金融機構風險管理知識體系

『壹』 風險管理問題 1當前國內外金融市場金融機構面臨的主要風險 2 我國金融業尤其是銀行業風險管理現狀。

國內銀行業急需加強操作風險管理
離中行黑龍江河松街支行巨額存款失竊案曝光一年後，同屬於中行黑龍江分行的中行四馬路支行再曝巨額資金失竊案。該案至今尚有4億多元人民幣不知去向。據報道，自2003年3月起，集賢縣富強糧油貿易有限公司總經理朱德全先後以各種名義，從四馬路支行盜用承兌匯票96張，滾動金額達9.146億元，其中56張貼現後、兌付期之前以現金償還；其餘匯票貼現金額達4.325億元。也就是說，至今尚有4億多元人民幣不知去向。
一般來說，銀行承兌匯票，是指由企業出票人簽發的、委託銀行在指定日期無條件支付確定金額給收款人或持票人的票據。承兌匯票被盜後，持票人即可在其他銀行貼現竊取資金，而開出匯票的承兌行必須承擔承兌義務。因此在銀行系統內部，銀行承兌匯票向來視同現金管理，其出票、貼現和承兌，在一家銀行內部和銀行之間都有著嚴格的監管和復核系統。然而，四馬路支行先後開出的96張承兌匯票卻如隱形一般，從容擺脫了內外監管，安然無恙地體外循環長達兩年之久。更令人拍案驚奇的是，所有參與這一巨案策劃組織的，均是當地土生土長的銀行基層支行負責人和私營業主
而從四馬路支行盜用承兌匯票的大案來看，一方面說明，目前國有銀行的改革與重組正在發揮著一定的作用，長期隱藏於監管死角的罪犯們已無所遁形。另一方面也說明了在以往的銀行風險管理工作中，市場風險與信用風險較為受到重視，也有相應成熟的風險管理技術，但金融機構對操作風險的認識與管理卻相當不足，也沒有引起銀行業及監管當局足夠的重視。
所謂的操作風險就是指由於內部程序、人員、系統的不完善或失誤及外部事件造成損失的風險。操作風險的管理包括對銀行業務運作中各個操作環節制定相應的政策、規章制度、操作規范，對這些政策、制度執行情況進行檢查、事故調查、危機處理等相應的管理和保障措施。巴塞爾委員會曾發布了管理與監督操作風險的指導性文件，該文件提出了操作風險管理的基本原則和管理基本方法。
而四馬路支行盜用承兌匯票的大案也就是一項嚴重的操作風險大案。國內銀行承兌匯票業務不僅復雜程度不高，而且業務流程都有嚴格規則與程序，但是由於國內銀行缺乏健全的內部控制機制，所面臨的操作風險卻很大，一些表面上是其他風險造成的損失，從根本上是由於內部程序、人員、系統的不完善或失誤造成。四馬路支行的事件就是如此。
比如，按照現行國內使用承兌匯票的規定，空白銀行承兌匯票在分行一級進行保管，像中國銀行四馬路支行這樣的基層行，只能根據使用量到分行去申領，且申領必須填報要求出票的客戶情況以及使用目的。同時，針對前來貼現的匯票，貼現行必須仔細查詢，與出票行確認其真實性；針對大面額匯票（100萬元以上者），還需要到出票行實地復核。經過層層設防，虛假或盜用銀行匯票的情形很容易被拆穿。但是，在四馬路支行案中，這一系列監控措施一一被繞過，這當然與銀行內部人士的合謀有關。
就目前的情況而言，國內商業銀行對操作風險的認識與管理還處於十分低級的水平，國內銀行對操作風險管理措施與監管基本上還是停留在紙面上，缺乏健全的風險文化和有效的規章制度來保障有效監管得以進行。
因此，從四馬路支行案件的來看，要減少國內銀行業諸如此類的操作風險，就得先從完善落實風險文化，提高內部監管能力，規范操作流程，提高操作人員的業務水平與道德水平入手。特別應在建立便捷、完善、能控制風險的信息系統基礎上優化業務流程和風險管理模式，加強內外審計，把內部控制與外部監督有機結合起來，並應該把現代操作風險管理技術量化，建立風險指標體系，用來表徵某些業務操作風險的大小，從而為進行有效的操作風險管理提供科學的依據。國內銀行改革任重而道遠，如何來防範操作風險同樣是一項艱巨的任務。

『貳』 簡述我國的金融機構體系。。

按我國金融機構的地位和功能進行劃分，主要體系如下：

1、中央銀行。中國人民銀行是我國的中央銀行，1948年12月1日成立。在國務院領導下，制定和執行貨幣政策，防範和化解金融風險，維護金融穩定，提供金融服務，加強外匯管理，支持地方經濟發展。

2、金融監管機構。我國金融監管機構主要有：中國銀行業監督管理委員會，簡稱中國銀監會；中國證券監督管理委員會，簡稱中國證監會；中國保險監督管理委員會，簡稱中國保監會。

3、國家外匯管理局。成立於1979年3月13日，當時由中國人民銀行代管；1993年4月，根據八屆人大一次會議批準的國務院機構改革方案和《國務院關於部委管理的國家局設置及其有關問題的通知》，國家外匯管理局為中國人民銀行管理的國家局，是依法進行外匯管理的行政機構。

4、國有重點金融機構監事會。監事會由國務院派出，對國務院負責，代表國家對國有重點金融機構的資產質量及國有資產的保值增值狀況實施監督。

5、政策性金融機構。我國的政策性金融機構包括三家政策性銀行：國家開發銀行、中國進出口銀行和中國農業發展銀行。政策性銀行不以盈利為目的，其業務的開展受國家經濟政策的約束並接受中國人民銀行的業務指導。

