盛邦安全在同众多银行业金融机构的沟通和服务过程中,对当前银行业金融机构,尤其是中小银行业金融机构信息科技风险管理的现状有了较深入的了解,本系列文章旨在基于对中小银行信息科技风险管理的整体现状的认知,提炼和分享当前行业信息科技风险管理体系建设的面临的问题和良好实践,以期启发更多的行业思考和讨论。
本期讨论的主题是银行信息科技审计相关的管理实操。银行业金融机构的风险管理“三道防线”是管控风险的顶层设计,涵盖银行业金融机构所有业务领域,包括信息科技。作为信息科技风险管控最后一道防线(三道防线),信息科技审计承担对第一道防线(信息科技相关部门)和第二道防线(信息科技风险管理相关部门)信息科技风险防控体系和机制设计合理性、以及控制措施执行有效性的日常审计,并向董事会下设的审计委员会汇报;最近,中国人民银行发布了《金融行业网络安全等级保护实施指引》,用于指导金融机构开展网络安全等级保护工作(落实等保2.0);其中第5部分审计要求和第6部分审计指引,明确界定了网络安全等级保护审计的相关规定和要求,也是信息科技审计部门需要重点关注的审计事项,应当引起关注。本期,我们主要以《商业银行信息科技风险管理指引》(以下简称《指引》)第二章信息科技治理中关于信息科技审计的总体要求,第九章内部审计,以及第十章外部审计中相关监管要求出发,来看当前中小银行金融机构在信息科技风险管理的第“三道防线”的管控现状和出色实践。
一、关于设立信息科技风险审计岗位
《指引》第十一条提到,“商业银行应在内部审计部门设立专门的信息科技风险审计岗位,负责信息科技审计制度和流程的实施,制订和执行信息科技审计计划,对信息科技整个生命周期和重大事件等进行审计。”在监管的推动下,目前绝大多是中小银行金融机构都在审计部门设置了信息科技风险审计条线或岗位,并配备了专职信息科技审计人员。
目前普遍存在的问题是专职信息科技审计人员的岗位人员数量、资质以及审计能力普遍存在不足。信息科技审计人员普遍目前存在专岗非专职的情况,因为人员不足,缺乏全面性的审计规划和计划,会根据审计部门的整体安排从事非信息科技审计的项目实施;信息科技审计人员缺乏信息科技审计专业的资质和培训,信息科技审计人员从科技部门调岗的情况较多,审计资质和经验尚待积累和提升;另外,信息科技审计条线人员,存在脱离金融科技业务的现实情况,导致对于新兴的信息技术、技术实现架构以及业务模式缺乏深入了解,影响问题发现能力。
领先的银行在信息科技审计方面主要在如下几方面侧重投入:一是建立专业的信息科技审计条线,配备专职信息科技审计人员,并对信息科技审计人员的资质进行了明确要求,内部人员或者外部招聘人员都需满足或者限定时间满足相关资质要求,例如需获取CISA认证,或者CISP(审计方向)的认证资质。二是,强化审计转型,信息科技审计人员深入一、二道防线业务过程,学习一、二道防线业务知识和最新技术和业务模式,识别新技术和新业务的控制机制,参与技术和业务交流,防止业务脱节;三是,加入金融行业专业的信息科技风险审计行业协会或组织,参与行业交流和专业培训,如ISACA、(ISC)²、中国计算机用户协会信息科技审计分会、国家或地方相关监管机构举办的各类研讨会、以及民间的一些论坛或微信群等。
二、关于信息科技审计职责
《指引》第六十四条规定了信息科技审计的职责,包括制定、实施和调整审计计划,检查和评估商业银行信息科技系统和内控机制的充分性和有效性;完成审计工作,提出整改意见;检查整改意见是否得到落实。此外,信息科技审计职责中明确需要执行对信息科技安全事故进行的调查、分析和评估的信息科技专项审计,以及其他的审计部门认为必要的专项审计。
绝大多数中小银行都制定了年度的信息科技审计计划,并按照审计计划执行审计工作,给科技部门出具信息科技审计意见书;并要求相关部门针对审计意见书回复整改计划和整改时间;针对本行暴露的信息科技安全事故,涉及重大业务系统中断、数据泄露案件以及交易数据差错的事故和案件,审计部门会组织内、外部审计资源开展专项审计;专项审计报告一般都要上报当地监管机构;目前,大多数金融机构开展的审计场景都是围绕监管要求和重大安全事件的事后审计。
领先的中小银行金融机构,通过和外部咨询机构合作,制定信息科技审计整体业务规划,并在规划指导下,制定符合行业实践和本行实际的信息科技审计指引,作为指导本行开展信息科技审计的纲领性文件,并制定具体的信息科技审计管理办法、工作程序,以及具体的审计评估矩阵和具体的审计操作手册;配套制定审计计划模板、访谈和现场检查模板、审计底稿模板、审计发现问题台账或问题清单模板、信息科技审计报告模板等审计工作过程需要的文件和工具。在具体执行的过程中,个别领先的中小银行采取计算机辅助审计工具,开展数据分析,通过数据分析,分析关键信息科技风险指标的变化趋势,以及发现可疑的信息科技运行维护过程中的违规行为,作为信息科技审计的辅助手段。
