商业银行信息科技风险审计

商业银行信息科技风险审计

北京时代新威信息技术有限公司王连杰为了适应当前社会形势的变化，开展商业银行信息科技风险审计项目是应对信息化条件下审计工作全新挑战的必然选择。本文结合北京时代新威信息技术有限公司与数家银行合作的众多案例，总结出商业银行科技风险审计的价值所在。理清信息科技风险审计基本概念与内涵,明确信息科技风险审计分类标准,掌握信息科技风险审计常用方法与思路十分重要。并且将理论研究与经验分析相结合,总结商业银行信息科技审计的实际价值,并对如何提升商业银行信息科技风险审计工作水平提出了建议。

首先解析一下商业银行信息科技风险审计的基本概念与内涵。商业银行信息科技风险审计是评判一个信息系统是否真正安全的重要标准之一。通过安全审计收集、分析、评估安全信息、掌握安全状态，制定安全策略，确保整个安全体系的完备性、合理性和适用性，才能将系统调整到“最安全”和“最低风险”的状态。安全审计已成为企业内控、信息系统安全风险控制等不可或缺的关键手段，也是威慑、打击内部计算机犯罪的重要手段。

依据银监会颁发的《商业银行信息科技风险管理指引》对商业银行的信息科技及其风险管理工作进行全面的审计，内容包括信息科技治理、信息科技风险管理、信息安全管理、信息系统开发测试管理、信息科技运行维护和业务连续性等方面。

信息科技治理层面：

商业银行信息科技风险审计工作内容的重点就是信息科技治理，下面是它的基本构架以及管理方案。

一、信息科技治理架构

1、信息科技治理机构的建立与履职（信息科技管理委员会）

2、首席信息官的设立与履职

3、是否指定信息科技风险的管理部门与管理职责

二、信息科技战略管理

1、是否建立了与企业战略相匹配的信息科技战略

2、信息科技战略是否经董事会审批

三、信息科技风险管理

1、是否制定全面的信息科技风险管理策略

2、是否制定持续的风险识别和评估流程

3、是否制定了信息科技风险管理制度、技术规范、操作规程等，并且定期进行更新和公示

4、是否建立了持续的信息科技风险计量和检测机制

5、是否把信息科技风险纳入全行全面风险管理框架，并且明确牵头管理部门

四、信息科技的资源管理

1、信息科技的投资管理

2、信息科技的人力资源管理

3、信息科技的信息资产管理

信息科技风险管理层面：

商业银行信息科技风险审计的信息科技风险管理具体体现在构成管理体系的每个细节上，北京时代新威信息技术有限公司针对商业银行科技风险审计将其分为四个部分：管理者的素质、组织结构、企业文化、管理过程。

1.管理者的素质

管理者因素包括单个的个人和群体的管理层。管理者个人素质因素包括品德、知识水平和能力三方面。品德是推动

管理者行为的主导力量，决定其工作愿望和努力程度及外界对他的价值评价，影响着人际关系，对管理效果和效率有直接影响。技术创新对中小企业是一项艰难的活动，一方面管理者的任务更艰巨，另一方面参与创新的人员更需要多方面激励；鉴于中小企业资源方面的劣势，道德环境——管理者品德对这两方面影响就十分重要。知识水平体现在管理者对创新过程的理解和进行组织管理上，影响着他与创新的人员交流和沟通。能力反映管理者干好本职工作的本领，包括应具备的心理特征和适当的工作方式。法约尔依据不同规模的企业状况对管理者应具备的基本能力结构进行分析研究的

结果表明，相对于大型企业，中小企业领导人在技术能力、商业能力上要求更高，中小企业领导人往往是技术创新的发动机，往往更多地直接参与创新过程；作为能力的另一因素，他的创新意识直接决定着整个企业的创新发展。管理层的素质因素主要是指管理者年龄、知识、能力的结构搭配及互补；在中小企业发展和上升时期管理层应偏重于中青年创造

锐意进取的气氛，对企业技术创新持积极的态度。

2.组织结构因素

组织结构是指组织内部各级职务职位的权责范围、联系方式和分工协作关系的整体框架，是组织得以持续运转、完

成经营管理任务的体制基础。对于商业银行信息科技风险审计来讲，组织结构制度制约着组织内部人员、资金、物资、信息的流，影响着组织目标的实现。因此，组织结构决定着技术创新的各个环节对技术创新成败有着决定意义。曹洲涛等从五个方面分析了组织结构对技术创新的影响。

(1)信息流对技术创新的影响技术创新是一项贯穿整个企业的系统工程企业技术创新过程涉及创新构思产生研究开发技术管理与组织工程设计与制造市场营销与用户参与等一系列活动在创新过程中,这些活动相互联系甚至需要循环交叉或并行操作,而这些活动是由企业多个部门分别承担的,要求企业不仅要拥有完成各项活动的职能部门,而且需要有一个完善高效的信息沟通网络,包括研究开发部门内部及其与营销、生产制造等部门之间的信息沟通渠道，它将直接影响企业研究开发的内容、时滞和成效。

(2)灵活性对技术创新的影响。企业组织结构的刚柔性决定了该组织的灵活性和应变能力。灵活性大的企业在缩短技术创新时滞、不断适应技术发展和市场需求变化进行技术创新与其它企业竞争创新等方面均有着较大优势。

(3)开放程度对技术创新的影响。组织的开放程度大小，反映了接受外部各种信、经验和知识能力的大小。由于技术创新过程无特征性，开放程度大的组织能充分利用这一点加快技术创新速度及降低创新成本。

(4)经验积累程度对技术创新的影响。企业经验积累程度即企业扩展技术知识能力的大小，将直接影响技术创新能力和技术创新活动的速度。

商业银行信息科技风险审计之间组织效率对技术创新的影响极为重要。企业组织结构的组织效率，将在很大程度上影响技术创新中的信息流、物流以及创新各阶段和各部分的整合效果。

中小企业由于其组织结构层次较简单、等级制度不严、人员相对较少，因此信息流动与沟通较为顺畅，技术创新的内容和方向容易迅速达到一致，但负面信息起作用也迅速；由于其组织灵活性较强，“船小好调头”，但当创新方向因此而多变时，往往导致：“东边不亮，西边也不亮” 的后果；由于其高的开放程度和较快的经验积累速度，利用技术创新成长具有“后发优势”，但可能造成“饥不择食”甚至“饮鸩止

渴”的后果；而其组织的高效率也会产生正反两方面的实行效果。所以中小企业的组织结构对管理风险具有根本性影响。

3.企业文化因素

企业文化是企业员工较长时间形成的共同价值观、信念、态度和行为准则，是一个组织持有的传统和风尚，制约着全部管理的政策和措施。企业文化不同于组织结构的刚性影响，是以其文化对管理活动产生柔性影响。管理的中心是对人的管理，而人是由文化塑造的受到一定文化价值观指向的主体；因此企业文化能够通过寻找观念共同点和建立共同的价值观，强化组织成员之间合作、信任和团结，使之产生亲近感、信任感和归属感，实现文化认同和融合，使组织具有向心力和凝聚力，从而形成共同行动和齐心协力。在中小企业技术创新管理中，这种凝聚力可以使企业集中有限资源，群策群力进行创新活动，而如果企业没有发展与其相适应的朝气蓬勃的企业文化，因循守旧，小富即安，则成为技术创新巨大障碍。因此，中小企业在创立之日起应着力于塑造积极向上、鼓励创新的氛围。

