商业银行信息科技风险审计.pdfVIP

商业银行信息科技风险审计 北京时代新威信息技术有限公司 王连杰 为了适应当前社会形势的变化，开展商业银行信息科技 风险审计项目是应对信息化条件下审计工作全新挑战的必 然选择。本文结合北京时代新威信息技术有限公司与数家银 行合作的众多案例，总结出商业银行科技风险审计的价值所 在。理清信息科技风险审计基本概念与内涵,明确信息科技风 险审计分类标准,掌握信息科技风险审计常用方法与思路十 分重要。并且将理论研究与经验分析相结合,总结商业银行信 息科技审计的实际价值,并对如何提升商业银行信息科技风 险审计工作水平提出了建议。 首先解析一下商业银行信息科技风险审计的基本概念 与内涵。商业银行信息科技风险审计是评判一个信息系统是 否真正安全的重要标准之一。通过安全审计收集、分析、评 估安全信息、掌握安全状态，制定安全策略，确保整个安全 体系的完备性、合理性和适用性，才能将系统调整到“最安全” 和“最低风险” 的状态。安全审计已成为企业内控、信息系统 安全风险控制等不可或缺的关键手段，也是威慑、打击内部 计算机犯罪的重要手段。 依据银监会颁发的《商业银行信息科技风险管理指引》 对商业银行的信息科技及其风险管理工作进行全面的审计， 内容包括信息科技治理、信息科技风险管理、信息安全管理、 信息系统开发测试管理、信息科技运行维护和业务连续性等 方面。 信息科技治理层面： 商业银行信息科技风险审计工作内容的重点就是信息 科技治理，下面是它的基本构架以及管理方案。 一、 信息科技治理架构 1、 信息科技治理机构的建立与履职（信息科技管理委 员会） 2 、 首席信息官的设立与履职 3、 是否指定信息科技风险的管理部门与管理职责 二、 信息科技战略管理 1、 是否建立了与企业战略相匹配的信息科技战略 2 、 信息科技战略是否经董事会审批 三、 信息科技风险管理 1、 是否制定全面的信息科技风险管理策略 2 、 是否制定持续的风险识别和评估流程 3、 是否制定了信息科技风险管理制度、技术规范、操 作规程等，并且定期进行更新和公示 4 、 是否建立了持续的信息科技风险计量和检测机制 5、 是否把信息科技风险纳入全行全面风险管理框架， 并且明确牵头管理部门 四、 信息科技的资源管理 1、 信息科技的投资管理 2 、 信息科技的人力资源管理 3、 信息科技的信息资产管理 信息科技风险管理层面： 商业银行信息科技风险审计的信息科技风险管理具体体 现在构成管理体系的每个细节上，北京时代新威信息技术有 限公司针对商业银行科技风险审计将其分为四个部分：管理 者的素质、组织结构、企业文化、管理过程。 1.管理者的素质 管理者因素包括单个的个人和群体的管理层。管理者个 人素质因素包括品德、知识水平和能力三方面。品德是推动 管理者行为的主导力量，决定其工作愿望和努力程度及外界 对他的价值评价，影响着人际关系，对管理效果和效率有直 接影响。技术创新对中小企业是一项艰难的活动，一方面管 理者的任务更艰巨，另一方面参与创新的人员更需要多方面 激励；鉴于中小企业资源方面的劣势，道德环境——管理者 品德对这两方面影响就十分重要。知识水平体现在管理者对 创新过程的理解和进行组织管理上，影响着他与创新的人员 交流和沟通。能力反映管理者干好本职工作的本领，包括应 具备的心理特征和适当的工作方式。法约尔依据不同规模的 企业状况对管理者应具备的基本能力结构进行分析研究的 结果表明，相对于大型企业，中小企业领导人在技术能力、 商业能力上要求更高，中小企业领导人往往是技术创新的发 动机，往往更多地直接参与创新过程；作为能力的另一因素， 他的创新意识直接决定着整个企业的创新发展。管理层的素 质因素主要是指管理者年龄、知识、能力的结构搭配及互补； 在中小企业发展和上升时期 管理层应偏重于中青年 创造 锐意进取的气氛，对企业技术创新持积极的态度。 2.组织结构因素 组织结构是指组织内部各级职务职位的权责范围、联系 方式和分工协作关系的整体框架，是组织得以持续运转、完 成经营管理任务的体制基础。对于商业银行信息科技风险审 计来讲，组织结构制度制约着组织内部人员、资金、物资、