第一篇:银行信息科技风险应对与控制 课后测试
银行信息科技风险应对与控制
课后测试
如果您对课程内容还没有完全掌握,可以点击这里再次观看。测试成绩:100.0分。恭喜您顺利通过考试!单选题
1.在风险应对策略的设计和选择过程中,最为常见的方式为?A 风险转移
B 风险规避
C 风险控制
D 风险接受
正确答案: C 多选题
2.下列属于合理的银行风险应对策略的有? √ A 风险规避
B 风险控制
C 风险转移
D 风险忽略
正确答案: A B C 3.银行在选择风险应对策略时,要考虑的因素有哪些? √
√
A 风险容忍度
B 成本效益
C 胜任能力
D 应对效果
E 应对效率
正确答案: A B C D E 4.风险应对的目的是把发生风险的可能性降为零。√ A 正确
B 错误
正确答案: B 5.信息科技风险相关的控制实施方案,往往只涉及到信息科技部门自身。A 正确
B 错误
正确答案: B 判断题
6.银行在选择风险应对策略时,应优先选择成本最低的应对策略。√
正确
错误
√ 正确答案: 错误
第二篇:时代光华满分答卷 银行信息科技风险应对与控制
课后测试
如果您对课程内容还没有完全掌握,可以点击这里再次观看。观看课程
测试成绩:100.0分。恭喜您顺利通过考试!
单选题
1.在风险应对策略的设计和选择过程中,最为常见的方式为? √
A B C D 风险转移
风险规避
风险控制
风险接受
正确答案: C 多选题
2.下列属于合理的银行风险应对策略的有? √
A B C D 风险规避
风险控制
风险转移
风险忽略
正确答案: A B C 3.银行在选择风险应对策略时,要考虑的因素有哪些? √
A B C D E 风险容忍度
成本效益
胜任能力
应对效果
应对效率
正确答案: A B C D E 4.风险应对的目的是把发生风险的可能性降为零。√
A 正确 B 错误
正确答案: B 5.信息科技风险相关的控制实施方案,往往只涉及到信息科技部门自身。√
A B 正确
错误
正确答案: B 判断题
6.银行在选择风险应对策略时,应优先选择成本最低的应对策略。√
正确
错误
正确答案: 错误
第三篇:【满分】时代光华课后测试——银行信息科技风险案例分析--自助设备类
银行信息科技风险案例分析--自助设备类
测试成绩:100.0分。恭喜您顺利通过考试!
单选题
1.截至当前,下列哪种犯罪行为发生频率最高? √
A B C D 银行内部员工犯罪
网上银行犯罪
抢劫银行犯罪
银行自助设备类犯罪
正确答案: D 多选题
2.下列哪些做法可以用来加强防范自助设备犯罪? √
A B C D 持卡人提高警惕
自助设备不断改善安全性能
银行不断完善对自助机的管理
减少银行卡的发卡量
正确答案: A B C 判断题
3.当ATM机发生吞卡时,可以与机器上或周围张贴的银行工作人员11位手机号码联系。√
正确
错误
正确答案: 错误
4.客户可以将银行卡卡号和密码告知银行工作人员。√
正确
错误
正确答案: 错误
第四篇:信息科技与电子银行风险管理
信息科技与电子银行风险管理专题
信息科技发展现状
完成了全省数据大集中
各类业务系统和管理信息系统不断丰富 更好更快更优的服务
对业务的支撑作用越来越大
信息科技地位和受关注程度越来越高 信息科技风险日益积聚 信息科技风险的概念
IT风险是指在对信息科技的运用过程中,由于自然因素、人为因素、技术漏洞、管理缺陷产生的操作风险、法律和声誉等风险。
特点:风险发生时影响较大
风险出现具有不确定性
对风险的估计或防范手段不足
对其他风险具有传导性
对当前农村合作金融机构而言,最大的风险是对科技的不够了解,以至于没有纳入日常管理内容。
信息科技风险管理的目标:通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
近年银行信息科技风险事件
2007年3月21日,某全国性银行因主机监控软件存在缺陷,导致业务交易阻塞,系统瘫痪近4个小时,所有营业网点无法正常开展业务;
8月15日,某全国性银行对计算机系统进行升级,但由于没有避开业务高峰期,导致个人业务系统运行不畅,业务办理速度缓慢,部分代理证券业务受阻,在持续5个半小时之后,系统才逐步恢复正常 ;