4.管理过程因素

管理过程直接影响中小企业技术创新的成败,一般有相互关联的计划、组织、领导、控制四个因素

(1)计划因素的影响.计划是对未来的安排，应根据实际情况，通过科学、准确的预测，提出在未来一定时期内的目标及实现目标的方法。它是组织技术创新活动的指南，保证创新活动有条不紊地进行。中小企业管理者应具备专业能力和一般业务知识，遵循科学的方法和流程，制定正确、有效的计划，合理安排和组织人员，激发员工创造性，为计划实施创造宜人环境。中小企业的技术创新计划，统一协调十分重要，对技术创新活动的所有相关计划，要协同一致，避免打乱仗，以使相互促进，密切配合，最快、最好地完成任务，达到预期目标。对于缺乏资金的中小企业，经济性格外重要，要讲究计划的经济效果，以求最少的投入获得最大收益，避免投入巨大的计划实施以后可能得不偿失。

(2)组织因素的影响。计划制定后。企业技术创新目标和如何实现目标已经明晰。必须严密组织、孔茨指出：“为了使人们能为实现目标而有效地工作，就必须设计和维持一种职务结构，这就是组织管理职能的目的。”组织结构对技术创新

的影响上文已经论述，不再赘述。组织结构要为创新活动的运行提供基本框架，必须有相应的合适的人员配备，才能有效地运作。中小企业由于人才较为缺乏，因此，在人员配备时，要充分把握因事择人和因才起用的原则。因事择人需要管理人员根据技术创新过程中各个环节和专业的具体职位要求，选择具备相应知识和能力的人员。因才起用则要求管理人员充分利用本企业有限的人力资源，深入了解员工的能力和素质为其安排相应的工作，做到人尽其才，既激发员工的工作热情，又提高了企业人力资源利用率，保证技术创新的效率。中小企业技术创新的过程也是企业组织成长的过程，所以组织结构也应动态地适时调整，这样企业才能充满活力，一步步走向壮大。

(3)领导因素的影响。对中小企业技术创新,领导十分关键.他要指挥、引导、支持和影响参与人员为实现特定目标而努力。在技术创新中，领导的作用体现在两方面：协调作用和激励作用。技术创新活动是一个有多种因素构成的系统，每个因素的状况都对它产生着影响，领导者在明确的目标下，必须协调好各种因素，促使组织所有的活动协同与和谐，具体包括思想协调、目标协调、权力协调、利益协调、信息协调等方面。同时，领导者应创造满足参与创新人员各种需要

的条件和建立激励机制来激发大家的创新动机，善于调动员工的积极主动性，发挥创造力，鼓舞士气，不怕失败振奋精神，使参与技术创新的人员都自觉地融入到创新的工作目标中去，为实现共同目标而努力工作。

(4)控制因素的影响.技术创新的控制是监视创新的各项活动，保证它们按计划进行，并纠正各种偏差的过程并在必要时调整计划。中小企业的技术创新活动不但在企业外部面临着多种不确定的因素；在内部也随着活动的逐步深入和扩展而发生部分环节与目标偏离的可能性变大。所以要及时调控来保证技术创新活动目标的最终实现。管理层应该关注以下几方面的监控信息的准确及时，标准的合理可靠，关键环节的控制：注意例外处理，保持灵活有效，适时组织纠正行动，讲究经济效益，注重培养员工的自我控制能力。

信息安全管理：

信息安全管理体系（Information Security Management System，简称为ISMS）是1998年前后从英国发展起来的信息安全领域中的一个新概念，是管理体系（Management System，MS）思想和方法在信息安全领域的应用。近年来，伴随着ISMS国际标准的制修订，ISMS迅速被全球接受和认

可，成为世界各国、各种类型、各种规模的组织解决信息安全问题的一个有效方法。ISMS认证随之成为组织向社会及其相关方证明其信息安全水平和能力的一种有效途径。

信息安全管理体系是组织机构单位按照信息安全管理体系相关标准的要求，制定信息安全管理方针和策略，采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。信息安全管理体系是按照ISO/IEC 27001标准《信息技术安全技术信息安全管理体系要求》的要求进行建立的，ISO/IEC 27001标准是由BS7799-2标准发展而来。

信息安全管理体系ISMS是建立和维持信息安全管理体系的标准，是商业银行信息科技风险审计的重要组成部分。标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系；体系一旦建立组织应按体系规定的要求进行运作，保持体系运作的有效性；信息安全管理体系应形成一定的文件，即组织应建立并保持一个文件化的信息安全管理体系，其中应阐述被保护的资产、

组织风险管理的方法、控制目标及控制方式和需要的保证程度。

信息系统开发测试管理：

管理信息系统开发测试的原则：

（1）系统测试是为了发现错误而运行系统的过程；

（2）好的测试用例在于它能发现至今未发现的错误；（3）成功的测试是发现了至今未发现的错误的测试。

信息系统开发测试的内容包括：

（1）数据处理正确性测试

（2）功能完整性测试

（3）系统性能测试

信息科技运行维护：

对于信息系统建设项目而言，其生命周期体现了该信息系统建设项目从产生到报废的完整过程，根据软件工程有关定义，软件生命周期包括如下几个阶段：项目规划、需求定义

和需求分析、软件设计、程序编码、软件测试、运行维护等。而事实上，对于一个信息系统建设项目而言，运行维护阶段才是系统真正实现价值的开始，在此之前的所有工作都是为了得到一个可以为用户提供更多价值的软件产品和信息系统。

因此，软件运行维护阶段对于一个软件产品或者信息系统而言，是其生命周期中最为漫长的一个阶段，据初步统计，软件运行维护阶段占整个软件生命周期的时间比例为80%。随着IT建设的不断深入和完善，计算机软硬件系统的运行维护已经成为了各行各业、各单位领导和信息服务部门普遍关注和不堪重负的问题。由于这是一个随着计算机信息技术的深入应用而产生的新课题，因此如何进行有效的IT运维管理也是一个新的领域，对于这方面的知识积累和应用技术还刚刚起步。

毫无疑问，作为信息系统建设质量检验的最有效手段，在系统运维阶段也离不开软件测试，但由于系统运行之后，其相比于软件开发阶段，存在较多的现实难题，诸如不能影响用户的现有业务运行，不能引起业务运行中断，不能破坏系统存储的真实业务数据等等，这些都给系统运维阶段的软

件测试工作带来了新的难题，也对系统运维测试提出了更高的要求和期望。

综上所述，系统运维测试是在软件系统投入正式使用后，在系统运行阶段实施的测试服务，包括对上线后系统运行状态进行监测和异常报告、对上线系统实施动态测试等，以寻找系统缺陷和风险，并对相关缺陷进行诊断，指导系统调优；对系统风险进行评估，制定预防策略，确保系统上线后稳定运行。

系统运维测试是系统运维管理的重要组成部分，是软件测试在系统运维阶段的进一步延伸和扩展，那么运维测试又有哪些特点呢。

特点一：软硬件全覆盖测试

商业银行信息科技风险审计系统运维测试是在软件投入使用后的一个测试服务活动，由于IT系统建设是一个复杂的实体，它必然由一系列的硬件、网络、基础软件和业务软件组成。一旦投入正式使用，IT系统将是一个整体，且随着企业IT系统的日益成熟和复杂，企业的关注点已从单点向多点进行转移。

在信息系统开发建设阶段，由于环境比较单一，我们可以分别针对网络、硬件、业务软件进行独立测试，但一旦系统投入使用，我们就必须结合系统软硬件环境进行综合测试，并针对测试结果进行综合分析，从总体上验证系统建设架构的可用性和服务水平。

特点二：系统业务在线运行测试

系统运维测试时针对用户已经开展业务的系统进行测试，此时，运维测试完全基于生产环境下完成，因此，运维测试中要确保当前的测试操作不影响系统的正常运转。

商业银行信息科技风险审计生产环境下的软件测试和模拟环境下的测试有较大的不同。模拟环境下，软件系统的用户仅为测试用户，测试用户可以随意的构造和处理数据，不对系统正常运行和对外提供服务负责，只检验软件是否符合验收的标准；生产环境下测试用户执行的操作将会受到较大限制，既要满足测试要求，又不能对系统的业务造成影响。

