银行信息科技管理内部审计试行办法模版.doc

1、xx银行信息科技管理内部审计试行办法xx总发xx72号, xx年4月25日印发 第一章 总 则第一条 为加强信息科技的审计管理，保障信息科技安全正常运转，根据商业银行信息科技风险管理指引等有关法律法规及本行相关制度，特制定本办法。第二条 信息科技审计的目的是通过检查被审计单位信息科技做业的处理、内部控制和管理情况做出评价，提出改进意见，防范风险，以促进业务的规范、安全、高效运行。第三条 信息科技审计的任务是：（一）对信息科技部门、计算机运行中心和计算机处理所有业务的工作方针、人员管理、组织结构、内部控制制度与执行情况做出分析和评价；（二）对信息科技的应用项目开发（含外包）、使用和维护变更、知识

2、产权保护等进行审查，评价其遵循有关控制规范与标准的情况，以及应用系统中的控制功能是否适当有效；（三）对信息科技设备和正版软件的采购、使用、管理情况等进行审查，评价其程序及操作的合规性；（四）对常规运行系统的维护和控制、数据的真实完整性、系统安全、保密性进行审查和测试，并做出评价；（五）对系统的抗击侵害的能力、在故障情况下系统不间断运行能力、事故责任的可追踪能力进行评价；（六）利用电子化手段发展新的审计方法与审计工具；第四条 信息科技审计的依据是中国银行业监管委员会和中国人民银行及其所属机构制定的各项信息科技工作方针、政策、规定，本行信息科技管理与应用的各项规章制度。第五条 信息科技的审计人员必

3、须具备相关工作经历或专业背景，并取得的相应的资格证书。第六条 本办法适用于总行、总行职能部室、各分支机构及所有使用信息科技资源的机构和个人，各级机构可依据本办法制定实施细则。第二章 审计范围和内容 第七条 信息科技审计的范围包括全行信息科技开发、使用、操作和管理的所有部门、分支行和个人。 第八条 一般控制审计。主要是审计应用计算机处理业务的部门是否建立了相应的规章制度和岗位职责，职责权限划分是否明确，重要岗位的技术人员和业务人员是否分离。第九条 人员管理的审计。主要审计是否按有关制度规定充分配备了信息科技人员。第十条 文档管理的审计。主要审计各种文件、档案是否按有关规定分类妥善保管并控制其使用

4、。第十一条 消耗品管理的审计。主要审计消耗品是否有专人负责管理；重要消耗品的领用及废弃是否手续完备；含有业务资料载体的废弃是否确实销毁；磁性载体的废弃是否为破坏性销毁等。 第十二条 实体安全控制的审计。主要审计实体安装有无防火、防水、防雷、防鼠、防止其他侵害等措施；配电系统是否有安全保护措施；是否有应变应急措施。第十三条 人员进出控制的审计。主要审计计算机运行中心或营业网点的主机、终端机房的人员进出是否有控制措施。第十四条 程序库管理的审计。主要是对磁性媒体上程序的使用及变动进行审核。正式使用的应用程序是否经过授权；程序变更是否都有申请并经批准；对修改后的应用程序是否经过充分测试；修改程序时，

5、备用程序、程序清单及其他说明文件是否也随之修改。第十五条 故障恢复管理的审计。主要审计是否有完备的故障恢复程序，实施故障恢复是否有严格的手续和制约措施；是否有足够的备件支持恢复工作。第十六条 用户账号、访问权限及访问日志的审计。通过账户和权限检查，确保授权的合理性，防止权限泄露、信息安全人员应定期对所有系统用户帐号、权限、日志记录进行检查，识别应该删除（或禁用）但未删除（或禁用）的帐号（垃圾帐号），用户权限的不当分配等用户访问控制风险，一年不得少于一次。第十七条 硬件设备的审计。主要审计计算机机房的各项设备（包括附属设备）是否进行定期检查和维护；是否有严格的设备管理制度。第十八条 自主开发软件

6、的审计。主要是对操作系统、数据库系统、公用程序等软件的版本、作用及功能的审核。第十九条 磁性媒体的审计。主要是对磁带、磁盘、软盘片等媒体的储存和使用管理情况进行审计。第二十条 正版采购软件管理的审计。主要对正版软件的采购，使用管理，登记情况的审计。第二十一条 存取控制审计。主要审计程序和文档的存取使用是否有严格的管理措施；对源程序、目标程序是否按有关规定加以管制。第二十二条 程序错误处理的控制审计。主要审计中心机房对程序执行中的错误，是否记录错误信息并请相关人员处理。第二十三条 操作处理控制审计。主要审计是否有书面的操作规程；对操作员是否有管理办法和约束条件；各类人员的密码是否保密并定期更换；

7、各类操作人员是否按权限管理的要求和规程进行操作；系统主控台所有记录是否保存，并由主管定期核查；营业终了是否按有关规定程序进行结帐处理。第二十四条 输入数据的审计。主要审计是否有适当的措施控制外来数据录入正确完整性。第二十五条 数据修改控制审计。主要审计数据的修改是否经过适当的申请程序并经主管批准；修改数据后是否留下记录。第二十六条 输出控制审计。主要审计对输出的资料是否有份数控制；对不成功输出资料的作废是否有控制；输出的资料是否经专人核对后再分发；输出资料是否按有关规定进行报送和保管。第二十七条 项目计划阶段的审计。主要是审计主管部门是否正式批准了该项计划；对现有系统是否进行了审查并确定了新系

