近年来某股份制商业银行大力实施以传统业务为主体,投行和互联网金融为两翼的“一体两翼”发展战略,金融业务和资产规模迅速扩大,信息科技实现了跨越式发展,以银行核心系统、电子银行系统为核心及以数据中心为基础的信息科技框架基本成型,并且应用日益普及和深化,信息科技已然成为某股份制商业银行打造核心竞争力的关键。信息科技在给某股份制商业银行带来各种竞争优势和效益的同时,也随着信息科技的快速发展带来了各种信息科技风险。
同时,监管机构陆续出台了《商业银行信息科技风险管理指引》、《银行业金融机构重要信息系统投产及变更管理办法》、《商业银行业务连续性监管指引》、《银行业金融机构信息科技外包风险管理指引》和《川银监发(2014)14号附件--四川法人银行业金融机构信息科技监管等级达标指南》,对银行业信息科技风险管理提出了明确的要求。
为掌握某股份制商业银行信息科技风险现状,提升信息科技风险的管理和控制能力,有效防范信息系统在业务处理、经营管理和内部控制过程中产生的风险,积极响应监管部门要求,某股份制商业银行决定依据外部监管指引、国内外信息科技风险管理丰富实践和行业标准以及行方内部现有的制度规范,开展2017年信息科技审计。
信息科技风险全面审计
银行卡安全专项审计
业务连续性及应急管理专项审计
互联网金融专项审计
重要外包专项审计
机房搬迁专项审计项目
(一)前期准备:编制项目的实施方案与计划,召开项目启动会议,给行方发出审计通知并收集相关审计资料。
(二)现场审计:依据监管指引,参照监管检查方法,开展现场审计,汇总分析形成审计发现并与相关部门沟通。
(三)报告编制:编写及修订审计报告和评估报告。
(四)总结汇报:编写汇报材料并召开审计会议。
(五)审计发现及建议个数:
(一)揭示风险
依据银监会《商业银行信息科技风险管理指引》、《四川法人银行业金融机构信息科技监管等级达标指南》,人民银行《关于进一步加强银行卡风险管理的通知》等等相关监管要求,对某股份制商业银行卡安全、业务连续性及应急管理、互联网金融、重要外包、信息科技全面风险等几个领域管理的完备性、有效性做出评价。一是对某股份制商业银行信息科技风险控制的完备性、有效性做出客观评价,全面揭示存在的风险和管理不足,找准差距和问题的根源,提出切实可行的审计意见及建议,并提交符合监管要求的审计报告。
(二)提出建议
进一步完善某股份制商业银行信息科技风险管理体系,促进信息科技管理水平上台阶,为提高信息科技工作质量和效率,从审计角度提出管理咨询建议。
(三)提升管理
项目过程中通过对某股份制商业银行审计人员进行专业培训,提升了某股份制商业银行信息科技内部审计能力,提升了信息科技管理水平,提高了审计人员信息科技审计水平。
(四)构建体系
构建某股份制商业银行信息科技审计制度体系,制定完备的信息科技审计相关制度,同时通过外部审计与内部审计人员相结合的审计方式,实现信息科技审计知识和技术的有效转移,逐步提高内审人员信息科技审计水平。