生产环境中，需要在约束条件下完成系统测试，这需要制定较为完善的测试计划和测试方案，一方面要保证系统的

正常运转，另一方面要完成测试的内容。运维测试中，需要把测试重点放在对系统运行状况的核查上，对软件系统的业务流程，功能完备进行检查，对系统并发测试可以选择查询、统计等不对系统产生数据损坏的操作为主。

系统运维测试阶段，考虑到系统正在对外提供服务的现实情况，我们对系统的测试应该在检查功能实现正确性的基础上，尽量保证系统的稳定运行，不应影响系统的实际运行，因此我们需要加强对系统数据的保护：

1）在执行测试前，我们应尽可能对系统进行备份，至少要对系统的重要

2）

数据和文件进行备份，确保系统测试结束后可以恢复到初始状态；

2）进行在线系统测试时，对于系统测试过程中产生的少量测试数据要进行特殊标记，测试结束后要及时清理。测试数据我们可以事先准备并予以特殊标记，可以是带有特定意义的区域数据或者是特殊时间段内的数据，当系统测试结束后，我们可以根据这些特殊标记将相应的测试数据删除，

保证系统的正常运行，对于那些需要直接在系统中进行变更的数据在相应的业务操作和功能确认完成后应予以及时恢复，确保将系统恢复到数据变更前的正常状态；

3）对于系统并发负载测试或者其他可能影响系统运行并导致系统崩溃的测试操作，我们可以安排在非工作时间进行，出现系统异常时有时间可进行系统的恢复工作。另外，在具体实施系统并发负载测试时，应按照指标驱动和用户逐渐增加的方法对系统进行测试。在测试过程中，应实时关注系统状态，当系统不能承受相应的压力时，测试立即终止，这样可以有效保证测试不会超出系统的最大可承受压力，避免系统崩溃和数据损坏。

特点三：测试执行具有多变性

系统运维测试是以满足用户使用为基础，针对运行中出现的问题进行报告和分析，由于系统已经对外提供服务，因此，所有的测试都必须是在用户使用的空隙基础上进行，具有时间多变性特点。

另外，系统运行维护阶段必然面临系统升级和变更，这

是运行维护测试不可或缺的一部分内容，考虑到升级和系统变更需要在比较短的时间进行发布，在系统发布前需要进行充分的测试，在系统发布后还需要进行在线实际测试。

特点四：测试分析应具备前瞻性

系统运维的出发点是要保证系统高效稳定运行，且由于系统已经上线，为不影响用户的实际使用，我们必须充分关注系统的变化情况，建立系统运行基线，一旦发现系统运行状态与基线对比存在较大变化，或者系统整体趋势存在服务能力快速下降的可能时，我们应及时提供有效手段保证系统能够及时调整、扩充，以满足用户日益增长的使用需求。

当今社会经济发展对信息科技的依赖程度愈来愈高，金融业信息系统和网络安全对国家安全、社会稳定和公众权益的影响逐渐增强。在全球范围内，网络窃密、网络攻击等利用计算机技术进行网络违法犯罪活动呈上升趋势。近年来，我国银行业信息科技相关案件频发，银行网络、信息系统已成为境内外敌对势力和不法分子攻击破坏的重要目标之一。攻击手段层出不穷，作案手法不断翻新，信息安全形势日益严峻。

按照案发区域，银行业信息科技相关案件可分为以下三类：

以北京时代新威信息技术有限公司之前参与过得商业银行信息科技风险审计案件为例。犯罪嫌疑人主要通过国际互联网等载体，以木马病毒、程序破解密码等多种技术手段获取银行客户账号和密码，再以非法转账或网上支付等方式，盗取客户资金。

二是内控缺陷类案件。犯罪嫌疑人借内部工作人员的身份和工作之便，利用银行管理制度、业务流程、交易系统等方面存在的漏洞作案，盗取客户或银行资金。内部控制作案又可细分为两类：其一是业务人员盗取其他员工的柜员号和密码，通过对客户定期存款进行密码挂失、虚假存款、虚列利息支出、冒名虚假贷款等方式作案，盗取银行或客户资金。其二是科技人员利用职务便利，非法进入系统，通过编制非法程序窃取银行客户密码、篡改数据库数据、篡改账户状态、窃取数据仓库客户信息和利用综合业务系统功能缺陷等方式作案，盗取银行或客户资金。

基层银行业信息科技风险表现及防范对策

基层银行业信息科技风险表现及防范对策 公司标准化编码 [QQX96QT-XQQB89Q8-NQQJ6Q8-MQM9N]

基层银行业信息科技风险表现及防范对策 随着信息科技在银行业经营管理全过程的推广运用，银行对信息科技的依赖程度显着提高，在促进银行改进流程、加快发展的同时，银行业机构信息科技风险防范工作面临着新形势、新情况和新问题，信息科技风险事件凸现。加强基层银行业机构信息科技风险防范，对于维护银行业机构以及整个银行业体系的安全稳定至关重要。 一、当前银行业机构信息科技风险的主要表现 (一）数据大集中引发的风险 数据的集中直接带来了银行金融产品的升级和服务、管理手段的提高，但银行数据大集中后，可能带来的风险隐患也随之加大。一是不可抗力引发的风险。一旦出现突发的灾难事故，将导致系统性的业务停顿与客户流失，甚至会引起业务系统瘫痪，造成社会不稳定。二是系统安全维护工作不及时引发的危险。在数据大集中前，系统架构相对简单，原有的各地方数据中心均由技术人员负责辖内各系统的安全维护工作。由于他们对原系统涉及的各个环节比较熟悉，与系统软件开发商的联系较为密切，与区域内的网络运营商的协调能力较强，因此能迅速调动各种技术力量解决问题，对客户的响应时间较快。而数据集中后，虽然在管理上便于维护、升级，但由于数据集中后的系统的架构变得更加复杂，牵扯的各方面因素比原来大大增加，而且很多问题由于权限问题在市级分行层面漂统前置立韵无法得到很好的解决，往往需要向总行数据总中心反映，才能得到根本的解决，这在一定程度上削弱了现有数据中心技术人员应急抗灾能力和应变管理能力。三是外包风险。数据大集中后，对系统开发、网络管理、运行维护等的要求更加专业化了。 随着IT 外包服务的概念逐步被各银行业机构接受，各银行业机构开始尝试实施IT 服务外包，这既有利于银行降低运

目前商业银行审计需解决的几个难点问题(一)

