风险评估 把好银行风控第一关

开篇：润墨网以专业的文秘视角，为您筛选了一篇风险评估 把好银行风控第一关范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

近年来,海内外金融领域因为IT失效导致银行损失惨重的案例层出不穷。比如说,黑客入侵美国花旗银行设在连锁便利店7-11店内的自动提款机的计算机网络,盗取客户个人识别码,从2009年10月至2010年3月,盗取至少200万美元;美国青年阿尔伯特•冈萨雷斯领导的黑客团伙利用计算机技术疯狂作案,先后盗取超过4000万张信用卡账号和密码……

IT在银行业扮演着越来越重要的角色。随着银行业电子化程度的不断提高,加强IT的风险管理势在必行。

为此,银监会于2009年出台了《商业银行信息科技风险管理指引》,对信息科技风险管理目标提出了具体的指导性意见。

风险管理是识别风险、评价风险、控制风险的过程,最终目标是将风险控制在可接受范围。而风险评估是对风险发生的可能性及可能造成的影响进行分析,是识别风险、评价风险的过程,是风险管理的基础。

信息科技的风险管理也需要以风险评估为基础。

整体和专项两种评估

风险评估是风险管理过程中重要的一环,在安全规划、业务连续性管理和实施等级保护等方面也离不开风险评估。

信息科技风险评估可以分为整体风险评估和专项风险评估。

整体风险评估是指对信息科技的各个方面,如治理、信息安全、信息系统开发、测试与维护、信息科技运行、外包、业务连续性管理等,进行全面的风险评估。专项风险评估则是指针对信息科技的某一方面、某个系统或为某个目的而进行的评估。常见的专项风险评估还会根据评估对象分为网络评估、系统风险评估等。

整体风险评估侧重于反映宏观层面的风险,即全面反映影响实现IT目标的风险,帮助银行高级管理层把握信息科技的整体风险状况,从而据此来进行战略决策,最终提升风险管理能力。专项风险评估则侧重于反映微观层面的风险,即反映信息科技某一方面或者某个系统存在的风险,据此来决定采取相应的风险处理措施,降低相关系统所面临的风险。

评估风险的七个步骤

风险有影响及可能性两个属性,而影响是由资产的价值与资产存在的弱点决定的,可能性是由资产面临的威胁及资产存在的弱点决定的。因此,风险评估需要对资产、弱点及威胁进行综合分析。

风险评估工作一般有以下七个步骤:描述分析评估对象,确定其目标或者价值;识别评估对象存在的弱点;识别评估对象面临的威胁;通过分析弱点及威胁,确定风险发生的可能性;通过分析资产及弱点,预测风险如果发生可能带来的影响;通过已经分析出的可能性和影响确定风险等级;根据风险等级提出风险处理建议。

这几个步骤可划分为风险识别、风险分析、风险定级三个阶段。

风险识别是风险评估的基础,只有完整地识别出被评估对象的风险才可能进行正确的风险分析、风险定级。风险识别要对评估对象存在的弱点及面临的威胁进行识别,这是风险识别的关键。

整体风险评估覆盖范围广,反映的是宏观层面的风险,因此在进行整体风险评估时应该以调查方式为主,以检查、安全测试方式为辅。

在做整体风险评估时,要先准备详细的调查问卷,问卷内容涵盖信息科技的各个方面。一般来讲,银行的IT目标是在满足合规管理要求的前提下,支持业务创新和业务运营。为了实现这个目标,需要管理流程和基础资源配备作为支撑。其中,管理流程可分为IT业务创新支持、IT业务运营支持、IT合规管理及IT治理等四类,基础资源配备包括支撑IT运行的人、信息、应用系统及基础设施。

专项风险评估反映的是微观层面的风险,要深入查找评估对象存在的风险。因此,专项风险评估应该采取以检查与安全测试为主,以调查为辅的方法。

启明星辰公司经过长期的实践和积累,在整体风险评估、专项风险评估方面都积累了丰富的经验。

启明星辰公司近日为国内某大型银行提供了良好的风险评估与安全技术服务:通过利用结合该银行特点设计的风险评估模型,对发现的重要网络系统的安全威胁和风险进行综合分析和评价,并进行了有针对性的整改与风险处理,逐步完成了该银行网络风险的自我识别和自我完善;通过日常性的信息安全技术保障服务,提高了互联网安全防御能力,以及安全事件响应和处理能力;通过大量的技术培训和以项目实践为手段的知识转移,逐步形成了自主的专业知识储备,为该银行培养了大量信息安全专业人才。