400-88-27001
service@aryasec.com

信息科技风险全面审计咨询

来源:    发布日期:2017.12.07   点击量:

安言咨询从事信息科技风险专业咨询,重点关注金融银行业,先后为包括建设银行、交通银行、农业银行、招商银行、广发银行等机构提供过专业信息科技咨询服务,对银行企业实施IT治理、信息科技风险管理和内控合规有着深刻的理解,并为此专门提出一套解决方

1.银行信息科技风险

定义银行信息科技风险,既要考虑银行的金融特性,又要考虑信息技术本身的特点。银行作为金融机构,其信息化程度会影响资金融通活动的过程,本身存在着决策问题,因为信息科技某些因素的变化导致银行资金、财产、信誉遭受损失。

银行信息科技风险是指银行在使用信息技术过程中,由于信息技术因素或与信息技术相关因素,导致银行经营不确定、管理不利,并最终导致资金、财产、信誉遭受损失的可能性。其中的信息技术包括计算机硬件、软件、网络通讯设备,各种银行终端设备等。

2.银行信息科技风险特点

技术性。银行信息科技实质就是利用现代信息技术改造银行经营、管理方式,从而提高生产效率的过程,它涉及现代计算机技术、网络通讯技术、安全技术等多方面技术要素,具有技术含量极高的特性。

突发性。主要体现在两个方面,一是自然灾害的突发性,即由于信息技术领域的基础设施遭到破坏,造成银行财产损失或业务中断,使银行产生风险;二是由于信息过程的技术性,即只要任何一个环节突发故障,就可能造成整个系统无法使用,从而给银行形成风险。

传递性。由于计算机网络快速传递的特点,一旦系统出现故障,可以使金融风险迅速从局部蔓延到整个网络涉及的每一个部分,从而导致风险的进一步加剧。

广阔性。金融在经济发展中的核心地位,决定了一旦因为信息技术导致银行产生风险,其影响将非常广阔,它不仅涉及千千万万的普通老百姓、大大小小的企事业单位,更是影响社会的方方面面,甚至会对整个社会秩序带来极大的负面影响。

多元性。传统的银行风险,多发生在银行营业场所,通过银行柜台、ATM等有限的经营场所形成。但在银行信息技术大量运用以后,使得银行风险既可以通过原有渠道形成,也可以通过电话、POS、计算机、电视和手机等新型渠道形成。表现出风险形成的多元性。

多方性。随着银行信息技术的发展,保证银行正常经营不止银行本身,电信部门、电力部门、产品提供商、服务提供商和商家都已成为银行正常经营的一部分。往往银行业务系统一旦出现故障,容易出现责任无法鉴定的情况,也常常给问题的快速解决带来影响。

3.信息科技风险全面审计意义

信息科技与银行业务高度融合,已成为银行业金融机构提高运营效率、实现经营战略和加快金融创新的重要手段。与此同时,银行业对信息科技的高度依赖,使得信息科技风险成为影响银行业稳健运行的主要隐患之一。银监会按照科学发展观要求,与时俱进,大力加强信息科技风险监管,充分利用现场检查这一监管手段,深入检查银行机构在信息科技治理、风险管理、信息安全、业务连续性、电子银行等领域的科技风险及管理情况,发现问题、排查隐患,督促银行及时整改。商业银行信息科技风险现场检查工作,既是银监会深入掌握银行信息化建设、科技管理整体情况的有效方法,也是对银行机构信息科技风险状况进行准确分析和评价的重要手段,对及时预警风险,提高银行机构信息科技风险管控能力和水平。

安言咨询依据银监会监管要求所涉及的信息科技风险全面审计的服务项目,主要目的在于:一是明确了商业银行目前主要的信息科技风险领域、主要风险点,阐明了检查思路和主要方法,帮助检查人员明确检查目标,从而提高信息科技风险现场检查的有效性和针对性,提升现场检查质量,为银监会及各级派出机构开展信息科技风险现场检查提供全面和有针对性的指导。二是提供了评价银行信息科技风险管理各领域状况的参考标准,并提出了具体的检查要求和步骤,进一步规范了信息科技风险现场检查的程序、手段和行为。三是指明了商业银行信息科技风险防控的重点领域、方向和关键风险点,提出了风险识别、预警和控制的具体手段。

安言咨询为商业银行充分借鉴和理解信息科技风险防控原则和指导思想,应用到银行信息科技建设和管理实践中,成为指导银行全面开展科技风险防控、提升管理能力的有力武器。

4.安言咨询信息科技风险全面审计流程

现场检查程序包括现场检查准备、现场检查实施、检查后续工作三个阶段。

4.1现场检查准备阶段

对一个现场检查项目,检查前准备工作应包括以下内容:

一、确定现场检查对象。一般情况下,制定年度现场检查计划,并确定现场检查对象。确定检查对象的依据:一是银监会的指导意见、工作安排,二是对被监管机构进行检查的时间间隔情况,根据分类监管原则,对不同风险的机构检查频次应不同,但至少每2年对一家机构应进行一次全面现场检查,三是被监管机构的动态情况。

