(四) 风险趋势分析,对不同时期的相同任务结果进行对比,分析同一风险的增强或减弱情况,了解风险的发展趋势。 第二十条 风险分析可采用以下手段: (一) 专家经验; (二) 风险分析模型; (三) 风险分析工具。
第二十一条 评估分析人员针对风险评估任务中揭示的风险类型和状态,结合组织机构、业务需求和安全要求,提出风险处置建议,包括降低、转移或消除风险的措施、预期效果等。
第二十二条 评估分析人员编写风险评估报告,内容包括风险评估任务描述、风险分析、风险处置建议等。评估报告经评估管理人员审核后提交信息科技管理委员会。
第二十三条 风险评估过程(附件1)分为三个阶段:风险评估准备、信息收集和风险识别分析。
第五章 风险评估准备
第二十四条 根据风险评估计划,总行信息科技管理委员会或一级分行提出信息科技风险评估任务,编制风险评估任务书(附件 2 ),明确任务目标、评估对象、评估范围、任务起止时间、风险管理部门等。
第二十五条 风险管理部组建风险评估团队,指定风险评估管理人员、风险评估人员和风险评估分析人员,并授权风险评估团队开展风险评估工作。 第二十六条 评估管理人员组织制定风险评估任务计划书(附件 3),明确风险评估实施活动的计划安排,主要包括:
(一) 团队组织:包括成员名单、角色、职责等内容; (二) 工作计划:描述各阶段的工作安排,包括工作内容、 时间进度和各阶段成果清单等内容。
第二十七条 评估管理人员组织设计评估方案,评估方案包括风险检查表 (附件4 )、信息收集方式、风险分析方法等。 第二十八条 设计风险检查表时遵循以下过程: (一) 分析评估对象的业务目标和IT服务目标; (二) 识别实现IT 目标的工作流程和资源;
(三) 识别影响工作流程和资源中的关键因素,主要考虑各流程要素的活动内容、关联关系、流程目的、实现方式、所需资源等;
(四) 根据关键因素设计风险检查项、检查指标和评价权重,形成风险检查表。
第二十九条 评估管理人员通过风险评估启动会等形式启动具体风险评估工作。
第六章 信息收集
第三十条 评估管理人员将风险检查表分发给评估人员,并告知信息收集方法及填写要求。
第三十一条 评估人员通过调阅文档、收集日志、现场访谈、工具测评等方式获取风险评估所需信息。信息内容包括但不限于:IT 制度及执行情况、技术文档、以往审计报告、风险管理报告、日志记录、访谈记录、测试报告等。 第三十二条 评估人员根据采集的信息,填写风险检查表,并保留证据。 第三十三条 评估管理人员督查信息收集进展情况,按计划收回风险检查表,
并审核填报信息质量。必要时,可要求评估人员补充信息和附加证据。 第三十四条 评估管理人员将风险检查表提交评估分析人员。 第七章 风险分析
第三十五条 评估分析人员按评估方案确定的风险分析方法对风险检查表进行汇总、梳理,评定风险等级,分析风险成因,提出风险处置建议,形成风险评估报告 (附件5 )。报告包括但不限于以下内容:
(一) 风险评估任务概述 (二) 风险评估活动描述
(三) 风险分析,包括总体风险分析、风险占比分析、风险对比分析、风险趋势分析
(四) 风险成因分析 (五) 风险处置建议 (六) 详细风险列表
第三十六条 评估分析人员将风险评估报告提交评估管理人员。
第三十七条 评估管理人员定期督查风险分析进展情况,指导风险分析工作,组织审核风险评估报告,形成正式报告提交风险管理部负责人。
第三十八条 风险管理部将风险评估报告上报信息科技管理委员会,并通过风险评估任务总结会等形式,通报风险评估情况。 第三十九条 风险管理部将风险评估资料归档管理。 第八章 附则
第四十条 本管理办法由某银行总行制定并负责解释和修订。 第四十一条 本管理办法自发布之日起执行。
相关推荐:
loading