信息技术审计风险管理与流程探究.pptxVIP

信息科技风险审计

方法及过程;为协助银行客户满足银监会《商业银行

信息科技风险审计管理指导》等相关监管要

求，同步进一步加强信息技术建设，全方面强

化风险管理，越来越多的企业已经开始为多

家银行提供信息科技风险审计服务了，本文

就是北京时代新威信息技术有限企业（如下

简称时代新威）内部人员总结出的对于信息

科技风险审计的方法及过程。

;信息科技风险审计范围：;五）信息科技运行

六）业务连续性管理

七）外包

八）内部审计

九）外部审计

;信息科技风险审计之

——信息科技治理

;第6页;信息科技治理战略必须要处理下述主要问题：

;

信息科技风险审计之

——信息科技风险管理;信息科技风险，是指信息科技在商业银行利用过程中，因为自然原因、人为原因、技术漏洞和管理缺点产生的操作、法律和名誉等风险。

;信息科技风险管理的目标是通过建立有效的机制，实现对商业银行信息科技风险的识别、计量、监测和控制，促进商业银行安全、连续、稳健运行，推动业务创新，提升信息技术使用水平，增强核心竞争力和可连续发展能力。

;信息科技风险审计之

——信息安全;第12页;网络环境下的信息安全体系是确保信息安全的核心，涉及计算机安全操作系统、各种安全合同、安全机制（数字署名、消息认证、数据加密等），直至安全系统，如UniNAC、DLP等，只要存在安全漏洞便能够威胁全局安全。

;信息安全是指信息系统（涉及硬件、软件、数据、人、物理环境及其基础设施）受到保护，不受偶尔的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断，最后实现业务连续性。

;信息科技风险审计之

——信息系统开发测试和维护;信息系统开发维护是为了使信息系统

处开合用状态而采用的一系列办法，目标

是纠正错误和改善功效，确保信息系统正

常工作，有如下四种类型：更正性维护，

适应性维护，完善性维护，预防性维护。

;信息科技风险审计之

——信息科技运行;在工作中往往最容易忽视的就是硬件失败、程序非正常退出、文档说明和支持不足等问题。设计阶段要确保预防顾客使用错误的快捷方式，还要考虑新、老系统转换的细节。假如是购置其它企业提供的软件包，问题就会愈加复杂。时代新威的信息技术教授在工作中要求格外强调注意这一系列问题，也就避免了很多无须要的失误和麻烦。;信息科技运行战略必须要处理下述主要问题：;信息科技风险审计之

——业务连续性管理;业务连续性管理系统（BCMS）是经常进行的活动的集合，业务连续性管理支持企业业务连续性管理活动，也支持技术灾难恢复活动。这些能够涉及项目规划和管理、人员配备、计划、预测、预算编制、研究和开发、资源管理、通信、会议、教育活动、宣传和促销活动、活动网站、绩效评估活动、按天进行处理查询和许多其它活动。

;第22页;业务连续性管理也有利于各种项目性

的活动，业务连续性管理执行业务影响分

析和风险分析、进行评估、制定并统计BC/

DR计划、规划和执行BC/DR演习、准备和

进行应急队伍培训、准备统计事件响应计

划，并设计BC/DR方略。

;第24页;信息科技风险审计之

——外包;第一，管理成本增长，因为它在运送领域不具备管理经验。;第二，因管理不善，运送环节严重影

响生产和销售环节的工作，从而造成生产

和销售环节的成本增长。假如把运送业务

外包给专业的运送企业，则能够大幅度降

低上述成本。

这些就是时代新威的工作人员依据日常工作的实际案例总结出的关于外包的重点利弊，也是外包工作中必须引发注意的地方。;其次，企业也因市场竞争的激烈面临巨大的挑战。

外包方式主要有合同业务管理方式（BMC）和委托方式。

合同业务管理方式纯粹是一种外包方购买第三方服务模式，第三方（承包方）负责全部或大部分投资和业务管理工作，并承担投资风险；外包方只根据第三方