6、商業性金融機構。我國的商業性金融機構包括銀行業金融機構、證券機構和保險機構三大類。

銀行業金融機構包括商業銀行、信用合作機構和非銀行金融機構。

證券機構是指為證券市場參與者(如融資者、投資者)提供中介服務的機構，包括證券公司、證券交易所、證券登記結算公司、證券投資咨詢公司、基金管理公司等。

保險機構是指專門經營保險業務的機構，包括國有保險公司、股份制保險公司和在華從事保險業務的外資保險分公司及中外合資保險公司。

(2)金融機構風險管理知識體系擴展閱讀

產生和發展

最早的金融機構是銀行，它起源於古代的銀錢業和貨幣兌換業，貨幣兌換業規則是現代銀行業的先驅。古代銀錢業及貨幣兌換交易大多發生在寺廟周圍，及在中世紀西歐數月依次的定期集市上。從商人陣營中逐漸分離出來的貨幣兌換商，最初只為各國的朝拜者和國際貿易兌換貨幣，並收取一定的手續費。

隨著商品生產和交換的持續擴大和發展，為避免自己保管貨幣和長途攜帶貨幣的不便和風險，部分異地貿易商和國際貿易商便將貨幣交由擁有良好保管設施的貨幣兌換商保管，並委託後者辦理異地支付、結算業務。

現代意義上的銀行起源於文藝復興時期的義大利。當時，地中海沿岸各國和地區經濟發展較快，貿易也異常活躍，處於地中海中心的義大利成為當時世界的貿易和金融中心，產生了世界上最早的銀行。此後，隨著世界商業貿易、金融中心逐步北移至荷蘭的阿姆斯特丹，銀行業擴展至西北歐其他國家。

社會的日趨細密，市場經濟不斷發展及其引致的多元金融需求，促成了其他金融機構的產生和發展。各類專業銀行，如投資銀行、不動產抵押銀行、進出口銀行等逐步出現；信託投資公司、證券公司、保險公司、金融公司、典當行等專業化金融機構，也漸次出現並在各自領域發揮重要作用。

『叄』 現代金融風險管理包含的基本知識點有哪些

（1）現代金融風險管理的基本概念和原理；（2）市場風險與資產負債管理的關系；（3）信用風險與資產負債管理的關系；（4）承保風險與資產負債管理的關系。

『肆』 銀行業金融機構信息系統風險管理指引的主要要求是什麼

機構職責
第六條 銀行業金融機構應建立有效的信息系統風險管理架構，完善內部組織結構和工作機制，防範和控制信息系統風險。
第七條 銀行業金融機構應認真履行下列信息系統管理職責：
（一）貫徹執行國家有關信息系統管理的法律、法規和技術標准，落實銀監會相關監管要求；
（二）建立有效的信息安全保障體系和內部控制規程，明確信息系統風險管理崗位責任制度，並監督落實；
（三）負責組織對本機構信息系統風險進行檢查、評估、分析，及時向本機構專門委員會和銀監會及其派出機構報送相關的管理信息；
（四）及時向銀監會及其派出機構報告本機構發生的重大信息系統事故或突發事件，並按有關預案快速響應；
（五）每年經董事會或其他決策機構審查後向銀監會及其派出機構報送信息系統風險管理的年度報告；
（六）做好本機構信息系統審計工作；
（七）配合銀監會及其派出機構做好信息系統風險監督檢查工作，並按照監管意見進行整改；
（八）組織本機構信息系統從業人員進行信息系統有關的業務、技術和安全培訓；
（九）開展與信息系統風險管理相關的其他工作。
第八條 銀行業金融機構的董事會或其他決策機構負責信息系統的戰略規劃、重大項目和風險監督管理；信息科技管理委員會、風險管理委員會或其他負責風險監督的專業委員會應制定信息系統總體策略，統籌信息系統項目建設，定期評估、報告本機構信息系統風險狀況，為決策層提供建議，採取相應的風險控制措施。
第九條 銀行業金融機構法定代表人或主要負責人是本機構信息系統風險管理責任人。
第十條 銀行業金融機構應設立信息科技部門，統一負責本機構信息系統的規劃、研發、建設、運行、維護和監控，提供日常科技服務和運行技術支持；建立或明確專門信息系統風險管理部門，建立、健全信息系統風險管理規章、制度，並協助業務部門及信息科技部門嚴格執行，提供相關的監管信息；設立審計部門或專門審計崗位，建立健全信息系統風險審計制度，配備適量的合格人員進行信息系統風險審計。
第十一條 銀行業金融機構從事與信息系統相關工作的人員應符合以下要求：
（一）具備良好的職業道德，掌握履行信息系統相關崗位職責所需的專業知識和技能；
（二）未經崗前培訓或培訓不合格者不得上崗；經考核不適宜的工作人員，應及時進行調整。
第十二條 銀行業金融機構應加強信息系統風險管理的專業隊伍建設，建立人才激勵機制，適應信息技術的發展。
第十三條 銀行業金融機構應依據有關法律法規及時和規范地披露信息系統風險狀況。
總體風險控制
第十四條 總體風險是指信息系統在策略、制度、機房、軟體、硬體、網路、數據、文檔等方面影響全局或共有的風險。
第十五條 銀行業金融機構應根據信息系統總體規劃，制定明確、持續的風險管理策略，按照信息系統的敏感程度對各個集成要素進行分析和評估，並實施有效控制。
第十六條 銀行業金融機構應採取措施防範自然災害、運行環境變化等產生的安全威脅，防止各類突發事故和惡意攻擊。
第十七條 銀行業金融機構應建立健全信息系統相關的規章制度、技術規范、操作規程等；明確與信息系統相關人員的職責許可權，建立制約機制，實行最小授權。
第十八條 在境外設立的我國銀行業金融機構或在境內設立的境外銀行業金融機構，應防範由於境內外信息系統監管制度差異等造成的跨境風險。
第十九條 銀行業金融機構應嚴格執行國家信息安全相關標准，參照有關國際准則，積極推進信息安全標准化，實行信息安全等級保護。
第二十條 銀行業金融機構應加強對信息系統的評估和測試，及時進行修補和更新，以保證信息系統的安全性、完整性。
第二十一條 銀行業金融機構信息系統數據中心機房應符合國家有關計算機場地、環境、供配電等技術標准。全國性數據中心至少應達到國家A類機房標准，省域數據中心至少應達到國家B類機房標准，省域以下數據中心至少應達到C類機房標准。數據中心機房應實行嚴格的門禁管理措施，未經授權不得進入。
第二十二條 銀行業金融機構應重視知識產權保護，使用正版軟體，加強軟體版本管理，優先使用具有中國自主知識產權的軟、硬體產品；積極研發具有自主知識產權的信息系統和相關金融產品，並採取有效措施保護本機構信息化成果。
第二十三條 銀行業金融機構與信息系統相關的電子設備的選型、購置、登記、保養、維修、報廢等應嚴格執行相關規程，選用的設備應經過技術論證，測試性能應符合國家有關標准。信息系統所用的伺服器等關鍵設備應具有較高的可靠性、充足的容量和一定的容錯特性，並配置適當的備品備件。
第二十四條 信息系統的網路應參照相關的標准和規范設計、建設；網路設備應兼備技術先進性和產品成熟性；網路設備和線路應有冗餘備份；嚴格線路租用合同管理，按照業務和交易流量要求保證傳輸帶寬；建立完善的網管中心，監測和管理通信線路及網路設備，保障網路安全穩定運行。
第二十五條 銀行業金融機構應加強網路安全管理。生產網路與開發測試網路、業務網路與辦公網路、內部網路與外部網路應實施隔離；加強無線網、互聯網接入邊界控制；使用內容過濾、身份認證、防火牆、病毒防範、入侵檢測、漏洞掃描、數據加密等技術手段，有效降低外部攻擊、信息泄漏等風險。
第二十六條 銀行業金融機構應加強信息系統加密機、密鑰、密碼、加解密程序等安全要素的管理，使用符合國家安全標準的密碼設備，完善安全要素生成、領取、使用、修改、保管和銷毀等環節管理制度。密鑰、密碼應定期更改。
第二十七條 銀行業金融機構應加強數據採集、存貯、傳輸、使用、備份、恢復、抽檢、清理、銷毀等環節的有效管理，不得脫離系統採集加工、傳輸、存取數據；優化系統和資料庫安全設置，嚴格按授權使用系統和資料庫，採用適當的數據加密技術以保護敏感數據的傳輸和存取，保證數據的完整性、保密性。
第二十八條 銀行業金融機構應對信息系統配置參數實施嚴格的安全與保密管理，防止非法生成、變更、泄漏、丟失與破壞。根據敏感程度和用途，確定存取許可權、方式和授權使用范圍，嚴格審批和登記手續。

