- 产品介绍
金融监管机构对以银行业为代表的金融机构在信息科技风险管理领域提出了严格的法律和监管要求,例如,原中国银监会(现银保监会)自2009年起,陆续发布了《商业银行信息科技风险管理指引》、《银行业金融机构信息科技外包风险管理指引》、《商业银行业务连续性监管指引》、《商业银行数据中心监管指引》等一系列监管指引,对银行业金融机构的风险管理提出了强制性要求,如何高效的应对来自监管合规和自身业务安全运营的需求,是各金融机构需要面对问题,为满足监管和自身安全要求,金融机构需要对本机构的信息科技风险持续的开展风险识别、风险评估、和问题整改和风险监控等相关工作。盛邦安全基于对金融机构信息科技风险管理实践和对监管机构监管要求的深刻理解,开发了基于满足监管要求和行业实践的信息科技风险管理系统,旨在为金融机构提供标准化、系统化、自动化、智能化的信息科技风险管理解决方案,提升信息科技风险管控效率和效果。
-
- 基础库管理
基础库涵盖风险库、知识库、和控制措施库;其中风险库,需要具备分类、分级、风险描述、控制要求、风险等级、关键风险指标、关联监管要求等具体技术指标要求,并基于具体业务要求,形成独立的风险库基线;知识库支持标准、监管要求、法律法规的导入,并支持具体条款同风险库中风险点的关联,同时知识库也可以作为一类评估基线;控制措施库支持实践中涵盖的控制要求,并能跟风险点进行关联;
-
- 风险计划和项目管理
风险管理部门可以根据实际工作需要制定年度风险评估计划,根据风险评估计划,建立对应的风险评估或者检查项目,风险评估项目同年度风险计划相关联;具体项目管理,要关联该项目的风险评估基线库,并按照不同部门的评估任务进行下发,下发的任务可以保存为标准模版,提升后续的任务分配效率;
-
- 风险评估管理
根据金融机构实际的管控需要,可以在风险库中选择某一个领域或者全部领域风险点,开展本机构的信息科技风险评估,评估每个风险点的控制机制以及控制机制的执行有效性;
-
- 风险提示管理
风险管理部门可将从多个渠道获取的风险信息,包括但不限于监管发布的风险提示或者通报、安全权威机构或者厂商发布的重大风险提示、同业重大事件或案件等,通过风险提示管理模块,发布给对口的处置部门,由处置部门按照处置要求进行风险的排查和反馈,如无问题则关闭本次风险提示,如有问题则生成问题清单,纳入风险问题管理;
-
- 数据分析和展示
根据金融机构的实际分析和汇报需求,定制化数据分析纬度并生成相关报表,并可在此基础上,构建金融机构信息科技风险管理驾驶舱,全面呈现机构信息科技风险态势;
-
- 问题管理和跟踪整改管理
将信息科技风险评估活动中发现的问题建立整改和跟踪机制,跟踪的问题支持外包导入;可以通过信息科技风险管理部门统一下发待整改问题列表给对应的业务部门,由各业务部门设计问题整改的计划和时间节点,由风险管理部门对问题进行持续的跟踪和整改验证,直至问题全部关闭,通过此功能可以开展待整改问题的全生命周期管理;
-
- 关键风险指标(KRI)管理
根据客户积累的关键风险指标,建立台帐信息,风险指标的获取可以通过手工录入和同相关系统集成获取实时数据的方式,并通过设定报警阈值,提供风险预警和风险提示;
-
- 信息科技监管报送管理
在系统里面按照监管报送要素要求进行数据设计,并通过填报流程分布填报,统一汇总,最后导出xml格式的文件上传到监管报送终端提交;通过在监管报送模块填报监管数据,可以保存历史填报记录,并可根据需要开展数据分析,可以通过内部流程将填报内容分配给不同岗位的人分别填写,并进行流程管控;
- 信息科技风险管理信息化工具
+- 通过信息化提高了信息科技风险管理各环节的执行效率,包括但不限于风险评估、问题管理、问题跟踪、风险监控、监管报送、报告管理等关键关节,对于风险管理条线的新人,能够快速借助系统提升业务绩效。
- 标准化规范化信息科技风险管理流程
+- 固化了信息科技风险管理流程,显著提升了信息科技风险管理的标准化程度,解决了金融机构因专业人员投入少、信息科技风险管理体系不全,缺乏规范和标准等痛点。
- 提升信息科技风险管理智能化水平
+- 风险管理关键环节借助自动化处理机制,解决了风险管理工作实时性不强,无法保证风险控制效果的问题,例如关键风险指标监控、问题整改跟踪、监管报送等重要环节。
- 信息科技风险问题生命周期管理
+- 为风险问题整改跟踪建立了闭环的管控机制,实现了信息科技风险的全生命周期管理,对于长期待整改问题,也建立了管控机制。
- 内外部合规支持
+- 根据内外部合规需求,动态实时的形成风险分析报表和相关报告,及时满足银行客户内部沟通汇报以及监管报送的需要。
- 信息科技风险管理可视化管理
+- 通过管理驾驶舱和动态的数据分析展示等可视化的手段,为决策层提供科学的管理依据和决策。
- 典型部署
RayCOM本身是一套管理软件,其部署方式十分灵活,支持虚拟化部署;可通过标准化接口同其他业务系统或者数据仓库获取风险管理数据,提升系统的智能化和自动化水平,提升系统处理效率;业务人员可以直接登录RayCOM系统来处理风险管理任务;可同金融机构各业务部门日常办公常用的Portal、OA、即时通信工具或者邮件系统无缝集成,推送代办事项,业务部门相关人员可以点击代办事项单点登录到RayCOM平台,无须管理在RayCOM系统中的账号和口令。
金融行业信息科技风险管理系统(RayCOM),贴近金融客户信息科技风险管理实操,并融合了业界优秀实践,提升了内部信息科技风险管理的效率和标准化程度,又有效满足监管机构在信息科技风险管理方面的要求。