《商业银行业务连续性监管指引》(银监发[2011]104号)明确提出了“商业银行应当开展业务连续性风险评估,识别业务连续运营所需的关键资源,分析资源所面临的各类威胁以及资源自身的脆弱性,确定资源的风险敞口。关键资源应当包括关键信息系统及其运行环境,关键的人员、业务场地、业务办公设备、业务单据以及供应商等。”因此,银行业金融机构定期和不定期开展业务连续性风险评估是刚性业务需求。
同业务影响分析一样,作为业务连续性管理体系建设不可缺少的业务环节,风险评估(RA)也是业务连续性管理成功的基础。
问题与挑战
当前中小银行业金融机构业务连续性风险评估的开展,大多是根据监管要求,由风险管理部门或综合管理部门主管,业务条线部门与信息科技部门执行,在风险评估过程的开展中缺乏信息化手段支撑,主要面临的问题如下:
-
评估涉及业务部门、科技部门、资源保障部门等,沟通时间长、次数频繁、成本高、效率低下。
-
评估过程不可审查和回溯,缺乏评估过程的管控,缺乏标准化的评估方法和执行标准,评估过程成果不能复用,尤其是银行业金融机构业务连续性管理风险评估人员和能力缺乏的背景下,这个问题尤其突出。
-
业务连续性风险评估在缺乏信息化手段支持下,风险评估底稿和报告完全需要人工梳理、编制,效率低下。
-
缺乏数据统计分析,很难根据风险敞口制定降低、缓释、转移等应对策略及确定风险防范和控制的原则与措施。
盛邦安全业务连续性管理平台解决方案
盛邦安全业务连续性管理平台的风险评估管理功能模块可以实现业务连续性风险评估执行过程的信息化,显著提升业务连续性风险评估的执行效率和标准化程度。通过在线发送调研问卷,资产负责人在线答题的方式,识别资产的价值、资产脆弱性、面临的威胁、已有的控制措施确定资产的固有风险和剩余风险,确定资源的风险敞口,有效应对重要业务运营中断事件,建设应急响应、恢复机制和管理能力框架,保障重要业务持续运营。
1、建立风险分析计划,添加计划:计划名称、计划简述、计划目标、开始时间、结束时间等。
新建计划管理
2、风险评估配置,计划新建后添加评估任务,指派资产负责部门及接口人。
添加评估任务
配置资产评估基线,关键资产划分人员、业务场地、信息系统、办公设备、文档和数据和外部合作机构及供应商。
配置评估管理
3、任务下发,计划设置好后下发任务
下发任务管理
4、评估流程,评估下发后,可以在风险评估流程对资产威胁和脆弱性进行填报。
评估流程管理
5、风险评估结果,根据资产填报人填报值,采用相乘法计算风险值,支持风险评估结果导出。
方案价值
-
建立对业务运营环境的整体认识,了解业务连续运营所面临的各类潜在风险因素,识别影响业务大范围中断的关键风险场景;
-
信息化系统能够提高风险评估效率,降低了线下沟通和分析确认带来的资料分发、收集、分析、汇总等环节的工作量;
-
系统预设分析方法和模型,自动分析计算并展示分析计算结果,操作方便简单;
-
分析各部门业务运营所面临的首要风险场景,识别风险发生的可能性,并定性描述可能造成的损失;
-
根据风险评估结果,对关键风险场景提出风险管控措施,对于处置后仍在不可接受范围内的残余风险提出进一步处置策略,各部门可围绕评估出的关键风险场景,在部门专项预案编制过程中有针对性的进行应急处置流程设计。
来源:freebuf.com 2021-04-25 13:53:05 by: WebRAY
请登录后发表评论
注册