返回
商业银行信息科技风险评价审计浅析

商业银行信息科技风险评价审计浅析

ID:17188165

大小:88.00 KB

页数:4页

时间:2018-08-28

商业银行信息科技风险评价审计浅析_第1页
商业银行信息科技风险评价审计浅析_第2页
商业银行信息科技风险评价审计浅析_第3页
商业银行信息科技风险评价审计浅析_第4页
资源描述:

《商业银行信息科技风险评价审计浅析》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、1.相关政策背景为实现对商业银行信息系统风险的识别、计量、评价、预警和控制,有效防范银行业金融机构运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险,促进我国银行业安全、持续、稳健运行,根据《银行业金融机构信息系统风险管理指引》和《银行业金融机构内部审计指引》的有关规定,2006年11月中国银行业监督管理委员会办公厅发布了《关于开展2006年度信息科技风险内部和外部评价审计的通知》(简称313号文件),要求银行业金融机构进行信息科技风险内部和外部评价审计工作。《银行业金融机构信息系统风险管理指引》(以下简称原《管理指引》)定位在信息系统风险管理的基本、原则性要求,已

2、难以满足商业银行信息科技风险管理的需要。银监会对原《管理指引》进行了修订,并重新定名为《商业银行信息科技风险管理管理指引》(以下简称新《管理指引》),原《管理指引》同时废止。银监会于2009年3月3日下发了《中国银监会关于印发〈商业银行信息科技风险管理指引〉的通知》(银监发【2009】19号文),要求商业银行等金融机构按照新《管理指引》来进行信息科技风险评价审计。在新《管理指引》中根据审计的范围的不同,将审计分为了专项审计(对信息科技安全事故或认为必要的特殊事项进行的审计)和全面审计(依据《管理指引》中规定的内容,对商业银行进行的全方位的审计)。根据审计执行机构的不同,将审计

3、分为内部审计(商业银行内部机构进行的审计活动)和外部审计(委托具备相应资质的外部审计机构进行的审计活动)。2.审计范围及内容商业银行应根据业务性质、规模和复杂程度,信息科技应用情况,以及信息科技风险评估结果,决定信息科技内部审计、外部审计的范围和频率。商业银行可以对信息科技安全事故进行调查、分析和评估,或审计部门根据风险评估结果对认为必要的特殊事项进行信息科技专项审计。同时也可以根据实际应用情况进行较全面的审计,新《管理指引》中规定至少应每三年进行一次全面审计。一个全面的评价审计至少应包含如下内容:1)    信息科技治理和组织结构·   制度建设ofwork,relatio

4、nships,needandpossibility,putqualityfirst."Improvestructure",referspartycarefully".IsamustadheretotheindividualabsorptionTheprincipleofthedevelopmentofamatureone,andstrictlyperformintheadmissionprocedure,topreventthePartymember·   组织结构2)    信息安全管理·   信息安全基本要求·   逻辑访问的风险与控制·   网络安全控制·   环境的风

5、险和控制·   物理访问的风险与控制·   软件的风险与控制3)    信息科技项目开发和变更管理·   项目开发管理·   项目变更管理·   项目资料文档管理体系·   系统设计开发外包缺陷风险管理4)    信息系统运行和操作管理·   信息系统运行体系建设情况·   操作环境控制和预防性维护情况·   生产变更管理·   信息科技操作风险控制措施·   日志管理5)    业务持续性规划·   董事会和高级管理层在业务持续性规划中的职责和工作机制·   业务持续性规划的制定和实施ofwork,relationships,needandpossibility,putqu

6、alityfirst."Improvestructure",referspartycarefully".IsamustadheretotheindividualabsorptionTheprincipleofthedevelopmentofamatureone,andstrictlyperformintheadmissionprocedure,topreventthePartymember·   备份中心的管理与操作·   业务持续性规划的测试和维护 3.审计流程及方法不同的审计机构,审计的流程和方法可能不同。中国软件评测中心将商业银行信息科技风险评价审计过程分为计划准备、现

7、场审计、识别分析、成果提交及验收四个阶段,每个阶段由不同的任务组成,如下图所示:图:审计流程及任务项目实施过程中需要搜集大量的信息,掌握多方面的证据。搜集和取证需要运用多种方法和工具。采用的主要方法有访谈、检查和测试等。访谈:与信息系统相关人员进行交流、讨论等活动,证明信息系统安全保护措施是否有效。检查:测评人员通过对审计对象进行观察、查验、分析等活动,获取证据以证明信息系统安全保护措施是否有效。ofwork,relationships,needandpossibility,putqualityfirs

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。