信息技术：风险因素和管理PPT文档格式.ppt

信息技术：风险因素和管理PPT文档格式.ppt

《信息技术：风险因素和管理PPT文档格式.ppt》由会员分享，可在线阅读，更多相关《信息技术：风险因素和管理PPT文档格式.ppt（64页珍藏版）》请在冰豆网上搜索。

InformationTechnology:

@#@RiskFactorsandKeyControlAreas信息技术：

@#@风险因素和管理信息技术：

@#@风险因素和管理OutlineoftheDiscussion提纲提纲ITexaminations-integrationandratingsIT检查综合与分级KeyITrisksandmitigatingcontrolsIT主要风险与化解方法Integratedsupervision-ITandfinancial综合监督IT和财务ITissues-businesslinereviewsIT问题业务部门检查Businessresiliency业务恢复Serviceprovider/outsourcingrisks服务提供商/外包的风险E-bankingissues电子银行问题2ITExaminations-IntegrationandRatingsITIT检查检查综合与分级综合与分级Partofsafetyandsoundnessexamination是安全性和稳定性检查的一部分Targetedexaminationmaybedoneforcomplexinstitutionsorspecificissues目标检查可用于综合性机构或特别事件Singlecompositeratingofperformance-“URSIT”rating-maybeasinglerating-e.g.strong,satisfactory,fair,marginallysatisfactory,unsatisfactory性能的单一因素评级“URSIT”评级可能是单一评级如很好、满意、一般、基本满意、不满意3Four“URSIT”components:

@#@“URSIT”的4个组成部分：

@#@Audit审计Management管理DevelopmentandAcquisition开发和购置SupportandDelivery支持和交付ITriskfactorsIT风险因素：

@#@Organizationalrisk机构风险Infrastructurerisk基础设施风险Integrityrisk完整性风险Securityrisk安全性风险Availabilityrisk有效性风险ITExaminations-IntegrationandRatingsITIT检查检查综合与分级综合与分级4ScopeofITExaminationITIT检查的范围检查的范围Otherkeyfactors:

@#@其他主要因素implementationofnewsystems新系统的使用significantchangesinoperationsincludingmergersorsystemconversions运作发生重大变化，包括合并或系统转化newormodifiedoutsourcingrelationshipsforcriticaloperations重要运作出现新的或调整后的外包关系5Areastoconcentrateon集中于以下领域：

@#@significantindustrytrends/issues重大的行业趋势/事件businesslineswhereinternalcontrolsorriskmanagementareheavilydependentoninformationtechnology内控或风险管理主要依靠信息技术的业务部门follow-uponissuesraisedbyinternalauditorinthelastreportofexamination跟踪内审或最后检查报告提出的问题ScopeofITExaminationITIT检查的范围检查的范围6DegreeofControl控制的程度控制的程度LevelofITrisks-dependsondegreeofcontrolIT风险的水平取决于控制程度In-houseoperations-100percent内部操作100%retainsallresponsibilityauthorityandaccountability保留所有的职责权限和义务Outsourcedoperations-0percent外包操作0%delegatessomeauthoritytoanoutsidepartythroughacontractwhileretainingaccountability通过合同将部分权限委派给外部机构，同时保留责任Vendor-0percent卖主0%productsdevelopedwithoutbankinput;@#@carefullyevaluatetherisks不用银行投入的产品开发；@#@仔细评估风险7AnalysisofURSITRatingFactorsURSITURSIT评级因素的分析评级因素的分析InternalAuditreviewincludes内部审计检查包括：

@#@Overalleffectivenessoftheauditprocess整个审计过程的有效性Auditindependence审计的独立性Adequacyofriskassessmentmethodology风险评估方法的适宜性Scope,frequency,accuracyandtimelinessofinternalandexternalauditreports内部和外部审计报告的范围、频率、准确性和及时性Extentofauditparticipationinapplication,development,acquisitionandtesting审计在应用、开发、盘购和测试方面的参与程度ITauditstaffandqualificationsIT审计人员和资格QualityandeffectivenessofinternalandexternalauditasitrelatestoItcontrols内部和外部审计在IT管理方面的质量和效力Overalladequacyofplanvs.ITrisks计划的充分性与IT风险8AnalysisofURSITRatingFactors,cont.URSITURSIT评级因素的分析（续）评级因素的分析（续）Managementreviewincludes管理层检查包括：

@#@Level/qualityofoversightandsupportofITprocessesIT程序监督与支持的水平/质量Effectivenessofriskmonitoringsystemsincludingidentification,measurement,monitoringandcontrollingrisks风险监督体系的有效性，包括风险识别、度量、监督和控制Managementplanning-newactivities-successionplan管理层规划新的活动连续性计划AdequacyofMISreports管理信息系统报告的充分性Awarenessofandcompliancewithlawsandregulation法律法规的认知和遵守Managementofcontracts,outsourcing,andservicedeliveryandmonitoringofthearrangements合同、外包、服务交付的管理和监督9Developmentandacquisitionreviewincludes:

@#@开发和盘购检查包括：

@#@OversightandsupportofsystemsdevelopmentandacquisitionactivitiesbyseniormanagementandBoard高级管理层和董事会对于系统开发和盘购予以监督和支持Accountabilityforsystemsdevelopment系统开发的义务AdequacyofSDLCandprogrammingstandards同步数据链路控制（SDLC）和编程标准的适宜性Qualityofprojectmanagementprograms,systemsdocumentationandsoftwarereleases专案管理程序、系统文件和软件发布的质量Independenceofqualityassurancefunction保证质量的职能的独立性Integrityandsecurityofthenetwork,systemandapplicationsoftware网络、系统和应用软件的完整性与安全性Involvementofclientsintheacquisitionprocess盘购过程中的客户参与AnalysisofURSITRatingFactors,cont.URSITURSIT评级因素的分析（续）评级因素的分析（续）10Supportanddeliveryreviewincludesadequacyof支持和交付检查包括：

@#@Operatingpolicies,procedures,andmanuals运做方针、程序和手册Physicalandlogicalsecurityincludingdataprivacy可操作的、合理的安全措施，包括数据保密Securitypolicies,procedures,andpracticesinallunitsandatalllevelsoffinancialinstitution金融机构各级别、各部门都有安全方针、程序和操作要求Servicelevelsthatmeetbusinessrequirements能够满足业务需求的服务水平Datacontrolsoverpreparation,input,processing,andoutput数据准备、输入、处理和输出的管理Corporatecontingencyplanningandbusinessresumption公司应急计划和业务恢复Programs/processesmonitoringcapacity/performance程序/程序监督能力/表现Qualityofassistanceprovidedtousers向客户提供的援助的质量ControlsoverandmonitoringofOSPsOSP的管理和监督Firewallarchitectures/securityofpublicnetworks防火墙体系/公共网络安全AnalysisofURSITRatingFactors,cont.URSITURSIT评级因素的分析（续）评级因素的分析（续）11IntegrationofKeyRiskFactors/Ratings主要风险因素的整合主要风险因素的整合/分级分级ReviewITrisksataninstitution-widelevel在机构范围内检查IT风险Developprocessestoevaluatethe