第二十九條 銀行業金融機構應制定信息系統應急預案，並定期演練、評審和修訂。省域以下數據中心至少實現數據備份異地保存，省域數據中心至少實現異地數據實時備份，全國性數據中心實現異地災備。
第三十條 銀行業金融機構應加強對技術文檔資料和重要數據的備份管理；技術文檔資料和重要數據應保留副本並異地存放，按規定年限保存，調用時應嚴格授權。信息系統的技術文檔資料包括：系統環境說明文件、源程序以及系統研發、運行、維護過程中形成的各類技術資料。重要數據包括：交易數據、賬務數據、客戶數據，以及產生的報表數據等。
第三十一條 銀行業金融機構在信息系統可能影響客戶服務時，應以適當方式告知客戶。
研發風險控制
第三十二條 研發風險是指信息系統在研發過程中組織、規劃、需求、分析、設計、編程、測試和投產等環節產生的風險。
第三十三條 銀行業金融機構信息系統研發前應成立項目工作小組，重大項目還應成立項目領導小組，並指定負責人。項目領導小組負責項目的組織、協調、檢查、監督工作。項目工作小組由業務人員、技術人員和管理人員組成，具體負責整個項目的開發工作。
第三十四條 項目工作小組人員應具備與項目要求相適應的業務經驗與專業技術知識，小組負責人需具備組織領導能力,保證信息系統研發質量和進度。
第三十五條 銀行業金融機構業務部門根據本機構業務發展戰略，在充分進行市場調查、產品效益分析的基礎上制定信息系統研發項目可行性報告。
第三十六條 銀行業金融機構業務部門編寫項目需求說明書，提出風險控制要求，信息科技部門根據項目需求編制項目功能說明書。
第三十七條 銀行業金融機構信息科技部門依據項目功能說明書分別編寫項目總體技術框架、項目設計說明書，設計和編碼應符合項目功能說明書的要求。
第三十八條 銀行業金融機構應建立獨立的測試環境，以保證測試的完整性和准確性。測試至少應包括功能測試、安全性測試、壓力測試、驗收測試、適應性測試。測試不得直接使用生產數據。
第三十九條 銀行業金融機構信息科技部門應根據測試結果修補系統的功能和缺陷，提高系統的整體質量。
第四十條 銀行業金融機構業務人員、技術人員應根據職責范圍分別編寫操作說明書、技術應急方案、業務連續性計劃、投產計劃、應急回退計劃，並進行演練。

