对资产的相对价值造成中度损失或局部损失。

（3）低：在业务活动持续期间，威胁发生后，会对资产的相对价值造成轻微损失或零损失。

3．脆弱性风险的计量

由于组织、人员、管理、技术、流程、信息资产本身的缺陷，导致信息资产和信息基础设施在某些方向存在一定的脆弱性，这些脆弱性在信息系统连续运行的过程中，当遇到某种环境或某类事件时，就会被激发或体现出来，它可能导致信息资产直接受损或信息系统运行质量下降，同时还有可能被某种威胁利用，导致较为严重的后果。因此，应该针对每一项需要保护的信息资产，分析其脆弱性存在的地方及严重程度，评价由于其脆弱性的存在，当意外事件或威胁发生时，会给银行带来的直接或间接的损失或伤害。信息资产脆弱性一般分为三级，取值标准如下。

（1）高：当有意外事件或脆弱性被威胁利用，会造成存在此脆弱性的信息资产立即停止为相关业务提供服务。

（2）中：当有意外事件或脆弱性被威胁利用，会造成存在此脆弱性的信息资产降低为相关业务提供服务的效率，但服务仍可继续。

（3）低：当有意外事件或脆弱性被威胁利用，会造成存在此脆弱性的信息资产对继续为相关业务提供服务没有影响。

最终每项信息资产的风险状况可用以下方法简单计算得到：

风险值=信息资产价值*威胁可能性*弱点严重性

资产价值、威胁可能性、脆弱性严重性采用三级分类，其低、中、高取值分别为1、2、3，资产的风险值则有1、2、3、4、6、8、9、12、18、27等结果。我们可以定义风险值在l至9的资产为低风险资产，风险值12至18为中等风险资产，风险值27为高风险资产。银行可根据自己的风险偏好，确定可接受的风险程度，如低风险可接受，而中高风险不可接受，然后对不可接受风险采取相应的控制措施。通过降低风险发生的可能性，确保信息资产的残余风险控制在银行可接受的范围内。

三、银行信息科技风治理思路

按照国际信息系统审计与控制协会ISACA的观点，信息科技风险治理是一个由各类信息关系和信息科技风险治理活动过程组成的治理结构，用以指导、分析和控制信息科技风险。信息科技风险治理的主要目标是为了采取一定的有效措施，规避信息科技风险带来的损失，同时需要平衡信息科技风险防控所收获的价值和开展信息科技风险防控活动所需的成本。因此，不仅仅要从技术层面规避风险，同时要从流程、技术、人员三个不可分离的层面来从事信息科技风险的管理工作。目前在信息科技风险管控方面，银行还需满足外部监管部门的要求，从而避免给银行带来更大的合规风险。

1．提出信息科技风险治理需求

信息科技风险是信息系统各组成要件在履行其应用功能过程中，在完整性、可用性、抗否认性和机密性等方面存在的脆弱性，以及信息系统内部或外部的人们利用这些脆弱性可能产生的违背信息系统所属组织风险管理意志的行为及其后果。信息科技风险治理需求则是对抗和消除信息科技风险治理风险的必要}生和可行陛，它是制定和实施信息科技风险治理策略的起点和依据。在制定信息科技风险治理策略前，首先需要进行信息科技风险治理风险识别，充分分析信息科技风险治理需求。为此，银行需要详细分析银行信息系统的构成，所要保护的信息系统资源类别，以及对攻击者攻击目的、技术手段和造成的后果的假设，兼顾所受到的已知的、可能的和与该系统有关的威胁，以及构成信息系统各部件的缺陷和隐患共同形成的风险等，从而提出信息科技风险治理需求。

2．确定信息科技风险治理策略

信息科技风险治理需求转变为信息科技风险治理策略主要把握三个平衡标准：一是能够采取一定的方法将信息科技风险降到可以接受的程度；二是潜在的信息科技风险的威胁随时有可能对现有信息资产的价值进行催毁或造成较大程度的损失；三是银行自身的合规建设和外部监管部门的合规要求。