8、统需求；设备的配置是否满足新系统的要求和适当的冗余。第二十八条 项目发展阶段的审计。主要审计是否有详尽的业务需求；输入输出设计是否满足业务和安全的要求；程序设计是否有关于系统更新、维护和控制程序。第二十九条 项目执行阶段的审计。主要审计程序和系统是否经过严格的测试；是否有足够的控制来保证数据传输的正确；系统测试结果是否达到预期目的；新旧系统转换时是否有足够的控制和用户许可的转换程序；是否有关于维护、改进系统、培训人员、日常操作的资料和按软件工程要求编制的各种文档资料；投产程序是否经过批准并确定新系统投产的时间。第三十条 系统外包的审计。主要审计外包的具体实施，条件，程序和日常管理的合规性。第三

9、十一条 程序投产控制审计。主要审计所有程序是否符合设计要求；每一程序模块是否都进行了测试，符合程序逻辑；是否有适当的措施来保证只有经过测试核准的程序投入运行。第三十二条 程序安全控制审计。主要审计是否有未经批准擅自修改程序的情况；是否有完善的控制措施保证文件存取的安全；源程序和目标程序是否分开保存；是否有详尽的作业记录，通过检查作业记录，及时发现任何未经批准的程序存取及修改；实地运行测试数据，检测程序是否被修改。第三十三条 数据文件安全控制审计。主要审计是否有适当的存取控制措施，以防止非法使用数据文件；未经批准，不可变更数据文件；是否有恰当的保护措施，以免数据文件受到有意无意的破坏，或被窃取；

10、文件资料实物保管是否妥当，是否有严格的调用审批手续。 第三十四条 计算机操作控制审计。主要审计所使用的数据、文件及程序的正确性；操作人员是否严格遵守计算机操作规则并对各种问题作出适当的处理；系统是否具有必要的后援及恢复程序。第三十五条 系统软件控制审计。主要审计所有系统软件是否进行严格地测试；评价系统软件对现存系统及程序的影响。第三十六条 岗位设置与人员管理的审计。主要审计信息技术岗位的设置是否按照岗位制衡原则和重要岗位人员配置的情况。第三十七条 人员管理审计。主要审计重要岗位人员配置是否合规合理，是否按照不相容岗位原则分工配置，权限设置是否符合相关制度，是否实施离岗离任交接监督。第三十八条

11、对涉密计算机的审计。主要审计涉密计算机是否分级，是否对涉密计算机进行登记和管理。第三十九条 涉密计算机信息系统管理职责划分审计。主要审计科技部是否对全行的涉密计算机信息系统进行日常的指导和管理。第四十条 涉密计算机信息系统管理审计。主要是对涉密计算机信息系统使用、存储、传递的审计。第四十一条 密钥管理审计。主要对总行信息科技部门及分行信息系统密钥生命周期全过程使用情况的审计。第四十二条 存储介质管理审计。主要是对全行计算机存储及相关移动存储介质的使用、管理和销毁工作的审计。第四十三条 突发事件的审计。审计部门对突发性重大违规或非法行为以及产生不良影响的操作性行为，可采取突发事件专门审计。第四十

12、四条 整改后续审计。主要是对前期的审计发现和建议是否已经采取了适当的纠错行动并取得预期的效果而实施的跟踪审计。第四十五条 应急预案的审计。主要是对应急预案的合理性、合规性进行审计。第三章 审计方法与程序 第四十六条 审计部门可根据信息科技风险状况和经营管理层需要，按照风险控制和突出重点的原则，拟定和调整相关审计计划，确定审计单位和步骤，并按有关规定做好组织实施。第四十七条 信息科技的审计可分为专项审计和全面审计。专项审计和全面审计可根据审计对象区分分支行和部室项目重点，按照信息科技内部审计管理办法的要求进行审计。第四十八条 信息科技审计可按照监管要求和内外部环境变化的需要选择专项审计或全面审计

13、的方法进行审计。专项审计每年应不少于三项，全面审计应当至少每三年组织一次。第四十九条 信息科技审计必须由二人以上组成审计小组，并确定一名主审人员方能开展审计活动。主审员必须具备相应的工作经历或专业背景，能主持开展主审工作并起草审计报告。第五十条 信息科技审计的程序应当按照xx银行稽核监察管理办法、xx银行主审员管理办法并参照xx银行合规检查实施办法开展审计工作。第五十一条 审计部门依照规定的职权进行信息科技审计。被审计单位应给予协助并积极配合，接受审计检查。第四章 审计报告生效、报送与利用 第五十二条 主审员起草的审计报告应当经被稽核单位确认后形成正式报告。正式报告由稽核监察部的负责人签署后方能生效。 第五十三条 信息科技的审计报告生效后应当报送向董事会及相应的专业委员会和高级管理层。 第五十四条 审计部门可根据计算机数据处理系统的规模、重要性、复杂程度以及风险程度，按照相关审计程序，定期或不定期地对应用计算机处理业务的机构或个人进行审查和监督。对审计中查出的问题，按其性质程度依据xx银行员工违规行为处理办法等制度进行相应处罚。第五十五条 审计报告的利用。正式生效后的审计报告可作为绩效评估、内控评价的参考，也是后续检查的重要内容。第五章 附 则 第五十六条 本办法由xx银行总行稽核监察部负责制定、解释和修改。第五十七条 本办法自发文之日起实施。