盛邦安全在同眾多銀行業(yè)金融機(jī)構(gòu)的溝通和服務(wù)過程中，對當(dāng)前銀行業(yè)金融機(jī)構(gòu)，尤其是中小銀行業(yè)金融機(jī)構(gòu)信息科技風(fēng)險管理的現(xiàn)狀有了較深入的了解，本系列文章旨在基于對中小銀行信息科技風(fēng)險管理的整體現(xiàn)狀的認(rèn)知，提煉和分享當(dāng)前行業(yè)信息科技風(fēng)險管理體系建設(shè)的面臨的問題和良好實(shí)踐，以期啟發(fā)更多的行業(yè)思考和討論。

本期討論的主題是銀行信息科技審計(jì)相關(guān)的管理實(shí)操。銀行業(yè)金融機(jī)構(gòu)的風(fēng)險管理“三道防線”是管控風(fēng)險的頂層設(shè)計(jì)，涵蓋銀行業(yè)金融機(jī)構(gòu)所有業(yè)務(wù)領(lǐng)域，包括信息科技。作為信息科技風(fēng)險管控最后一道防線（三道防線），信息科技審計(jì)承擔(dān)對第一道防線（信息科技相關(guān)部門）和第二道防線（信息科技風(fēng)險管理相關(guān)部門）信息科技風(fēng)險防控體系和機(jī)制設(shè)計(jì)合理性、以及控制措施執(zhí)行有效性的日常審計(jì)，并向董事會下設(shè)的審計(jì)委員會匯報；最近，中國人民銀行發(fā)布了《金融行業(yè)網(wǎng)絡(luò)安全等級保護(hù)實(shí)施指引》，用于指導(dǎo)金融機(jī)構(gòu)開展網(wǎng)絡(luò)安全等級保護(hù)工作（落實(shí)等保2.0）；其中第5部分審計(jì)要求和第6部分審計(jì)指引，明確界定了網(wǎng)絡(luò)安全等級保護(hù)審計(jì)的相關(guān)規(guī)定和要求，也是信息科技審計(jì)部門需要重點(diǎn)關(guān)注的審計(jì)事項(xiàng)，應(yīng)當(dāng)引起關(guān)注。

本期，我們主要以《商業(yè)銀行信息科技風(fēng)險管理指引》（以下簡稱《指引》）第二章信息科技治理中關(guān)于信息科技審計(jì)的總體要求，第九章內(nèi)部審計(jì)，以及第十章外部審計(jì)中相關(guān)監(jiān)管要求出發(fā)，來看當(dāng)前中小銀行金融機(jī)構(gòu)在信息科技風(fēng)險管理的第“三道防線”的管控現(xiàn)狀和出色實(shí)踐。

一、關(guān)于設(shè)立信息科技風(fēng)險審計(jì)崗位

《指引》第十一條提到，“商業(yè)銀行應(yīng)在內(nèi)部審計(jì)部門設(shè)立專門的信息科技風(fēng)險審計(jì)崗位，負(fù)責(zé)信息科技審計(jì)制度和流程的實(shí)施，制訂和執(zhí)行信息科技審計(jì)計(jì)劃，對信息科技整個生命周期和重大事件等進(jìn)行審計(jì)。”

在監(jiān)管的推動下，目前絕大多是中小銀行金融機(jī)構(gòu)都在審計(jì)部門設(shè)置了信息科技風(fēng)險審計(jì)條線或崗位，并配備了專職信息科技審計(jì)人員。

目前普遍存在的問題是專職信息科技審計(jì)人員的崗位人員數(shù)量、資質(zhì)以及審計(jì)能力普遍存在不足。信息科技審計(jì)人員普遍目前存在專崗非專職的情況，因?yàn)槿藛T不足，缺乏全面性的審計(jì)規(guī)劃和計(jì)劃，會根據(jù)審計(jì)部門的整體安排從事非信息科技審計(jì)的項(xiàng)目實(shí)施；信息科技審計(jì)人員缺乏信息科技審計(jì)專業(yè)的資質(zhì)和培訓(xùn)，信息科技審計(jì)人員從科技部門調(diào)崗的情況較多，審計(jì)資質(zhì)和經(jīng)驗(yàn)尚待積累和提升；另外，信息科技審計(jì)條線人員，存在脫離金融科技業(yè)務(wù)的現(xiàn)實(shí)情況，導(dǎo)致對于新興的信息技術(shù)、技術(shù)實(shí)現(xiàn)架構(gòu)以及業(yè)務(wù)模式缺乏深入了解，影響問題發(fā)現(xiàn)能力。

