盛邦安全在同眾多銀行業(yè)金融機構(gòu)的溝通和服務(wù)過程中，對當前銀行業(yè)金融機構(gòu)，尤其是中小銀行業(yè)金融機構(gòu)信息科技風險管理的現(xiàn)狀有了較深入的了解，本系列文章旨在基于對中小銀行信息科技風險管理的整體現(xiàn)狀的認知，提煉和分享當前行業(yè)信息科技風險管理體系建設(shè)的面臨的問題和良好實踐，以期啟發(fā)更多的行業(yè)思考和討論。

本期討論的主題是銀行信息科技審計相關(guān)的管理實操。銀行業(yè)金融機構(gòu)的風險管理“三道防線”是管控風險的頂層設(shè)計，涵蓋銀行業(yè)金融機構(gòu)所有業(yè)務(wù)領(lǐng)域，包括信息科技。作為信息科技風險管控最后一道防線（三道防線），信息科技審計承擔對第一道防線（信息科技相關(guān)部門）和第二道防線（信息科技風險管理相關(guān)部門）信息科技風險防控體系和機制設(shè)計合理性、以及控制措施執(zhí)行有效性的日常審計，并向董事會下設(shè)的審計委員會匯報；最近，中國人民銀行發(fā)布了《金融行業(yè)網(wǎng)絡(luò)安全等級保護實施指引》，用于指導金融機構(gòu)開展網(wǎng)絡(luò)安全等級保護工作（落實等保2.0）；其中第5部分審計要求和第6部分審計指引，明確界定了網(wǎng)絡(luò)安全等級保護審計的相關(guān)規(guī)定和要求，也是信息科技審計部門需要重點關(guān)注的審計事項，應(yīng)當引起關(guān)注。

本期，我們主要以《商業(yè)銀行信息科技風險管理指引》（以下簡稱《指引》）第二章信息科技治理中關(guān)于信息科技審計的總體要求，第九章內(nèi)部審計，以及第十章外部審計中相關(guān)監(jiān)管要求出發(fā)，來看當前中小銀行金融機構(gòu)在信息科技風險管理的第“三道防線”的管控現(xiàn)狀和出色實踐。

一、關(guān)于設(shè)立信息科技風險審計崗位

《指引》第十一條提到，“商業(yè)銀行應(yīng)在內(nèi)部審計部門設(shè)立專門的信息科技風險審計崗位，負責信息科技審計制度和流程的實施，制訂和執(zhí)行信息科技審計計劃，對信息科技整個生命周期和重大事件等進行審計。”

在監(jiān)管的推動下，目前絕大多是中小銀行金融機構(gòu)都在審計部門設(shè)置了信息科技風險審計條線或崗位，并配備了專職信息科技審計人員。

目前普遍存在的問題是專職信息科技審計人員的崗位人員數(shù)量、資質(zhì)以及審計能力普遍存在不足。信息科技審計人員普遍目前存在專崗非專職的情況，因為人員不足，缺乏全面性的審計規(guī)劃和計劃，會根據(jù)審計部門的整體安排從事非信息科技審計的項目實施；信息科技審計人員缺乏信息科技審計專業(yè)的資質(zhì)和培訓，信息科技審計人員從科技部門調(diào)崗的情況較多，審計資質(zhì)和經(jīng)驗尚待積累和提升；另外，信息科技審計條線人員，存在脫離金融科技業(yè)務(wù)的現(xiàn)實情況，導致對于新興的信息技術(shù)、技術(shù)實現(xiàn)架構(gòu)以及業(yè)務(wù)模式缺乏深入了解，影響問題發(fā)現(xiàn)能力。

領(lǐng)先的銀行在信息科技審計方面主要在如下幾方面?zhèn)戎赝度耄阂皇墙I(yè)的信息科技審計條線，配備專職信息科技審計人員，并對信息科技審計人員的資質(zhì)進行了明確要求，內(nèi)部人員或者外部招聘人員都需滿足或者限定時間滿足相關(guān)資質(zhì)要求，例如需獲取CISA認證，或者CISP（審計方向）的認證資質(zhì)。二是，強化審計轉(zhuǎn)型，信息科技審計人員深入一、二道防線業(yè)務(wù)過程，學習一、二道防線業(yè)務(wù)知識、新技術(shù)和業(yè)務(wù)模式，識別新技術(shù)和新業(yè)務(wù)的控制機制，參與技術(shù)和業(yè)務(wù)交流，防止業(yè)務(wù)脫節(jié)；三是，加入金融行業(yè)專業(yè)的信息科技風險審計行業(yè)協(xié)會或組織，參與行業(yè)交流和專業(yè)培訓，如ISACA、(ISC)²、中國計算機用戶協(xié)會信息科技審計分會、國家或地方相關(guān)監(jiān)管機構(gòu)舉辦的各類研討會、以及民間的一些論壇或微信群等。