12月21日,某全国性银行因运行中心核心网络设备出现故障,造成业务无法正常进行,虽启动应急预案,但仍然中断营业近1个小时;
08年元月7日,某地方银行因主干专线的接入设备发生故障,造成在京117家支行网点柜台交易缓慢,业务无法正常进行,故障持续1个多小时才得以解决。
06年4月,某大型银行间组织发生系统故障,导致所有银行卡跨行业务影响8个多小时
2010年,发生多起某全国性银行、地方性银行、外资银行、银行间组织等严重信息科技运行事故。
监管当局VS信息科技风险
2006年,银行业机构信息科技风险评价审计通知;
2007年,落实信息科技风险评价审计整改及自评估工作的通知 2008年,发布《银行业重要信息系统应急管理规范(试行)》; 2009年,发布《商业银行信息科技风险管理指引》 2010年,发布《商业银行数据中心监管指引》、《银行业金融机构重要信息系统投产及变更管理办法》、《银行业金融机构外包风险管理指引等》
目前存在的主要风险及应对措施
内控制度建设不完善,没有将科技纳入日常管理工作范围
二级法人体制下的科技建设矛盾和信息安全管理的矛盾
主要业务平台和结算渠道建设完成后,行社将成为特色业务、产品创新的主要角色
信息化快速发展造成行社科技管理的缺失:
对系统功能没有充分了解,影响业务管理,如授权、流程、劳动组合、产品创新
科技人员不足、内部审计的空缺
现状:科技人员的缺乏,法人行社内部审计对科技信息风险管理监测的缺失
措施:未雨绸缪,结合精英培养工程,制定人才补充、培养计划
内部审计部门应配备足够的资源和具有专业能力的信息科技审计人员,独立于本银行的日常活动,具有适当的授权访问本银行的记录
充分重视科技队伍建设,做好人才储备,关键岗位
实现A、B岗
没有正确认识业务与科技关系
科技的工具作用:引领作用、创新作用
科技工具的双面性:提高生产力水平和风险的隐蔽性、聚集性
关键工作:
业务规划、市场调研:科技充分介入
业务需求说明书:科学、详细,业务为主、科技参与
测试:重点关注、运行风险及业务风险关键
科技工作特点:风险大、责任大、压力大
科技人员工作软环境:理解、认可、支持,科技人员不是电工
科技为业务服务,科技需要走在业务的前面
外包风险将是银行未来主要关注的信息科技风险
案例:
2006年4月21日,许霆与朋友郭安山利用ATM机故障漏洞取款,许取出17.5万元,许霆被广州中院判处无期徒刑。
2010年5月23日,云南农信昆明关雨信用社ATM出现故障,何鹏取1000元,取款机吐出了3700,ATM大方送钱近6万元。何鹏被抓,判无期,去年最高人民法院又改判为8年6个月。
措施:关键系统维护必须严格管理,制定完善的实施方案,清晰职责、履行审批手续,双人操作,换人复核,做好维护记录。
自己的系统自己管,落实制度、不能偷懒,外面的人员更要严管
访问控制(内外网互联)
案例:
2004年,某大学生非法侵入合肥多家银行的计算机盗取客户资料,并公布于互联网上,对银行声誉产生了很大影响,该案是公安部成立网监部门后破获的第一起案件,该罪犯被判处2年徒刑。
某银行员工,采用拨号接入方式,在家中登陆业务系统,非法窃取资金500多万。
措施:关键系统维护必须严格管理,制定完善的实施方案,履行审批手续,双人操作,换人复核,做好维护记录。
专机专用、内外网物理分离、部署检测工具软件、不在外网机器存放敏感、涉密信息
由业务而导致的科技风险
案例:
2010年,某大型银行一分行,提交50000笔代发工资业务,随即又进行取消操作,导致该行计算机系统停止服务20小时,该分行行长被调离岗位,科技部门负责人受到处分。
分析:数据修改、批量代发、中间业务等,业务对科技风险具有传导性。
措施:严格操作管理,对批量业务事先做好准备工作。计算机物理环境风险
计算机实体安全:资源管理、冗余、防盗、变更、维护 机房基础设施:防火、防水、温控、冗余 机房出入管理:门禁、登记、陪同、监控 值班与监控: 物理安全域
所有设备都要有备份、冗余 银行卡的种类及功能
按照能否提供透支功能,银行卡可分为信用卡和借记卡 针对发卡对象的不同,银行卡可分为单位卡和个人卡
