浅谈中小金融机构信息科技风险审计中常见的误区试题.doc

浅析中小金融机构信息科技 安全管理中常见的理念误区 随着银行信息化的高速发展，数据形成了高度集中的趋势，风险也随之高度集中，因此信息科技安全所形成的现代金融风险，使传统的金融风险内涵发生了根本性变化。从2006年起，银监会高度重视信息科技安全，先后出台了《银行业金融机构信息系统风险管理指引》、《商业银行信息科技风险管理指引》等相关制度，逐步引导中小金融机构加强对信息科技安全管理工作，并提出内、外部审计部门介入信息科技安全审计的理念和要求。如今，银监会《商业银行信息科技风险管理指引》（以下简称《指引》）成为国内商业银行IT治理的指导性文件，该文明确了监管机构对于信息科技治理的监管要求，详细阐明了商业银行各级管理部门对本机构信息科技管理的职责。中小金融机构在这些年的摸索中也逐步完善信息科技安全管理体系，但与国外银行、大型商业银行相比，由于人力、物力、财力等主、客观因素的影响，中小金融机构信息科技安全管理工作还任重道远。下面，本人结合几年来信息科技安全审计工作的实践与思考，谈谈中小金融机构信息科技安全管理中常见的理念误区并尝试作个剖析。 一、治理方面的误区 信息科技风险是高管及科技部门的事；信息科技风险审计必须是专业的技术人员才做得了；信息科技风险的第二、三道防线根本是空谈。 现象：这种理念误区所形成的结果是高管虽然重视，但停留于文件、工作布置层面，并未深入工作的实施和落实，高管对于