領(lǐng)先的銀行在信息科技審計(jì)方面主要在如下幾方面?zhèn)戎赝度耄阂皇墙I(yè)的信息科技審計(jì)條線，配備專職信息科技審計(jì)人員，并對信息科技審計(jì)人員的資質(zhì)進(jìn)行了明確要求，內(nèi)部人員或者外部招聘人員都需滿足或者限定時間滿足相關(guān)資質(zhì)要求，例如需獲取CISA認(rèn)證，或者CISP（審計(jì)方向）的認(rèn)證資質(zhì)。二是，強(qiáng)化審計(jì)轉(zhuǎn)型，信息科技審計(jì)人員深入一、二道防線業(yè)務(wù)過程，學(xué)習(xí)一、二道防線業(yè)務(wù)知識、新技術(shù)和業(yè)務(wù)模式，識別新技術(shù)和新業(yè)務(wù)的控制機(jī)制，參與技術(shù)和業(yè)務(wù)交流，防止業(yè)務(wù)脫節(jié)；三是，加入金融行業(yè)專業(yè)的信息科技風(fēng)險審計(jì)行業(yè)協(xié)會或組織，參與行業(yè)交流和專業(yè)培訓(xùn)，如ISACA、(ISC)²、中國計(jì)算機(jī)用戶協(xié)會信息科技審計(jì)分會、國家或地方相關(guān)監(jiān)管機(jī)構(gòu)舉辦的各類研討會、以及民間的一些論壇或微信群等。

二、關(guān)于信息科技審計(jì)職責(zé)

《指引》第六十四條規(guī)定了信息科技審計(jì)的職責(zé)，包括制定、實(shí)施和調(diào)整審計(jì)計(jì)劃，檢查和評估商業(yè)銀行信息科技系統(tǒng)和內(nèi)控機(jī)制的充分性和有效性；完成審計(jì)工作，提出整改意見；檢查整改意見是否得到落實(shí)。此外，信息科技審計(jì)職責(zé)中明確需要執(zhí)行對信息科技安全事故進(jìn)行的調(diào)查、分析和評估的信息科技專項(xiàng)審計(jì)，以及其他的審計(jì)部門認(rèn)為必要的專項(xiàng)審計(jì)。

絕大多數(shù)中小銀行都制定了年度的信息科技審計(jì)計(jì)劃，并按照審計(jì)計(jì)劃執(zhí)行審計(jì)工作，給科技部門出具信息科技審計(jì)意見書；并要求相關(guān)部門針對審計(jì)意見書回復(fù)整改計(jì)劃和整改時間；針對本行暴露的信息科技安全事故，涉及重大業(yè)務(wù)系統(tǒng)中斷、數(shù)據(jù)泄露案件以及交易數(shù)據(jù)差錯的事故和案件，審計(jì)部門會組織內(nèi)、外部審計(jì)資源開展專項(xiàng)審計(jì)；專項(xiàng)審計(jì)報告一般都要上報當(dāng)?shù)乇O(jiān)管機(jī)構(gòu)；目前，大多數(shù)金融機(jī)構(gòu)開展的審計(jì)場景都是圍繞監(jiān)管要求和重大安全事件的事后審計(jì)。