按银行卡的帐号币种不同,银行卡可分为人民币卡、外币卡和双币种卡 储蓄功能、支付结算功能、汇兑转账功能、消费信贷功能 银行卡业务风险
银行卡风险管理的一般原则: 确定管理目标 进行风险评价
风险控制及处置
银行卡风险管理的原则
银行卡业务特有风险管理原则:
从上到下的风险管理策略和流程明晰化原则
深刻理解风险和收益对称的原则
应用统计手段和系统化管理的原则
有效风险管理组织架构的原则。
银行卡业务风险
银行卡风险:信用风险、市场风险、操作风险、法律政策风险、声誉风险
借记卡风险较低,主要是管理责任,包括:反洗钱、受理环境保障、风险提示义务 银行卡业务风险
信用风险:是指由于持卡人主观或者客观上的原因,违约拒付欠款而产生的坏账风险,由于信用卡属于无担保、无抵押的小额消费信贷产品,因此,信用风险是信用卡业务的一个最主要损失来源。
应对措施:做好信用卡申请人员的身份、还款来源的审查工作,系统提供预警机制。 操作风险:是指由于人员、系统以及业务流程方面的问题而产生的风险,主要包括欺诈风险、内部操作风险、中介机构交易风险和系统安全风险。
欺诈风险又分为欺诈性申请和欺诈性交易。欺诈者盗用他人身份信息而申请开户信用卡,是欺诈性申请,欺诈者盗取卡片或卡片的信息进行刷卡,是欺诈性交易。 欺诈风险也是目前最严重、危害最大的一类风险。
应对措施:一是加强本行信息系统安全管理,建立各种交易风险监控机制,构建数据分析和风险预测模型, 二是加大与中国银联、公安部门及同业之间的信息沟通与交流合作,共享银行卡风险信息和风险控制的最新措施,通过各方的力量化解风险事件, 三是做好银行卡受理环境的预防工作,按照“谁发卡,谁负责”和“谁发展的特约商户,谁负责”的原则建立发卡机构和收单机构责任追究制度,定期对特约商户进行回访制度;加大对收单机构人员银行卡受理流程的培训,做到规范受理,不给犯罪分子可乘之机。
四是加强对自助设备的巡查和监控力度。
五是加强银行卡风险宣传工作,提高持卡人风险防范意识。 内部操作风险
是指银行工作人员违规操作或操作失误造成银行资金损失,或者工作人员利用职务之便,与不法分子勾结、串通作案,引起发卡行或客户资金损失的风险。
与外部欺诈风险和中介机构交易风险相比,此类案件不具有普遍性,但是由于是内部专业人员作案,手段更加隐蔽,对银行声誉的影响也更严重。 规范内部流程、明确岗位责任、加强监督制约
声誉风险:往往是一种结果性的体现,银行卡业务环节中某一个利益主体在出现欺诈风险、系统安全风险或法律、政策性风险时,其未必会有直接性的财务损失,但往往会影响其良好品牌形象的维护,从而间接带来经济上的损失
声誉风险也来自于客户的错误操作或是疏忽。安全风险会被夸大从而导致客户对银行失去信心。
克隆网站、钓鱼网站等虚假网站会带来客户敏感信息泄露,引起资金损失从而影响银行声誉。
案例一:2009年3月8日,雷某在深圳某ATM机取钱,在正常输入密码后,听到点钞声,但出钞口未见钱出来,这时,雷某看到ATM机旁有一张“温馨提示”,就按照“温馨提示”留下的“服务热线”拨过去,对方在电话中称事主的银行卡出现故障,卡内资金已不安全,要求按提示转移到另一“安全账户内”,雷某立即在ATM上进行转账。导致资金受损1万元
应对措施:加强对ATM机和转账业务的管理,未经持卡人主动申请并书面确认,发卡机构不得为持卡人开通电话转账、ATM转账、网上银行转账等自助转账类业务 为持卡人开通自助转账业务时,要向持卡人充分提示开通有关业务的风险,并要对持卡人进行更为严格的真实身份核查,确保实名开户。同时提示持卡银行卡密码设置不能过于简单、银行卡与身份证等证件尽量不要放在一处保管,领卡时及时在卡片背面签署持卡人姓名,不要在不安全的网站链接网银。
总结
风险是可以转移的 风险就是收益
最大的风险是不能正确认识风险,不能充分管理风险
第五篇:银行信息科技风险自查报告
银行信息科技风险自查报告
在人们越来越注重自身素养的今天,报告的适用范围越来越广泛,我们在写报告的时候要注意语言要准确、简洁。你还在对写报告感到一筹莫展吗?以下是小编为大家收集的银行信息科技风险自查报告,仅供参考,欢迎大家阅读。
