IT业务审计基础知识随着计算机技术的高速发展,银行计算机应用也日新月异。目前我行计算机应用几乎涵盖了所有的银行业务,并依靠计算机技术的支持,不断创新银行业务。计算机应用的方式也从过去的单点单机处理方式逐步提高为全国大集中、24小时自助银行、核心业务系统处理的方式。因各种原因造成计算机应用系统不能正常运行从而导致银行业务停顿和资金损失的风险已经成为最重大的金融风险之一,因此确保银行计算机应用系统的安全可靠运行已显得尤为重要,加强对IT审计也就势在必行。第一章IT业务审计的职责、审计范围和审计流程1.1IT审计职责1.1.1总行IT审计职责总行现场审计五部负责全行IT审计管理工作,其主要职责:(1)负责制订信息系统安全和电子渠道业务审计制度、手册和工作计划;(2)负责对全行信息系统安全和电子渠道业务的审计,包括对总行信息技术管理部、电子银行部、软件开发中心和数据处理中心内控管理及业务部门计算机安全应用方面的审计;(3)参与总行业务应用软件的开发审核,重点是软件程序风险控制的审核,软件投入应用前的测试、验收等;(4)对全行信息系统安全和电子渠道业务进行审计并作出评价;评估各计算机业务处理系统在实现内部控制制度各个环节方面的控制能力及可审计性,发现薄弱环节及时向有关部门提出建议。(5)对地区和省直分行所在地城市审计部,信息系统安全审计工作进行指导,并对其报送的信息系统专项审计报告进行审阅,提出意见;(6)组织和实施全行性的信息系统和电子渠道业务审计;(7)负责省直分行及部分省辖行IT业务及电子渠道业务现场审计;(8)收集、分析、归纳、汇总IT业务和电子渠道业务审计信息,撰写IT业务和电子渠道业务审计分析报告和工作总结等。(9)负责审计支持系统管理、运行维护工作。1.1.2地区审计部IT审计职责地区审计部分为华北、华东、华南、华西和东北审计部,作为总行审计部在各地区的延伸机构,接受总行审计部的领导和管理,对地区审计部监管范围城市审计部实行领导和管理。其IT审计主要职责如下:(1)地区审计部按照总行审计部的要求开展IT审计工作,代表总行审计部对所监管机构开展IT审计监督活动;(2)按照总行审计部制定的IT审计工作制度和工作安排,研究制订地区审计部的具体实施细则和工作计划,并组织实施;(3)负责对辖内行IT审计工作的领导和管理,进行IT审计工作的考核和评价;(4)对监管范围内省辖行的IT业务和电子渠道业务风险控制状况进行审计;(5)收集、分析、归纳、汇总IT业务和电子渠道业务审计信息以及各类分析报告和工作总结等,并上报总行审计部。1.2IT审计范围按照商业银行风险导向审计原则,IT审计包含科技应用和电子渠道业务相关风险控制内容,其审计范围如下:(1)信息安全策略与制度。检查网络、系统、应用、环境设施和电子渠道业务等方面的管理制度制订及执行情况。检查安全策略合理性、完整性,检查是否根据总行相关规定制定相应的实施细则,是否覆盖所有相关工作。(2)安全组织。检查信息安全机构和人员配置、职责及工作情况。检查安全机构工作的有效性。检查人员安全保密职责、安全培训等内容。(3)信息资产的分类与控制。检查信息资产的使用与管理。检查相应的管理办法和管理流程。(4)物理与环境安全。检查放置设备的物理环境建设,包含机房门禁、供电、空调、消防、监控等方面安全管理和维护情况。。(5)通信与运营管理。检查系统运行、监控、故障处理以及数据备份等方面的安全管理。(6)访问控制。检查生产系统、网络通讯、操作系统、应用程序等方面的访问控制情况。(7)系统的开发与维护。检查应用系统开发的立项、安全需求、测试、系统文件安全、开发控制等方面的安全情况。(8)业务连续性计划。检查业务连续性计划管理程序,包含计划组织、管理、计划演练和更新等方面情况。(9)符合性。检查信息系统的设计、运行、使用和管理等方面是否符合现行的法律规定以及合同约定的安全要求。(10)电子渠道业务风险管理。检查电子银行风险管理体系和内部控制体系。(11)网上银行业务风险管理。检查企业网上银行、个人网上银行和网上支付业务操作流程、岗位制约等风...
