当前位置
主页 > 新闻中心 > 行业新闻 >
盛邦视察:中小银行业金融机构信息科技风险治理现状(8)
2022-07-01 22:02
本文摘要:本期我们主要以《商业银行信息科技风险治理指引》(以下简称《指引》)第二章信息科技治理中关于信息科技审计的总体要求第九章内部审计以及第十章外部审计中相关羁系要求出发来看当前中小银行金融机构在信息科技风险治理的第“三道防线”的管控现状和精彩实践。 现在羁系的这个划定险些全部的中小银行金融机构都市满足合规性要求一般每三年会选择一家信息科技审计机构完成一次全行规模内的信息科技审计并向当地羁系机构提交审计陈诉部门区域还会组织三方谈判(羁系方、客户方、审计方)。

亚搏体育app官网入口

本期我们主要以《商业银行信息科技风险治理指引》(以下简称《指引》)第二章信息科技治理中关于信息科技审计的总体要求第九章内部审计以及第十章外部审计中相关羁系要求出发来看当前中小银行金融机构在信息科技风险治理的第“三道防线”的管控现状和精彩实践。

现在羁系的这个划定险些全部的中小银行金融机构都市满足合规性要求一般每三年会选择一家信息科技审计机构完成一次全行规模内的信息科技审计并向当地羁系机构提交审计陈诉部门区域还会组织三方谈判(羁系方、客户方、审计方)。

现在普遍存在的问题是专职信息科技审计人员的岗位人员数量、资质以及审计能力普遍存在不足。信息科技审计人员普遍现在存在专岗非专职的情况因为人员不足缺乏全面性的审计计划和计划会凭据审计部门的整体摆设从事非信息科技审计的项目实施;信息科技审计人员缺乏信息科技审计专业的资质和培训信息科技审计人员从科技部门调岗的情况较多审计资质和履历尚待积累和提升;另外信息科技审计条线人员存在脱离金融科技业务的现实情况导致对于新兴的信息技术、技术实现架构以及业务模式缺乏深入相识影响问题发现能力。

一、关于设立信息科技风险审计岗位

绝大多数中小银行金融机构都聘请过外部第三方中介机构负担或者到场本行的信息科技审计项目聘请第三方中介机构到场信息科技审计的配景主要源于本行审计资源和能力不足、特定场景下的中立性要求、羁系强制要求等。到场信息科技审计的第三方中介机构现在一般包罗专业从事审计业务的会计师事务所、信息科技相关业务领域的咨询公司、网络宁静相关领域的宁静厂商以及具备CISA等相关人员资质的厂商等。

《指引》第十一条提到“商业银行应在内部审计部门设立专门的信息科技风险审计岗位卖力信息科技审计制度和流程的实施制订和执行信息科技审计计划对信息科技整个生命周期和重大事件等举行审计。”

盛邦宁静在同众多银行业金融机构的相同和服务历程中对当前银行业金融机构尤其是中小银行业金融机构信息科技风险治理的现状有了较深入的相识本系列文章旨在基于对中小银行信息科技风险治理的整体现状的认知提炼和分享当前行业信息科技风险治理体系建设的面临的问题和良好实践以期启发更多的行业思考和讨论。

领先的重要银行金融机构会建设信息科技审计场景合规要求名录明确羁系机构、羁系指引文件和相关条目、详细要求(审计规模要求、审计频率要求、审计执行方要求等)、上次审计执行时间等并纳入年度信息科技审计计划并根据计划开展专项或者全面审计;并对审计合规名录举行更新开展须要的内部培训确保没有遗漏;例如《金融行业网络宁静品级掩护实施指引》的审计要求就是落实等保2.0需要金融机构关注的审计场景。

二、关于信息科技审计职责

《指引》第六十四条划定了信息科技审计的职责包罗制定、实施和调整审计计划检查和评估商业银行信息科技系统和内控机制的充实性和有效性;完成审计事情提出整改意见;检查整改意见是否获得落实。

此外信息科技审计职责中明确需要执行对信息科技宁静事故举行的观察、分析和评估的信息科技专项审计以及其他的审计部门认为须要的专项审计。

思量到市场上各种机构各有所长领先的银行业金融机构在选择外部中介机构时会建设中介机构外包商资源库明确各种中介机构的优势和强项详细到审计项目时明确项目的审计重点和规模有针对性的选择某一类信息科技审计机构来满足审计目的;例如一个信息科技风险审计项目更关注信息宁静或者数据宁静领域则会在信息宁静领域有专业能力的机构中选择;如果更关注治理流程类的审计则选择专业咨询公司等。此外对于外部审计机构的审计交付结果一般在审计项目交流和招投标阶段予以明确并在条约中举行约定;同时切合行方外包商治理的治理体系包罗现场人员治理、保密治理、项目资料治理。

绝大多数中小银行都制定了年度的信息科技审计计划并根据审计计划执行审计事情给科技部门出具信息科技审计意见书;并要求相关部门针对审计意见书回复整改计划和整改时间;针对本行袒露的信息科技宁静事故涉及重大业务系统中断、数据泄露案件以及生意业务数据差错的事故和案件审计部门会组织内、外部审计资源开展专项审计;专项审计陈诉一般都要上报当地羁系机构;现在大多数金融机构开展的审计场景都是围绕羁系要求和重大宁静事件的事后审计。

《指引》第六十六条划定商业银行在举行大规模系统开发时应要求信息科技风险治理部门和内部审计部门到场保证系统开发切合本银行信息科技风险治理尺度。

亚搏体育app官网入口

我们发现大多数中小金融机构在本行焦点系统升级革新或者。


本文关键词:亚搏体育app官网入口,盛邦,视察,中小,银行业,金融机构,信息,科技

本文来源:亚搏体育app官网入口-www.qzgdwj.com

联系方式

电话:0301-13448712

传真:026-589933479

邮箱:admin@qzgdwj.com

地址:天津市天津市天津区赛平大楼222号