簡(jiǎn)析銀行核心業(yè)務(wù)系統(tǒng)的IT審計(jì)方法與實(shí)踐
對(duì)于信息系統(tǒng)審計(jì)師�����,經(jīng)常會(huì)在工作中面臨一個(gè)問(wèn)題:如何去審計(jì)一套從未使用過(guò)的信息系統(tǒng)?每個(gè)人都是從新手成長(zhǎng)起來(lái)的����,筆者也不例外。本文根據(jù)筆者過(guò)往的信息系統(tǒng)內(nèi)部審計(jì)經(jīng)歷�,特別是針對(duì)金融行業(yè)的核心業(yè)務(wù)信息系統(tǒng)(CBS)審計(jì),進(jìn)行了一些實(shí)踐經(jīng)驗(yàn)總結(jié)和分享�����。
目前在銀行業(yè)數(shù)字化業(yè)務(wù)開展過(guò)程中�����,運(yùn)行著各種類型的銀行核心業(yè)務(wù)信息系統(tǒng)��,審計(jì)師需要針對(duì)組織正在使用的具體系統(tǒng)來(lái)定制合適的審計(jì)方案。以下控制測(cè)試方法可能會(huì)適用于您的組織正在使用的CBS�����。
由于金融服務(wù)行業(yè)受到高度監(jiān)管���,因此在開始信息系統(tǒng)審計(jì)之前��,您需要花時(shí)間閱讀并更深入地了解受監(jiān)管的金融服務(wù)機(jī)構(gòu)應(yīng)遵守的各種法規(guī)�����。這些機(jī)構(gòu)包括銀行�����、金融科技公司����、電信公司���、征信機(jī)構(gòu)(CRBs)�、移動(dòng)支付服務(wù)公司、小額信貸組織�����、投資集團(tuán)等����。在這種情況下,您必須了解您所在國(guó)家的中央銀行�,金融機(jī)構(gòu)法案(FIA)�����,證券交易委員會(huì)(SEC)的監(jiān)管要求��,以及監(jiān)督金融機(jī)構(gòu)活動(dòng)的其他機(jī)構(gòu)(如保險(xiǎn)監(jiān)管機(jī)構(gòu)和稅務(wù)機(jī)關(guān))的法規(guī)�。
根據(jù)您的審計(jì)范圍和審計(jì)目標(biāo),您可以在已確定需要審查的領(lǐng)域確定將要執(zhí)行的控制測(cè)試���。這些可能包括:
審查有關(guān)CBS運(yùn)營(yíng)和后端管理的組織政策��,程序和標(biāo)準(zhǔn)����。
大多數(shù)系統(tǒng)項(xiàng)目都會(huì)失敗或出現(xiàn)問(wèn)題,具體取決于它們是如何開始的����,因此在一切開始時(shí)都需要多些關(guān)注。如果CBS是外包的���,請(qǐng)查看您與供應(yīng)商簽訂的服務(wù)級(jí)別協(xié)議(SLA)或合同����,并重點(diǎn)審查供應(yīng)商支持服務(wù)條款(是否滿足設(shè)定的矩陣����,以及是否包含了對(duì)違反商定的矩陣/條款和條件的處罰)。在進(jìn)一步審查SLA時(shí)���,請(qǐng)確保存在審計(jì)權(quán)利條款�����,包括條款�、訂閱性質(zhì)和許可證續(xù)訂頻率����,并確保簽署了保密協(xié)議(NDA)或保密協(xié)議(Confidentiality
Agreement)或合同中存在這些條款(以及版本控制�����,如果適用)����。
審查CBS版本控制的應(yīng)用程序支持���、腳本/開發(fā)和時(shí)間表��,以及如何完成維護(hù)通信��。在采購(gòu)CBS之前�����,請(qǐng)確認(rèn)是否已制定了業(yè)務(wù)案例并審查批準(zhǔn)。確認(rèn)CBS是否通過(guò)了用戶驗(yàn)收測(cè)試(UAT)�,以及是否在實(shí)施六個(gè)月后進(jìn)行了實(shí)施后評(píng)審(PIR)。確保對(duì)用戶的培訓(xùn)已經(jīng)完成或正在持續(xù)進(jìn)行�����,并且供應(yīng)商提供了技術(shù)手冊(cè)和非用戶手冊(cè)�����。能證明服務(wù)提供商的認(rèn)證也很重要。