二、關(guān)于信息科技審計職責

《指引》第六十四條規(guī)定了信息科技審計的職責，包括制定、實施和調(diào)整審計計劃，檢查和評估商業(yè)銀行信息科技系統(tǒng)和內(nèi)控機制的充分性和有效性；完成審計工作，提出整改意見；檢查整改意見是否得到落實。此外，信息科技審計職責中明確需要執(zhí)行對信息科技安全事故進行的調(diào)查、分析和評估的信息科技專項審計，以及其他的審計部門認為必要的專項審計。

絕大多數(shù)中小銀行都制定了年度的信息科技審計計劃，并按照審計計劃執(zhí)行審計工作，給科技部門出具信息科技審計意見書；并要求相關(guān)部門針對審計意見書回復整改計劃和整改時間；針對本行暴露的信息科技安全事故，涉及重大業(yè)務(wù)系統(tǒng)中斷、數(shù)據(jù)泄露案件以及交易數(shù)據(jù)差錯的事故和案件，審計部門會組織內(nèi)、外部審計資源開展專項審計；專項審計報告一般都要上報當?shù)乇O(jiān)管機構(gòu)；目前，大多數(shù)金融機構(gòu)開展的審計場景都是圍繞監(jiān)管要求和重大安全事件的事后審計。

領(lǐng)先的中小銀行金融機構(gòu)，通過和外部咨詢機構(gòu)合作，制定信息科技審計整體業(yè)務(wù)規(guī)劃，并在規(guī)劃指導下，制定符合行業(yè)實踐和本行實際的信息科技審計指引，作為指導本行開展信息科技審計的綱領(lǐng)性文件，并制定具體的信息科技審計管理辦法、工作程序，以及具體的審計評估矩陣和具體的審計操作手冊；配套制定審計計劃模板、訪談和現(xiàn)場檢查模板、審計底稿模板、審計發(fā)現(xiàn)問題臺賬或問題清單模板、信息科技審計報告模板等審計工作過程需要的文件和工具。在具體執(zhí)行的過程中，個別領(lǐng)先的中小銀行采取計算機輔助審計工具，開展數(shù)據(jù)分析，通過數(shù)據(jù)分析，分析關(guān)鍵信息科技風險指標的變化趨勢，以及發(fā)現(xiàn)可疑的信息科技運行維護過程中的違規(guī)行為，作為信息科技審計的輔助手段。

《指引》第六十六條規(guī)定，商業(yè)銀行在進行大規(guī)模系統(tǒng)開發(fā)時，應(yīng)要求信息科技風險管理部門和內(nèi)部審計部門參與，保證系統(tǒng)開發(fā)符合本銀行信息科技風險管理標準。我們發(fā)現(xiàn)，大多數(shù)中小金融機構(gòu)，在本行核心系統(tǒng)升級改造或者換代更新的重大場景，都派出信息科技審計人員參與到系統(tǒng)的需求分析、開發(fā)建設(shè)、測試上線等關(guān)鍵環(huán)節(jié)，提供重大系統(tǒng)開發(fā)建設(shè)的審計意見。

三、關(guān)于信息科技審計合規(guī)

《指引》第六十五條提到“商業(yè)銀行應(yīng)根據(jù)業(yè)務(wù)性質(zhì)、規(guī)模和復雜程度，信息科技應(yīng)用情況，以及信息科技風險評估結(jié)果，決定信息科技內(nèi)部審計范圍和頻率。但至少應(yīng)每三年進行一次全面審計。”

目前監(jiān)管的這個規(guī)定，幾乎全部的中小銀行金融機構(gòu)都會滿足合規(guī)性要求，一般每三年會選擇一家信息科技審計機構(gòu)完成一次全行范圍內(nèi)的信息科技審計，并向當?shù)乇O(jiān)管機構(gòu)提交審計報告，部分區(qū)域還會組織三方會談（監(jiān)管方、客戶方、審計方）。

