商业银行信息科技风险管理审计实践

我要预订

咨询电话：027-5111 9925 , 027-5111 9926手机：18971071887邮箱：Service@mingketang.com

课程背景

国家金融监督管理总局（中国银行业监督管理委员会）指出，信息科技风险是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险，在银行的全部风险中，信息科技风险几乎是唯一可能使银行业务在瞬间全部瘫痪的重要风险，银行业信息系统安全、稳健运行，关系银行业自身可持续发展，关系金融安全。金融监管总局不断细化深入信息科技风险监管工作，信息科技风险管理审计作为商业银行重要的信息科技风险管理手段，应当在信息科技专项审计、全面审计、重要项目审计中发挥重要作用。

商业银行信息科技风险管理从业务需求、合规性需求、信息科技风险管理需求出发，遵从风险管理的理念，在风险管理战略规划的基础上，全面指导商业银行信息科技风险管控工作。随着金融监管总局、人民银行和国家有关部门要求的提高，如何保障商业银行业务持续运营、保障业务数据信息安全，解决商业银行科技工作深入后带来的一系列问题，本课程以金融监管总局和中国人民银行发布的监管要求和金融标准为起点，通过介绍监管要点、行业良好实践，同时，辅以案例分析，为商业银行如何保障业务持续运营、保护业务数据信息提供良好建议。

培训人员建议

信息科技风险管理相关人员，包括:

董事会和高级管理层分管信息科技风险管理的高级管理人员

信息科技风险管理三道防线（信息科技部信息安全管理、风险管理部信息科技风险管理、内部审计部信息科技风险审计）的管理人员和业务骨干

培训目的和收益

通过培训和交流，培训对象收获：

理解银行业金融机构建立信息科技风险管理体系的监管要求，监管机构要求相关管理层承担的责任；

理解推动信息科技风险管理和审计工作可以真正消除决策层（董事会和高级管理层）、信息科技管理部门、风险管理部门和内部审计部门间沟通的障碍，真正找准各自的定位关系，促进信息科技风险审计和信息科技风险管理融合，支持银行业务创新；

