1、服务依据
- 《商业银行信息科技风险管理指引》(银监发[2009]19号)(以下简称《指引》),2009年6月1日,中国银行业监督管理委员会。指导商业银行加强业务交易处理、经营管理和内部控制等方面的应用风险管理,包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
- 《商业银行信息科技风险现场检查指南》(以下简称《指南》)
- 《网上银行系统信息安全通用规范JR/T 0068-2012》行业标准(以下简称《规范》),2012年5月8日,中国人民银行。《规范》涉及网上银行系统的技术、管理和业务运作三个方面,分为基本要求和增强要求两个层次,基本要求为最低安全要求,增强要求为三年内应达到的安全要求。《规范》作为网上银行系统安全建设、内部信息安全检查和合规性审计的依据,同时给网上银行系统安全建设和改造升级提供了依据。
-
《第3205号内部审计实务指南——信息系统审计》,中国内部审计协会,2021-1-21发布,2021-3-1施行
- 网络安全法
- 2.0版网络安全等级保护要求和标准
- 银保监会、人民银行其它各项监管要求
2、服务要求
- 人员资质要求:注册信息系统审计师(CISA)、注册内部审计师(CIA)、注册信息安全专业人员(CISP)
- 审计的全面性:覆盖内容和部门的完整性;对新技术、新产品、新业务的覆盖;人的审计。
- IT审计工具:CAATs(计算机辅助审计技术)的引入和支持,实现统一入口和全流程审计支持。
3、服务内容
金融机构数字化IT审计服务内容,在当前金融科技澎湃发展形势下,除了开展传统的信息科技风险审计外,还可开展新技术应用场景下的新型审计。
审计领域包括:信息科技全面审计、业务连续性管理专项审计、信息科技外包管理专项审计、数据中心管理专项审计、重要系统及重大项目专项审计、电子银行专项审计、支付敏感信息专项审计、数据治理专项审计、个人金融信息保护专项审计、开放银行专项审计、互联网金融风险审计、云原生环境应用风险审计、金融大数据应用风险审计、人工智能应用(人脸识别、声音识别)专项审计等。
4、服务群体
《指南》中明确:适用于在中华人民共和国境内依法设立的国有商业银行、股份制商业银行、城市商业银行的信息科技风险现场检查。政策性银行、农村商业银行、农村合作银行、城市信用社、农村信用社的信息科技风险现场检查,应考虑区域经济水平、机构规模与公司治理结构差异,按照本指南的风险防控原则,结合实际情况进行检查。村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构的信息科技风险现场检查可参考本《指南》。
- 大型股份制银行
- 农信联社
- 城市商业银行
- 农村商业银行
- 外资银行
- 民营银行
- 互联网金融机构
5、服务收益
- 全面评价金融机构信息化、数字化及智能化的科学性和合理性,为金融机构新时期的信息科技发展与应用揭示风险,提出建议;
- 深度评价金融机构与国内外网络安全法律规范、银保监会及人民银行各类监管要求之间的差距;
- 检查并揭示金融机构信息系统在设计完备性、使用效率性、运行连续性等方面存在的风险;
- 分析金融机构的信息科技对重要业务的支撑作用,评价重要系统效能价值的实现程度;
- 全面评价金融机构在个人金融信息保护、数据治理、金融科技应用等存在的不足;
- 通过挖掘金融机构的各类数据,通过横向、纵向对比分析,深度的评价信息科技管控的现状与风险;
- 以审带培,强调知识转移的成效,有效提升审计人员实战能力。