银行业金融机构信息科技风险评估可以这么干(内有干货)

2019-12-04 12098人围观 企业资讯

《商业银行信息科技风险管理指引》(以下简称《指引》)是指导银行业金融机构开展信息科技风险管理的强制性监管指引,被视为满足信息科技风险管理合规的最低要求以及合规的宝典。

《指引》第三章第十六条明确规定,商业银行应制定持续的风险识别和评估流程,确定信息科技中存在隐患的区域,评价风险对其业务的潜在影响,对风险进行排序并确定风险防范措施及所需资源的优先级别(包括外包供应商、产品供应商和服务商)。

 可见,银行业金融机构定期和不定期开展信息科技风险评估是刚性业务需求。

金融信息科技风险评估环节需要满足的合规要求

根据《指引》以及银保监会其他信息科技相关监管要求,当前银行业金融机构每年要开展如下类型的风险评估工作,从下表可以初步看出,银行业金融机构为满足监管合规要求,要执行的风险评估场景和专题非常多:

1.png2.png3.png4.png5.png

信息科技风险评估现状和面临的挑战

当前银行业金融机构信息科技风险评估的开展,大多是根据监管要求,由风险管理部门或者科技部门牵头,通过组织自行评估或者聘请第三方评估机构评估等方式开展,形成全面或者专项的信息科技风险评估报告;在风险评估过程的开展中缺乏信息化手段支撑,主要面临的问题如下:

1. 评估专题多,评估方和被评估方疲于应对;同样的风险点或者评估项,可能被不同的评估项目组反复评估和测试,且评估过程和成果不能复用,增加了沟通成本和影响效率。

2. 评估过程不可审查和回溯,缺乏评估过程的管控;对一个风险点的评估现状和差异只能依赖评估人的判断和结论,缺乏标准化的评估方法和执行标准;不同的评估人员针对一个专题进行评估,其评估的风险点的范围、差距分析的尺度都会有差别,尤其是在银行业金融机构信息科技风险评估人员和能力有限的背景下,这个问题尤其突出。

3. 信息科技风险评估缺乏信息化手段支持,风险评估底稿和报告完全需要人工梳理和编制,效率低下。

4. 缺乏数据统计分析,风险管理部门很难统计和分析不同风险点开展的评估次数,在哪些评估项目中涉及到该风险的评估,以及该风险点控制现状的演进。缺乏这些基础数据和信息,很难有针对性和有目的性的安排风险评估任务。

《中国银行业信息科技“十三五”规划监管指导意见》中,关于“十三五”期间,银行业金融机构要进一步夯实信息科技风险管理基础,丰富信息科技风险管理手段。《指导意见》明确提出了:“重点加强信息科技风险识别与评估能力建设,科学开展信息科技风险评估工作,建立与资产、活动、威胁相关联、动态调整、及时更新的风险清单,构建支撑风险评估工作的管理系统,并开展持续的风险监测和应对工作。“

因此,根据监管指导意见,银行业应当建立支撑信息科技风险识别和评估能力的风险管理系统,来丰富信息科技风险管理手段,并夯实信息科技风险管理基础。盛邦安全开发的信息科技风险管理平台(RayCOM),是助力金融机构信息科技风险管理业务开展的信息化工具,旨在通过信息化手段来提升金融机构的信息科技风险管理工作的流程化、标准化程度,并提升工作效率和提供信息科技风险的决策支持,协助金融客户实现信息科技风险管理工作的信息化和智能化。

RayCOM平台的信息科技风险评估管理功能模块,可以显著提升信息科技风险评估过程中的信息化和标准化程度,提高信息科技风险评估的整体工作效率。开展信息科技风险评估,建立信息科技风险库(或者称评估基线)是评估的基础。各个金融机构一般都是按照监管要求或者行业相关标准进行梳理;盛邦安全RayCOM平台可以支持风险库的输入、导入,以及增、删、改、查等基本操作;基于具体业务要求,可以在系统内形成专项和全面的的风险基线库,例如,信息科技外包管理、数据安全管理、业务连续性管理等不同类型的基线库;平台也支持将某一个监管指引的具体条款,作为监管合规的评估基线。

11.jpg

根据金融机构实际的评估需要,可以在信息科技风险库中选择某一个领域(专题)的风险点,开展本机构的信息科技风险评估,评估每个风险点的控制机制以及控制机制的执行有效性。

评估工作可以通过流程管控,由风险评估牵头部门,将风险评估点分发给对应部门的相关人员开展风险评估,提供现状描述和差距分析;风险评估任务的具体接收人,可以自行评估收到的风险点,也可以在部门内部进行评估任务的转派。风险评估牵头部门根据各部门反馈的评估结果,识别风险点,形成问题列表;经流程确认后,问题自动进入问题库,便于后续开展问题的整改跟踪。

22.jpg

截至目前,盛邦安全信息科技风险管理平台(RayCOM)已经为多家金融机构上线运行,为金融机构信息科技风险管理能力提升提供助力。

相关推荐
取消
Loading...

文章目录

    特别推荐

    推荐关注

    官方公众号

    聚焦企业安全

    填写个人信息

    姓名
    电话
    邮箱
    公司
    行业
    职位
    css.php