第四十一條 開發過程中所涉及的各種文檔資料應經相關部門、人員的簽字確認並歸檔保存。
第四十二條 項目驗收應出具由相關負責人簽字的項目驗收報告，驗收不合格不得投產使用。
第五章運行維護風險控制
第四十三條 運行維護風險是指信息系統在運行與維護過程中操作管理、變更管理、機房管理和事件管理等環節產生的風險。
第四十四條 銀行業金融機構信息系統運行與維護應實行職責分離，運行人員應實行專職，不得由其他人員兼任。運行人員應按操作規程巡檢和操作。維護人員應按授權和維護規程要求對生產狀態的軟硬體、數據進行維護，除應急外，其他維護應在非工作時間進行。
第四十五條 銀行業金融機構信息系統的運行應符合以下要求：
（一）制定詳細的運行值班操作表，包括規定巡檢時間，操作范圍、內容、辦法、命令以及負責人員等信息；
（二）提供常見和簡便的操作菜單或命令，如信息系統的啟動或停止、運行日誌的查詢等；
（三）提供機房環境、設備使用、網路運行、系統運行等監控信息；
（四）記錄運行值班過程中所有現象、操作過程等信息。
第四十六條 銀行業金融機構信息系統的維護應符合以下要求：
（一）除對信息系統設備和系統環境的維護外，對軟體或數據的維護必須通過特定的應用程序進行，添加、刪除和修改數據應通過櫃員終端，不得對資料庫進行直接操作；
（二）具備各種詳細的日誌信息，包括交易日誌和審計日誌等，以便維護和審計；
（三）提供維護的統計和報表列印功能。
第四十七條 銀行業金融機構信息系統的變更應符合以下要求：
（一）制訂嚴密的變更處理流程，明確變更控制中各崗位的職責，並遵循流程實施控制和管理；變更前應明確應急和回退方案，無授權不得進行變更操作；
（二）根據變更需求、變更方案、變更內容核實清單等相關文檔審核變更的正確性、安全性和合法性；
（三）應採用軟體工具精確判斷變更的真實位置和內容，形成變更內容核實清單，實現真實、有效、全面的檢驗；
（四）軟體版本變更後應保留初始版本和所有歷史版本，保留所有歷史的變更內容核實清單。
第四十八條 銀行業金融機構在信息系統投產後一定時期內，應組織對系統的後評價，並根據評價及時對系統功能進行調整和優化。
第四十九條 銀行業金融機構應對機房環境設施實行日常巡檢，明確信息系統及機房環境設施出現故障時的應急處理流程和預案，有實時交易服務的數據中心應實行24小時值班。
第五十條 銀行業金融機構應實行事件報告制度，發生信息系統造成重大經濟、聲譽損失和重大影響事件，應即時上報並處理，必要時啟動應急處理預案。
外包風險控制
第五十一條 外包風險是指銀行業金融機構將信息系統的規劃、研發、建設、運行、維護、監控等委託給業務合作夥伴或外部技術供應商時形成的風險。
第五十二條 銀行業金融機構在進行信息系統外包時，應根據風險控制和實際需要，合理確定外包的原則和范圍，認真分析和評估外包存在的潛在風險，建立健全有關規章制度，制定相應的風險防範措施。
第五十三條 銀行業金融機構應建立健全外包承包方評估機制，充分審查、評估承包方的經營狀況、財務實力、誠信歷史、安全資質、技術服務能力和實際風險控制與責任承擔水平，並進行必要的盡職調查。評估工作可委託經國家相應監管部門認定資質，具有相關專業經驗的獨立機構完成。
第五十四條 銀行業金融機構應當與承包方簽訂書面合同，明確雙方的權利、義務，並規定承包方在安全、保密、知識產權方面的義務和責任。
第五十五條 銀行業金融機構應充分認識外包服務對信息系統風險控制的直接和間接影響，並將其納入總體安全策略和風險控制之中。
第五十六條 銀行業金融機構應建立完整的信息系統外包風險評估與監測程序，審慎管理外包產生的風險，提高本機構對外包管理的能力。
第五十七條 銀行業金融機構的信息系統外包風險管理應當符合風險管理標准和策略，並應建立針對外包風險的應急計劃。
第五十八條 銀行業金融機構應與外包承包方建立有效的聯絡、溝通和信息交流機制，並制定在意外情況下能夠實現承包方的順利變更，保證外包服務不間斷的應急預案。
第五十九條 銀行業金融機構將敏感的信息系統，以及其他涉及國家秘密、商業秘密和客戶隱私數據的管理與傳遞等內容進行外包時，應遵守國家有關法律法規，符合銀監會的有關規定，經過董事會或其他決策機構批准，並在實施外包前報銀監會及其派出機構和法律法規規定需要報告的機構備案。

