2017银行从业考试《风险管理》高频考点第五章练习(8)

13．B[解析]信息科技部门承担本银行的信息科技职责，履行信息科技预算和支出、信息科技策略、标准和流程、信息科技内部控制、专业化研发、信息科技项目发起和管理、信息系统和信息科技基础设施的运行、维护和升级、信息安全管理、灾难恢复计划、信息科技外包和信息系统退出等职责。

14．C[解析]商业银行制定全面的信息科技风险管理策略，包括信息分级与保护、信息系统开发、测试和维护、信息科技运行和维护、访问控制、物理安全、人员安全、业务连续性计划与应急处置。

15．C[解析]商业银行信息安全主要管理要素包括：信息科技部门负责落实信息安全管理职能，包括建立信息安全计划和保持长效的管理机制；有效管理用户认证和访问控制的流程，用户对数据和系统的访问必须选择与信息访问级别相匹配的认证机制，并且确保其在信息系统内的活动只限于相关业务能合法开展所要求的最低限度；根据信息安全级别，将网络划分为不同的逻辑安全域(以下简称为域)；确保所有计算机操作系统和系统软件的安全；确保所有信息系统的安全；制定相关策略和流程，管理所有生产系统的活动日志，以支持有效的审核、安全取证分析和预防欺诈；应采取加密技术，防范涉密信息在传输、处理、存储过程中出现泄露或被篡改的风险，并建立密码设备管理制度，确保使用符合国家要求的加密技术和加密设备；配备切实有效的系统，确保所有终端用户设备的安全，并定期对所有设备进行安全检查；制定相关制度和流程，严格管理客户信息的采集、处理、存储、传输、分发、备份、恢复、清理和销毁；对所有员工进行必要的培训，使其充分掌握信息科技风险管理制度和流程，了解违反规定的后果，并对违反安全规定的行为采取零容忍政策。

16．C[解析]内部审计方面，商业银行应根据业务性质、规模和复杂程度，信息科技应用情况，以及信息科技风险评估结果，决定信息科技内部审计范围和频率，但至少应每3年进行一次全面审计。

17．A[解析]项目实施部门应定期向信息科技管理委员会提交重大信息科技项目的进度报告，由其进行审核，进度报告应当包括计划的重大变更、关键人员或供应商的变更以及主要费用支出情况。

18．D[解析]商业银行内部信息科技审计的责任包括：制定、实施和调整审计计划，检查和评估商业银行信息科技系统和内控机制的充分性和有效性；提出整改意见；检查整改意见是否得到落实；执行信息科技专项审计。

19．A[解析]代理业务指商业银行接受客户委托，代为办理客户指定的经济事务、提供金融服务并收取一定费用。

20．B[解析]代理业务操作风险的成因包括：①风险防范意识不足，认为即使发生操作风险，损失也不大；②监督管理滞后，内部控制薄弱，部门及岗位设置不合理，规章制度滞后；③业务管理分散，缺乏统筹管理；④电子化建设缓慢，缺乏相应的代理业务系统等。

二、多项选择题

1．ABC[解析]操作风险基于损失事件类型的分类包括：内部欺诈事件；外部欺诈事件；就业制度和工作场所安全事件；客户、产品和业务活动事件；实物资产的损坏；信息科技系统事件；执行、交割和流程管理事件。

2．ACD[解析]高管层及高管层风险管理委员会要负责执行董事会批准的操作风险战略和体系，审议操作风险管理的重大事项，解决操作风险管理中出现的重大问题。操作风险管理的牵头部门要负责统筹和协调全行操作风险计量和管理工作。各专业部门按职能分工，分别负责相关业务条线的操作风险管理。故选A、C、D。