領(lǐng)先的中小銀行金融機(jī)構(gòu)，通過和外部咨詢機(jī)構(gòu)合作，制定信息科技審計(jì)整體業(yè)務(wù)規(guī)劃，并在規(guī)劃指導(dǎo)下，制定符合行業(yè)實(shí)踐和本行實(shí)際的信息科技審計(jì)指引，作為指導(dǎo)本行開展信息科技審計(jì)的綱領(lǐng)性文件，并制定具體的信息科技審計(jì)管理辦法、工作程序，以及具體的審計(jì)評估矩陣和具體的審計(jì)操作手冊；配套制定審計(jì)計(jì)劃模板、訪談和現(xiàn)場檢查模板、審計(jì)底稿模板、審計(jì)發(fā)現(xiàn)問題臺賬或問題清單模板、信息科技審計(jì)報告模板等審計(jì)工作過程需要的文件和工具。在具體執(zhí)行的過程中，個別領(lǐng)先的中小銀行采取計(jì)算機(jī)輔助審計(jì)工具，開展數(shù)據(jù)分析，通過數(shù)據(jù)分析，分析關(guān)鍵信息科技風(fēng)險指標(biāo)的變化趨勢，以及發(fā)現(xiàn)可疑的信息科技運(yùn)行維護(hù)過程中的違規(guī)行為，作為信息科技審計(jì)的輔助手段。

《指引》第六十六條規(guī)定，商業(yè)銀行在進(jìn)行大規(guī)模系統(tǒng)開發(fā)時，應(yīng)要求信息科技風(fēng)險管理部門和內(nèi)部審計(jì)部門參與，保證系統(tǒng)開發(fā)符合本銀行信息科技風(fēng)險管理標(biāo)準(zhǔn)。我們發(fā)現(xiàn)，大多數(shù)中小金融機(jī)構(gòu)，在本行核心系統(tǒng)升級改造或者換代更新的重大場景，都派出信息科技審計(jì)人員參與到系統(tǒng)的需求分析、開發(fā)建設(shè)、測試上線等關(guān)鍵環(huán)節(jié)，提供重大系統(tǒng)開發(fā)建設(shè)的審計(jì)意見。

三、關(guān)于信息科技審計(jì)合規(guī)

《指引》第六十五條提到“商業(yè)銀行應(yīng)根據(jù)業(yè)務(wù)性質(zhì)、規(guī)模和復(fù)雜程度，信息科技應(yīng)用情況，以及信息科技風(fēng)險評估結(jié)果，決定信息科技內(nèi)部審計(jì)范圍和頻率。但至少應(yīng)每三年進(jìn)行一次全面審計(jì)。”

目前監(jiān)管的這個規(guī)定，幾乎全部的中小銀行金融機(jī)構(gòu)都會滿足合規(guī)性要求，一般每三年會選擇一家信息科技審計(jì)機(jī)構(gòu)完成一次全行范圍內(nèi)的信息科技審計(jì)，并向當(dāng)?shù)乇O(jiān)管機(jī)構(gòu)提交審計(jì)報告，部分區(qū)域還會組織三方會談（監(jiān)管方、客戶方、審計(jì)方）。

目前在中小銀行普遍存在的問題是，監(jiān)管機(jī)構(gòu)出臺的同信息科技相關(guān)的其他相關(guān)指引或者管理辦法中，要求了場景化的審計(jì)要求；例如，《銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險管理指引》第八十二條規(guī)定“系統(tǒng)重要性外包機(jī)構(gòu)應(yīng)當(dāng)每年聘請獨(dú)立的審計(jì)機(jī)構(gòu),對自身外包服務(wù)進(jìn)行風(fēng)險評估”；《銀行業(yè)重要信息系統(tǒng)突發(fā)事件應(yīng)急管理規(guī)范》第四十九條規(guī)定“銀行業(yè)金融機(jī)構(gòu)應(yīng)每年開展一次對應(yīng)急響應(yīng)工作的全面評估和審計(jì)活動”；《商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引》第五十八條規(guī)定“商業(yè)銀行應(yīng)當(dāng)每年對本行業(yè)務(wù)連續(xù)性管理進(jìn)行審計(jì)，每三年至少開展一次全面審計(jì)，發(fā)生大范圍業(yè)務(wù)運(yùn)營中斷事件后應(yīng)當(dāng)及時開展專項(xiàng)審計(jì)”；《銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險管理指引》第二十四條規(guī)定“銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)定期開展信息科技外包風(fēng)險管理審計(jì)工作，至少每三年對重要外包服務(wù)提供商進(jìn)行一次全面審計(jì)。發(fā)生外包風(fēng)險事件后應(yīng)及時開展專項(xiàng)審計(jì)”。針對這些小場景的審計(jì)需求，大多數(shù)中小銀行的重視程度普遍不夠，要么沒有針對這些特定場景開展審計(jì)，要么審計(jì)周期超過監(jiān)管規(guī)定的要求。