『伍』 金融機構風險為本管理原則包括以下哪些內容

第六條 銀行業金融機構應建立效信息系統風險管理架構完善內部組織結構工作機制防範控制信息系統風險
第七條 銀行業金融機構應認真履行列信息系統管理職責：
（）貫徹執行家關信息系統管理律、規技術標准落實銀監相關監管要求；
（二）建立效信息安全保障體系內部控制規程明確信息系統風險管理崗位責任制度並監督落實；
（三）負責組織本機構信息系統風險進行檢查、評估、析及向本機構專門委員銀監及其派機構報送相關管理信息；
（四）及向銀監及其派機構報告本機構發重信息系統事故或突發事件並按關預案快速響應；
（五）每經董事或其決策機構審查向銀監及其派機構報送信息系統風險管理度報告；
（六）做本機構信息系統審計工作；
（七）配合銀監及其派機構做信息系統風險監督檢查工作並按照監管意見進行整改；
（八）組織本機構信息系統業員進行信息系統關業務、技術安全培訓；
（九）展與信息系統風險管理相關其工作
第八條 銀行業金融機構董事或其決策機構負責信息系統戰略規劃、重項目風險監督管理；信息科技管理委員、風險管理委員或其負責風險監督專業委員應制定信息系統總體策略統籌信息系統項目建設定期評估、報告本機構信息系統風險狀況決策層提供建議採取相應風險控制措施
第九條 銀行業金融機構定代表或主要負責本機構信息系統風險管理責任
第十條 銀行業金融機構應設立信息科技部門統負責本機構信息系統規劃、研發、建設、運行、維護監控提供科技服務運行技術支持；建立或明確專門信息系統風險管理部門建立、健全信息系統風險管理規章、制度並協助業務部門及信息科技部門嚴格執行提供相關監管信息；設立審計部門或專門審計崗位建立健全信息系統風險審計制度配備適量合格員進行信息系統風險審計
第十條 銀行業金融機構事與信息系統相關工作員應符合要求：
（）具備良職業道德掌握履行信息系統相關崗位職責所需專業知識技能；
（二）未經崗前培訓或培訓合格者崗；經考核適宜工作員應及進行調整
第十二條 銀行業金融機構應加強信息系統風險管理專業隊伍建設建立才激勵機制適應信息技術發展
第十三條 銀行業金融機構應依據關律規及規范披露信息系統風險狀況
總體風險控制
第十四條 總體風險指信息系統策略、制度、機房、軟體、硬體、網路、數據、文檔等面影響全局或共風險
第十五條 銀行業金融機構應根據信息系統總體規劃制定明確、持續風險管理策略按照信息系統敏程度各集要素進行析評估並實施效控制
第十六條 銀行業金融機構應採取措施防範自災害、運行環境變化等產安全威脅防止各類突發事故惡意攻擊
第十七條 銀行業金融機構應建立健全信息系統相關規章制度、技術規范、操作規程等；明確與信息系統相關員職責許可權建立制約機制實行授權
第十八條 境外設立我銀行業金融機構或境內設立境外銀行業金融機構應防範由於境內外信息系統監管制度差異等造跨境風險
第十九條 銀行業金融機構應嚴格執行家信息安全相關標准參照關際准則積極推進信息安全標准化實行信息安全等級保護
第二十條 銀行業金融機構應加強信息系統評估測試及進行修補更新保證信息系統安全性、完整性
第二十條 銀行業金融機構信息系統數據機房應符合家關計算機場、環境、供配電等技術標准全性數據至少應達家A類機房標准省域數據至少應達家B類機房標准省域數據至少應達C類機房標准數據機房應實行嚴格門禁管理措施未經授權進入
第二十二條 銀行業金融機構應重視知識產權保護使用版軟體加強軟體版本管理優先使用具自主知識產權軟、硬體產品；積極研發具自主知識產權信息系統相關金融產品並採取效措施保護本機構信息化
第二十三條 銀行業金融機構與信息系統相關電設備選型、購置、登記、保養、維修、報廢等應嚴格執行相關規程選用設備應經技術論證測試性能應符合家關標准信息系統所用伺服器等關鍵設備應具較高靠性、充足容量定容錯特性並配置適備品備件
第二十四條 信息系統網路應參照相關標准規范設計、建設；網路設備應兼備技術先進性產品熟性；網路設備線路應冗餘備份；嚴格線路租用合同管理按照業務交易流量要求保證傳輸帶寬；建立完善網管監測管理通信線路及網路設備保障網路安全穩定運行
第二十五條 銀行業金融機構應加強網路安全管理產網路與發測試網路、業務網路與辦公網路、內部網路與外部網路應實施隔離；加強線網、互聯網接入邊界控制；使用內容濾、身份認證、防火牆、病毒防範、入侵檢測、漏洞掃描、數據加密等技術手段效降低外部攻擊、信息泄漏等風險
第二十六條 銀行業金融機構應加強信息系統加密機、密鑰、密碼、加解密程序等安全要素管理使用符合家安全標准密碼設備完善安全要素、領取、使用、修改、保管銷毀等環節管理制度密鑰、密碼應定期更改
第二十七條 銀行業金融機構應加強數據採集、存貯、傳輸、使用、備份、恢復、抽檢、清理、銷毀等環節效管理脫離系統採集加工、傳輸、存取數據；優化系統資料庫安全設置嚴格按授權使用系統資料庫採用適數據加密技術保護敏數據傳輸存取保證數據完整性、保密性
第二十八條 銀行業金融機構應信息系統配置參數實施嚴格安全與保密管理防止非、變更、泄漏、丟失與破壞根據敏程度用途確定存取許可權、式授權使用范圍嚴格審批登記手續

第二十九條 銀行業金融機構應制定信息系統應急預案並定期演練、評審修訂省域數據至少實現數據備份異保存省域數據至少實現異數據實備份全性數據實現異災備
第三十條 銀行業金融機構應加強技術文檔資料重要數據備份管理；技術文檔資料重要數據應保留副本並異存放按規定限保存調用應嚴格授權信息系統技術文檔資料包括：系統環境說明文件、源程序及系統研發、運行、維護程形各類技術資料重要數據包括：交易數據、賬務數據、客戶數據及產報表數據等
第三十條 銀行業金融機構信息系統能影響客戶服務應適式告知客戶
研發風險控制
第三十二條 研發風險指信息系統研發程組織、規劃、需求、析、設計、編程、測試投產等環節產風險
第三十三條 銀行業金融機構信息系統研發前應立項目工作組重項目應立項目領導組並指定負責項目領導組負責項目組織、協調、檢查、監督工作項目工作組由業務員、技術員管理員組具體負責整項目發工作
第三十四條 項目工作組員應具備與項目要求相適應業務經驗與專業技術知識組負責需具備組織領導能力,保證信息系統研發質量進度
第三十五條 銀行業金融機構業務部門根據本機構業務發展戰略充進行市場調查、產品效益析基礎制定信息系統研發項目行性報告
第三十六條 銀行業金融機構業務部門編寫項目需求說明書提風險控制要求信息科技部門根據項目需求編制項目功能說明書
第三十七條 銀行業金融機構信息科技部門依據項目功能說明書別編寫項目總體技術框架、項目設計說明書設計編碼應符合項目功能說明書要求
第三十八條 銀行業金融機構應建立獨立測試環境保證測試完整性准確性測試至少應包括功能測試、安全性測試、壓力測試、驗收測試、適應性測試測試直接使用產數據
第三十九條 銀行業金融機構信息科技部門應根據測試結修補系統功能缺陷提高系統整體質量
第四十條 銀行業金融機構業務員、技術員應根據職責范圍別編寫操作說明書、技術應急案、業務連續性計劃、投產計劃、應急退計劃並進行演練