二、制定现场检查草案。确定检查对象后,应根据该机构情况制定检查草案,检查草案应包括检查目的、检查类别(全面或专项)、检查范围(单家机构、某类机构、总部、分支机构)、检查内容(全面检查,应包括系统各个方面,专项检查,可只查某一方面或几个方面)、检查重点(应根据检查目的确定检查重点)、检查期间等。

三、确定现场检查人员。检查人数应根据被检查银行信息科技发展情况确定,不得少于2人。检查人员一般应具有信息科技背景,必要时可以适当补充部分业务人员参加。

四、发送并回收现场检查前问卷。确定检查对象后,应在正式进点前向被检查银行发送检查前问卷。问卷要使用统一格式。发送问卷一定要明确填报要求,包括填报资料的截止日期、回收问卷的时间等等。为保证检查人员有充足时间阅读、分析问卷,应在进点前10天以上回收问卷,并对错报漏报的项目立即要求被检查银行重报或补报。

五、收集其他与被检查银行有关的信息。除向被检查银行发出现场检查前问卷外,还应收集与本次检查有关的文件及其他资料,如有关的政策法规文件、被检查银行以往报送的资料及监管部门对该机构历次检查材料以及群众举报材料等。

六、对所有资料进行分析研究。检查组成员应对回收的检查前问卷、收集的其他资料进行整理、研究和分析,熟悉有关法规及被检查银行情况,找出可能发现的问题线索,为正式进点检查做准备。必要时应于检查前将所有检查人员集中一段时间专门阅读检查前问卷和其他有关资料。

七、确定现场检查方案及人员分工。根据对有关资料的分析研究,检查组织者应在检查草案的基础上,制定检查方案,并明确人员分工和具体检查进度。一般一个检查组应设组长1名(必要时可设副组长1名),主查人1名(必要时可设副主查人1-2名)。组长全面负责现场检查项目的组织协调和实施工作,包括审定检查方案,组织进点、离点会谈,与被检查银行就有关问题进行协调,修改审定现场检查报告,提出处罚意见和建议等。主查人负责检查方案的拟订、检查进度的安排、人员分工、各小组之间的协调、事实确认书的审核、检查事实与评价的起草、汇总检查报告、拟定现场检查意见书及行政处罚意见书等工作。一个大的检查组还应根据工作量分为若干工作小组,对不同的检查内容分别进行检查。

八、发送现场检查通知书。在确定现场检查方案后,应向被检查银行发送现场检查通知书。

4.2 现场检查实施阶段

现场检查实施阶段包括进点会谈、分工检查和离点会谈。

一、进点会谈

   进点会谈标志着现场检查的正式开始。进点会谈应要求被检查银行管理层相关成员及检查组所有成员共同参加。进点会谈的目的,一是通报现场检查的目的、内容、初步计划和安排,介绍检查组成员;二是向被检查银行提出配合检查的有关要求(如提供工作场地、及时提供资料等);三是请被检查银行介绍有关情况,并对检查组需重点了解的问题进行交流。进点会谈的时间长短可视会谈情况灵活掌握。

二、分工检查

(一)对每项业务检查,都应形成工作底稿。工作底稿是对检查过程的记录,既是对工作量的统计,更是对检查事实的描述,是形成检查事实与评价及汇总报告的来源和基础。因此,工作底稿既要记录问题,也要记录其他客观情况。一般工作底稿应包括检查日期、检查人、检查项目、客观描述、发现问题、分析评价、初步定性等内容(见工作底稿格式)。必要时,在现场检查过程中对检查内容定期进行小结。

(二)对发现的每项问题,都应及时取证。如通过谈话发现的问题,应要求被谈话人在谈话记录上签字;对查阅文档发现的问题,应复印有关资料,并在资料及检查人员工作底稿上由被检查单位加盖公章。

(三)每日小结。每天检查结束后,组长或主查人应召集所有检查组成员开碰头会,交流当日检查情况及发现问题;根据检查情况确定次日的检查重点和内容,并对检查进度进行必要调整;提出需与被检查银行进行沟通的事项。

(四)分组检查结束后,检查人员分项整理汇总工作底稿,形成事实确认书,对检查中存在问题的事实进行列举和描述(只记录事实,不做任何评价)。事实确认书要及时送被查银行签字确认。

三、离点会谈。所有检查项目结束后,应与被检查银行举行离点会谈。参加离点会谈的人员与参加进点会谈的人员应一致,由组长或主查人通报现场检查事实与评价,并听取被检查银行的意见。

4.3 现场检查后续阶段

现场检查后续阶段包括向被检查银行发送《检查事实与评价》、撰写现场检查报告、下达现场检查意见书、后续跟进检查和检查资料归档等。

一、发送《检查事实与评价》。根据离点会谈沟通情况,修改检查事实与评价,由现场检查项目的组织机构向被检查银行发送《检查事实与评价》。

二、撰写检查报告。根据《检查事实与评价》反馈意见,形成现场检查报告。检查报告应包括以下几部分:1、检查开展情况;2、被检查银行基本情况;3、检查事实与评价;4、检查组与被检查银行存在的主要分歧;5、对检查中发现问题的处理意见;6、对监管工作的建议;7、其他需说明的问题。