目前商业银行审计需解决的几个难点问题(一) 近年来，随着商业银行审计由财务收支审计发展到“风险、管理、效益”审计，实际工作中遇到许多难点问题，需要加以研究和解决。 一、商业银行审计需解决的难点问题 （一）商业银行案件频发，审计力量不足，审计风险不断加大 一方面，商业银行案件频发，经营风险巨大。商业银行与社会各领域联系广泛，是一个高风险的行业。近年来在审计中发现，不法分子时刻关注商业银行管理漏洞进行金融诈骗活动，或与银行员工内外勾结联手作案，如诈骗贷款、挪用客户存款和伪造票据等重大案件时有发生。在审计工作中，尽管审计人员实施了必要的审计程序和审计方法，但仍然存在较大的审计风险。另一方面，审计机关整体力量不足，审计时间有限，违规问题未能发现和披露的潜在风险较大。一般对省级分行系统审计由十几名审计人员在几个月时间内完成，面对商业银行众多的分支机构、大量数据和资料，存在应发现而未发现重大违法违纪问题或典型性、倾向性问题的情况，使商业银行审计面临较大风险。 （二）商业银行业务复杂，不断扩展和创新，给审计工作带来新的挑战 近年来，对商业银行审计采取轮流的方式进行，几年循环一次，审计人员很难全面掌握各商业银行内部经营管理等情况。加之商业银行不断推出新业务，现有审计人员专业素质、知识结构不能完全适应审计发展的需要。目前，审计机关中既有较高的金融知识水平，又有多年金融审计工作经验的人员所占比例很小。部分从事金融审计的人员，虽然具有长期从事金融审计工作的经验，但对金融新业务了解不多，只能对商业银行财务收支或原有业务进行审计，对其不断出现的新业务无法开展审计。 （三）审计技术方法滞后于金融业信息化的步伐，难以满足审计发展的需要 商业银行审计的目标是防范风险、促进管理、提高效益，要实现这一目标，就需要审计人员对商业银行进行全面了解和审计，做出客观公正的评价。而面对商业银行庞大的金融数据，传统的审计方法已经不能适应信息化审计发展的需求。目前，虽然开展了计算机辅助审计，但审计软件技术开发很慢，同商业银行的数据接口没有实现，对后台数据的下载速度慢，影响了审计的效率。在实际工作中，由于商业银行机构庞大、点多面广，审计机关不能对其进行全面审计，只能选择部分分支机构进行抽查，且在审计中，判断抽样贯穿审计过程的始终，这样就可能以偏概全，做出错误的审计评价。如，在审计报告中，对商业银行某项业务或某一方面工作进行审计评价时，很难做出“符合”、“基本符合”、“不符合”的评价。即使是“基本符合”的评价，也存在较大的审计风险。 （四）商业银行与审计机关信息不对称，且存在向审计机关提供虚假信息的问题 商业银行处于信息完全占有的优势，审计人员处于信息不完全占有的劣势，商业银行与审计机关之间不可避免地存在信息不对称分布的矛盾。因此，审计人员对商业银行全部经济活动的真实性难以全面准确把握，这将给审计人员的判断、分析和评价行为带来难度和风险，从而影响审计结果的客观、公正。如，近年审计发现的商业银行为完成业绩掩盖不良贷款，致使信贷资产质量不真实的问题，审计人员只能对这一问题定性分析，而很难掌握商业银行全部不良资产的真实数字。

商业银行信息科技风险管理解决方案

商业银行信息科技风险管理解决方案 本帖最后由 infosec123 于 2009-9-23 17:16 编辑 背景 为加强商业银行的信息科技风险管理，提升信息科技风险管理能力，09年3月份银监会正式发布了《商业银行信息科技风险管理指引》（以下简称《指引》），这是继出台有关《商业银行操作风险管理指引》、《商业银行市场风险管理指引》和《商业银行合规风险管理指引》等一系列的监管文件之后，银监会发布的又一重要风险管理指引。该指引适用于在中华人民共和国境内依法设立的法人商业银行。政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。 信息科技风险是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。它和操作风险、信用风险、市场风险一样，是商业银行面临的主要风险。现阶段商业银行已经基本完成了信息化建设，在金融管制放松、业务全球化、金融创新步伐加快以及信息技术的迅猛发展的大背景下，国际银行业金融机构的信息科技风险有增大的趋势，国际银行业和监管当局都日益重视信息科技与操作风险的管理和监管。目前，国际上宣布实施新资本协议的国家和地区都按照新协议的要求，明确将操作风险纳入资本监管的范畴，而信息科技风险是操作风险的重要组成部分。 需求分析合规性需求： 近年来，国家各部门不断推出了各种监管要求，对IT管控领域也提出了明确的要求。其中与银行业信息科技风险相关的法律、法规与行业监管指引有： 2002年，美国国会发布了SOX《萨班斯[url=; 2004年9月30日，中国银监会发布了[url=; 2006年，银监会发布《电子银行安全评估指引》、《[url=;

金融业信息科技风险管理

信息科技风险管理办法 第一章总则 第一条为有效防范运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险，促进我行各项业务安全、持续、稳健运行，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《商业银行信息科技风险管理指引》、《营口沿海银操作风险管理指引》，以及国家信息安全相关要求和有关法律法规，制定本管理办法。 第二条本管理办法所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术，在我行业务交易处理、经营管理和内部控制等方面的应用，并包括进行信息科技治理，建立完整的管理组织架构，制订完善的管理制度和流程。 第三条本管理办法所称信息科技风险，是指信息科技在我行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 第四条信息科技风险管理的目标是通过建立有效的机制，实现对我行信息科技风险的识别、计量、监测和控制，促进我行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。

第二章机构职责 第五条根据我行信息科技治理的要求，法定代表人是本机构信息科技风险管理的第一责任人，负责组织本管理办法的贯彻落实, 董事会应履行以下信息科技管理职责： （一）遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准，落实中国银行业监督管理委员会（以下简称银监会）相关监管要求。 （二）审查批准信息科技战略，确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。 （三）掌握主要的信息科技风险，确定可接受的风险级别，确保相关风险能够被识别、计量、监测和控制。 （四）规范职业道德行为和廉洁标准，增强内部文化建设，提高全体人员对信息科技风险管理重要性的认识。 （五）设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会，负责监督各项职责的落实，定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。 （六）在建立良好的公司治理的基础上进行信息科技治理，形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设，建立人才激励机制。

中小银行信息科技管理中存在的问题及改进建议

中小银行信息科技管理中存在的问题及改进建议 随着我国银行业信息化建设的持续发展，信息科技与银行业务的深度融合，银行业的发展已经离不开信息技术的支持，信息科技已经成为当今银行业业务发展的核心支撑，其重要性不言而喻。然而，信息科技在退推动银行业快速发展的同时，随之而来的信息科技风险亦不容忽视，已经成为影响银行业稳定发展的重要因素。一旦信息科技环节出现风险，将会给银行经营带来巨大影响，甚至是造成银行业务停滞，影响百姓生活及社会稳定。笔者结合村镇银行自身发展，对中小银行信息科技日常管理中存在的问题及改进措施提出以下建议。 一、现状与问题 （一）对信息科技风险认识不到位，管理体系不完善 以村镇银行为例，其信息科技风险管理水平还处在风险管理的初级阶段。有些村镇银行虽然制定了发展战略，但缺乏与业务发展战略相一致的信息科技发展战略，同样也缺乏信息科技风险战略来指导信息科技风险管控工作，信息科技风险管理尚未纳入全面的风险管理体系。首先是信息科技风险认识上不到位。在作为小银行的村镇银行中普遍存在着一些问题，例如对信息科技风险了解的不够细致，对信息科技风险管理相对薄弱，信息科技的风险管理缺乏业务、风险管理、内部审计等部门甚至更高级管理层的有力支持。其次，信息科技管理体系不完善。大部分村镇银行虽然制定了相关的信息科技管理制度，但制度建设、人员管理、岗位设置缺少整体的风险管理概念，缺少完整的信息科技安全管理体系。

（二）科技投入水平普遍较低 目前，中小商业银行的科技收入整体能力偏低。科技投入主要包括项目建设费用、日常运行维护费用、科技人员成本、其他费用等项目。以村镇银行为例，很大数量的村镇银行尚未自行开发业务系统，多是租用发起行的业务系统。这部分村镇银行从本质上可以看作是发起行的一个支行，业务系统运维的重头戏一般都由发起行信息科技部来实施。同时村镇银行高级管理层对科技的重视程度不够，信息科技的投入占运营成本的比重较小，大多在2%以下，该资金份额难以完全满足业务系统运行的维护需要，导致村镇银行部分硬件投入不足，常用易损设备备份不足，一些重要设备达不到双机热备的要求，出现设备损坏无备用设备，无法及时更换，影响正常业务开展的问题。更有一部分硬件设备超寿命运行，做不到及时更换，给信息系统的后期维护带来较大的负担，在银行业务开展的同时也暴露出较大的信息科技风险。 （三）科技队伍建设严重滞后，人才储备不足 信息科技发展的核心是科技人才，银行的信息化建设和发展离不开科技人员的支持。据统计先进银行科技人员平均占银行总人数的比例为3%-4%。然而对于现阶段的村镇银行而言，信息科技人员的配比却严重偏低，人员配备严重不足，存在着较大的人员缺口，从这个角度来看，农村金融机构的信息化能力不足与信息科技人员不足有着必然的联系。现实的情况不免让人感到忧虑，无法满足科技管理的整体要求。

