信息科技风险审计方法及过程.pptx

为帮助银行客户满足银监会《商业银行
信息科技风险审计管理指引》等相关监管要
求,同时进一步加强信息技术建设,全面强
化风险管理,越来越多的企业已经开始为多
家银行提供信息科技风险审计服务了,本文
就是北京时代新威信息技术有限公司(以下
简称时代新威)内部人员总结出的对于信息
科技风险审计的方法及过程。
信息科技风险审计范围:
一)信息科技治理
二)信息科技风险管理
三)信息安全
四)信息系统开发测试和维护
五)信息科技运行
六)业务连续性管理
七)外包
八)内部审计
九)外部审计
信息科技风险审计之 ——信息科技治理
信息科技治理是指对现代信息技术如通讯技术,信息处理技术、控制技术等的科学管理活动和过程。时代新威的审计专家指出,“它是以信息服务业务的开展与社会的实际需要作为依据,组织好各种信息技术的开发和应用,并对信息技术进行标准化、规范化管理。”
信息科技治理战略必须要解决下述主要问题:
(1)保证构造合理的信息系统结构并将其实现。
(2)保证新系统开发方式可以满足企业长期维护的目标。
(3)保证内部和外部采购的决策能得到认真的考虑。
(4)决定信息技术运行是由一个部门管理还是分成一系列小单元管理,按照小单元进行管理虽然成本高,但是能为用户提供更好的服务。
信息科技风险审计之 ——信息科技风险管理
信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。在风险管理方面,北京时代新威信息技术有限公司与许多商业银行都有合作成功的案例,其工作内容可总结为以下两点。
信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
信息科技风险审计之 ——信息安全
信息安全主要包括以下五方面的内容,即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。信息安全本身包括的范围很大,其中包括如何防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。