第1个回答 2024-07-09
银行业金融机构对于信息系统风险管理有着明确的指引。首先,内部审计部门(第六十条)负责机构内部的审计工作,如需外部审计,可选择经监管部门认定资质的中介机构进行(第六十一条)。
信息系统风险审计的范畴广泛,包括总体风险审计(第六十二条),即对所有信息系统共有的公共部分进行周期性审计,至少每三年审计一次,以确保总体风险控制。系统审阅则分为投产前和投产后的阶段(第六十三条)。
在信息系统投入生产前,审计人员会进行非现场审查(第六十四条),重点关注安全性、权限设置、准确性等关键点,文档资料如项目报告、需求说明书等详尽列出(第六十五条)。
投产后的系统审阅在生产运行一段时间后进行,评估风险控制是否有效(第六十六条),并可能提出改进建议。此外,针对特定风险或重大调整,还会进行专项风险审计(第六十七条)。
对于外部审计,银监会及其派出机构有权委托中介评估机构进行(第六十八条),这些机构需在法律授权范围内工作,并确保报告的法律效力(第七十条)。同时,他们必须尊重被审计单位的保密信息,严格遵守审计程序(第七十一条)。
这一系列的规定旨在确保银行业金融机构的信息系统风险管理严谨、全面,以保障信息系统的安全与有效性。