領(lǐng)先的重要銀行金融機(jī)構(gòu)，會建立信息科技審計(jì)場景合規(guī)要求名錄，明確監(jiān)管機(jī)構(gòu)、監(jiān)管指引文件和相關(guān)條目、具體要求（審計(jì)范圍要求、審計(jì)頻率要求、審計(jì)執(zhí)行方要求等）、上次審計(jì)執(zhí)行時間等，并納入年度信息科技審計(jì)計(jì)劃，并按照計(jì)劃開展專項(xiàng)或者全面審計(jì)；并對審計(jì)合規(guī)名錄進(jìn)行更新，開展必要的內(nèi)部培訓(xùn)，確保沒有遺漏；例如《金融行業(yè)網(wǎng)絡(luò)安全等級保護(hù)實(shí)施指引》的審計(jì)要求，就是落實(shí)等保2.0，需要金融機(jī)構(gòu)關(guān)注的審計(jì)場景。

四、關(guān)于外部審計(jì)

《指引》第六十七條提到“商業(yè)銀行可以在符合法律、法規(guī)和監(jiān)管要求的情況下，委托具備相應(yīng)資質(zhì)的外部審計(jì)機(jī)構(gòu)進(jìn)行信息科技外部審計(jì)。”

絕大多數(shù)中小銀行金融機(jī)構(gòu)，都聘請過外部第三方中介機(jī)構(gòu)承擔(dān)或者參與本行的信息科技審計(jì)項(xiàng)目，聘請第三方中介機(jī)構(gòu)參與信息科技審計(jì)的背景，主要源于本行審計(jì)資源和能力不足、特定場景下的中立性要求、監(jiān)管強(qiáng)制要求等。參與信息科技審計(jì)的第三方中介機(jī)構(gòu)，目前一般包括專業(yè)從事審計(jì)業(yè)務(wù)的會計(jì)師事務(wù)所、信息科技相關(guān)業(yè)務(wù)領(lǐng)域的咨詢公司、網(wǎng)絡(luò)安全相關(guān)領(lǐng)域的安全廠商，以及具備CISA等相關(guān)人員資質(zhì)的廠商等。

考慮到市場上各類機(jī)構(gòu)各有所長，領(lǐng)先的銀行業(yè)金融機(jī)構(gòu)，在選擇外部中介機(jī)構(gòu)時，會建立中介機(jī)構(gòu)外包商資源庫，明確各類中介機(jī)構(gòu)的優(yōu)勢和強(qiáng)項(xiàng)，具體到審計(jì)項(xiàng)目時，明確項(xiàng)目的審計(jì)重點(diǎn)和范圍，有針對性的選擇某一類信息科技審計(jì)機(jī)構(gòu)，來滿足審計(jì)目的；例如一個信息科技風(fēng)險審計(jì)項(xiàng)目，更關(guān)注信息安全或者數(shù)據(jù)安全領(lǐng)域，則會在信息安全領(lǐng)域有專業(yè)能力的機(jī)構(gòu)中選擇；如果更關(guān)注管理流程類的審計(jì)，則選擇專業(yè)咨詢公司等。此外，對于外部審計(jì)機(jī)構(gòu)的審計(jì)交付成果，一般在審計(jì)項(xiàng)目交流和招投標(biāo)階段，予以明確，并在合同中進(jìn)行約定；同時符合行方外包商管理的管理體系，包括現(xiàn)場人員管理、保密管理、項(xiàng)目資料管理。

本文內(nèi)容來自于盛邦安全對中小金融機(jī)構(gòu)信息科技風(fēng)險管理現(xiàn)狀的有限了解，難免管中窺豹，其中不準(zhǔn)確、不正確、不恰當(dāng)之處也請讀者諒解和指正，尊貴的銀行業(yè)金融機(jī)構(gòu)也請不要對號入座。盛邦安全將在本年度陸續(xù)發(fā)布針對中小金融機(jī)構(gòu)信息科技風(fēng)險管理現(xiàn)狀觀察系列文章，如有興趣，敬請期待。