一个较好的信息科技风险治理策略，应该最大限度地按照信息科技风险治理等级保护要求对信息资产的脆弱性进行保护，对信息资产面临的威胁进行防控、规避或消除，能够体现系统资源拥有者和管理者的信息科技风险治理意志和思路，保证攻击信息系统所花的代价远远大于获取信息资产的现值和潜在价值。同时，信息科技风险治理策略应尽可能地制约所预见的系统风险及其变化，并在维持“风险一信息科技风险治理一投资”关系中具有持续平衡能力。

3．建立信息科技风险治理体系

将信息科技风险治理策略付诸实施的关键，是建立起符合银行实际的保障信息资产的信息科技风险治理组织体系、管理体系和技术体系，从而在管理和技术上保证信息科技风险治理策略得以完整准确地实现，全面准确地满足信息科技风险治理需求。其中，组织体系是信息系统信息科技风险治理的组织保障，由人、岗位和人事管理机构三部分组成；管理体系是信息科技风险治理的灵魂，由法律管理、制度管理、培训和管理四部分组成，信息科技风险治理需求分析和信息科技风险治理策略制定是其关键内容；技术体系是全面提供信息科技风险治理保护的技术保障系统，包括确定必需的信息科技风险治理服务、信息科技风险治理机制和技术管理以及它们在信息系统上的合理部署和配置。

四、信息科技风险防控方法

通过对银行信息科技治理、全面的信息科技项目风险管理、信息系统开发、维护、运行管理、信息风险体系的建立、银行业务连续性管理、技术外包管理、内部和外部审计等几方面结合，具体论述银行各类信息科技风险的防控策略和建立一体化防控机制的措施，通过建立有效的防控机制，实现对银行信息科技风险的识别、计量、评价和控制，提供风险预警，增强银行的核心竞争力和可持续发展的能力。

1．建立信息科技风险治理的决策议事机构

在银行风险管理委员会和信息化委员会的基础上，在其下面建立信息科技风险治理的议事决策机构——信息科技风险管理分委会，信息科技风险管理分委会由银行的最高管理层及与信息科技风险治理有关的部门负责人、管理技术人员组成，定期召开会议，并就以下重要信息科技风险治理议题进行讨论并做出决策，为银行信息科技风险治理提供导向与支持：评审和审批信息科技风险治理策略；分配信息科技风险治理职责；确认风险评价的结果；对与信息科技风险治理有关的重大更改事项，如组织机构调整、信息系统更改等进行决策；评审和监测信息科技风险治理事故；审批与信息科技风险治理有关的其他重要事项。

2．明确信息科技风险治理的职责和流程

职责缺乏或界定不清，最终导致信息科技风险控制得不到有效的实施，形成管理风险。银行最高管理者应确保对以下信息科技风险治理职责进行规定并形成书面文件：管理层职责，部门职责；在管理层指定一名信息科技风险治理经理，分管银行信息科技风险治理事宜，负责银行的信息科技风险治理方针的贯彻与落实，就信息科技风险治理的效果与有关重大问题及时与最高管理者进行沟通。确定与信息科技风险治理有关的管理、操作、验证等人员的职责；基本原则就是告知管理层和员工信息科技风险治理时的行为和方法，特别是在信息科技风险治理通常不被重视的地方。

3．建立信息系统的安全等级保护机制

银行需要按照国家及监管部门有关等级保护的管理规范和技术标准开展等级保护工作，建设风险设施、建立风险制度、落实风险责任，接受公安机关、保密部门对信息系统安全等级保护工作的监督、指导，保障信息系统风险。信息系统安全等级保护工作的原则为：对照标准定级，各信息系统风险保护等级的确定须对照监管部门或总行关于等级划分和定级的标准来确定；分级实施保护，根据确定的信息系统风险保护等级，按照相关的法规和标准，分级别实施不同强度的风险保护；建设保护同步，信息系统在新建、改建、扩建时须同步规划和设计风险方案，并组织实施；等级动态调整．信息系统的功能和系统架构发生重大变化的，须重新进行等级确定并实施风险保护。