银行信息科技风险自查报告1按照上级领导的指示,我行认真贯彻精神,为充分做好重要时期金融网络和信息系统安全保障工作,防范我行信息科技风险,保障计算机系统运行和操作安全,建立和完善信息科技风险管理机制。对我行的信息科技工作进行了一次全面的自我评估及审查。现将审查情况报告如下:
一、设备间建设规范和管理规范
(1)设备间安装了温湿度仪表,以用来监控机房温度和湿度,并能够及时开启控温控湿设备来保证机房的温度和湿度。
(2)设备间每周由网点经理或支行行长来对设备间的环境状况进行检查,并登记成册,以确保设备间保持整洁和规范。
(3)设备间严格控制出入人员,并保证营业网点外来人员有相关证件登记。
(4)支行技术人员每年一次对设备间的主要设备进行巡检,确保设备能够正常使用,并在相关登记本上记录。
二、应急管理和终端安全
(1)支行会不定期对一些预案进行检查,确保这些预案是最新的,且告知网点人员张贴在需要的地方。
(2)支行每年会抽取一定的网点人员进行培训和演练,并书写心得和体会,确保网点人员能够正确的应对突发状况。
(3)支行每月会不定期的抽查相关电脑的软件安装情况,检查是否存在私自安装不必要的软件,以及是否私自开通ADSL等违规的网络。
银行信息科技风险自查报告2一、网络运行风险
1、来自互联网和移动磁介质上病毒的攻击。随着我区农村信用社电子化建设的发展,计算机技术在农村信用社各项业务中的广泛应用,部分员工因病毒防范意识较为薄弱,加上计算机水平又是参差不齐,有的员工很难主动发现客户端系统出现的漏洞从而实施补丁升级,U盘滥用且从不进行病毒扫描,这样就容易造成内部信息泄漏或网络阻塞,中断重要业务的正常运行。
二、操作流程风险
随着业务的更新和科技步伐的加快,员工的计算机操作业务能力与严格执行规范程序不适应,综合柜员制未能全面落实,不能够完全掌握农信社的各项业务操作流程及处置程序,必然会造成操作失误而导致风险。操作风险大致分为以下几方面:
1、操作行为不规范,安全防范意识差。目前,我区农村信用社计算机操作员一般只通过了短期辅导培训,未能全面掌握计算机理论知识及运用技术,主要表现在:一是一些操作人员对计算机知识的`缺乏,
经常出现操作性错误;二是操作人员基本安全意识不强,缺乏安全防范意识;三是人员调离或岗位变动时不及时注销操作员,导致操作员不便于管理;四是人离机不退,个别人随意离开工作岗位,也不签退,给他人可乘之机,造成了严重的信息安全隐患。
2、不严格执行操作流程,造成安全隐患。由于部分员工跟不上当前农村信用社电子化建设步伐,对推出的硬件设备以及电子化产品及功能不熟悉或风险意识不强等原因造成了在操作过程中出现系列风险。一是操作人员不严格执行硬件设备的操作流程,造成设备损坏,致使重要业务中断的风险;二是没有定期对机器除尘、保养,使微机在较恶劣环境下带“病”工作,计算机运行报错或元器件损坏时有发生,影响了信用社窗口的服务效率和形象;三是不严格按照业务操作流程操作业务系统程序,给他人或科技结算中心造成不必要的负担。
为此我们将严格按照省市联社关于计算机管理的一系列相关要求,对日常计算机信息管理中存在的问题经行重点监督和整改:
1、严格业务系统、办公系统与因特网等公众系统的隔离,无法隔离的要随时升级杀毒程序,同时严格移动磁介质的使用范围、杀毒流程。加强员工计算机知识培训,提高员工的电脑操作技能,制定防
毒策略,养成良好的上网习惯,严防病毒侵害。
2、加强对一线人员的操作流程、各项基本规定的培训,加强对信息专管员的培训,提高其处理计算机及网络故障、防范计算机及网络风险的能力;对业务操作人员要重点抓好计算机知识的普及培训工作,建立各种形式的岗位培训和定期轮训制度,提高职工的政治素质、业务技能、敬业精神、计算机业务操作水平和安全防范综合能力。一线人员的操作和授权不能流于形式,坚决杜绝各种混岗现象,严格遵循管理制度。
3、严格操作规范及操作权限管理
随着农村信用社的发展,信贷系统,财务系统,OA系统的成功上线并投入使用,操作人员必须学习和掌握农村信用社的操作流程和各项规章制度,加强制度执行力的管理。操作员密码必须定期不定期修改,并严格按规定设置操作员及操作员密码,还需定期修改密码,多用字母或符号,严禁使用6位相同数字或电话号码或生日号码等,严禁口头或电话告知操作密码。