第四十條 發程所涉及各種文檔資料應經相關部門、員簽字確認並歸檔保存
第四十二條 項目驗收應具由相關負責簽字項目驗收報告驗收合格投產使用
第五章運行維護風險控制
第四十三條 運行維護風險指信息系統運行與維護程操作管理、變更管理、機房管理事件管理等環節產風險
第四十四條 銀行業金融機構信息系統運行與維護應實行職責離運行員應實行專職由其員兼任運行員應按操作規程巡檢操作維護員應按授權維護規程要求產狀態軟硬體、數據進行維護除應急外其維護應非工作間進行
第四十五條 銀行業金融機構信息系統運行應符合要求：
（）制定詳細運行值班操作表包括規定巡檢間操作范圍、內容、辦、命令及負責員等信息；
（二）提供見簡便操作菜單或命令信息系統啟或停止、運行志查詢等；
（三）提供機房環境、設備使用、網路運行、系統運行等監控信息；
（四）記錄運行值班程所現象、操作程等信息
第四十六條 銀行業金融機構信息系統維護應符合要求：
（）除信息系統設備系統環境維護外軟體或數據維護必須通特定應用程序進行添加、刪除修改數據應通櫃員終端資料庫進行直接操作；
（二）具備各種詳細志信息包括交易志審計志等便維護審計；
（三）提供維護統計報表列印功能
第四十七條 銀行業金融機構信息系統變更應符合要求：
（）制訂嚴密變更處理流程明確變更控制各崗位職責並遵循流程實施控制管理；變更前應明確應急退案授權進行變更操作；
（二）根據變更需求、變更案、變更內容核實清單等相關文檔審核變更確性、安全性合性；
（三）應採用軟體工具精確判斷變更真實位置內容形變更內容核實清單實現真實、效、全面檢驗；
（四）軟體版本變更應保留初始版本所歷史版本保留所歷史變更內容核實清單
第四十八條 銀行業金融機構信息系統投產定期內應組織系統評價並根據評價及系統功能進行調整優化
第四十九條 銀行業金融機構應機房環境設施實行巡檢明確信息系統及機房環境設施現故障應急處理流程預案實交易服務數據應實行24值班
第五十條 銀行業金融機構應實行事件報告制度發信息系統造重經濟、聲譽損失重影響事件應即報並處理必要啟應急處理預案
外包風險控制
第五十條 外包風險指銀行業金融機構信息系統規劃、研發、建設、運行、維護、監控等委託給業務合作夥伴或外部技術供應商形風險
第五十二條 銀行業金融機構進行信息系統外包應根據風險控制實際需要合理確定外包原則范圍認真析評估外包存潛風險建立健全關規章制度制定相應風險防範措施
第五十三條 銀行業金融機構應建立健全外包承包評估機制充審查、評估承包經營狀況、財務實力、誠信歷史、安全資質、技術服務能力實際風險控制與責任承擔水平並進行必要盡職調查評估工作委託經家相應監管部門認定資質具相關專業經驗獨立機構完
第五十四條 銀行業金融機構應與承包簽訂書面合同明確雙權利、義務並規定承包安全、保密、知識產權面義務責任
第五十五條 銀行業金融機構應充認識外包服務信息系統風險控制直接間接影響並其納入總體安全策略風險控制
第五十六條 銀行業金融機構應建立完整信息系統外包風險評估與監測程序審慎管理外包產風險提高本機構外包管理能力
第五十七條 銀行業金融機構信息系統外包風險管理應符合風險管理標准策略並應建立針外包風險應急計劃
第五十八條 銀行業金融機構應與外包承包建立效聯絡、溝通信息交流機制並制定意外情況能夠實現承包順利變更保證外包服務間斷應急預案
第五十九條 銀行業金融機構敏信息系統及其涉及家秘密、商業秘密客戶隱私數據管理與傳遞等內容進行外包應遵守家關律規符合銀監關規定經董事或其決策機構批准並實施外包前報銀監及其派機構律規規定需要報告機構備案

『陸』 如何構建商業銀行風險管理的組織體系

背景
為加強商業銀行的信息科技風險管理，提升信息科技風險管理能力，09年3月份銀監會正式發布了《商業銀行信息科技風險管理指引》（以下簡稱《指引》），這是繼出台有關《商業銀行操作風險管理指引》、《商業銀行市場風險管理指引》和《商業銀行合規風險管理指引》等一系列的監管文件之後，銀監會發布的又一重要風險管理指引。 該指引適用於在中華人民共和國境內依法設立的法人商業銀行。政策性銀行、農村合作銀行、城市信用社、農村信用社、村鎮銀行、貸款公司、金融資產管理公司、信託公司、財務公司、金融租賃公司、汽車金融公司、貨幣經紀公司等其他銀行業金融機構參照執行。
信息科技風險管理需求分析
合規性需求：
近年來，國家各部門不斷推出了各種監管要求，對IT管控領域也提出了明確的要求。其中與銀行業信息科技風險相關的法律、法規與行業監管指引有：
2002年，美國國會發布了SOX《薩班斯—奧克斯利法案》；
2004年9月30日，中國銀監會發布了《商業銀行內部控制評價辦法》；
2006年，銀監會發布《電子銀行安全評估指引》 、《銀行業金融機構信息系統風險管理指引》和《銀行業金融機構內部審計指引》；
2006年6月，國務院國資委出台了《中央企業全面風險管理指引》；
2007年，公安部明確了《信息系統等級保護基本要求與實施指南》；
2009年3月，銀監會發布《商業銀行信息科技風險管理指引》；
各商業銀行如何滿足日益嚴格的各類IT監管要求，成為銀行風險管理部門、合規部門、信息科技部門以及審計部門面臨的挑戰。