4．加强与其他关联组织间的协作

信息科技发展日新月异，信息安全产品与技术不断翻新，信息安全威胁的手段与种类也在不断地变化。因此，对于外行来说，信息科技风险治理的某些方面是复杂的和困难的，对内行来说，同样也是复杂的和困难的。银行可通过各种方式，获取信息科技风险治理方面的建议以支持信息科技风险治理。与信息科技风险治理有关的国家管理机关有公安部、国家安全局、信息产业部等，银行在遵守信息科技风险治理法律法规的方面，应服从与信息科技风险治理有关的国家执法机构、人民银行和银监会的管理和指导。银行有必要保持和它们以及同业银行、信息服务供应商、电信运营商的适当联系，以确保在出现风险事故时尽快采取适当的行动和获得建议。但在进行风险信息的交流时，要防止银行的机密信息传给未经授权的人。

5．对信息科技风险治理工作进行独立评审

6.信息科技与电子银行风险管理篇六

信息科技发展现状

 完成了全省数据大集中

 各类业务系统和管理信息系统不断丰富  更好更快更优的服务

 对业务的支撑作用越来越大

 信息科技地位和受关注程度越来越高  信息科技风险日益积聚信息科技风险的概念

 IT风险是指在对信息科技的运用过程中，由于自然因素、人为因素、技术漏洞、管理缺陷产生的操作风险、法律和声誉等风险。

 特点：风险发生时影响较大

风险出现具有不确定性

对风险的估计或防范手段不足

对其他风险具有传导性

 对当前农村合作金融机构而言，最大的风险是对科技的不够了解，以至于没有纳入日常管理内容。

 信息科技风险管理的目标：通过建立有效的机制，实现对商业银行信息科技风险的识别、计量、监测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。

近年银行信息科技风险事件

 2007年3月21日，某全国性银行因主机监控软件存在缺陷，导致业务交易阻塞，系统瘫痪近4个小时，所有营业网点无法正常开展业务;

 8月15日，某全国性银行对计算机系统进行升级，但由于没有避开业务高峰期，导致个人业务系统运行不畅，业务办理速度缓慢，部分代理证券业务受阻，在持续5个半小时之后，系统才逐步恢复正常；

 12月21日，某全国性银行因运行中心核心网络设备出现故障，造成业务无法正常进行，虽启动应急预案，但仍然中断营业近1个小时；

 08年元月7日，某地方银行因主干专线的接入设备发生故障，造成在京117家支行网点柜台交易缓慢，业务无法正常进行，故障持续1个多小时才得以解决。

 06年4月，某大型银行间组织发生系统故障，导致所有银行卡跨行业务影响8个多小时

 2010年，发生多起某全国性银行、地方性银行、外资银行、银行间组织等严重信息科技运行事故。

监管当局VS信息科技风险

 2006年，银行业机构信息科技风险评价审计通知；

 2007年，落实信息科技风险评价审计整改及自评估工作的通知  2008年，发布《银行业重要信息系统应急管理规范（试行）》；  2009年，发布《商业银行信息科技风险管理指引》  2010年，发布《商业银行数据中心监管指引》、《银行业金融机构重要信息系统投产及变更管理办法》、《银行业金融机构外包风险管理指引等》