《指引》第六十六条规定,商业银行在进行大规模系统开发时,应要求信息科技风险管理部门和内部审计部门参与,保证系统开发符合本银行信息科技风险管理标准。我们发现,大多数中小金融机构,在本行核心系统升级改造或者换代更新的重大场景,都派出信息科技审计人员参与到系统的需求分析、开发建设、测试上线等关键环节,提供重大系统开发建设的审计意见。
三、关于信息科技审计合规
《指引》第六十五条提到“商业银行应根据业务性质、规模和复杂程度,信息科技应用情况,以及信息科技风险评估结果,决定信息科技内部审计范围和频率。但至少应每三年进行一次全面审计。”目前监管的这个规定,几乎全部的中小银行金融机构都会满足合规性要求,一般每三年会选择一家信息科技审计机构完成一次全行范围内的信息科技审计,并向当地监管机构提交审计报告,部分区域还会组织三方会谈(监管方、客户方、审计方)。
目前在中小银行普遍存在的问题是,监管机构出台的同信息科技相关的其他相关指引或者管理办法中,要求了场景化的审计要求;例如,《银行业金融机构信息科技外包风险管理指引》第八十二条规定“系统重要性外包机构应当每年聘请独立的审计机构,对自身外包服务进行风险评估”;《银行业重要信息系统突发事件应急管理规范》第四十九条规定“银行业金融机构应每年开展一次对应急响应工作的全面评估和审计活动”;《商业银行业务连续性监管指引》第五十八条规定“商业银行应当每年对本行业务连续性管理进行审计,每三年至少开展一次全面审计,发生大范围业务运营中断事件后应当及时开展专项审计”;《银行业金融机构信息科技外包风险管理指引》第二十四条规定“银行业金融机构应当定期开展信息科技外包风险管理审计工作,至少每三年对重要外包服务提供商进行一次全面审计。发生外包风险事件后应及时开展专项审计”。针对这些小场景的审计需求,大多数中小银行的重视程度普遍不够,要么没有针对这些特定场景开展审计,要么审计周期超过监管规定的要求。
领先的重要银行金融机构,会建立信息科技审计场景合规要求名录,明确监管机构、监管指引文件和相关条目、具体要求(审计范围要求、审计频率要求、审计执行方要求等)、上次审计执行时间等,并纳入年度信息科技审计计划,并按照计划开展专项或者全面审计;并对审计合规名录进行更新,开展必要的内部培训,确保没有遗漏;例如《金融行业网络安全等级保护实施指引》的审计要求,就是落实等保2.0,需要金融机构关注的审计场景。
四、关于外部审计
《指引》第六十七条提到“商业银行可以在符合法律、法规和监管要求的情况下,委托具备相应资质的外部审计机构进行信息科技外部审计。”
绝大多数中小银行金融机构,都聘请过外部第三方中介机构承担或者参与本行的信息科技审计项目,聘请第三方中介机构参与信息科技审计的背景,主要源于本行审计资源和能力不足、特定场景下的中立性要求、监管强制要求等。参与信息科技审计的第三方中介机构,目前一般包括专业从事审计业务的会计师事务所、信息科技相关业务领域的咨询公司、网络安全相关领域的安全厂商,以及具备CISA等相关人员资质的厂商等。考虑到市场上各类机构各有所长,领先的银行业金融机构,在选择外部中介机构时,会建立中介机构外包商资源库,明确各类中介机构的优势和强项,具体到审计项目时,明确项目的审计重点和范围,有针对性的选择某一类信息科技审计机构,来满足审计目的;例如一个信息科技风险审计项目,更关注信息安全或者数据安全领域,则会在信息安全领域有专业能力的机构中选择;如果更关注管理流程类的审计,则选择专业咨询公司等。此外,对于外部审计机构的审计交付成果,一般在审计项目交流和招投标阶段,予以明确,并在合同中进行约定;同时符合行方外包商管理的管理体系,包括现场人员管理、保密管理、项目资料管理。
本文内容来自于盛邦安全对中小金融机构信息科技风险管理现状的有限了解,难免管中窥豹,其中不准确、不正确、不恰当之处也请读者谅解和指正,尊贵的银行业金融机构也请不要对号入座。盛邦安全将在本年度陆续发布针对中小金融机构信息科技风险管理现状观察系列文章,如有兴趣,敬请期待。
来源:freebuf.com 2021-01-15 09:57:28 by: WebRAY
请登录后发表评论
注册