银行信息科技风险防控报告

信息科技风险防控报告 一、风险防控工作的组织开展情况 我行面临的主要信息科技风险： 1.业务中断风险 保障业务连续性是我行信息科技工作中的最重要的部分。我行面临的首要的问题是信息系统建设的相对滞后跟不上业务高速发展的脚步。一旦产生软硬件故障、系统超负荷运行、主干网络中断、病毒传播、人为非法操作造成系统不稳定等因素，极易造成银行业务的中断。 2.数据安全风险 数据是我行的基础，我行要为客户提供一个可靠的环境确保数据资料的准确性和安全性。随着业务的发展，数据量不断增大，数据安全风险凸显。数据安全风险包括两方面：一是数据窃取，主要是数据遭到窃取或者恶意篡改，导致客户信息资料外泄，引发客户不满，引发法律风险问题；二是数据丢失，主要是受到自然灾害、房屋倒塌等突发事件造成的存储介质毁坏，导致存储介质中数据丢失。 3.电子银行与网络金融风险 电子银行风险主要是电子支付安全问题，包括ATM诈骗以及利用钓鱼、木马程序盗取客户的账号和密码等一些行为导致的客户资金的损失。网络安全是网

络金融风险的关键，一旦网络安全受到破坏，网络金融风险将一发而不可收。 4.系统漏洞风险 系统漏洞风险是银行信息系统开发缺陷被发现和利用的风险。系统漏洞风险在系统设计之初难以发现，随着系统的推广及运行，风险将逐渐暴露，一旦被人利用，会对我行造成极大影响。另外，系统的密码泄露和破解，也影响着系统的安全。 5.外包风险 外包风险主要是外包服务商能否长期稳定地为我行提供高质量的服务，能否及时响应并修复系统故障，确保外包业务连续性。我行如果过度依赖外包服务商，一旦出现突发情况，势必会影响我行业务持续开展。 二、风险防控工作采取的具体举措和成效 针对我行面临的主要的信息科技风险，我行在信息科技风险管理方面采取以下策略。 1.强化数据质量及安全管理 建立数据质量常态化管理机制，积累真实、准确、连续、完整的部和外部数据，确保外围管理系统数据应用质量要求，把控数据外泄风险。 上线数据库审计系统，对数据进行监控。能够实时记录数据库活动，对数据库操作进行细粒度审计的合规性管理，对数据库遭受到的风险行为进行告警，通过对用户访问数据库行为的记录、分析和汇报，用来帮助用户事后生成合规报告、

银行风险管理审计

银行风险管理审计

［摘要］风险管理审计是对传统审计方式的突破和创新，是融风险管理、审计为一体的新兴审计模式，本文对银行风险的界定及类型、银行风险管理审计存在的问题以及银行风险管理审计的优势等问题进行了阐述。［关键词］风险管理审计内部审计问题优势风险管理起源于20世纪60、70年代，20世纪80年代在金融、保险、制造业等行业的大企业有了发展，从风险管理内容的规范性来看当属银行和保险业。风险管理审计是在20世纪末2l世纪初，随着风险管理导向内部控制时代的来临，风险管理成为内部审计关注的重点。它不仅关注传统的内部控制，更加关注有效的风险管理机制。内部审计人员通过对当前的风险分析确保其审计计划与经营计划相一致。风险管理成为组织中的关键流程，促使内部审计的工作重点不仅是测评控制，而且包括确认风险及测试管理风险的方法，风险管理审计是内部审计发展的新阶段。一、银行风险的界定及类型1.银行风险的界定关于银行风险现有两种说法。一是指商业银行在经营中由于各种不确定因素而招致经济损失的可能性。二是指在货币经营和信用活动中，由于各种事先无法预料的不确定因素的影响，使银行的实际收益与预期收益发生背离，有蒙受经济损失或获得额外收益的双重机会和可能。本人同意第二个观点。银行风险存在于银行价值

链的每一个环节，可以说，银行自成立之日起就是在风险管理的过程中谋取收益的。对银行风险的正确理解须注意以下几点：(1)银行风险不等于银行损失。风险指的是发生不利或有利事件的可能性；而损失是消耗或丧失的东西，是原来不确定事件形成的一种事实。两者的着眼点不同，风险着眼于未来，损失着眼于现在和过去。(2)风险既是一种挑战又是一种机遇，它具有双重性。(3)它包含多层次风险内容且有动态性的范畴。多层次的风险包括法律风险、政策风险、决策风险和操作风险等。(4)商业银行风险更多的是经济运行中风险的反映，与经济主体的行为目标、决策方式和经济环境相联系，并不单纯是银行自身的问题。 2.银行风险的类型我国银监会制定并于2005年2月1日起实施的《商业银行内部控制评价试行办法》指出，商业银行的主要风险包括信用风险、市场风险(含利率风险)、操作风险、流动性风险、法律风险以及声誉风险等。从实践来看，对于银行影响比较大的风险主要有四种：信用风险、操作风险、市场风险和流动性风险。二、内部审计在风险管理中的定位、职责与作用内部审计是一种独立、客观的确认与咨询活动，它通过应用系统的、规范的方法，评价并改善风险、控制和治理过程的效果，帮助组织实现其目标。由于其自身的特点，内部审计参与风险管理拥有一定的优势。内部审计部门和人员熟悉本单位情况，对单位面临的风险更了解；内

商业银行信息科技风险动态监测规程

商业银行信息科技风险动态监测规程 （征求意见稿） 第一章总则 第一条为加强商业银行信息科技风险监管的及时性和前瞻性，实现对商业银行信息科技风险的持续和动态监测，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及其他相关法律法规，制定本规程。 第二条信息科技风险动态监测是针对商业银行信息科技活动中的重点风险领域，通过选取关键风险指标，持续开展风险监测，动态跟踪风险趋势、前瞻研判风险态势并及时采取监管措施的过程。 第三条信息科技风险动态监测遵循分级负责、属地监管、重在法人、风险为本的原则。 第四条信息科技风险动态监测体系由监测指标、监测数据管理、指标运用及监测工作流程组成。 第五条本规程适用于在中华人民共和国境内依法设立的商业银行，包括中资商业银行、外资独资商业银行和中外合资银行。 政策性银行、农村信用社、农村合作银行、村镇银行以及经银监会及其派出机构批准成立的其他银行业金融机构参照执行。 第二章动态监测指标选取原则及分类

第六条信息科技风险动态监测指标由商业银行信息科技基础运行数据经采集、加工、计算形成，综合反映了商业银行信息科技风险水平及风险管控能力。 第七条监测指标选取遵循以下四个原则： （一）代表性：能够反映商业银行信息科技风险水平和控制效果，体现信息科技对业务的支撑能力； （二）综合性：能够涵盖商业银行信息科技风险存在的主要环节，反映信息系统多种要素的风险状况； （三）敏感性：能够通过指标波动直接体现商业银行信息科技风险水平的变化情况； （四）可获取性：能够通过商业银行信息系统直接获取或通过定量计算间接获取，具备明确、可靠的数据来源。 第八条商业银行信息科技风险动态监测指标分为稳定性指标、安全性指标和规模性指标三类。其中稳定性指标、安全性指标直接反映商业银行信息科技风险状况，规模性指标主要反映信息科技对业务的支撑能力，间接反映商业银行信息科技风险状况。 第三章动态监测指标体系 第九条稳定性指标表示商业银行信息系统对业务提供支持和满足业务需求的有效、可靠程度，包括系统可用率、系统交易成功率、投产变更成功率等。

