《商業(yè)銀行信息科技風險管理指引》(簡稱《指引》)是指導銀行業(yè)金融機構開展信息科技風險管理的強制性監(jiān)管指引,被業(yè)界視為信息科技風險管理合規(guī)的基本要求及合規(guī)寶典���?����!吨敢返谌谑藯l提到,商業(yè)銀行應建立持續(xù)的信息科技風險計量和監(jiān)測機制����;《中國銀行業(yè)信息科技“十三五”規(guī)劃監(jiān)管指導意見》中,關于“十三五”期間,銀行業(yè)金融機構要進一步夯實信息科技風險管理基礎���,豐富信息科技風險管理手段���。《指導意見》明確提出了“重點加強信息科技風險識別與評估能力建設����,科學開展信息科技風險評估工作,建立與資產���、活動����、威脅相關聯(lián)��、動態(tài)調整�、及時更新的風險清單,構建支撐風險評估工作的管理系統(tǒng)����,并開展持續(xù)的風險監(jiān)測和應對工作。“根據(jù)風險管理理論和商業(yè)銀行信息科技風險管理行業(yè)實踐�����,目前在信息科技風險監(jiān)測方面,普遍采用關鍵風險指標(KRI)這個管理工具���,對關鍵信息科技風險開展持續(xù)風險監(jiān)測�。
信息科技關鍵風險指標(KRI)的管理現(xiàn)狀
當前銀行關鍵風險指標管理主要有兩種情況:第一種是同監(jiān)管報送相關的關鍵風險指標(信息系統(tǒng)相關指標)�����,大多是通過系統(tǒng)平臺的對接��,輔助以人工填報的方式來完成����;這類指標主要用來滿足監(jiān)管合規(guī)要求;第二種情況是銀行業(yè)金融機構根據(jù)自身信息科技風險管理實踐�����,梳理出重要信息科技風險以及針對這些重要風險點的監(jiān)控指標��;這些指標很多是管理類指標�����,而不僅僅是第一種情況中的系統(tǒng)技術指標��,例如信息科技人員離職率�����、安全意識培訓覆蓋率等�。這類指標的管理,目前大多是通過人工����、線下、定期的方式來進行管理��,存在管理效率低����、數(shù)據(jù)統(tǒng)計不及時、缺乏流程管控等問題�。
盛邦安全信息科技風險管理解決方案
盛邦安全開發(fā)的信息科技風險管理平臺(RayCOM),是助力金融機構信息科技風險管理業(yè)務開展的信息化工具��,旨在通過信息化手段來提升金融機構的信息科技風險管理工作的流程化����、標準化程度����,并提升工作效率和提供信息科技風險的決策支持��,協(xié)助金融客戶實現(xiàn)信息科技風險管理工作的信息化和智能化����。RayCOM平臺的信息科技關鍵風險指標監(jiān)控管理功能模塊,可以實現(xiàn)關鍵風險指標管理過程的信息化���,提升信息科技關鍵風險指標管理的自動化��、實時性和準確性���。
該平臺可以對關鍵風險指標進行增、刪��、改�、查等基本功能,關鍵風險指標的監(jiān)控數(shù)據(jù)可以通過指標責任部門自行填寫����、分配他人填寫、從系統(tǒng)自動抓取自動運算等模式開展監(jiān)控�����,所有填寫數(shù)據(jù)可以配套審批流程管控;按照指標監(jiān)控頻率��,可以通過時間觸發(fā)自動指標監(jiān)控流程�����,改變只能定期人工線下的監(jiān)控的管理方式�����。截至目前�,盛邦安全信息科技風險管理平臺(RayCOM)已經(jīng)在多家金融機構上線運行���,為金融機構信息科技風險管理能力的提升提供助力��。