4、加强内控建设,强化监督,完善防范机制。首先,建立柜员岗位制约为主,做到责任到岗、落实到人、相互制约、互相监督。其次,
全面落实以主任、内勤主任为主的监管体系,确保做到实时监管,及时发现问题,及时进行整改,消除风险隐患。再则,加强会计事后监督和电视监控系统管理,加大查处力度,重点是督促基层社各项计算机制度执行与落实,提升基层执行力,以此推进和完善防范制度,切实做到防患于未然。
5、日常维护方面,由基社信息专管员负责每周一次对机房卫生清理和设备故障排查,发现问题及时上报科技信息部处理;每月在各基社网点信息专管员的配合下,对网络设备的运行和管理进行维护和检查至少一次,全辖的ATM和POS机由科技信息部统一管理,落实基社网点专人负责,加大专管人员的培训,使日常操作、维护工作和安全防范措施得以落实。
银行信息科技风险自查报告3一、网络运行风险
来自互联网和移动磁介质上病毒的攻击。随着我区农村信用社电子化建设的发展,计算机技术在农村信用社各项业务中的广泛应用,部分员工因病毒防范意识较为薄弱,加上计算机水平又是参差不齐,有的员工很难主动发现客户端系统出现的漏洞从而实施补丁升级,U盘滥用且从不进行病毒扫描,这样就容易造成内部信息泄漏或网络阻塞,中断重要业务的正常运行。
二、操作流程风险
随着业务的更新和科技步伐的加快,员工的计算机操作业务能力与严格执行规范程序不适应,综合柜员制未能全面落实,不能够完全掌握农信社的各项业务操作流程及处置程序,必然会造成操作失误而导致风险。操作风险大致分为以下几方面:
1、操作行为不规范,安全防范意识差。目前,我区农村信用社计算机操作员一般只通过了短期辅导培训,未能全面掌握计算机理论知识及运用技术,主要表现在:
四是人离机不退,个别人随意离开工作岗位,也不签退,给他人可乘之机,造成了严重的信息安全隐患。
2、不严格执行操作流程,造成安全隐患。由于部分员工跟不上当前农村信用社电子化建设步伐,对推出的硬件设备以及电子化产品及功能不熟悉或风险意识不强等原因造成了在操作过程中出现系列风险。
三是不严格按照业务操作流程操作业务系统程序,给他人或科技结算中心造成不必要的负担。
为此我们将严格按照省市联社关于计算机管理的一系列相关要求,对日常计算机信息管理中存在的问题经行重点监督和整改:
1、严格业务系统、办公系统与因特网等公众系统的隔离,无法隔离的要随时升级杀毒程序,同时严格移动磁介质的使用范围、杀毒流程。加强员工计算机知识培训,提高员工的电脑操作技能,制定防毒策略,养成良好的上网习惯,严防病毒侵害。
2、加强对一线人员的操作流程、各项基本规定的培训,加强对信息专管员的培训,提高其处理计算机及网络故障、防范计算机及网络风险的能力;对业务操作人员要重点抓好计算机知识的普及培训工作,建立各种形式的岗位培训和定期轮训制度,提高职工的政治素质、业务技能、敬业精神、计算机业务操作水平和安全防范综合能力。一线人员的操作和授权不能流于形式,坚决杜绝各种混岗现象,严格遵循管理制度。
3、严格操作规范及操作权限管理
随着农村信用社的发展,信贷系统,财务系统,OA系统的成功上线并投入使用,操作人员必须学习和掌握农村信用社的操作流程和各项规章制度,加强制度执行力的管理。操作员密码必须定期不定期修改,并严格按规定设置操作员及操作员密码,还需定期修改密码,多用字母或符号,严禁使用6位相同数字或电话号码或生日号码等,严禁口头或电话告知操作密码。
4、加强内控建设,强化监督,完善防范机制。首先,建立柜员岗位制约为主,做到责任到岗、落实到人、相互制约、互相监督。其次,全面落实以主任、内勤主任为主的监管体系,确保做到实时监管,及时发现问题,及时进行整改,消除风险隐患。再则,加强会计事后监督和电视监控系统管理,加大查处力度,重点是督促基层社各项计算机制度执行与落实,提升基层执行力,以此推进和完善防范制度,切实做到防患于未然。
5、日常维护方面,由基社信息专管员负责每周一次对机房卫生清理和设备故障排查,发现问题及时上报科技信息部处理;每月在各基社网点信息专管员的配合下,对网络设备的运行和管理进行维护和检查至少一次,全辖的ATM和POS机由科技信息部统一管理,落实基社网点专人负责,加大专管人员的培训,使日常操作、维护工作和安全防范措施得以落实。
点击咨询 