2013年信息科技风险与控制评估工作汇报目录项目背景与目标1工作回顾2工作成果展示3梳理过程中问题发现4下一步工作5一、项目背景与目标我部信息科技全面风险管理工作要求,保障“安全运营”总行内部控制小组(审计部、法律合规部)对各条线年度内部控制自评估工作要求(一般每年9月底开展)风险管理部对操作风险管理控制自评估(RCSA)相关通知和要求(要求3月底完成风险点/控制点清单):风险点清单目的是,针对银行现有各产品/非产品环节中的薄弱点,辨识并分析诊断可能面临的风险,据以归类整理为可能产生的风险点清单。并通过设定与风险损失事件模型的映射关系,为RCSA/LDC/KRI三大模型所用控制清单的制作目的是在执行RCSA时,作为对控制进行评估的参考,应对风险点的控制进行适当的描述,并根据该描述对控制给予定性评价。控制清单的存在可作为控制描述的指引和参考,评估者可通过参考控制清单对本领域控制措施进行具体描述。,从而确定各领域最需要关注的操作风险点,以便加强控制、减少损失同时满足风险管理部RCSA、:风险点/控制点清单梳理工作成果信息科技风险专项检查报告信息科技风险点/控制点清单阶段二:开展风险控制全面自评估2013年2月2013年3月2013年4月2013年5月2013年6-9月工作阶段成果阶段三:开展信息科技风险专项检查一、项目背景与目标现阶段工作下一步工作目录项目背景与目标1工作回顾2工作成果展示3梳理过程中的发现4下一步工作5二、,包括139个风险点159个控制点。制度梳理共梳理光大现行政策、制度、细则、体系约85份,期间运维中心制度不断更新,在工作中进行反复梳理、更新底稿。访谈及初稿确认初步完成风险控制梳理底稿后跟据梳理结果,访谈控制涉及的相关团队进行风险控制确认。项目过程中访谈人员约50人,涉及团队约20个。终稿确认及反馈结合访谈了解的实际情况,对风险控制梳理初稿进行修改,完成终稿,十大板块共梳理子流程124个、风险点347个,控制点381个;对问题形成建议。信息风险专项检查按照风险控制梳理成果,对信息科技十大领域进行内控自评估,对控制的执行情况进行评估。信息科技风险/控制评估对347个信息科技风险进行评估,建立关键风险指标对381个控制进行评估,已设计并完善相关控制,已更好地应对风险二、工作回顾风险领域子领域个数子流程个数风险点控制点信息科技治理22142222信息科技战略与架构11111212信息科技风险管理1751217信息安全59555253信息系统开发、测试与维护74706774信息科技运行102818999业务连续性2662525外包49444349数据管理29292530已有成果:普华永道一期风险控制梳理成果,重点针对科技风险指引及COBIT风险因素清单安永2011年内部控制规范梳理成果监管要求及制度光大现有制度,包括政策、制度、细则、体系及其他等85份银监会、财政部、人民银行等机构颁布的行业监管要求等18份体系ITIL体系研发过程体系数据体系架构全面质量管理体系风险控制输出三、工作成果展示每个信息科技领域对应一个风险控制清单依据风险损失事件类型标准,对风险进行清晰定位依据控制目录标准对识别出的控制进行分类工作成果展示-概述三、-,我们保留了现有领域的一级目录,并对领域的二级三级目录进行了重新调整,使各领域中的控制活动与此领域的相关性最大。按照一级目录划分形成的十大信息科技领域如下:信息科技治理信息科技战略与架构信息科技风险管理信息安全信息系统开发、(关键风险指标)按风险领域进行更好的呈现
信息科技风险点控制点清单梳理 汇报 来自淘豆网m.daumloan.com转载请标明出处.