APP下载

中小银行信息科技审计体系探讨

2022-01-09冯一娜

商业2.0-市场与监管 2022年2期

冯一娜

摘要:长期以来,由于专业人才匮乏、资源投入不足等诸多原因,中小银行在信息科技审计体系建设上效果并不理想,存在实质性审查和控制措施落地的不少短板。本文结合某区域性中小银行信息科技风险“三道防线”中的信息科技审计实务,探讨信息科技审计体系建设,为致力于加强该项工作的中小银行提供参考。

关键词:信息科技审计;信息科技风险;“三道防线”

一、IT治理架构中的信息科技审计

按照中国银监会《银行业金融机构内部审计指引》(简称《审计指引》)、《风险管理指引》要求,商业银行IT治理架构应在董事会下设审计委员会,建立单独的内部审计部门并在该部门行下设信息科技风险审计岗位“负责信息科技审计制度和流程的实施,制订和执行信息科技审计计划,对信息科技整个生命周期和重大事件等进行审计”。

对于区域性中小银行,除建立审计委员会以外,通常在内部审计部门设置信息科技审计科室。信息科技审计科室工作不应受到阻碍,内部审计部门各业务科室和银行业务部门、分支机构应为信息科技审计管理工作提供支持,必要时该科室可通过内部审计部门向审计委员会申请,在银行领导的授权下调动全行人力、物力、财力资源,对全行分配相关工作任务并跟踪、汇报工作进展。

二、信息科技审计管理机制

(一)纵向机制。主要包括合规管理、信息安全保障和连续性管理三大机制:合规管理机制对信息科技工作符合相关法律、法规和监管指引、规范要求等进行审计;信息安全保障机制对信息系统的整个生命周期的各个关键环节进行审计;业务连续性管理机制:对业务连续性关键指标分析、业务连续性计划和实施指导等进行审计。

(二)横向机制。横向方面,信息科技审计科室与监管单位、行内相关部门、部门内各业务科室有密切的联系,主要机制包括对监管单位的报告机制;与行内相关部门的定期沟通机制、协同机制;对内部审计部门各业务科室的风险监控、咨询、协同机制和对部门领导的报告机制;与合作单位的沟通机制。

(三)对外机制。对外方面,信息科技审计管理机制包括对监管单位、政府部门的沟通、报告机制;与合作单位的沟通机制。

(四)对内机制。对内方面,信息科技审计管理机制包括科室内部报告考核机制、考核和激励机制;对内部审计部门领导的报告机制;与科技信息部门、风险管理部门、合规管理部门的定期沟通机制、协同机制;对内部审计部门各业务科室的内部控制、风险监控、咨询、协同机制等。

以某区域性中小银行为例,该行信息科技审计科室重点审计信息科技合规、业务连续性、信息安全保障,直接向内部审计部门负责人汇报工作,通过内部审计部门向行内董事会下设的审计委员会报告工作;对外通过内部审计部门与属地银监部门的审计处室、信息科技监管处室、人民银行属地分行信息科技处室建立了报告机制;对行内信息科技部门信息安全科室、风险管理部门信息科技风险管理科室建立了直接沟通机制,定期参加信息科技风险“三道防线”工作会议;对行内运营管理部门、会计结算部门、电子银行部门、互金业务部门、个金业务部门、公司业务部门、投资银行部门、金融市场部门等主要业务部门通过内部审计部门建立了横向沟通机制。

三、信息科技审计的主要领域

(一)IT治理。包括对IT与业务融合(IT满足业务需求、引领业务发展的实际情况开展)的审计,对IT投资管理(IT投资符合企业的投资回报预期)的审计,对IT决策机制(IT决策流程、参与决策的各角色、决策执行过程)的审计,对IT规划与架构(IT规划与架构的设计能否满足业务发展需要和IT治理需要)的审计,对IT组织架构与职责分离的审计;

(二)信息科技风险管理。审计要点包括信息科技风险识别与评估范围、风险量化模型、风险偏好、风险处置策略、风险监测体系、风险信息沟通机制;

(三)IT基础架构。包括对机房、主机、网络设备、终端设备、数据库、中间件、云计算环境等基礎设施及架构的审计。机房审计要点包括供电、供水、防水、防火、防雷、制冷、承重等方面是否符合机房相关规范要求,网络设备审计要点包括网路拓扑、地址分配规则、网络分级分层、网络分区、防火墙和物理隔离策略是否符合全行业务和安全策略,主机、终端、数据库审计要点包括密码策略、日志保护、开放的端口和服务、安全漏洞等,云计算环境审计要点包括用户隔离措施、账户与权限管理、数据丢失与泄露、发布管理流程、公有云的跨境法律要求、退出流程等;

(四)信息安全。审计要点包括组织架构、制度、流程、体系,逻辑访问审计要点包括系统安全配置、网络安全设置、特权用户权限、访问控制等,网络安全审计要点包括内网安全、外网接入、网络隔离等方面,数据泄露审计要点包括静态数据、移动中的数据、使用中的数据、工作流管理、备份与还原等;

(五)应用系统开发投产。审计要点包括对应用系统开发方法、开发流程、开发过程、项目管理的审计,对应用系统开发项目的开发、测试、项目管理文档的齐备性、规范性进行审计,对应用系统开发项目的设计安全、编码安全、数据安全、应用安全进行审计等;

四、结语

银行业数字化转型带来的挑战与机遇并存,随着以云计算、大数据、人工智能为代表的新兴信息技术在金融行业的普及应用,中小银行面临的风险日益复杂。在信息科技审计资源配置上中小银行与大型金融机构相比存在天然短板,既要在体系构建上全面覆盖,又要在重点风险领域多方突破、有所创新,同时降低审计工作本身引入的风险,有效整合内外部审计资源,以全新的思维理念、灵活的机制、先进的方法提升工作能效,快速识别和有效应对的各种新型信息科技风险,才能充分体现出审计在中小银行信息科技风险防控中的价值和作用。

参考文献:

[1]孙晓,马鹏飞.人民银行信息技术应用的风险管理研究——基于审计视角的分析[J].金融会计,2011(12):30-32.

[2]阚京华.信息技术环境下连续审计技术实现模型分析比较[J].科技管理研究,2009(10):285-287.