審查已批準(zhǔn)的企業(yè)設(shè)置�����、后端引擎管理或CBS的參數(shù)配置���,與從CBS中提取的報(bào)告相對(duì)比�����。
了解本行的產(chǎn)品需求(貸款��、透支�����、存款���、儲(chǔ)蓄等),并檢查銀行核心業(yè)務(wù)系統(tǒng)�,驗(yàn)證每個(gè)產(chǎn)品需求是否在CBS中按原樣配置。使用數(shù)據(jù)分析工具重新計(jì)算對(duì)每個(gè)產(chǎn)品收取的費(fèi)率���,以確保收取費(fèi)用的透明度和配置的準(zhǔn)確性�����。還要審查變更管理程序����。
檢查CBS的托管位置(在云、混合云或本地)也很重要��,以了解托管的客戶個(gè)人可識(shí)別信息的數(shù)據(jù)隱私和保護(hù)要求���。出于業(yè)務(wù)連續(xù)性目的�,您還需要確認(rèn)主數(shù)據(jù)中心和恢復(fù)站點(diǎn)的安全性�。
測(cè)試應(yīng)用程序的邏輯訪問(wèn)控制(例如,查看當(dāng)前系統(tǒng)用戶/活動(dòng)帳戶和已停用帳戶的數(shù)量與最新的員工名單相對(duì)比)���。查看每個(gè)用戶配置文件的權(quán)限。此外���,在建立問(wèn)責(zé)制的過(guò)程中����,進(jìn)行審查以核實(shí)是否存在職責(zé)分離(SoD)或授權(quán)人控制。此外����,審查系統(tǒng)參數(shù)變更是否在獲得相應(yīng)用戶的批準(zhǔn)后實(shí)施
審查容量管理實(shí)踐,以確保正確地規(guī)劃了IT資源���。
在向銀行核心業(yè)務(wù)系統(tǒng)中輸入財(cái)務(wù)數(shù)據(jù)之前��,檢查是否進(jìn)行了人工對(duì)賬���,因?yàn)槔斎氲扔诶敵觥_@將使您能夠保證數(shù)據(jù)的完整性和準(zhǔn)確性��。
確保本行在其新客申請(qǐng)表格中定義了客戶調(diào)查(KYC)詳細(xì)信息�,以確保您了解銀行收集,處理和存檔的數(shù)據(jù)類型����。同樣,查看銀行的隱私政策和隱私聲明��,以了解其如何處理個(gè)人可識(shí)別信息���。查看應(yīng)用程序中客戶詳細(xì)信息的更新頻率�����。
查看備份計(jì)劃�,了解如何完成日初(SOD)和日終流程(EOD),監(jiān)控未發(fā)布/無(wú)監(jiān)督的交易�,以及如何將其追溯到發(fā)起人或主管,并審查恢復(fù)時(shí)間表���。
審查您的組織和 CBS 服務(wù)提供商的業(yè)務(wù)連續(xù)性計(jì)劃(BCP)和災(zāi)難恢復(fù)計(jì)劃(DRP)����。
在CBS的模塊和菜單中�,查看CBS上是否有嵌入式審計(jì)模塊 (EAM),以及信息安全團(tuán)隊(duì)或負(fù)責(zé)人員審查日志的頻率����。
審查組織的變更管理計(jì)劃,并驗(yàn)證是否已在CBS和應(yīng)用程序上實(shí)施了所有必要的安全控制����。
審查與CBS集成的其他應(yīng)用程序、渠道����、商戶或API的安全性。此外���,找出哪些新技術(shù)和網(wǎng)絡(luò)安全威脅是急需解決的���,以保護(hù)整個(gè)組織在可接受的水平上免受網(wǎng)絡(luò)攻擊。
您可以在CBS上測(cè)試的控件列表是無(wú)窮無(wú)盡的��,具體取決于您的審計(jì)范圍和審計(jì)目標(biāo)�����。因此��,作為一名信息系統(tǒng)審計(jì)師����,您有責(zé)任制定一個(gè)全面的審計(jì)計(jì)劃,這將為您的組織增加價(jià)值并提供可靠的保證��。
來(lái)源:網(wǎng)絡(luò)
以上是關(guān)于審計(jì)師的相關(guān)信息���,以供大家查看了解���。想要了解更多審計(jì)師信息���,第一時(shí)間了解審計(jì)師相關(guān)資訊,敬請(qǐng)關(guān)注唯學(xué)網(wǎng)審計(jì)師欄目�����,如有任何疑問(wèn)也可在線留言�����,小編會(huì)為您在第一時(shí)間解答!
師.png)
