商業(yè)銀行信息科技風險評價審計淺析

1.相關(guān)政策背景為實現(xiàn)對商業(yè)銀行信息系統(tǒng)風險的識別、計量、評價、預(yù)警和控制，有效防范銀行業(yè)金融機構(gòu)運用信息系統(tǒng)進行業(yè)務(wù)處理、經(jīng)營管理和內(nèi)部控制過程中產(chǎn)生的風險，促進我國銀行業(yè)安全、持續(xù)、穩(wěn)健運行，根據(jù)《銀行業(yè)金融機構(gòu)信息系統(tǒng)風險管理指引》和《銀行業(yè)金融機構(gòu)內(nèi)部審計指引》的有關(guān)規(guī)定，2006年11月中國銀行業(yè)監(jiān)督管理委員會辦公廳發(fā)布了《關(guān)于開展2006年度信息科技風險內(nèi)部和外部評價審計的通知》（簡稱313號文件），要求銀行業(yè)金融機構(gòu)進行信息科技風險內(nèi)部和外部評價審計工作。《銀行業(yè)金融機構(gòu)信息系統(tǒng)風險管理指引》（以下簡稱原《管理指引》）定位在信息系統(tǒng)風險管理的基本、原則性要求，已難以滿足商業(yè)銀行信息科技風險管理的需要。銀監(jiān)會對原《管理指引》進行了修訂，并重新定名為《商業(yè)銀行信息科技風險管理管理指引》（以下簡稱新《管理指引》），原《管理指引》同時廢止。銀監(jiān)會于2009年3月3日下發(fā)了《中國銀監(jiān)會關(guān)于印發(fā)〈商業(yè)銀行信息科技風險管理指引〉的通知》（銀監(jiān)發(fā)【2009】19號文）,要求商業(yè)銀行等金融機構(gòu)按照新《管理指引》來進行信息科技風險評價審計。在新《管理指引》中根據(jù)審計的范圍的不同，將審計分為了專項審計（對信息科技安全事故或認為必要的特殊事項進行的審計）和全面審計（依據(jù)《管理指引》中規(guī)定的內(nèi)容，對商業(yè)銀行進行的全方位的審計）。根據(jù)審計執(zhí)行機構(gòu)的不同，將審計分為內(nèi)部審計（商業(yè)銀行內(nèi)部機構(gòu)進行的審計活動）和外部審計（委托具備相應(yīng)資質(zhì)的外部審計機構(gòu)進行的審計活動）。2.審計范圍及內(nèi)容商業(yè)銀行應(yīng)根據(jù)業(yè)務(wù)性質(zhì)、規(guī)模和復(fù)雜程度，信息科技應(yīng)用情況，以及信息科技風險評估結(jié)果，決定信息科技內(nèi)部審計、外部審計的范圍和頻率。商業(yè)銀行可以對信息科技安全事故進行調(diào)查、分析和評估，或?qū)徲嫴块T根據(jù)風險評估結(jié)果對認為必要的特殊事項進行信息科技專項審計。同時也可以根據(jù)實際應(yīng)用情況進行較全面的審計，新《管理指引》中規(guī)定至少應(yīng)每三年進行一次全面審計。一個全面的評價審計至少應(yīng)包含如下內(nèi)容：1)

信息科技治理和組織結(jié)構(gòu)

制度建設(shè)

組織結(jié)構(gòu)2)

信息安全管理

信息安全基本要求

邏輯訪問的風險與控制

網(wǎng)絡(luò)安全控制

環(huán)境的風險和控制

物理訪問的風險與控制

軟件的風險與控制3)

信息科技項目開發(fā)和變更管理

項目開發(fā)管理

項目變更管理

項目資料文檔管理體系

系統(tǒng)設(shè)計開發(fā)外包缺陷風險管理4)

信息系統(tǒng)運行和操作管理

信息系統(tǒng)運行體系建設(shè)情況

操作環(huán)境控制和預(yù)防性維護情況

生產(chǎn)變更管理

信息科技操作風險控制措施

日志管理5)