随着金融科技的快速发展,金融信息化程度不断深化,监管要求逐步增强,如何在严控风险、保证合规的前提下面对数字化转型、金融创新等多方面挑战,探索业务资源、技术等维度的突破,是当下金融机构普遍面临的新课题。有鉴于此,银行信息科技风险全面审计成为了必不可少的环节。

容诚IT审计团队梳理并总结了信息科技风险全面审计框架,通过标准化、体系化审计方法,快速识别风险与问题,提供针对性解决方案,为银行的可持续发展提供有力支撑。 

 

信息科技监管要求与趋势

 

近年来,国家金融监督管理总局(原银保监会)、人民银行、公安部先后出台了《商业银行信息科技风险管理指引》《商业银行业务连续性监管指引》《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》等监管文件或指引要求,对银行信息科技风险的关注日益增加,对信息科技风险审计的要求也日趋严格。除了传统的合规性、安全性和可用性等方面的要求外,还要求银行建立完善的风险管理体系,定期进行风险评估,并采取相应的控制措施,确保个人信息安全。

随着监管要求逐步增强,如何在严控风险、保障合规的前提下探索金融创新与技术突破成为了当前金融行业普遍面临的新课题。基于此,信息科技风险全面审计应运而生,预期通过对信息科技管理现状进行评估,对信息科技管理全流程生命周期进行审计,优化信息科技风险管理机制,以符合行业标准、监管要求和消费金融业务需求,从而实现:

  • 保障公司业务开展、信息资产安全和有效利用
  • 保障系统运作合规,操作规范高效、业务数据准确、可靠与可用
  • 保障IT治理及管理机制为公司业务发展提供坚实的科技支撑

 

 

信息科技风险全面审计蓝图

容诚不断积累信息科技风险治理领域经验,我们认为在信息科技全面风险审计过程中,应结合监管指引要求,并参考诸如COSO、COBIT、ITIL、ISO20000等国际通用IT控制标准,同时从银行战略发展规划、内部发展需求方向注重IT管理体系提升发展对重点关注领域进行全面检查与评估。

 

 

从监管合规方向上看:

信息科技风险全面审计应依照指引及监管要求进行全面审计与评估,注重战略、体系、制度、流程、落实情况等维度全面识别信息科技可能存在的风险。

从提升发展方向上看:

信息科技风险全面审计应从政策与机制的合理性与适用性、管理流程和控制的完整性和有效性的维度不断优化IT管理体系,提升管理质量;进而从知识沉淀、知识转移的维度注重银行信息科技的持续健康发展。

 

审计框架与关注重点

 

容诚深入解读监管机构相关指引、管理政策,并基于同业过往项目经验,梳理并总结了信息科技风险全面审计框架,以标准化、体系化的审计方法可快速识别金融行业在信息科技管理工作中可能存在的风险与问题,并提出有针对性、可落地的管理建议与解决方案,筑牢企业信息科技发展的坚实基础。

以下为容诚信息科技风险全面审计框架简要描述:

 

No.1 信息科技治理审计

 

通常信息科技治理包含治理结构、能力与人员、政策制度与流程、规划投入与绩效四大方面,重点关注于信息科技治理体系(各部门岗位设置,人员管理,岗位职责及边界等)、战略规划和管理、项目成本效益、信息科技队伍建设、监控与合规、信息沟通渠道和机制、知识产权保护、信息披露等维度,通过有效的检查预期实现:

 

  • 确定业务和科技的整合程度并建立联系
  • 发展具有适当激励机制的信息科技能力
  • 根据科技建设原则和政策确保执行到位
  • 基于战略定位保障资源投入实现价值效益

 

 

No.2 信息科技风险管理审计

 

信息科技风险管理审计将从人员和能力、制度和流程、技术和工具、工作和绩效等方面展开,审计主要内容包括:信息科技战略、信息科技运行计划、信息科技风险评估计划、信息科技风险管理策略、信息科技风险识别和评估流程、风险防范措施与资源建设、信息科技风险计量和监测机制,预期为公司带来:

 

  • 行之有效的IT风险规划
  • 持续改进不断优化的IT风险管理机制
  • 高效率、信息化、自动化的风险管理流程

 

 

No.3 信息安全审计

 

信息安全审计主要从物理安全、网络安全、主机与系统安全三大维度进行设计有效性、控制有效性检查,包含:基础设施保障、机房环境与运维、网络安全与防范、身份鉴别、应用安全、变更安全、监测指标与异常处置、数据安全与备份恢复等子领域,围绕事前、事中和事后的层面纵深防御和控制管理。

 

 

No.4 信息系统开发测试与维护审计

 

信息系统开发测试与维护审计主要从信息系统、IT项目两大维度的全生命周期对各阶段工作的执行和完成情况进行审查。

在信息系统全生命周期维度,主要关注:立项采购阶段、系统需求阶段、系统功能设计阶段、系统单元设计阶段、系统开发阶段、单元测试阶段、集成测试阶段、UAT阶段、系统上线阶段的标准制定与实施结果合理性、充分性、完整性。

 

 

在IT项目全生命周期维度,从需求论证、立项、采购、招标、合同管理到项目验收、付款等整个过程进行审查。

 

 

通过相关检查,从经济效益与非经济影响的维度判断:

  • 经费使用是否合理、有效;
  • 项目建设预算与实际投入分析;
  • 系统功能实现是否与业务需求一致,功能变更是否合理并获得适当审批;
  • 系统性能是否达到建设目标;

 

No.5 信息科技运行审计

 

信息科技运行审计主要以IT科技运行体系框架是以服务为视角,从服务提供和服务支持两个视角分析,重点检查采购流程与预算审批、IT资源管理机制的合理性、IT资源管理执行的有效性、IT资源成本效益分析、资源配置使用效率和效果,并对事故管理及处置机制、服务水平管理、信息系统性能监控、容量规划管理、变更管理进行全面检查与诊断。

 

No.6 业务连续性审计

业务连续性审计主要从人员、流程、技术三大领域下的业务连续性规划、业务连续性策略、业务连续性计划及灾难恢复计划、应急预案及演练、业务连续性评估改进等方面开展审计工作,重点关注是否建设完善的、形成闭环的业务连续性管理体系,是否具备健全的业务连续性管理能力。 与业务目标、资源建设投入匹配的业务连续性管理能力,从而支撑业务持续运营、降低中断影响。

 

 

No.7 数据治理审计

数据治理审计将从数据治理体系、数据管理领域、数据应用管理等方面开展审计工作,内容主要包括:

 

 

No.8 信息科技外包

信息科技外包审计主要从管理体系、供应商、应急管理三大领域进行检查,各领域将重点关注以下内容:

 

  • 外包管理体系

    重点关注是否建立完整的外包管理体系,明确的职责及日常管理工作流程,管理层、三道防线是否切实履职。 

  • 外包供应商管理

    重点关注当前依赖的关键外包商资质是否有重大缺陷导致其服务能力存疑,影响公司持续运营及正常开业。 

  • 外包应急管理

    重点关注关键外包商提供持续服务的能力,避免由于第三方原因导致的开业失败及业务中断。