金融科技是支撑并引领金融机构业务运营和创新发展的重要支撑，而信息科技风险管理是保障金融科技持续、稳定、长久创新的根基。在信息科技助力银行高速发展和服务转型的同时，信息科技风险也如影随形。

在监管机构的大力推动下，信息科技风险管理的“三道防线”已成为银行业金融机构防控风险的顶层架构；以银行业为代表的金融行业的信息科技风险管理成为金融机构重要的合规业务之一，但金融机构信息科技风险管理体系的信息化工作整体落后于金融机构数字化转型的总体进程，亟待解决。

盛邦安全金融机构信息科技风险管理平台（以下简称 RayCOM ）是助力金融机构开展信息科技风险管理业务的信息化工具，旨在通过信息化手段来提升金融机构的信息科技风险管理工作的体系化、流程化、标准化程度，借助信息化手段提升工作效率和效果。近期，盛邦安全RayCOM升级了2.0版本，在原本的基础上增加了多个核心功能，为信息科技风险管理决策提供数据支撑以及推动信息科技风险管理的智能化发展，提供了更强大的助力。

平台功能框架

盛邦安全信息科技风险管理平台的功能框架，分为业务功能和展示功能，其中业务功能框架中又分为平台的核心功能（橙色标识）和非核心功能（蓝色标识），其中核心功能包括：信息科技风险评估管理、问题清单和整改跟踪管理、信息科技关键风险指标监控管理、信息科技非现场监管报送管理等。

                                                                                         RayCOM系统功能架构

平台核心功能

信息科技风险评估管理

RayCOM 平台的信息科技风险评估管理功能模块，可以实现信息科技风险评估执行过程的信息化，显著提升信息科技风险评估的执行效率和标准化程度。开展信息科技风险评估，信息科技风险库（或者称评估基线）是评估的基础，各个金融机构一般都是按照监管要求或者行业相关标准进行梳理，盛邦安全RayCOM 平台可以支持风险库的输入、导入，以及增删改查等基本操作；基于具体业务要求，可以在系统内形成专项和全面的风险基线库，例如信息科技外包管理、数据安全管理、业务连续性管理等不同类型的基线库；平台也支持将某一个监管指引的具体条款，作为监管合规的评估基线。

                                                                                       风险库示例

根据金融机构实际的评估需要，可以在信息科技风险库中选择某一个领域（专题）的风险点，开展本机构的信息科技风险评估，评估每个风险点的控制机制以及控制机制的执行有效性。

• 各类/历年信息科技风险内外部评估、检查问题清单的统一归口管理，实现问题的手工输入、外部导入，以及针对问题库的增、删、改、查等必要功能。
• 为风险清单建立了闭环管控机制，可以为每个风险问题指定责任整改部门和岗位，定期或者按照问题整改计划时间智能的开展问题整改跟踪，收集整改过程信息和整改进度；
• 通过建立流程管控，对于满足关闭条件的风险问题进行审批、关闭和归档。
• 为历年历次风险问题清单建立历史记录，积累数据源，可以按照年度、风险问题领域、风险问题来源、风险问题所属部门、风险问题整改状态、风险问题严重程度等不同维度和多维度的开展风险问题分析。

• 非现场监管报表涉及表单众多，涵盖信息科技风险管理的全部领域（含治理、管理、技术），涉及填报字段数以千计，完成填报需要银行业金融机构跨部门、跨信息科技各业务条线的分工协作，工作量巨大，沟通成本高。

   

• 目前填报主要依赖人工收集数据并汇总统一填报，缺乏统一的数据复核、验证机制和填报流程管控机制，难以保证数据的准确和一致性；现实中因为填报人员变更、填报数据未经严格验证和审批，导致填报数据差错的情况经常出现；缺乏同往期数据的比对机制，在众多的填报项中也很难发现潜在的数据差错点。

   

• 目前的填报机制导致历史填报数据很难保存，文档管理不规范的机构，很难查询或者参考往期的填报数据，从长远来看，也不具备对本机构的非现场监管报送数据开展有效的数据分析，会浪费宝贵的数据资源。

• 显著提升报送效率，第一次填报后，以后各期的填报可以参考前期填报结果，如无重大变更的填报项，可以直接调用；可以通过数据抓取获取的填报项，可以节省人工填报成本。

   

• 显著提升填报数据准确性，借助流程管控和前期数据自动环比比对，可以快速定位填报差错，确保最终填报数据的准确性，而且规避了在不同时期填报人员变更带来的数据差错问题。

   

• 使银行业金融机构推动信息科技风险管理大数据分析成为可能，历次填报的数据完全保存在机构本地数据库，可以为行内数据仓库和BI 系统提供信息科技风险数据，推动信息科技风险管理智能化水平。