商业银行内部审计指引

商业银行内部审计指引 第一章总则 第一条为促进商业银行完善公司治理，加强内部控制和风险管理，健全内部审计体系，提升内部审计的独立性和有效性，依据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本指引。 第二条中华人民共和国境内依法设立的商业银行适用本指引。 第三条本指引所称内部审计是商业银行内部独立、客观的监督、评价和咨询活动，通过运用系统化和规范化的方法，审查评价并督促改善商业银行业务经营、风险管理、内控合规和公司治理效果，促进商业银行稳健运行和价值提升。 第四条商业银行内部审计目标包括：推动国家有关经济金融法律法规和监管规则的有效落实；促进商业银行建立并持续完善有效的风险管理、内控合规和公司治理架构；督促相关审计对象有效履职，共同实现本银行战略目标。 第五条商业银行内部审计工作应独立于业务经营、风险管理和内控合规，并对上述职能履行的有效性实施评价。内部审计活动应遵循独立性、客观性原则，不断提升内部审计人员的专业能力和职业操守。

第六条银行业监督管理机构依据本指引对商业银行内部审计工作实施监管评估。 第二章组织架构 第七条商业银行应建立独立垂直的内部审计体系。 第八条董事会对内部审计的独立性和有效性承担最终责任。董事会应根据本银行业务规模和复杂程度配备充足、稳定的内部审计人员；提供充足的经费并列入财务预算；负责批准内部审计章程、中长期审计规划和年度审计计划等；为独立、客观开展内部审计工作提供必要保障；对内部审计工作的独立性和有效性进行考核，并对内部审计质量进行评价。 第九条董事会应下设审计委员会。审计委员会成员不少于3人，多数成员应为独立董事。审计委员会成员应具有财务、审计和会计等专业知识和工作经验。审计委员会负责人原则上应由独立董事担任。 审计委员会对董事会负责，经其授权审核内部审计章程等重要制度和报告，审批中长期审计规划和年度审计计划，指导、考核和评价内部审计工作。 第十条监事会对本银行内部审计工作进行监督，有权要求董事会和高级管理层提供审计方面的相关信息。 第十一条高级管理层应支持内部审计部门独立履行职责，确保内部审计资源充足到位；及时向审计委员会报告业

信息科技风险管理策略分析

附件：信息科技风险管理分类应对策略 根据信息科技风险分类情况，以二级风险为限，制定信息科技风险分类应对策略如下： A1.信息科技治理风险应对策略 信息科技治理风险包括三个二级风险：信息科技组织风险、道德文化风险以及人员管理风险。每个二级风险的内容和应对策 略如下： 风险 编号 风险名称风险描述风险应对策略 1.1信息科技组织 在信息科技风险管理机构及专建立完善的信息科技治理架构。以法风险业委员会设置、履职等方面的定代表人为第一责任人，囊括理事 不确定因素，以及在部门/岗位 会、监事会、风险管理委员会、信息 设置、职责划分、垂直归口管 科技风险管理委员会、信息科技部、理等方面的不确定因素所带来 稽核审计部、风险管理部、人力资源的影响。 部、监察部等部门。明确各部门在信 息科技风险管理工作中的职责； 每个部门根据在信息科技风险管 理中的职责设立相应的岗位，合理 分配相应的责、权、利，执行信息 科技风险管理工作； 省联社各部门应指导、监督办事 处、各县级农村合作金融机构相应 部门的信息科技风险管理工作。 1.2道德文化风险在文化培育、融合、再造等过 在建立道德、诚信、公正的氛围，对 程中的不确定因素，以及员工 员工进行相关的培训，作为员工日常 在价值观认同、行为规范遵循 工作的行为准则之一； 等方面的不确定因素所带来的影响。建立畅通的沟通渠道，任何与陕西省农村合作金融机构道德文化标 准的偏离都得到及时和充分的反映，并被立即调查和纠正。 1.3人员管理风险在从人员聘用到离职整个服务 建立完善的人员招聘、培训、考核、 期间内的不确定因素所带来的激励、离职等制度和流程，并确保得 影响。 到有效执行； 加强信息科技风险管理专业人员 配备，提高信息科技风险管理水 平；

商业银行信息科技风险管理指引(银监发2009[1].19)

-------------------------------------------------------------------------------- 商业银行信息科技风险管理指引 第一章总则 第一条为加强商业银行信息科技风险管理，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》，以及国家信息安全相关要求和有关法律法规，制定本指引。 第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。 政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。 第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术，在商业银行业务交易处理、经营管理和内部控制等方面的应用，并包括进行信息科技治理，建立完整的管理组织架构，制订完善的管理制度和流程。 第四条本指引所称信息科技风险，是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 第五条信息科技风险管理的目标是通过建立有效的机制，实现对商业银行信息科技风险的识别、计量、监测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。 第二章信息科技治理 第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人，负责组织本指引的贯彻落实。 第七条商业银行的董事会应履行以下信息科技管理职责： （一）遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准，落实中国银行业监督管理委员会（以下简称银监会）相关监管要求。 （二）审查批准信息科技战略，确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。 （三）掌握a主要的信息科技风险，确定可接受的风险级别，确保相关风险能够被识别、计量、监测和控制。 （四）规范职业道德行为和廉洁标准，增强内部文化建设，提高全体人员对信息科技风险管理重要性的认识。 （五）设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会，负责监督各项职责的落实，定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。 （六）在建立良好的公司治理的基础上进行信息科技治理，形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设，建立人才激励机制。 （七）确保内部审计部门进行独立有效的信息科技风险管理审计，对审计报告进行确认并落实整改。

目前商业银行审计需解决的几个难点问题

目前商业银行审计需解决的几个难点问题 近年来，随着商业银行审计由财务收支审计发展到“风险、管理、效益”审计，实际工作中遇到许多难点问题，需要加以研究和解决。 一、商业银行审计需解决的难点问题 （一）商业银行案件频发，审计力量不足，审计风险不断加大 一方面，商业银行案件频发，经营风险巨大。商业银行与社会各领域联系广泛，是一个高风险的行业。近年来在审计中发现，不法分子时刻关注商业银行管理漏洞进行金融诈骗活动，或与银行员工内外勾结联手作案，如诈骗贷款、挪用客户存款和伪造票据等重大案件时有发生。在审计工作中，尽管审计人员实施了必要的审计程序和审计方法，但仍然存在较大的审计风险。另一方面，审计机关整体力量不足，审计时间有限，违规问题未能发现和披露的潜在风险较大。一般对省级分行系统审计由十几名审计人员在几个月时间内完成，面对商业银行众多的分支机构、大量数据和资料，存在应发现而未发现重大违法违纪问题或典型性、倾向性问题的情况，使商业银行审计面临较大风险。 （二）商业银行业务复杂，不断扩展和创新，给审计工作带来新的挑战 近年来，对商业银行审计采取轮流的方式进行，几年循环一次，审计人员很难全面掌握各商业银行内部经营管理等情况。加之商业银行不断推出新业务，现有审计人员专业素质、知识结构不能完全适应审计发展的需要。目前，审计机关中既有较高的金融知识水平，又有多年金融审计工作经验的人员所占比例很小。部分从事金融审计的人员，虽然具有长期从事金融审计工作的经验，但对金融新业务了解不多，只能对商业银行财务收支或原有业务进行审计，对其不断出现的新业务无法开展审计。 （三）审计技术方法滞后于金融业信息化的步伐，难以满足审计发展的需要 商业银行审计的目标是防范风险、促进管理、提高效益，要实现这一目标，就需要审计人员对商业银行进行全面了解和审计，做出客观公正的评价。而面对商业银行庞大的金融数据，传统的审计方法已经不能适应信息化审计发展的需求。目前，虽然开展了计算机辅助审计，但审计软件技术开发很慢，同商业银行的数据接口没有实现，对后台数据的下载速度慢，影响了审计的效率。在实际工作中，由于商业银行机构庞大、点多面广，审计机关不能对其进行全面审计，只能选择部分分支机构进行抽查，且在审计中，判断抽样贯穿审计过程的始终，这样就可能以偏概全，做出错误的审计评价。如，在审计报告中，对商业银行某项业务或某一方面工作进行审计评价时，很难做出“符合”、“基本符合”、“不符合”的评价。即使是“基本符合”的评价，也存在较大的审计风险。

