4006-911-199
语言
中文 英文
新闻中心
首页 > 关于我们 > 新闻中心 > 公司新闻
2019/12/24

烽火十八台丨2020年都要来了,你的信息科技风险管理模式升级了吗?

金融科技是支撑并引领金融机构业务运营和创新发展的重要支撑,而信息科技风险管理是保障金融科技持续、稳定、长久创新的根基。在信息科技助力银行高速发展和服务转型的同时,信息科技风险也如影随形。

在监管机构的大力推动下,信息科技风险管理的“三道防线”已成为银行业金融机构防控风险的顶层架构;以银行业为代表的金融行业的信息科技风险管理成为金融机构重要的合规业务之一,但金融机构信息科技风险管理体系的信息化工作整体落后于金融机构数字化转型的总体进程,亟待解决。

盛邦安全金融机构信息科技风险管理平台(以下简称 RayCOM )是助力金融机构开展信息科技风险管理业务的信息化工具,旨在通过信息化手段来提升金融机构的信息科技风险管理工作的体系化、流程化、标准化程度,借助信息化手段提升工作效率和效果。近期,盛邦安全RayCOM升级了2.0版本,在原本的基础上增加了多个核心功能,为信息科技风险管理决策提供数据支撑以及推动信息科技风险管理的智能化发展,提供了更强大的助力


平台功能框架


盛邦安全信息科技风险管理平台的功能框架,分为业务功能和展示功能,其中业务功能框架中又分为平台的核心功能(橙色标识)和非核心功能(蓝色标识),其中核心功能包括:信息科技风险评估管理、问题清单和整改跟踪管理、信息科技关键风险指标监控管理、信息科技非现场监管报送管理等。

1.jpg

RayCOM系统功能架构


平台核心功能


信息科技风险评估管理


RayCOM 平台的信息科技风险评估管理功能模块,可以实现信息科技风险评估执行过程的信息化,显著提升信息科技风险评估的执行效率和标准化程度。开展信息科技风险评估,信息科技风险库(或者称评估基线)是评估的基础,各个金融机构一般都是按照监管要求或者行业相关标准进行梳理,盛邦安全RayCOM 平台可以支持风险库的输入、导入,以及增删改查等基本操作;基于具体业务要求,可以在系统内形成专项和全面的风险基线库,例如信息科技外包管理、数据安全管理、业务连续性管理等不同类型的基线库;平台也支持将某一个监管指引的具体条款,作为监管合规的评估基线。


1.jpg

风险库示例


根据金融机构实际的评估需要,可以在信息科技风险库中选择某一个领域(专题)的风险点,开展本机构的信息科技风险评估,评估每个风险点的控制机制以及控制机制的执行有效性。

 

评估工作可以通过流程管控,由风险评估牵头部门,将风险评估点分发给对应部门的相关人员开展风险评估,提供现状描述和差距分析;风险评估任务的具体接收人,可以自行评估收到的风险点,也可以在部门内部进行评估任务的转派。风险评估牵头部门根据各部门反馈的评估结果,识别风险点,形成问题列表,经流程确认后,问题自动进入问题库,便于后续开展问题的整改跟踪。


1.jpg

风险评估示例


信息科技问题清单和整改跟踪管理


盛邦安全开发的信息科技风险管理平台(RayCOM)的信息科技风险清单和问题整改跟踪管理模块,可以针对银行业金融机构当前在信息科技风险清单管理方面面临的痛点提供解决方案。


1.jpg

问题清单示例


1.jpg

问题整改跟踪统计示例
实现如下功能和收益:


  • 各类/历年信息科技风险内外部评估、检查问题清单的统一归口管理,实现问题的手工输入、外部导入,以及针对问题库的增、删、改、查等必要功能。
  • 为风险清单建立了闭环管控机制,可以为每个风险问题指定责任整改部门和岗位,定期或者按照问题整改计划时间智能的开展问题整改跟踪,收集整改过程信息和整改进度;
  • 通过建立流程管控,对于满足关闭条件的风险问题进行审批、关闭和归档。
  • 为历年历次风险问题清单建立历史记录,积累数据源,可以按照年度、风险问题领域、风险问题来源、风险问题所属部门、风险问题整改状态、风险问题严重程度等不同维度和多维度的开展风险问题分析。

