银行外包风险管理固有风险分析结果模版.xlsx

1、IT风风险险宇宇宙宙风风险险编编号号风风险险领领域域风风险险领领域域编编号号风风险险名名称称IT风风险险评评估估风风险险影影响响分分值值R1 涉涉及及面面 A1 20%a11IT外包组织环境管理1.1IT外包战略及规划52IT外包组织环境管理1.2IT外包制度与流程53IT外包组织环境管理1.3IT外包组织架构54IT外包组织环境管理1.4IT外包风险管理55IT外包组织环境管理1.5流程创新与改进56IT外包组织环境管理1.6IT外包成熟度管理57IT外包组织环境管理1.7IT外包外部监管58IT外包采购管理2.1准入管理59IT外包采购管理2.2采购需求管理510 IT外包采购管理2.3选

2、择与尽职调查511 IT外包采购管理2.4合同与SLA签订512 IT外包项目管理3.1IT外包项目实施生命周期管理513 IT外包项目管理3.2IT外包项目计划514 IT外包项目管理3.3IT外包项目审阅与监控515 IT外包项目管理3.4IT外包实施过程改进516 交付管理4.1IT外包项目验收及交付质量管理517 交付管理4.2IT外包项目后评估管理518 交付管理4.3IT外包商评价519 财务管理5.1预算管理520 财务管理5.2核算与成本分摊521 安全管理6.1物理安全522 安全管理6.2数据安全523 安全管理6.3逻辑访问控制524 安全管理6.4公共媒介安全525 安

3、全管理6.5通讯及操作安全526 安全管理6.6业务连续性管理529 日常管理7.1IT外包资产管理528 日常管理7.2IT外包人员管理527 日常管理7.3IT外包供方管理531 日常管理7.4问题管理与根源分析532 日常管理7.5服务连续性管理52 业业务务影影响响度度 A23 合合规规要要求求 A3 4 管管理理层层关关注注度度 A45 客客户户满满意意度度 A5 20%a2 10%a3 20%a4 20%a55555553555555554513453355555553351335532553451325114551451125535513355333155313553335335

4、533353345334553551125313553353335553IT风风险险评评估估风风险险影影响响分分值值R固固有有风风险险得得分分得得分分发发生生可可能能性性分分值值L得得分分6 保保密密性性A61 变变化化频频率率 B12 流流程程复复杂杂性性 B2 10%a6 50%b1 50%b2551537534.41536614.61536934.61536913.61535434.21536314.61536954.23548453.83335733.83335754.43336633.45346833.43335133.83335733232.537.534.43548833.633

5、354343548054.21324233.6433.563545348054.453488545348054.25348454.25348434.433366335346033.453468345348013.63335434.415366风风险险评评级级4444344433443334343444444434434风风险险评评估估参参考考因因素素具体评判的步骤和方法以及依据请参考一下表格：1、将系统重要性分级结果引入到风险评估中，作为评估影响程度的一个维度；2、从本部门业务以及实际工作的角度出发，对评估参数进行选择，挑选自己关注的内容并判断其在所属的维度内所占的权重；3、根据评估参考要素的

6、主要内容，从本部门业务以及实际工作的角度，对该类系统所面临的潜在固有风险高低进行打分；4、汇总后，分别从两个不同的维度，即影响程度和发生可能性方向去判断该类系统所面临的潜在固有风险的综合分数；维维度度评评估估参参数数权权重重评评估估参参考考要要素素影影响响程程度度涉及面20%该风险对于银行业务的影响程度业务影响度20%该风险对银行日常业务或者日常运营的影响程度合规要求10%该风险是否会涉及到银行的合规要求管理层关注度20%该风险对管理层制定战略决策有较为重要影响，并对管理层制定运营决策有重要影响满意度20%该风险对客户满意度或者所制成的部门用户产生重要影响，对客户以及用户满意度造成严重影响保密

