把控風險,緊扣監管 — 2017年某銀行IT審計經驗與啟示
項目背景
在制度體系建立方面。某銀行按照“合規為先、流程簡潔、風險可控”的原則,按照監管指引等文件要求,制定了涉及信息科技治理、信息科技開發及測試、信息科技運行、信息科技風險、信息安全、業務連續性、信息科技外包等方面多項管理制度。明確了信息科技開發建設、運營管理等關鍵領域的管理過程,為全行信息科技管理工作打下了制度基礎。
在信息系統建設方面。某銀行由傳統核心業務系統、互聯網應用系統、交易類系統、數據分析報送系統、辦公及內部管理系統等五大系統板塊,業務系統建設為某銀行業務活動開展提供了基礎保障。
在系統運行與網絡建設方面。某銀行主機系統全面采用虛擬化技術,將所有服務器作為資源統一進行管理,并按需進行資源調配,提高了配置過程的靈活性和安全性,提升了管理效率。大范圍使用虛擬化技術和集群技術,減少了購置費用,降低了管理成本。按照結構化、模塊化、標準化的設計理念構建某銀行的網絡體系,較好的保障業務的連續性。
在科技隊伍建設方面。信息科技部是全行信息科技工作歸口的管理與服務部門,負責全行信息科技規劃、建設、實施和管理。信息科技部擬設立規劃與服務管理中心、生產運行中心、數據管理中心、需求及創新管理中心、應用開發中心等五中心架構,構建職責明確,管理規范、體系合理的信息科技管理與服務團隊。
項目目標
(一)提升IT風險管理水平
以《商業銀行信息科技風險管理指引》等監管指引為基礎,識別某銀行目前信息科技風險管理狀況并結合業內豐富實踐與客戶特點,分析信息科技風險管理的不足之處,提出改善建議,提升風險管理水平
(二)監管評級優化
根據銀監會各項指引和規范以及監管評級具體要求,全面提升信息科技監管評級,促進信息科技管理水平上臺階,為提高信息科技工作質量和效率,從審計角度基礎咨詢建議。
(三)提升IT風險審計能力
通過本項目,利用銀豐經驗,通過項目實踐及培訓提升某銀行IT審計人員業務水平和能力,提升IT人員整體素質。
項目范圍
信息科技風險全面審計
該項目范圍覆蓋了信息科技治理、信息科技風險管理、信息安全管理、系統運維 、業務系統開發及測試和投產管理、業務連續性管理、信息科技外包管理等。
重要信息系統投產變更專項審計
該項目范圍覆蓋了需求立項、需求評審、需求分析、研發過程管理、測試管理、投產管理以及文檔管理等。
項目過程
(一)前期準備:編制項目的實施方案與計劃,召開項目啟動會議,給行方發出審計通知并收集相關審計資料。
(二)現場審計:依據監管指引,參照監管檢查方法,開展現場審計,匯總分析形成審計發現并與相關部門溝通。
(三)報告編制:編寫及修訂審計報告和評估報告。
(四)總結匯報:編寫匯報材料并召開審計會議。
(五)審計發現及建議個數:
項目意義
(一)揭示風險
依據銀監會《商業銀行信息科技風險管理指引》、《商業銀行業務連續性監管指引》等監管指引,對某銀行信息科技治理、信息科技風險管理、信息安全管理、系統開發測試與維護、業務連續性等領域的備性、有效性做出評價。全面揭示存在的風險和管理不足,找準差距和問題的根源,提出切實可行的審計意見及建議。
(二)提出建議
進一步完善某銀行信息科技風險管理體系,整體提高信息科技工作質量和效率,提出咨詢建議。
(三)提升管理
審計過程中通過對某銀行審計人員的培訓,提升了審計人員的專業人員素質和審計能力。
(四)構建體系
構建某銀行信息科技審計制度體系,制定完備的信息科技審計相關制度。促進信息科技管理水平上一個新的臺階,提高信息科技管理能力和水平提供了專業的建議。
