信息科技风险管理浅谈陈文雄2009 年 11 月1提纲一、信息科技现状二、防范信息科技风险的要点21 、我国银行业电子化和信息化建设经过二三十年的发展,取得了世界瞩目的成绩。同时面临许多挑战2 、我国银行业金融机构信息化水平发展很不平衡 用户数 交易量一、信息科技现状33 、信息科技治理不到位 治理文化未形成、公司治理与 IT治理、治理架构不全、责任不清晰、人员不足、培训不到位4 、信息科技的价值不能充分体现 信息资产与财务资产 无标准与有标准一、信息科技现状4一、信息科技现状5 、信息科技风险的定位不清楚或不恰当。信息科技风险与总体风险的关系过于间接,在新巴塞尔协议中,把信息科技风险定位为操作风险的一部分,实际上,与其他风险相比,信息科技风险的影响比其他风险大得多 流动性与系统问题 水能载舟也能覆舟6 、信息技术是万能的 处理能力强 记忆无限 场所无限 智能与弱智 电梯运行 5 7 、信息安全面临挑战 一是银行业金融机构之间的差异性大,用一个标准衡量,既不利于大银行的信息安全保障,也不利于小机构的发展;二是我国银行业开放参与国际合作,面临来自资本市场、会计准则和信息披露要求等方面的严峻挑战;三是公众意识淡薄;四是安全测评不到位 ;五是金融危机影响 IT 的投入,外包方有变数;六是新资本协议的实施对系统产生的新要求 ;七是混业经营带来新的管理压力。一、信息科技现状6一、信息科技现状8 、业务处理同质化 87 年股市黑色星期一 多家机构共用同一服务商9 、信息科技只定为支持服务 只关注业务的需求不关注决策710 、内控目标不合理 合规不是内控最终目标 “ 要我做变我要做” 过度崇拜认证和形式主义 不用信息科技防范整体风险一、信息科技现状8一、信息科技现状11 、信息科技工作的实际情况“ 说起来很重要、做起来急着要、排起队来次要、出了问题什么都不要”信息科技管理是“一把手”工程信息科技风险管理靠“事件推动”好了伤疤忘了痛信息科技风险管理本身“灯下黑”信息科技工作评价标准 重建轻管 对事件零容忍 100 与 60 分9二、防范信息科技风险的要点1 、定位 信息科技是支柱 风险防范还处于初级阶段 治理是关键2 、讲特色,要以“我”为主、与文化交融 特色是提高风险管控能力和发展业务的根本。应多元化地开展信息科技风险管理工作 手机短信 一卡通3 、建立中国特色的治理文化 解决西方文化与东方文化的融合 104 、忧患 IT ...