三、下达现场检查意见书。现场检查报告经领导批准后,应向被检查银行下达现场检查意见书。对被检查银行做出评价,指出存在的主要问题,提出整改建议及处理意见。

四、后续检查。收到被检查银行的整改计划后,检查组一方面应跟踪整改计划的落实情况,另一方面应在适当时间(一般为现场检查意见书中规定的所有整改项完成时间)对其整改情况进行检查验收,即后续跟进检查,并对后续检查情况做出评价和报告

五、检查资料归档。所有检查及处理过程结束后,检查组应对检查资料进行整理并归档。

5.信息科技风险全面审计指南示例

信息安全管理示例

保证信息安全是商业银行的一项重要任务,商业银行应在信息科技部门内部设置专门的信息安全管理部门或岗位,建立完善的信息安全管理制度,保证信息的机密性、完整性和可用性。信息安全涉及到人员、管理、技术等各个方面,本章节主要包含人员安全和管理安全的检查内容,技术安全方面的检查内容参见第三部分“基础设施”部分。

提示:在对商业银行的信息安全管理进行检查和评价时,可根据银行机构的实际情况,按照分类监管、循序渐进的原则,合理把握标准与尺度。如,科技人员少、信息系统种类不多的银行机构,可以不设置单独的安全管理部门,但应设置专职的岗位;信息科技岗位设置可以彼此兼职,但不相容岗位应分离,做到操作系统管理员、业务系统管理员及数据库管理员彼此分离、网络管理员和其他系统管理员彼此分离、批量处理人员和业务数据库管理员彼此分离。

安全管理机制与管理组织

检查项1:信息分类和保护体系

基本要求:商业银行信息科技部门应对各类信息系统进行风险评估,根据信息系统的重要程度等因素,建立和实施信息系统分类和保护体系,并保证该体系在银行内部的贯彻落实。

检查方法、步骤:(1)调阅信息系统分类管理制度,查看相关制度是否建立健全,是否对信息类别和访问人员的范围、级别作出明确规定;(2)检查商业银行是否针对不同的信息系统,制订了不同的安全防范措施,采取了不同的技术防范手段;(3)检查商业银行是否对信息系统风险进行评估和防范。

检查项2:安全管理机制

基本要求:商业银行信息科技部门应落实信息安全管理职能。包括:建立信息安全计划和保持长效的管理机制,提高全体员工信息安全意识,就安全问题向其他部门提供建议,定期向信息科技管理委员会提交本行信息安全评估报告等。信息安全管理机制应包括信息安全标准、策略、实施计划和持续维护计划。

检查方法、步骤:(1)调阅商业银行信息安全计划或相关文档,检查商业银行是否制订信息安全计划。(2)分析信息安全计划,评估商业银行信息科技部门能否对信息安全进行持续、长期和有效的管理,确保信息安全和信息系统安全运行。(3)检查商业银行信息科技部门是否组织培训和宣传教育等活动以提高全体员工信息安全意识,是否就安全问题向其他部门提供安全建议。(4)检查商业银行信息科技部门是否对各类信息和信息系统制订相应的信息安全标准,是否制订相关的管理策略,是否制订实施计划,是否制订持续改进、完善计划。通过访谈了解这些管理策略和计划是否有效实施。(5)调阅信息安全评估报告,检查信息科技部门是否定期对本行信息安全进行评估。

检查项3:信息安全策略

基本要求:商业银行应制订详细的信息安全策略,至少包括以下内容:信息安全制度管理、信息安全组织管理、资产管理、人员安全管理、物理与环境安全管理、通信与运营管理、访问控制管理、系统开发与维护管理、信息安全事故管理、业务连续性管理、合规性管理。

检查方法、步骤:(1)调阅商业银行信息安全策略,检查是否制定信息安全策略及其内容是否完整、全面。(2)调阅信息安全管理规定,查看是否制定信息安全管理规定以及是否具有相应的实施要求和细则。

检查项4:信息安全组织

基本要求:商业银行应建立配套的安全管理职能部门,通过管理机构的岗位设置、人员的分工以及各种资源的配备,为信息系统的安全管理提供组织上的保障。应设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责;应根据各个部门和岗位的职责明确授权审批部门及批准人,对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批;安全管理人员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。

检查方法、步骤:(1)调阅相关岗位职责说明文件,检查是否设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责;(2)检查是否限制安全管理员不能兼任网络管理员、系统管理员、数据库管理员等;(3)查询相关制度文件和审批记录,检查是否根据各个部门和岗位的职责明确授权审批部门及批准人,对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批; (4)调阅信息安全检查记录,检查安全管理员是否定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况,检查结果是否及时报告和处理。

分享到:

  • 上一篇: 暂无上一篇
  • 下一篇: 暂无下一篇

相关客户案例: