信息科技风险评估现状和面临的挑战

当前银行业金融机构信息科技风险评估的开展，大多是根据监管要求，由风险管理部门或者科技部门牵头，通过组织自行评估或者聘请第三方评估机构评估等方式开展，形成全面或者专项的信息科技风险评估报告；在风险评估过程的开展中缺乏信息化手段支撑，主要面临的问题如下：

1. 评估专题多，评估方和被评估方疲于应对； 同样的风险点或者评估项，可能被不同的评估项目组反复评估和测试，且评估过程和成果不能复用，增加了沟通成本和影响效率。

2. 评估过程不可审查和回溯，缺乏评估过程的管控 ； 对一个风险点的评估现状和差异只能依赖评估人的判断和结论，缺乏标准化的评估方法和执行标准； 不同的评估人员针对一个专题进行评估，其评估的风险点的范围、差距分析的尺度都会有差别，尤其是在银行业金融机构信息科技风险评估人员和能力有限的背景下，这个问题尤其突出。

3. 信息科技风险评估缺乏信息化手段支持 ，风险评估底稿和报告完全需要人工梳理和编制，效率低下。

4. 缺乏数据统计分析 ，风险管理部门很难统计和分析不同风险点开展的评估次数，在哪些评估项目中涉及到该风险的评估，以及该风险点控制现状的演进。缺乏这些基础数据和信息，很难有针对性和有目的性的安排风险评估任务。

信息科技风险评估信息化工具建设的监管要求

《中国银行业信息科技“十三五”规划监管指导意见》中，关于“十三五”期间，银行业金融机构要进一步夯实信息科技风险管理基础，丰富信息科技风险管理手段。《指导意见》明确提出了：“重点加强信息科技风险识别与评估能力建设，科学开展信息科技风险评估工作，建立与资产、活动、威胁相关联、动态调整、及时更新的风险清单，构建支撑风险评估工作的管理系统，并开展持续的风险监测和应对工作。“

因此，根据监管指导意见， 银行业应当建立支撑信息科技风险识别和评估能力的风险管理系统，来丰富信息科技风险管理手段，并夯实信息科技风险管理基础。

盛邦安全信息科技风险管理解决方案

盛邦安全开发的信息科技风险管理平台（RayCOM），是助力金融机构信息科技风险管理业务开展的信息化工具，旨在通过信息化手段来提升金融机构的信息科技风险管理工作的流程化、标准化程度，并提升工作效率和提供信息科技风险的决策支持，协助金融客户实现信息科技风险管理工作的信息化和智能化。

RayCOM平台的信息科技风险评估管理功能模块，可以显著提升信息科技风险评估过程中的信息化和标准化程度，提高信息科技风险评估的整体工作效率。

开展信息科技风险评估，建立信息科技风险库（或者称评估基线）是评估的基础。各个金融机构一般都是按照监管要求或者行业相关标准进行梳理；盛邦安全RayCOM平台可以支持风险库的输入、导入，以及增、删、改、查等基本操作；基于具体业务要求，可以在系统内形成专项和全面的的风险基线库，例如，信息科技外包管理、数据安全管理、业务连续性管理等不同类型的基线库；平台也支持将某一个监管指引的具体条款，作为监管合规的评估基线。

根据金融机构实际的评估需要，可以在信息科技风险库中选择某一个领域（专题）的风险点，开展本机构的信息科技风险评估，评估每个风险点的控制机制以及控制机制的执行有效性。

评估工作可以通过流程管控，由风险评估牵头部门，将风险评估点分发给对应部门的相关人员开展风险评估，提供现状描述和差距分析；风险评估任务的具体接收人，可以自行评估收到的风险点，也可以在部门内部进行评估任务的转派。风险评估牵头部门根据各部门反馈的评估结果，识别风险点，形成问题列表；经流程确认后，问题自动进入问题库，便于后续开展问题的整改跟踪。

截至目前，盛邦安全信息科技风险管理平台（RayCOM）已经为多家金融机构上线运行，为金融机构信息科技风险管理能力提升提供助力。返回搜狐，查看更多