理解信息科技风险管理框架、商业银行信息科技风险审计标准、依据和依据参考、商业银行信息科技风险审计最佳实践。

培训方式

知识讲解、案例分析、互动研讨。

课程大纲

第一天 商业银行信息科技风险和审计标准

模块一 商业银行信息科技风险形势

1.商业银行信息科技风险定义、分类和特点

定义

分类

特点

2.商业银行信息科技风险事件形势、最新监管要求和案例分析

商业银行信息科技风险事件形势

商业银行信息科技风险事件典型案例分析

商业银行信息科技监管要求

中国人民银行

金融监管总局（银保监会、银监会）

模块二 商业银行信息科技风险审计标准、依据和参考

1.审计标准

国家标准

国家审计署审计准则

中国内部审计协会审计准则

国家标准：《信息技术服务 治理 第4部分 审计导则》等

团体标准：《信息技术服务 治理 IT风险治理》、《信息技术服务 治理 数据审计》、《金融科技审计 基本原则》等

企业标准：中国人民银行信息技术审计规范（QPBC 00001.1--4—2014）

国际标准和良好实践

ISACA信息系统审计和鉴证标准、指南和工具

信息技术鉴证框架（ITAF）

2.审计依据

国家法律、行政法规、部门规章和政策

网络安全法、密码法、电子签名法、数据安全法、个人信息保护法

关键信息基础设施安全保护条例、网络安全等级保护条例（征求意见稿）

中办、国办

中央网信办、公安部、国家保密局、国家密码管理局、财政部、审计署、国资委、工信部

3.审计依据参考

国家标准

GB/T系列

行业标准（金融）

国际标准

COBIT 2019/5.0

ISO（9000,20000,27000,22301）系列

CMMI、DRI、BCI、DAMA等

第二天 商业银行信息科技风险管理框架和审计

模块三 商业银行信息科技风险管理框架

1.风险管理目标

风险战略

风险偏好

风险容忍度

2.风险管理流程

风险领域

风险管理工具

风险控制自评估（RCSA）

关键风险指标（KRI）

信息科技风险事件

风险管理流程

风险识别和评估

风险应对和控制

风险评价和计量

风险监测和报告

3.风险管理机制

组织架构

三道防线

管理制度和流程

风险文化

绩效考核

意识教育和培训

风险信息沟通和报告

审计监督

模块四 商业银行信息风险审计流程、方法和技术

一．商业银行信息科技风险审计流程

1.审计准备阶段

审计目的和审计任务

审计依据

审计项目组

收集相关信息

审计规划

审计风险

2.审计实施阶段

进场会

现场工作

IT控制评估

3.审计终结阶段

工作底稿整理和复核

审计发现

沟通审计结果

审计报告

审计文档归档

4.审计后续（跟踪）审计

5.审计质量管理和评估

二．商业银行信息科技风险审计方法和技术

1.审计方法

访谈

核查

测试

评估

2.审计技术

检查技术

识别和分析技术

漏洞验证技术

第三天 商业银行信息科技风险审计实践

模块五 商业银行信息科技风险审计项目案例研讨

1.信息科技风险管理审计项目（金融监管总局）

2.重要信息系统投产及变更审计项目（金融监管总局）

3.数据中心审计项目（金融监管总局）

4.业务连续性管理审计项目（金融监管总局）

5.信息科技外包风险管理审计项目（金融监管总局）

6.其它IT专项审计（网络（信息）安全审计）项目

网络安全等级保护/关键信息基础设施保护审计

ISO/IEC 27001信息安全管理体系审计

ISO 22301业务连续性管理体系审计

7.A+H上市公司IT内控审计项目

模块六 商业银行信息科技风险审计项目展望

1.个人金融信息保护审计项目（人民银行、金融监管总局）

2.金融科技应用风险审计项目（人民银行）

3.数据治理审计（金融监管总局）

4.数据安全治理和管理审计（人民银行、金融监管总局）

5.自主定义审计项目

6.商业银行信息科技风险审计重点、难点和痛点

马老师

马庆

常驻地：北京

专业认证

1.注册信息系统审计师（CISA，Certified Information System Auditor），2002年，ISACA

2.注册内部审计师（CIA，Certified Internal Auditor），2003年，IIA

3.注册控制自我评估师（CCSA, Certification in Control Self-Assessment），2003年，IIA

4.特许金融分析师（CFA，Chartered Financial Analyst)二级考试，2005年，CFA Institute

5.注册业务持续性专家（CBCP，Certified Business Continuity Professional），2011年，DRII

6.网络安全认证（Security+），2011年，CompTIA

7.ISO22301业务连续性管理体系主任执行师（ISO 22301 BCMS Lead Implementer），2013年，PECB

8.ISO27001信息安全管理体系主任审计师（ISO/IEC 27001 ISMS Lead Auditor），2013年，PECB

讲师资质

1.国家互联网应急中心CNCERT网络安全能力认证培训讲师

2.中国信息安全测评中心CISP信息安全培训讲师-注册信息安全培训讲师CISI。

3.中国网络安全审查技术与认证中心信息系统审计师ISA 课程设计师，培训讲师。

4.中国通信企业协会网络安全人员能力认证讲师。

5.中国银行业协会东方银行业高级管理人员研修院商业银行业务连续性管理专家讲师。

6.中国计算机用户协会信息科技审计分会业务连续性管理、信息科技外包风险管理、信息科技审计等专家库专家，专家讲师。

7.中治研（北京）国际信息技术研究院高级研究员，中治智库专家库专家，专家讲师，《中国IT治理.价值丛书》编委会委员。

8.云安全联盟CSA云安全授权讲师，课程包括：CCSMP（国际注册云安全管理认证专家）、CCSSP（国际注册云安全系统认证专家）。

9.国际灾难恢复（中国）协会（DRI China）技术委员会（DRICTC）委员（2011--2014），专业讲师资质认证（TCBC），课程包括：注册业务持续性专家（CBCP）。

10.职业评价和认证委员会Professional Evaluation and Certification Board（PECB）专业讲师资质认证（PECB CERTIFIED TRAINER），课程包括：ISO 27001 Foundation，ISO/IEC 27001LA和ISO/IEC 27001LI；ISO 22301 Foundation，ISO 22301 LA和ISO 22301 LI。

11.美国培训认证协会（AACTP）国际认证培训师（ICT，International Certificated Trainer）。

12.中国电子劳动学会数字素养与技能提升人才培养工程智库专家

13.中国电力企业联合会科技开发服务中心/中国电力技术市场协会专家库专家。

14.中国通信工业协会信息安全分会专家库专家。

15.中国国际航空公司信息管理部专家库专家。

行业经验

马庆在信息系统审计、信息科技风险管理、业务连续性管理和网络信息安全管理领域拥有34年的实施、咨询经验，在技术管理方面具有丰富知识和经验，通晓电信运营商、金融行业信息系统软件、硬件、开发、运营、维护、管理和安全，熟悉业务运营管理的核心，能够利用信息系统审计技术，对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。

专业著作

在国家会计学院《中国会计视野》，《中国计算机用户》，《计算机产品与流通》等发表多篇信息系统审计实践文章；在《计算机世界》，《中国计算机报》，《互联网周刊》，《每周电脑报》，《信息安全》等发表多篇信息系统安全，商务智能文章，中国最早最大的信息系统审计论坛（www.itpub.net的“信息安全与审计”）的资深斑竹“cisamaqing”。

马庆同时是一位专业讲师，为电信、金融、政府和公用事业、企业以及行业协会等提供下列领域培训服务：

1. 信息化规划、绩效评价、运营管理；

2. 内部控制，内部审计，风险评估和风险管理，控制/风险自我评估（CSA），COSO，Sarbanes & Oxley Act；

3. 信息系统审计和控制，CISA认证，CISM认证，CRISC认证，CGEIT认证，COBIT 5/COBIT2019认证；

4. 金融行业、电信运营商、企业级网络性能管理，信息安全管理，网络安全等级保护/关键信息基础设施安全保护，CISP认证，CISSP认证，CCSP认证，云安全CSA认证，ISO27001LA认证；

5. 业务连续性（BCP） ，灾难恢复（DRP），CBCP认证，ISO 22301 Foundation，ISO22031LA和ISO22301LI认证。

我要预订

咨询电话：027-5111 9925 , 027-5111 9926手机：18971071887邮箱：Service@mingketang.com