7、性10%该风险涉及银行及客户的重要保密信息，可能导致信息的大面积泄漏发发生生可可能能性性变化频率50%该流程所承载的流程或者行为发生的频率流程复杂性50%该风险所承载的流程或者活动本身的复杂性发发生生可可能能性性打打分分标标准准 该风险涉及非主要业务，本部门范围=1分 该风险涉及部门业务，总行或分行范围=3分 该风险涉及核心业务，全行范围=5分 该风险直接或者间接影响少部分业务的运营或者影响的业务产生的年收入占比低于2%=1分 该风险直接或者间接影响少部分业务的运营或者影响的业务产生的年收入占比低于4%=2分 该风险直接或者间接影响部分业务的运营或者影响的业务产生的年收入占比低于6%=3分 该

8、风险直接或者间接影响少部分业务的运营或者影响的业务产生的年收入占比低于8%=4分 该风险直接或者间接影响大部分业务的运营或者影响的业务产生的年收入占比超过8%=5分 该风险和合规要求无关=0分 该风险基本不会影响合规性要求=1分 该风险基本间接影响合规性要求=3分 该风险基本直接影响合规性要求=5分 管理层关注度很低或者基本不影响战略目标的实现=1分 管理层关注度中等或者间接影响战略目标的实现=3分 管理层关注度很高或者直接影响战略目标的实现=5分 该风险造成低于10%所支撑部门的用户满意度降低=1分 该风险造成高于10%所支撑部门的用户满意度降低=2分 该风险造成高于30%所支撑部门的用户满

9、意度降低=3分 该风险造成高于50%所支撑部门的用户满意度降低=4分 该风险造成所有支撑部门的用户的满意度降低=5分该风险涉及银行及客户的公开类信息=1分该风险涉及银行及客户的敏感类信息=3分该风险涉及银行及客户的机密类信息=5分 流程或者行为发生频率低于或者等于每年1次=1分 流程或者行为发生频率高于每年一次但低于或者等于每季度一次=2分 流程或者行为发生频率高于每季度一次但低于或者等于每月一次=3分1、将系统重要性分级结果引入到风险评估中，作为评估影响程度的一个维度；2、从本部门业务以及实际工作的角度出发，对评估参数进行选择，挑选自己关注的内容并判断其在所属的维度内所占的权重；3、根据评估

10、参考要素的主要内容，从本部门业务以及实际工作的角度，对该类系统所面临的潜在固有风险高低进行打分；4、汇总后，分别从两个不同的维度，即影响程度和发生可能性方向去判断该类系统所面临的潜在固有风险的综合分数；流程或者行为发生频率高于每月一次但低于或者等于每天一次=4分 流程或者行为发生频率高于每天一次=5分 流程需要一个部门一个人就可以完成=1分 流程需要一个部门但是多人共同完成或者需要借助工具完成=3分 流程需要多个部门、多人共同完成或者需要借助工具完成=5分国家开发银行IT外包专项审计风险与控制清单组组织织环环境境层层面面1 1ITIT外外包包组组织织环环境境管管理理1.1IT外包战略及规划1.

11、2IT外包制度与流程1.3IT外包组织架构1.4IT外包风险管理1.5流程创新与改进1.6IT外包成熟度管理1.7IT外包外部监管外外包包流流程程层层面面2 2ITIT外外包包采采购购管管理理3 3ITIT外外包包项项目目管管理理4 4交交付付管管理理5 5财财务务管管理理2.1准入管理3.1IT外包项目实施生命周期管理4.1IT外包项目验收及交付质量管理5.1预算管理2.2采购需求管理3.2IT外包项目计划4.2IT外包项目后评估管理5.2核算与成本分摊2.3选择与尽职调查3.3IT外包项目审阅与监控4.3IT外包商评价2.4合同与SLA签订3.4IT外包实施过程改进操操作作管管理理层层面面6 6安安全全管管理理7 7日日常常管管理理6.1物理安全7.1IT外包资产管理6.2数据安全7.2IT外包人员管理6.3逻辑访问控制7.3供方管理6.4公共媒介安全7.4问题管理与根源分析6.5通讯及操作安全7.5服务连续性管理6.6业务连续性管理