目前存在的主要风险及应对措施

 内控制度建设不完善，没有将科技纳入日常管理工作范围

二级法人体制下的科技建设矛盾和信息安全管理的矛盾

主要业务平台和结算渠道建设完成后,行社将成为特色业务、产品创新的主要角色

信息化快速发展造成行社科技管理的缺失：

对系统功能没有充分了解，影响业务管理，如授权、流程、劳动组合、产品创新

 科技人员不足、内部审计的空缺

现状：科技人员的缺乏，法人行社内部审计对科技信息风险管理监测的缺失

措施：未雨绸缪，结合精英培养工程，制定人才补充、培养计划

内部审计部门应配备足够的资源和具有专业能力的信息科技审计人员，独立于本银行的日常活动，具有适当的授权访问本银行的记录

充分重视科技队伍建设，做好人才储备，关键岗位

实现A、B岗

 没有正确认识业务与科技关系

科技的工具作用：引领作用、创新作用

科技工具的双面性：提高生产力水平和风险的隐蔽性、聚集性

关键工作：

业务规划、市场调研：科技充分介入

业务需求说明书：科学、详细，业务为主、科技参与

测试：重点关注、运行风险及业务风险关键

科技工作特点:风险大、责任大、压力大

科技人员工作软环境：理解、认可、支持，科技人员不是电工

科技为业务服务，科技需要走在业务的前面

 外包风险将是银行未来主要关注的信息科技风险

案例：

2006年4月21日，许霆与朋友郭安山利用ATM机故障漏洞取款，许取出17.5万元，许霆被广州中院判处无期徒刑。

2010年5月23日，云南农信昆明关雨信用社ATM出现故障，何鹏取1000元，取款机吐出了3700，ATM大方送钱近6万元。何鹏被抓，判无期，去年最高人民法院又改判为8年6个月。

措施：关键系统维护必须严格管理，制定完善的实施方案，清晰职责、履行审批手续，双人操作，换人复核，做好维护记录。

自己的系统自己管，落实制度、不能偷懒，外面的人员更要严管

 访问控制（内外网互联）

案例：

2004年，某大学生非法侵入合肥多家银行的计算机盗取客户资料，并公布于互联网上，对银行声誉产生了很大影响，该案是公安部成立网监部门后破获的第一起案件，该罪犯被判处2年徒刑。

某银行员工，采用拨号接入方式，在家中登陆业务系统，非法窃取资金500多万。

措施：关键系统维护必须严格管理，制定完善的实施方案，履行审批手续，双人操作，换人复核，做好维护记录。

专机专用、内外网物理分离、部署检测工具软件、不在外网机器存放敏感、涉密信息

 由业务而导致的科技风险

案例：

2010年，某大型银行一分行，提交50000笔代发工资业务，随即又进行取消操作，导致该行计算机系统停止服务20小时，该分行行长被调离岗位，科技部门负责人受到处分。

分析：数据修改、批量代发、中间业务等，业务对科技风险具有传导性。

措施：严格操作管理，对批量业务事先做好准备工作。计算机物理环境风险

 计算机实体安全：资源管理、冗余、防盗、变更、维护  机房基础设施：防火、防水、温控、冗余  机房出入管理：门禁、登记、陪同、监控  值班与监控：  物理安全域

所有设备都要有备份、冗余银行卡的种类及功能

 按照能否提供透支功能，银行卡可分为信用卡和借记卡  针对发卡对象的不同，银行卡可分为单位卡和个人卡

 按银行卡的帐号币种不同，银行卡可分为人民币卡、外币卡和双币种卡  储蓄功能、支付结算功能、汇兑转账功能、消费信贷功能银行卡业务风险

 银行卡风险管理的一般原则：  确定管理目标  进行风险评价

 风险控制及处置

银行卡风险管理的原则

 银行卡业务特有风险管理原则：

 从上到下的风险管理策略和流程明晰化原则

 深刻理解风险和收益对称的原则

 应用统计手段和系统化管理的原则

 有效风险管理组织架构的原则。

银行卡业务风险

 银行卡风险：信用风险、市场风险、操作风险、法律政策风险、声誉风险

 借记卡风险较低，主要是管理责任，包括：反洗钱、受理环境保障、风险提示义务银行卡业务风险

 信用风险：是指由于持卡人主观或者客观上的原因，违约拒付欠款而产生的坏账风险，由于信用卡属于无担保、无抵押的小额消费信贷产品，因此，信用风险是信用卡业务的一个最主要损失来源。

 应对措施：做好信用卡申请人员的身份、还款来源的审查工作，系统提供预警机制。 操作风险：是指由于人员、系统以及业务流程方面的问题而产生的风险，主要包括欺诈风险、内部操作风险、中介机构交易风险和系统安全风险。