 
信息科技关键风险指标监控管理


根据风险管理理论和商业银行信息科技风险管理行业实践,目前在信息科技风险监测方面,普遍采用关键风险指标(KRI)这个管理工具,对关键信息科技风险开展持续风险监测。
 
当前银行关键风险指标管理主要有两种情况,第一种情况是同监管报送相关的关键风险指标(信息系统相关指标),大多是通过系统平台的对接,辅助以人工填报的方式来完成;这类指标主要用来满足监管合规要求;第二种情况是银行业金融机构根据自身信息科技风险管理实践,梳理出重要信息科技风险,并梳理出针对这些重要风险点的监控指标,这些指标很多是管理类指标,而不仅仅是第一种情况中的系统技术指标,例如信息科技人员离职率、安全意识培训覆盖率等。这类指标的管理,目前大多是通过人工、线下、定期的方式来进行管理,存在管理效率低,数据统计不及时,缺乏流程管控等问题。
 
RayCOM 平台的信息科技关键风险指标监控管理功能模块,可以实现关键风险指标管理过程的信息化,提升信息科技关键风险指标管理的自动化、实时性和准确性。通过对关键风险指标进行增、删、改、查等基本功能,关键风险指标的监控数据可以通过指标责任部门自行填写、分配他人填写、从系统自动抓取自动运算等模式开展监控,所有填写数据可以配套审批流程管控;按照指标监控频率,可以通过时间触发自动指标监控流程,改变只能定期人工线下的监控的管理方式。


关键风险指标监控管理示例


信息科技风险非现场监管报送管理


银行业金融机构信息科技风险非现场监管报表(以下简称非现场监管报表),是银行业监管机构信息科技风险监管体系的重要组成部分,旨在通过收集和监测银行业金融机构信息科技风险相关数据,来识别和评估行业内潜在的系统性信息科技风险;几乎所有的银行业金融机构都要求按照月度、季度和年度等报送频率,通过监管机构的报送终端软件,开展报送,是银行业金融机构日常必须要满足的基本合规要求。当前各银行业金融机构在组织填报非现场监管报表的过程中,主要暴露出如下主要问题:


  • 非现场监管报表涉及表单众多,涵盖信息科技风险管理的全部领域(含治理、管理、技术),涉及填报字段数以千计,完成填报需要银行业金融机构跨部门、跨信息科技各业务条线的分工协作,工作量巨大,沟通成本高。


  • 目前填报主要依赖人工收集数据并汇总统一填报,缺乏统一的数据复核、验证机制和填报流程管控机制,难以保证数据的准确和一致性;现实中因为填报人员变更、填报数据未经严格验证和审批,导致填报数据差错的情况经常出现;缺乏同往期数据的比对机制,在众多的填报项中也很难发现潜在的数据差错点。


  • 目前的填报机制导致历史填报数据很难保存,文档管理不规范的机构,很难查询或者参考往期的填报数据,从长远来看,也不具备对本机构的非现场监管报送数据开展有效的数据分析,会浪费宝贵的数据资源。


盛邦安全RayCOM有针对性的解决了当前各银行业金融机构开展非现场监管报送的上述痛点,非现场监管报送解决方案可帮助客户实现如下收益:


  • 显著提升报送效率,第一次填报后,以后各期的填报可以参考前期填报结果,如无重大变更的填报项,可以直接调用;可以通过数据抓取获取的填报项,可以节省人工填报成本。


  • 显著提升填报数据准确性,借助流程管控和前期数据自动环比比对,可以快速定位填报差错,确保最终填报数据的准确性,而且规避了在不同时期填报人员变更带来的数据差错问题。


  • 使银行业金融机构推动信息科技风险管理大数据分析成为可能,历次填报的数据完全保存在机构本地数据库,可以为行内数据仓库和BI 系统提供信息科技风险数据,推动信息科技风险管理智能化水平。


此外,盛邦安全金融机构信息科技风险管理平台RayCOM还具备数据库管理、工作计划和项目管理、风险提示管理、信息科技事件管理、数据分析和展示、配置管理等功能。

“盛邦安全信息科技风险管理系统不同于传统的风险管理软件,贴近我公司信息科技风险管理实际操作,并融合了业界最佳实践,固化了信息科技风险管理体系,提升了内部信息科技风险管理的效率,有效满足现场和非现场监管检查的需要,对于提升我公司信息科技风险管控水平、坚守风险底线、确保业务持续稳定以及实现打造安全品牌的战略目标,提供了强大的助力。”

——来自某金融机构客户的评价

盛邦安全将金融机构信息科技风险管理信息化作为金融行业战略,以通过信息化手段提升金融行业信息科技风险管理体系和能力建设为使命。截止到目前,RayCOM平台已经在多家金融机构上线运行,并得到了众多金融机构的关注。