目前在中小銀行普遍存在的問題是，監(jiān)管機構(gòu)出臺的同信息科技相關(guān)的其他相關(guān)指引或者管理辦法中，要求了場景化的審計要求；例如，《銀行業(yè)金融機構(gòu)信息科技外包風險管理指引》第八十二條規(guī)定“系統(tǒng)重要性外包機構(gòu)應(yīng)當每年聘請獨立的審計機構(gòu),對自身外包服務(wù)進行風險評估”；《銀行業(yè)重要信息系統(tǒng)突發(fā)事件應(yīng)急管理規(guī)范》第四十九條規(guī)定“銀行業(yè)金融機構(gòu)應(yīng)每年開展一次對應(yīng)急響應(yīng)工作的全面評估和審計活動”；《商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引》第五十八條規(guī)定“商業(yè)銀行應(yīng)當每年對本行業(yè)務(wù)連續(xù)性管理進行審計，每三年至少開展一次全面審計，發(fā)生大范圍業(yè)務(wù)運營中斷事件后應(yīng)當及時開展專項審計”；《銀行業(yè)金融機構(gòu)信息科技外包風險管理指引》第二十四條規(guī)定“銀行業(yè)金融機構(gòu)應(yīng)當定期開展信息科技外包風險管理審計工作，至少每三年對重要外包服務(wù)提供商進行一次全面審計。發(fā)生外包風險事件后應(yīng)及時開展專項審計”。針對這些小場景的審計需求，大多數(shù)中小銀行的重視程度普遍不夠，要么沒有針對這些特定場景開展審計，要么審計周期超過監(jiān)管規(guī)定的要求。

領(lǐng)先的重要銀行金融機構(gòu)，會建立信息科技審計場景合規(guī)要求名錄，明確監(jiān)管機構(gòu)、監(jiān)管指引文件和相關(guān)條目、具體要求（審計范圍要求、審計頻率要求、審計執(zhí)行方要求等）、上次審計執(zhí)行時間等，并納入年度信息科技審計計劃，并按照計劃開展專項或者全面審計；并對審計合規(guī)名錄進行更新，開展必要的內(nèi)部培訓，確保沒有遺漏；例如《金融行業(yè)網(wǎng)絡(luò)安全等級保護實施指引》的審計要求，就是落實等保2.0，需要金融機構(gòu)關(guān)注的審計場景。

四、關(guān)于外部審計

《指引》第六十七條提到“商業(yè)銀行可以在符合法律、法規(guī)和監(jiān)管要求的情況下，委托具備相應(yīng)資質(zhì)的外部審計機構(gòu)進行信息科技外部審計。”

絕大多數(shù)中小銀行金融機構(gòu)，都聘請過外部第三方中介機構(gòu)承擔或者參與本行的信息科技審計項目，聘請第三方中介機構(gòu)參與信息科技審計的背景，主要源于本行審計資源和能力不足、特定場景下的中立性要求、監(jiān)管強制要求等。參與信息科技審計的第三方中介機構(gòu)，目前一般包括專業(yè)從事審計業(yè)務(wù)的會計師事務(wù)所、信息科技相關(guān)業(yè)務(wù)領(lǐng)域的咨詢公司、網(wǎng)絡(luò)安全相關(guān)領(lǐng)域的安全廠商，以及具備CISA等相關(guān)人員資質(zhì)的廠商等。

考慮到市場上各類機構(gòu)各有所長，領(lǐng)先的銀行業(yè)金融機構(gòu)，在選擇外部中介機構(gòu)時，會建立中介機構(gòu)外包商資源庫，明確各類中介機構(gòu)的優(yōu)勢和強項，具體到審計項目時，明確項目的審計重點和范圍，有針對性的選擇某一類信息科技審計機構(gòu)，來滿足審計目的；例如一個信息科技風險審計項目，更關(guān)注信息安全或者數(shù)據(jù)安全領(lǐng)域，則會在信息安全領(lǐng)域有專業(yè)能力的機構(gòu)中選擇；如果更關(guān)注管理流程類的審計，則選擇專業(yè)咨詢公司等。此外，對于外部審計機構(gòu)的審計交付成果，一般在審計項目交流和招投標階段，予以明確，并在合同中進行約定；同時符合行方外包商管理的管理體系，包括現(xiàn)場人員管理、保密管理、項目資料管理。

本文內(nèi)容來自于盛邦安全對中小金融機構(gòu)信息科技風險管理現(xiàn)狀的有限了解，難免管中窺豹，其中不準確、不正確、不恰當之處也請讀者諒解和指正，尊貴的銀行業(yè)金融機構(gòu)也請不要對號入座。盛邦安全將在本年度陸續(xù)發(fā)布針對中小金融機構(gòu)信息科技風險管理現(xiàn)狀觀察系列文章，如有興趣，敬請期待。