 欺诈风险又分为欺诈性申请和欺诈性交易。欺诈者盗用他人身份信息而申请开户信用卡，是欺诈性申请，欺诈者盗取卡片或卡片的信息进行刷卡，是欺诈性交易。 欺诈风险也是目前最严重、危害最大的一类风险。

 应对措施：一是加强本行信息系统安全管理，建立各种交易风险监控机制，构建数据分析和风险预测模型， 二是加大与中国银联、公安部门及同业之间的信息沟通与交流合作，共享银行卡风险信息和风险控制的最新措施，通过各方的力量化解风险事件， 三是做好银行卡受理环境的预防工作，按照“谁发卡，谁负责”和“谁发展的特约商户，谁负责”的原则建立发卡机构和收单机构责任追究制度，定期对特约商户进行回访制度；加大对收单机构人员银行卡受理流程的培训，做到规范受理，不给犯罪分子可乘之机。

 四是加强对自助设备的巡查和监控力度。

 五是加强银行卡风险宣传工作，提高持卡人风险防范意识。 内部操作风险

 是指银行工作人员违规操作或操作失误造成银行资金损失，或者工作人员利用职务之便，与不法分子勾结、串通作案，引起发卡行或客户资金损失的风险。

 与外部欺诈风险和中介机构交易风险相比，此类案件不具有普遍性，但是由于是内部专业人员作案，手段更加隐蔽，对银行声誉的影响也更严重。 规范内部流程、明确岗位责任、加强监督制约

 声誉风险：往往是一种结果性的体现，银行卡业务环节中某一个利益主体在出现欺诈风险、系统安全风险或法律、政策性风险时，其未必会有直接性的财务损失，但往往会影响其良好品牌形象的维护，从而间接带来经济上的损失

 声誉风险也来自于客户的错误操作或是疏忽。安全风险会被夸大从而导致客户对银行失去信心。

 克隆网站、钓鱼网站等虚假网站会带来客户敏感信息泄露，引起资金损失从而影响银行声誉。

案例一：2009年3月8日，雷某在深圳某ATM机取钱，在正常输入密码后，听到点钞声，但出钞口未见钱出来，这时，雷某看到ATM机旁有一张“温馨提示”，就按照“温馨提示”留下的“服务热线”拨过去，对方在电话中称事主的银行卡出现故障，卡内资金已不安全，要求按提示转移到另一“安全账户内”，雷某立即在ATM上进行转账。导致资金受损1万元

 应对措施：加强对ATM机和转账业务的管理，未经持卡人主动申请并书面确认，发卡机构不得为持卡人开通电话转账、ATM转账、网上银行转账等自助转账类业务  为持卡人开通自助转账业务时，要向持卡人充分提示开通有关业务的风险，并要对持卡人进行更为严格的真实身份核查，确保实名开户。同时提示持卡银行卡密码设置不能过于简单、银行卡与身份证等证件尽量不要放在一处保管，领卡时及时在卡片背面签署持卡人姓名，不要在不安全的网站链接网银。

总结

 风险是可以转移的  风险就是收益

7.银行业信息科技风险管理动态扫描篇七

代表银行:齐鲁银行

2009年7月9日, 齐鲁银行内审部、风险管理部、科技部相关人员共赴上海, 参加了针对新《指引》召开的“商业银行信息科技风险管理专题研讨会”。这是齐鲁银行首次派出负责信息科技风险管理的三大部门相关人员共同进行学习和交流。

齐鲁银行早在2006年就组建了信息科技治理架构, 由科技部、风险管理部、内审部作为信息科技风险管理的三道防线, 分别司职事前IT管理、事中IT风险控制以及事后IT审计, 从而形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。通过技术措施、制度建设、人员管理三管齐下, 全方位提高了信息科技风险管理的能力和水平。

信息来源:齐鲁银行网站

主题词:评估

代表银行:招商银行

2009年8月28日, 招商银行发布了2009年半年度报告。报告介绍了招商银行信息科技风险管理方面的相关内容。根据中国银监会新《指引》的有关要求, 招商银行对总行和部分分行信息技术部进行了一次全面审计, 全面评估了公司的信息科技风险, 并通过发布《信息安全风险分析计算指引》、《总行信息技术部信息安全职责划分细则》, 进一步加强信息科技风险管理。