信息科技风险专项检查自查报告总结.doc

********商业银行行股份有限公司********银行信息科技风险专项自查报告 ************中心： 为认真贯彻《关于开展2019年度信息科技风险专项检查的通知》精神，充分做好做好国庆期间金融网络和信息系统安全保障工作，防范我行信息科技风险，保障计算机系统运行和操作安全，建立和完善信息科技风险管理机制。根据《****农商银行系统重点业务风险点排查指引（试行）》规定及人民银行、银保监局和公安局关于网络安全保障工作要求。我行由分管信息科技领导、信息技术部组成自查工作小组，于8月19日-23日开展自查工作。现将自查情况汇报如下： 一、总体情况 随着当前信息化建设步伐不断加快，我行各项业务对于信息系统的依赖日益加深，随之而来的系统和网络安全已成为安全管理的关键环节，其中薄弱环节成为信息科技风险的重要内容，网络安全运行工作事关经营、管理大局。从防范科技风险的高度充分认识到加强系统和网络安全运行工作的必要性和重要意义，正确处理了发展与安全的关系，一手抓信息化建设，一手抓风险防范。截至报告日，全行上下已经按照统一标准建立起较完善的网络和信息安全风险防范体系。

二、组织架构、制度建设及管理情况 （一）信息科技治理组织架构 1.强化“三会一层”履职。成立了以高管层和主要业务部门参加的信息科技管理委员会，定期或不定期履行职责，审议信息科技相关重大事件，本年度共计召开信息科技管理会议2次。 2.加大专业人员配备。设立首席信息官。参与我行与信息科技运用有关的业务发展决策，确保信息科技发展战略符合本行的总体业务战略和信息科技风险管理策略。 3.明确部门职责分工。明晰信息科技实施、风险管理及审计职责。信息技术部负责信息科技实施、管理工作，各支行设立兼职或专职计算机管理员，配合信息技术部开展应用推广、故障处理、设备维护工作；合规与风险管理部负责协调制定有关信息科技风险管理策略，尤其是在涉及信息安全、业务连续性计划和合规性风险等方面；内部审计部负责信息科技审计制度和流程的实施，制订和执行信息科技审计计划。 （二）信息科技管理制度建设 1.安全管理方面。对安全管理活动中的各类管理内容建立安全管理制度，制定了由安全策略、管理制度等构成的全面的信息安全管理总则《********商业银行行计算机信息安全管理办法》，安全管理办法经信息科技管理委员会审定，审定周期为一年一次，并且及时发现缺漏或不足对制度进行修订。 2.应急管理方面。建立了较为完善的信息系统应急管理办法《********商业银行行计算机信息系统应急管理办法》，

商业银行信息科技风险现场检查指南

商业银行信息科技风险现场检查指南

目录 第一部分概述 (12) 1. 指南说明 (13) 1.1 目的及适用范围 (13) 1.2 编写原则 (14) 1.3 指南框架 (15) 第二部分科技管理 (17) 2. 信息科技治理 (18) 2.1 董事会及高级管理层 (18) 检查项1 ：董事会 (18) 检查项2 ：信息科技管理委员会 (19) 检查项3 ：首席信息官（CIO） (20) 2.2 信息科技部门 (21) 检查项1 ：信息科技部门 (21) 检查项2 ：信息科技战略规划 (23) 2.3 信息科技风险管理部门 (24) 检查项1 ：信息科技风险管理部门 (24) 2.4 信息科技风险审计部门 (25) 检查项1 ：信息科技风险审计部门 (25) 2.5 知识产权保护和信息披露 (26) 检查项1 ：知识产权保护 (26) 检查项2 ：信息披露 (26) 3. 信息科技风险管理 (28) 3.1 风险识别和评估 (28) 检查项1 ：风险管理策略 (28) 检查项2 ：风险识别与评估 (29) 3.2 风险防范和检测 (29) 检查项1 ：风险防范措施 (29) 检查项2 ：风险计量与检测 (30) 4. 信息安全管理 (32) 4.1 安全管理机制与管理组织 (32) 检查项1：信息分类和保护体系 (32) 检查项2：安全管理机制 (33) 检查项3：信息安全策略 (34) 检查项4：信息安全组织 (34) 4.2 安全管理制度 (35) 检查项1：规章制度 (35) 检查项2：制度合规 (36)

4.3 人员管理 (38) 检查项1：人员管理 (38) 4.4 安全评估报告 (39) 检查项1：安全评估报告 (39) 4.5 宣传、教育和培训 (39) 检查项1：宣传、教育和培训 (39) 5.系统开发、测试与维护 (41) 5.1开发管理 (41) 检查项1：管理架构 (41) 检查项2：制度建设 (43) 检查项3：项目控制体系 (44) 检查项4：系统开发的操作风险 (45) 检查项5：数据继承和迁移 (46) 5.2系统测试与上线 (47) 检查项1：系统测试 (47) 检查项2：系统验收 (49) 检查项3：投产上线 (49) 5.3系统下线 (50) 检查项1：系统下线 (50) 6. 系统运行管理 (52) 6.1 日常管理 (52) 检查项1：职责分离 (52) 检查项2：值班制度 (53) 检查项3：操作管理 (53) 检查项4：人员管理 (54) 6.2 访问控制策略 (55) 检查项1：物理访问控制策略 (55) 检查项2：逻辑访问控制策略 (56) 检查项3：账号及权限管理 (57) 检查项4：用户责任及终端管理 (58) 检查项5：远程接入的控制 (59) 6.3 日志管理 (60) 检查项1：审计日志检查 (60) 检查项2：日志信息的保护 (60) 检查项3：操作日志的检查 (61) 检查项4：错误日志的检查 (61) 6.4系统监控 (62) 检查项1：基础环境监控 (62) 检查项2：系统性能监控 (62) 检查项3：系统运行监控 (63) 检查项4：测评体系 (64) 6.5 事件管理 (65)

信息科技风险管理指引

商业银行信息科技风险管理指引 第一章总则 第一条为加强商业银行信息科技风险管理，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》，以及国家信息安全相关要求和有关法律法规，制定本指引。wDgzD9M。 第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。 政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。3XFlI8Z。 第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术，在商业银行业务交易处理、经营管理和内部控制等方面的应用，并包括进行信息科技治理，建立完整的管理组织架构，制订完善的管理制度和流程。yyLvG1t。

第四条本指引所称信息科技风险，是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。mI8D41d。 第五条信息科技风险管理的目标是通过建立有效的机制，实现对商业银行信息科技风险的识别、计量、监测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。W8L5hSm。 第二章信息科技治理 第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人，负责组织本指引的贯彻落实。 第七条商业银行的董事会应履行以下信息科技管理职责： （一）遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准，落实中国银行业监督管理委员会（以下简称银监会）相关监管要求。k2W6Tcn。

2019年度信息科技风险管理报告

信息科技风险管理报告 根据《银行业金融机构全面风险管理指引》《**农村商业银行股份有限公司董事会议事规则》及有关要求，现将**（以下简称“本行”）2019年度信息科技风险管理报告报告如下。 一、2019年基本情况 按照《**农村商业银行股份有限公司岗位职责》，本行信息科技管理工作归口于电子金融部，设信息系统维护岗2人。成立了计算机信息安全管理工作领导小组和信息系统重大突发事件应急管理领导小组等，组织架构齐全。 二、2019年主要工作 （一）内部控制工作。本行结合内部控制评价工作对相关的科技管理制度和操作规程进行梳理和归类，及时修改相关制度办法，使其具有系统性、可操作性。现执行的制度有《**农村商业银行股份有限公司信息系统设施设备管理办法（试行）》、《**农村商业银行股份有限公司信息系统数据安全管理办法（试行）》、《**农村商业银行股份有限公司员工介质管理办法》、《**农村商业银行股份有限公司信息系统突发事件应急预案（试行）》、《**农村商业银行股份有限公司便携式移动金融服务终端管理暂行办法》等规章制度。 （二）系统管理工作。信息系统由**省农村信用合作联社开发、测试和维护，我行对全辖机具设备和线路进行调试、维护和管理，确保信息系统的正常运行。一是省中心已对数据建立异地