IT風險管理需求
銀行業隨著信息化工作的不斷深入，信息系統的開發、維護與運行均面臨較大的挑戰，如何保障業務的持續運營，如何支撐銀行各項業務的風險管理，如何保障客戶與自身信息的安全，成為各商業銀行信息科技部門與風險管理部門的重要任務，因此信息科技風險的管理就顯得迫在眉睫。商業銀行針對信息科技風險需要審視：
• 是否對所有潛在的重大IT風險都進行了識別、評估和管理？
• 面對數量眾多的IT風險，應如何對其進行管理？
• 如何在全行范圍內推行全面IT風險管理？
• 如何將IT風險管理體制與企業日常IT管理和運營相融合？
• IT風險管理的角色、責任和義務是否合理或明確？
• 如何增強風險意識，培育風險管理文化？
組建並管理IT風險管理團隊
IT風險管理組織結構建立在IT治理目標組織架構的基礎上，遵循IT治理的工作成果，從IT風險管理的主要工作與活動開始，逐步識別並定義IT風險管理的角色，並根據角色模型設計組織架構，確保IT風險管理的各項工作能夠得到落實。IT風險管理生命周期以及生命周期各階段的工作如下圖所示：

IT風險生命周期管理

從IT風險管理生命周期中各個階段主要工作中識別出IT風險管理所需要的角色，結合IT治理規劃成果，並參考國際最佳實踐，設計IT風險管理的職能與組織架構。從IT風險管理生命周期中各個階段主要工作中識別出IT風險管理所需要的角色，結合IT治理規劃成果，並參考國際最佳實踐，設計銀行業IT風險管理的職能與組織架構。

對於IT風險管理的角色的定位如下圖所示。

設計IT風險管理框架體系
IT風險管理框架體系主要包括如下五個體系框架
 IT風險管理策略體系：建立企業IT風險管理策略，明確管理層對信息科技風險管理的期望與承諾，描述對企業信息科技風險進行有效管理的方法，規定人員操作的流程與規范，制定系統配置規格、使用策略等。
 IT風險管理組織體系：建立完成組織信息科技風險管理目標的組織機構，包括跨部門的信息科技風險管理委員會、工作小組、第三方安全服務組織等。
 IT風險管理運行保障體系：建立日常科技風險運行與維護機制，包括運行監控、問題處理、變更管理等。重點是建立生產運行中安全的問題處理機制，形成完善的運行保障機制，及時、准確、快速地處理運行中的問題，強調執行過程的安全。
 IT風險管理技術保障體系：應用先進成熟的技術手段與產品，降低安全風險，包括產品的購置與配置加固、防病毒、加強安全域和網路訪問控制，統一監控管理平台、統一身份認證與授權管理平台等。
 應急恢復保障體系：業務連續性計劃及災難恢復規劃的實施，包括建立數據災難備份中心，各個業務系統及IT 系統的應急方案，其目標是控制事態發展，保障生命財產安全，恢復正常生產運行狀態。
 IT風險審計體系：審核工作是審計機構對組織的信息安全控制措施是否完備所做的鑒證過程。利用審核機制進行獨立的體系審核是一種強有力的監督機制。可以由組織的內部稽核部門階段性地組建立審核組，培訓審核員，有效地管理在組織中開展的信息安全審核工作，也可外聘的第三方審計機構對組織進行外部審核。
建設IT風險管理制度與流程
 信息系統的開發和實施
信息系統的采購和開發
信息系統的采購和開發涉及系統的設計、采購/建造和布置，以支持業務目標的實現。制度與流程建設需要建立一套考慮到銀行在安全、可用性和處理完整性等方面的要求的生命周期系統開發方法。
采購新的技術基礎設施
采購和維護技術基礎設施的流程涉及支持應用和通信的系統的設計、采購/建造和布置。基礎設施組件，包括伺服器、網路和資料庫，對於信息處理的安全和可靠是至關重要的。在制度與流程建設中，需要制定並遵守相應的流程，確保基礎設施系統，包括網路設備和軟體，是根據它們要支持的財務應用程序的需要采購的。
應用系統和技術基礎設施的安裝和測試
系統安裝測試和確認涉及新系統向生產環境的移植，它確保系統可以按照設計意圖運行。沒有合適的測試，系統將不能按照預想的方式運行，可能提供無效的信息，這將導致信息和報告的不可靠。在制度與流程建設中，需要制定應用軟體和技術基礎設施相關技術上的測試策略。
 信息系統的變更和維護
開發和維護政策及流程
開發和維護政策及流程涉及軟體開發生命周期方法論、采購流程、應用的開發和維護以及相應的文檔。這一領域相關的政策和操作程序使得企業能夠持續地、有目標地進行商業運作。在制度與流程建設中，需要制定軟體開發生命周期方法論和相應的流程、政策。
變更管理
變更管理表明了企業是如何通過調整系統功能來幫助業務活動滿足財務報告目標的。在在制度與流程建設中，需要制定應用變動、系統維護的變更管理程序。
系統配置管理
系統配置管理保證安全、可獲得的控制在系統中建立起來，並且在其生命周期內得到保持。在這方面的能力不足會導致系統安全和可靠性蒙受風險，並將允許對於系統和數據的非法訪問。在制度與流程建設中，需要對系統基礎設施，包括防火牆、伺服器和其它有關設備，以及對應用軟體和數據存儲系統等配置管理程序，並建立配置基準。
 系統的操作和運行
操作管理
操作管理的好壞體現了一個組織通過保持可靠的應用系統來記錄、處理和報告財務信息的水平。在這方面的能力缺乏將嚴重影響企業的財務報告。在制度與流程建設中，需要制定IT操作的標准程序，包括賬戶管理、批處理管理、系統操作管理、數據操作管理等。
服務水平的確定和管理
服務水平的確定和管理決定了企業如何滿足其客戶對其產品功能和業務操作的期望，進而滿足其客戶的業務目標。在這方面的能力缺乏將嚴重影響企業的財務報告和信息披露。在在制度與流程建設中，需要定義和管理服務水平來支持財務報告系統的要求。並定義一種框架，建立關鍵績效指標，從內部和外部來管理服務水平協議。
外包服務管理
外包服務管理包括使用外包服務來支持財務應用和相關系統。在制度與流程建設中，需要定義第三方服務管理的程序。
 系統與信息安全管理
信息安全管理策略
系統安全方面的管理包括通過物理和邏輯上的控制來防止非法訪問。在制度與流程建設中，需要參照ISO27001和國家信息安全等級保護標准，制定完整的系統安全策略體系。信息安全管理機制包括信息安全標准、策略、實施計劃和持續維護計劃。
信息安全策略涉及以下領域：
（一）安全制度管理。
（二）信息安全組織管理。
（三）資產管理。
（四）人員安全管理。
（五）物理與環境安全管理。
（六）通信與運營管理。
（七）訪問控制管理。
（八）系統開發與維護管理。
（九）信息安全事故管理。
（十）業務連續性管理。
（十一）合規性管理。
問題和事故管理
問題和事故管理表明一個企業是如何對異常事件進行鑒別、記錄和反應的。在制度與流程建設中，需要制定和執行問題管理系統，來確保所有標准操作之外的操作事件（如事故、問題和錯誤）都能得到及時的記錄、分析和解決。制定安全事故響應流程，以支持對於非法活動的及時反應和調查。
數據管理
數據管理涉及用於管理信息完整性、准確性、授權和有效性的控制和程序，對信息的記錄、處理和報告起支持作用。在制度與流程建設中，需要制定相應的政策和流程用於數據的處理、分發、保留和報告的輸出。