此外, 为满足监管要求, 进一步提升操作风险管理能力, 招商银行决定在总行层面成立独立的操作风险管理部, 负责全行的操作风险管理, 在全行建立起完整的操作风险管理体系并负责维护。

主题词:规划

代表银行:兴业银行

2009年, 兴业银行大力推进企业级信息科技风险管理体系建设, 制定了以“风险识别及发现”、“风险分析及监测”、“风险控制及预估”为重点的信息科技风险管理三年规划;为了有效保障重要信息系统的业务连续性, 组织开展了多项信息科技风险应急演练, 包括2009年度核心系统应急演练和系统回切工作等, 完善了应急组织架构及协作机制, 提高了信息系统的抗风险性能;加强信息系统日常管理, 针对软件、系统故障, 建立“研发骨干定期生产巡检机制”, 及时发现并排除异常情况和系统隐患, 保障信息系统安全、可靠、稳定运行。

主题词:严控

代表银行:广东发展银行

严控风险是广发行2009年工作重点之一, 现阶段, 广发行信息科技风险管理采用“广度优先、逐步提升”的策略, 重点在管理、技术、人员等方面提升信息安全管理水平和管理能力, 建立管理与技术相结合的全方位的风险管理体系。

一、制定科技战略规划目标和实施路径

广发行于2008年完成了五年科技战略规划目标和实施路径的制定, 信息科技风险管理和信息安全科技规划是其重要内容。科技规划定义了信息安全机制建设、信息安全相关系统和管理平台建设等多方面的信息安全管理实施路径。

二、完善信息科技治理

一是建立了系统完善的信息技术风险管理组织架构和机制, 构筑了以信息技术部、合规部、稽核部为主体的信息技术风险三道防线, 成立了信息系统突发事件应急领导小组、应急处置小组和支持保障小组三个小组, 建立了信息技术风险管理保障机制、信息技术风险评估和预警机制及信息技术风险应急处置机制三项机制。

二是制定了《科技规章制度管理办法》, 明确了信息科技相关制度制定、修订、废止的流程和审批制度。

三是加强信息安全队伍建设, 提高员工信息安全风险防范意识和水平。2008年, 广发行在总行各部门和各分行科技部设立了信息安全岗, 专门负责组织、落实本单位的信息安全管理工作。此外, 积极组织总行信息安全岗位人员和总行信息技术部相关岗位人员分批参加信息安全继续教育培训, 并组织编写全员信息安全手册, 确保全体员工了解并遵守信息安全管理要求。

三、采取有效的信息科技风险管理手段

一是认真开展内部审计和外部审计工作, 通过审计发现制度、流程、操作等方面存在的风险。

二是积极组织信息技术部的风险自查, 每月定期开展总分行数据中心机房现场检查, 每季度开展数据库操作、用户管理等高风险操作的专项检查。

三是严抓基础设施建设、灾难备份中心应急预案等方面的生产运行安全管理工作。

信息来源:广东发展银行网站

主题词:审计

代表银行:宁波银行

2009年6月22日至7月10日, 宁波市银监局针对银监会发布的新《指引》对宁波银行的组织结构、管理系统、IT稽核力度等方面进行了全面审计, 宁波银行在这次审计中的表现不俗。

在银监会出台新《指引》后不久, 宁波银行又一次在网上发布了招聘IT稽核人员的启事。早在2007年, 宁波银行就参照新加坡华侨银行的IT架构, 在内部的稽核部专门成立了IT稽核团队, 负责IT审计。

鉴于稽核团队成员目前只有寥寥数人, 且稽核的内容往往局限在制度层面, 无法深入到系统内部, 宁波银行决定扩招稽核人员, 并力求今后使稽核人员从系统开发的设计阶段就参与进来, 最终实现风险控制。

【信息科技风险报告】推荐阅读：

《商业银行信息科技风险管理指引》11-05