20xx年度银行业金融机构信息科技风险评价审计要点
前 言
为防范银行业金融机构信息科技风险,保障信息系统运行和操作安全,根据中国银监会《银行业金融机构信息系统风险管理指引》,提出对银行业金融机构信息科技风险内部和外部审计要点,以切实加强银行业金融机构对战略性风险、操作风险、声誉和法律风险的管理 和控制,强化银行业金融机构作为信息安全第一责任人的责任,建立和完善信息科技风险管理机制,进行有针对性的分类监管。银行业金融机构的内部和外部审计机构应按评价审计要点确定审计目标和范围,制定审计计划、实施审计行为并提供审计报告。
一、信息科技治理和组织结构
目的:确立信息科技治理、组织结构和相关权责,使董事会、独立的审计部门和相关业务部门定期借助于真实业务数据和使用效果识别和明确信息系统操作的实施效果;在充分考虑银行业金融机构及其服务供应各方的变化的基础上,采取有针对性措施加强信息科技治理和组织结构。
(一)制度建设
1、信息科技管理制度体系的建设情况;
2.已发布实施的主要制度规章和管理办法;
3.管理制度规章和管理办法的制定、审批和修订流程.
(二)组织结构
1.信息科技管理的领导和决策机构设置,其职能和工作机制;
2.长期和短期信息科技发展规划的制定、审批和修订;
3.信息科技部门的设置、职责和相互关系,重点包括:系统开发、技术支持、系统操作维护和系统安全;
4.专门的技术风险管理部门设置,其职责和工作机制;
5.技术风险审计部门或岗位设置,审计频率以及问题纠正机制情况:
6.信息科技人员的专业素质和培训情况;
7.信息科技风险内部审计人员的素质和培训情况。
二、信息安全管理
目的:充分考虑与信息科技系统相关的风险,维护金融业务的正常操作:保证被认可的用户
能够通过科学高效的系统架构、操作流程和管理措施迅速地访问所需信息;确保数据和系统的完整性、机密性和稳定性等。
…… …… 余下全文