方案简介

盛邦安全银行业金融机构信息科技风险管理解决方案，涵盖信息科技风险管理体系咨询和信息科技风险管理合规平台两大重要组成部分，既能通过咨询服务协助客户建立满足监管要求的信息科技风险管理体系，又能同过信息化手段将咨询成果进行落地。

方案背景

当前，国家和监管机构对金融机构在信息科技风险管理领域提出了严格的法律和监管要求，例如，原中国（现）自2009年起，陆续发布了《商业银行信息科技风险管理指引》、《银行业金融机构信息科技外包风险管理指引》、《商业银行业务连续性监管指引》、《商业银行数据中心监管指引》等一系列监管指引，对银行业金融机构的风险管理提出了强制性要求，如何高效的应对来自监管合规和自身业务安全运营的需求，是各金融机构需要面对问题，为满足监管和自身安全要求，金融机构需要对本机构的信息科技风险持续的开展风险识别、风险评估、和问题整改和风险监控等相关工作。

盛邦安全基于对金融机构信息科技风险管理实践和对监管机构监管要求的深刻理解，开发了基于满足监管要求和行业实践的信息科技风险管理系统，旨在为金融机构提供标准化、系统化、自动化、智能化的信息科技风险管理解决方案，提升信息科技风险管控效率和效果。

方案价值

盛邦安全信息科技风险管理系统不同于传统的风险管理软件，贴近银行信息科技风险管理实操，并融合了业界实践，既提升了内部信息科技风险管理的效率，又有效满足了监管现场和非现场监管检查的需要。

1、显著提升了信息科技风险评估的标准化程度；

2、提高了风险评估过程和报告生成的效率；

3、满足数据分析需求，动态实时地形成风险分析报表和相关报告，及时满足机构内部和监管报送的需要；

4、风险评估的问题整改跟踪，建立了闭环的管控机制，实现信息科技风险的全生命周期管理。

解决方案

盛邦安全基于银行业金融机构信息科技风险管理实践和对监管机构监管要求的深刻理解，开发了基于满足监管要求和行业实践的信息科技风险管理系统，旨在为客户提供标准化、系统化、自动化的信息科技风险管理解决方案，提升信息科技风险管控效率。主要业务功能包括：

基础库管理

基础库涵盖风险库、知识库、和控制措施库；其中风险库，需要具备分类、分级、风险描述、控制要求、风险等级、关键风险指标、关联监管要求等具体技术指标要求，并基于具体业务要求，形成独立的风险库基线；知识库要支持标准、监管要求、法律法规的倒入，并支持具体条款同风险库中风险点的关联，同时知识库也可以作为一类评估基线；控制措施库要支持实践中涵盖的控制要求，并能跟风险点进行关联。

风险计划和项目管理

风险管理部门可以根据实际工作需要制定年度风险评估计划，根据风险评估计划，建立对应的风险评估或者检查项目，风险评估项目同年度风险计划相关联；具体项目管理，要关联该项目的风险评估基线库，并按照不同部门的评估任务进行下发，下发的任务可以保存为标准模版，提升后续的任务分配效率。

风险评估管理

根据金融机构实际的管控需要，可以在风险库中选择某一个领域或者全部领域风险点，开展本机构的信息科技风险评估，评估每个风险点的控制机制以及控制机制的执行有效性。

问题管理和跟踪整改管理

将信息科技风险评估活动中发现的问题建立整改和跟踪机制，跟踪的问题支持外包导入；可以通过信息科技风险管理部门统一下发待整改问题列表给对应的业务部门，由各业务部门设计问题整改的计划和时间节点，由风险管理部门对问题进行持续的跟踪和整改验证，直至问题全部关闭，通过此功能可以开展待整改问题的全生命周期管理。

监管报送和关键风险指标（KRI）管理

根据客户积累的关键风险指标，建立台帐信息，风险指标的获取可以通过手工录入和同相关系统集成获取实时数据的方式，并通过设定报警阈值，提供风险预警和风险提示。

管理驾驶舱、数据分析和展示

根据金融机构的实际分析和汇报需求，定制化数据分析纬度并生成相关报表，为决策层呈现信息科技风险管理的效果。

方案优势

盛邦安全信息科技风险管理系统（RayCOM），贴近金融客户信息科技风险管理实操，并融合了业界实践，提升了内部信息科技风险管理的效率和标准化程度，又有效满足监管机构在信息科技风险管理方面的要求，实施效果具体体现在：

1、固化了信息科技风险管理流程，显著提升了信息科技风险管理的标准化程度；

2、提高了风险管理各环节的执行效率，包括但不限于风险评估、问题管理、问题跟踪、风险监控、监管报送、报告管理等；

3、信息科技风险管理过程留痕，方便进行问题追溯和查询；

4、满足数据分析需求，动态实时的形成风险分析报表和相关报告，及时满足客户内部沟通汇报以及监管报送的需要；

5、为风险问题整改跟踪建立了闭环的管控机制，实现了信息科技风险的全生命周期管理；

6、系统可通过标准接口同客户原有OA/Portal深入集成，延续原有在线业务处理习惯，便于在客户内部推广和普及风险管理意识和操作规范。

相关产品