盛邦安全RayCOM助力银行业信息科技关键风险指标(KRI)管理
《商业银行信息科技风险管理指引》(简称《指引》)是指导银行业金融机构开展信息科技风险管理的强制性监管指引,被业界视为信息科技风险管理合规的基本要求及合规宝典。《指引》第三第十八条提到,商业银行应建立持续的信息科技风险计量和监测机制;《中国银行业信息科技“十三五”规划监管指导意见》中,关于“十三五”期间,银行业金融机构要进一步夯实信息科技风险管理基础,丰富信息科技风险管理手段。《指导意见》明确提出了“重点加强信息科技风险识别与评估能力建设,科学开展信息科技风险评估工作,建立与资产、活动、威胁相关联、动态调整、及时更新的风险清单,构建支撑风险评估工作的管理系统,并开展持续的风险监测和应对工作。“根据风险管理理论和商业银行信息科技风险管理行业实践,目前在信息科技风险监测方面,普遍采用关键风险指标(KRI)这个管理工具,对关键信息科技风险开展持续风险监测。
信息科技关键风险指标(KRI)的管理现状
当前银行关键风险指标管理主要有两种情况:第一种是同监管报送相关的关键风险指标(信息系统相关指标),大多是通过系统平台的对接,辅助以人工填报的方式来完成;这类指标主要用来满足监管合规要求;第二种情况是银行业金融机构根据自身信息科技风险管理实践,梳理出重要信息科技风险以及针对这些重要风险点的监控指标;这些指标很多是管理类指标,而不仅仅是第一种情况中的系统技术指标,例如信息科技人员离职率、安全意识培训覆盖率等。这类指标的管理,目前大多是通过人工、线下、定期的方式来进行管理,存在管理效率低、数据统计不及时、缺乏流程管控等问题。
盛邦安全信息科技风险管理解决方案
盛邦安全开发的信息科技风险管理平台(RayCOM),是助力金融机构信息科技风险管理业务开展的信息化工具,旨在通过信息化手段来提升金融机构的信息科技风险管理工作的流程化、标准化程度,并提升工作效率和提供信息科技风险的决策支持,协助金融客户实现信息科技风险管理工作的信息化和智能化。RayCOM平台的信息科技关键风险指标监控管理功能模块,可以实现关键风险指标管理过程的信息化,提升信息科技关键风险指标管理的自动化、实时性和准确性。
该平台可以对关键风险指标进行增、删、改、查等基本功能,关键风险指标的监控数据可以通过指标责任部门自行填写、分配他人填写、从系统自动抓取自动运算等模式开展监控,所有填写数据可以配套审批流程管控;按照指标监控频率,可以通过时间触发自动指标监控流程,改变只能定期人工线下的监控的管理方式。截至目前,盛邦安全信息科技风险管理平台(RayCOM)已经在多家金融机构上线运行,为金融机构信息科技风险管理能力的提升提供助力。