IT風險管理軟體平台方案
IT風險管理已經成為銀行風險管理的重要組成部分，急需建立信息化平台支撐IT風險管理的日常工作。風險評估、風險控制、風險監控、監督與審計、風險溝通等工作均涉及大量的日常工作，需要建立相關的系統平台來滿足銀行IT風險管理相關部門的需求，谷安公司經過多年的行業經驗積累，推出了國內首家IT風險管理平台系統。

IT風險管控系列軟體目前包括如下主要模塊：
風險評估管理-GooRisk
GooRisk信息科技風險評估軟體提供了系統化的風險評估方法論和行業風險知識庫，包括評估范圍定義，安全現狀調查，資產威脅分析、漏洞分析、風險綜合分析、風險控制措施等主要功能，幫助客戶快速自動化的評估自身的資產風險與流程風險。
風險控制管理-GooISMS
GooISMS風險管理體系建設軟體提供了IT風險管理體系規劃與管理體系建設的方法論和行業模板庫，包括體系規劃，體系設計，體系實施，體系保障等主要功能，幫助客戶快速建立安全管理體系，通過內部審計、管理評審等管理過程，保障體系的有效運行。
風險運營管理-GooProcess
GooProcess信息科技風險運營管理軟體提供了基本的信息安全日常運作流程，通過自動化工作流引擎，可自主定義帳號管理、許可權管理、人員安全、設備安全、物理安全、安全檢查、安全事件、安全培訓、通知公告等流程，將安全管理流程真正落地。
風險審計管理-GooAudit
GooAudit安全風險審計管理軟體提供了信息安全風險審計檢查工具與審計管理流程，包括了各種業務、系統、設備的安全檢查列表，符合性測試、實質性測試工具，定期審計管理流程，以及審計底稿、審計報告的管理。
風險知識管理-GooAwareness
GooAwareness安全風險知識管理軟體為企業提供了信息安全相關知識的管理與共享平台，包括安全通告、內部知識庫、外部資料庫、標准與法規、案例警示、常用模板、知識地圖、個人知識庫等基本功能，方便安全知識的獲取與管理，全面提高員工信息安全意識。

軟體特色與優勢：
完整的行業知識庫：提供完整的銀行業知識庫支持，並且對知識庫進行持續更新；知識庫包括行業業務流程、業務系統、信息資產、威脅類型、漏洞類別、風險指標、安全策略、管理流程、行業法規等。
遵從各類監管要求：緊密結合企業信息安全與內部控制要求，遵從信息科技風險管理指引、ISO27001、等級保護、COBIT等標准，引導公司信息安全與IT控制工作，協助信息安全與IT風險管理體系建立，並管理文檔記錄、測評、評估、改進、測試等階段的工作；全面符合國際標准ISO27001、國家標准GB20984《信息安全風險評估規范》，以及公安部等級保護測評要求
統一控制框架： 採取Unified Control Framework設計，可將超過2,000個「既定的」控制目標與等級保護、ISO27000:2005、COBIT、 COSO、ITIL、NIST、SOX、BASELII和PCI等幾十個標准和法律法規相掛鉤，並可通過全面的可配置性和可擴展性應用到知識庫中；
操作簡單安全：基於B/S架構，通過瀏覽器的輕松靈活的使用、導航界面，能夠根據組織要求調節界面外觀，基於角色授權指派相關人士負責控制工作，輕松添加各種控制與遵從標准版本，支持本機Excel電子數據表輸入。

『柒』 風險管理過程包括哪些方面內容

全過程風險管理賦能下工程保證保險理賠服務方向探索：以農民工工資支付保證保險為例-工保網

為充分發揮全過程風險管理在工程保證保險理賠中的積極意義，浙江工保建築工程技術有限公司已協同保險公司共同商討制定了理賠SOP手冊，旨在建立一套科學的理賠流程、確立統一的理賠服務標准，從而落實各環節職責要點、實行理賠集中作業；通過提高理賠時效性，理賠SOP手冊的執行也有助於工程保險保函迅速變現，將推動工程保證保險在工程擔保市場中加速擴容，發揮更大的經濟效益和社會效益。

理賠是保險業發揮經濟補償職能、履行保險義務的最直接方式，也是保險合同風險管理的重要環節。在工程保證保險中引入全過程風險管理，將為保險公司提高承保質量、改進理賠服務、完善風險管理等提供依據，也助力工程保證保險發揮更大效益。