灾备，保证极端情况下生产系统正常运行。本行进行了各系统在不同运营商线路切换的演练。二是关注系统安全漏洞最新情况，及时对新发现的安全漏洞打上安全补丁，目前系统已是最新最完整版本，已安装了最新补丁。三是系统均安装了省联社指定桌面管理系统和病毒查杀软件，对病毒、恶意代码进行安全防护。同时，严格控制操作人员在机器上运行可能携带恶意代码、病毒的脚本的外来第三方软件。 （三）设备管理工作。本行对业务设备领用、报废进行全流程管理。设置有一名专职科技人员对业务设备进行日常巡检、维护、更换，确保业务设备不掉线及正常工作。科技人员按照规定对计算机进行必要的设备日常监测、检查、记录，并及时掌握设备的运行状况。通过查阅ITSM管理平台，及时受理各网点提交的系统运行故障、业务处理差错、业务需求申请等业务工单，对其审核后，提交相关部门处理。对营业网点上报的网络故障信息及时给予电话指导或现场处理。 （四）机房管理工作。本行使用电信、移动、联通终端设备，路由器和交换机均放置总行三楼机房，机房场地、安全通道、防水等符合机房建设要求，灾害防御措施完善、设备齐全，供配电系统、空调系统、机房防雷和消防系统符合相关技术要求。 （五）安全管理工作 1.网络安全工作。我行将外网与生产网络实行物理隔离，对所有进入内网的终端均进行绑定，路由器远程登录采取ssh认

商业银行信息科技风险及防控策略研究

商业银行信息科技风险及防控策略研究 摘要：近年来，随着社会经济与信息技术不断发展，我国银行业展现出蓬勃的发展态势，随着大数据、云计算、移动互联网的高速发展，信息技术为商业银行业务拓展和创新提供有力支持，在为商业银行带来了巨大经济效益的同时，也提出更多、更大的挑战。因此，加强对商业银行信息科技风险的研究至关重要。本文将对信息科技风险管理的必要性以及商业银行信息科技风险主要特征进行分析和研究，并提出加强商业银行信息科技风险管理的有效对策，从而推动我国商业银行可持续、健康发展。 关键词：商业银行；信息科技风险；防控策略 前言：随着我国改革开放和经济全球化大潮，我国银行业发展突飞猛进，特别是信息技术在银行业中的广泛应用，极大的促进了金融产品的迅速发展。然而，先进的信息技术会更加暴露商业银行的风险，构成一定的威胁。为了能够有效规避风险，深入了解信息科技十分重要。 一、商业银行信息科技风险介绍 商业银行信息科技风险主要是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的风险。主要包含四个方面：其一，自然因素，例如：地震、台风等不可抗力影响；其二，系统风险，指信息系统内部软、硬件的缺陷造成的影响；其三，管理因素，指商业银行自身管理制度与组织结构等产生的影响；其四，人为因素，指工作人员违规或过失操作引发的风险。 二、信息科技风险管理的必要性 在金融危机的影响下，风险管理的重要性日益突出，特别是信息科技风险，越来越多受到金融界的关注。 （一）外在因素 随着银行业迅速发展，我国对商业银行信息科技风险管理提出了更高要求，明确要求商业银行将信息科技风险纳入全面风险管理体系。监管部门通过现场和非现场手段，不断加大监管力度，定期和不定期开展信息科技风险检查工作，针对信息科技的重点环节制定明确的监管计划，约束商业银行信息科技风险控制能

信息科技风险管理办法

信息科技风险管理办法 编制部门：科技信息部 版次号：A/0 生效日期：20160509

目录 修改记录 (3) 第一章总则 (4) 第二章机构职责 (5) 第三章信息科技风险管理 (11) 第四章信息安全 (13) 第五章信息系统开发、测试和维护 (19) 第六章信息科技运行 (21) 第七章业务连续性管理 (24) 第八章外包与审计 (25) 第一节外包 (25) 第二节审计 (29) 第九章附则 (31) 附件 (32)

修改记录

第一章总则 第一条为有效防范公司运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险，促进我司各项业务安全、持续、稳健运行，根据《中华人民共和国互联网金融信息监督管理办法》、《互联网金融信息科技风险管理指引》，以及国家信息安全相关要求和有关法律法规，制定本管理办法。 第二条本管理办法所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术，在我司业务交易处理、经营管理和内部控制等方面的应用，并包括进行信息科技治理，建立完整的管理组织架构，制订完善的管理制度和流程。 第三条本管理办法所称信息科技风险，是指信息科技在我司运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 第四条信息科技风险管理的目标是通过建立有效的机制，实现对我司信息科技风险的识别、计量、监测和控制，促进我司

安全、持续、稳健运行，推动业务创新，提高信息技术使用水平， 增强核心竞争力和可持续发展能力。 第二章机构职责 第五条根据我司信息科技治理的要求，法定代表人是本机 构信息科技风险管理的第一责任人，负责组织本管理办法的贯彻 落实, 董事会应履行以下信息科技管理职责： （一）遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准，落实中国互联网金融协会（以下简称互金协会）相关监管要求。 （二）审查批准信息科技战略，确保其与公司的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。 （三）掌握主要的信息科技风险，确定可接受的风险级别，确保相关风险能够被识别、计量、监测和控制。 （四）规范职业道德行为和廉洁标准，增强内部文化建设，提高全体人员对信息科技风险管理重要性的认识。 （五）设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会，负责监督各项职责的

商业银行信息科技监管评级定量和定性标准

信息科技风险（Information Technology Risk） （一）信息科技治理（15分） 1.信息科技治理组织架构（8分） （1）是否确立董事会、高管层信息科技管理职责。 （2）是否建立完善的信息科技管理制度体系。 （3）是否建立完善合规的信息科技“三道防线”以及信息科技三道防线的实际运作。 （4）是否明确信息科技治理作为重要组成部分纳入公司治理。 评分原则：（1）考察董事会、高管层的信息科技治理职责是否完整，信息科技发展战略不经董事会审批，或者本年内董事会会议不形成年度信息科技工作决议的此项最高得分4分。 （2）考察是否建立信息科技管理制度的起草、发布、修订等工作流程，信息科技管理制度是否涵盖系统开发、项目管理、系统运行、信息安全、外包管理、业务连续性等领域。 （3）考察是否明确信息科技管理、信息科技风险管理和信息科技风险监督的“三道防线”职责，“三道防线”部门设置是否合规；是否设立信息科技管理委员会，成员来自高管层、信息科技部门和主要业务部门，并定期向高管层汇报工作。 （4）考察商业银行是否以正式制度（文件）明确信息科技

治理应作为重要组成部分纳入公司治理；是否制定了信息科技治理运作效果考核指标并定期进行评价。 2.信息科技对业务发展的专业支持和匹配度（7分） （1）信息科技战略与业务发展战略的匹配度。 （2）信息科技人员、信息科技投入等与业务发展的匹配度（定量）。 （3）董事会、高管层等决策人员是否具备足够的信息科技专业知识能力。 评分原则：（1）考察是否建立明确、可实施的信息科技发展战略；是否定期评价信息科技战略规划实施效果，建立信息科技战略与业务战略的协调一致机制。 （2）考察信息科技人员数量、信息科技人员占比、信息科技投入占比与商业银行发展水平是否匹配，低于同质同类商业银行平均值的此项酌情扣分；考察商业银行信息系统建设与业务发展的支撑与匹配程度。 （3）考察具有信息科技管理经验的高管人员在董事会、决策层是否具有一定的占比；是否设立首席信息官，直接向行长汇报，并参与重大决策，首席信息官是否具有一定的信息科技专业背景或从业经验。