商業銀行信息科技風險管理審計實踐
【課程編號】:NX47050
商業銀行信息科技風險管理審計實踐
【課件下載】:點擊下載課程綱要Word版
【所屬類別】:財務管理培訓
【培訓課時】:3天
【課程關鍵字】:風險管理培訓
我要預訂
咨詢電話:027-5111 9925 , 027-5111 9926手機:18971071887郵箱:Service@mingketang.com
課程背景
國家金融監督管理總局(中國銀行業監督管理委員會)指出,信息科技風險是指信息科技在商業銀行運用過程中,由于自然因素、人為因素、技術漏洞和管理缺陷產生的操作、法律和聲譽等風險,在銀行的全部風險中,信息科技風險幾乎是唯一可能使銀行業務在瞬間全部癱瘓的重要風險,銀行業信息系統安全、穩健運行,關系銀行業自身可持續發展,關系金融安全。金融監管總局不斷細化深入信息科技風險監管工作,信息科技風險管理審計作為商業銀行重要的信息科技風險管理手段,應當在信息科技專項審計、全面審計、重要項目審計中發揮重要作用。
商業銀行信息科技風險管理從業務需求、合規性需求、信息科技風險管理需求出發,遵從風險管理的理念,在風險管理戰略規劃的基礎上,全面指導商業銀行信息科技風險管控工作。隨著金融監管總局、人民銀行和國家有關部門要求的提高,如何保障商業銀行業務持續運營、保障業務數據信息安全,解決商業銀行科技工作深入后帶來的一系列問題,本課程以金融監管總局和中國人民銀行發布的監管要求和金融標準為起點,通過介紹監管要點、行業良好實踐,同時,輔以案例分析,為商業銀行如何保障業務持續運營、保護業務數據信息提供良好建議。
培訓人員建議
信息科技風險管理相關人員,包括:
董事會和高級管理層分管信息科技風險管理的高級管理人員
信息科技風險管理三道防線(信息科技部信息安全管理、風險管理部信息科技風險管理、內部審計部信息科技風險審計)的管理人員和業務骨干
培訓目的和收益
通過培訓和交流,培訓對象收獲:
理解銀行業金融機構建立信息科技風險管理體系的監管要求,監管機構要求相關管理層承擔的責任;
理解推動信息科技風險管理和審計工作可以真正消除決策層(董事會和高級管理層)、信息科技管理部門、風險管理部門和內部審計部門間溝通的障礙,真正找準各自的定位關系,促進信息科技風險審計和信息科技風險管理融合,支持銀行業務創新;
理解信息科技風險管理框架、商業銀行信息科技風險審計標準、依據和依據參考、商業銀行信息科技風險審計最佳實踐。
培訓方式
知識講解、案例分析、互動研討。
課程大綱
第一天 商業銀行信息科技風險和審計標準
模塊一 商業銀行信息科技風險形勢
1.商業銀行信息科技風險定義、分類和特點
定義
分類
特點
2.商業銀行信息科技風險事件形勢、最新監管要求和案例分析
商業銀行信息科技風險事件形勢
商業銀行信息科技風險事件典型案例分析
商業銀行信息科技監管要求
中國人民銀行
金融監管總局(銀保監會、銀監會)
模塊二 商業銀行信息科技風險審計標準、依據和參考
1.審計標準
國家標準
國家審計署審計準則
中國內部審計協會審計準則
國家標準:《信息技術服務 治理 第4部分 審計導則》等
團體標準:《信息技術服務 治理 IT風險治理》、《信息技術服務 治理 數據審計》、《金融科技審計 基本原則》等
企業標準:中國人民銀行信息技術審計規范(QPBC 00001.1--4—2014)
國際標準和良好實踐
ISACA信息系統審計和鑒證標準、指南和工具
信息技術鑒證框架(ITAF)
2.審計依據
國家法律、行政法規、部門規章和政策
網絡安全法、密碼法、電子簽名法、數據安全法、個人信息保護法
關鍵信息基礎設施安全保護條例、網絡安全等級保護條例(征求意見稿)
中辦、國辦
中央網信辦、公安部、國家保密局、國家密碼管理局、財政部、審計署、國資委、工信部
3.審計依據參考
國家標準
GB/T系列
行業標準(金融)
國際標準
COBIT 2019/5.0
ISO(9000,20000,27000,22301)系列
CMMI、DRI、BCI、DAMA等
第二天 商業銀行信息科技風險管理框架和審計
模塊三 商業銀行信息科技風險管理框架
1.風險管理目標
風險戰略
風險偏好
風險容忍度
2.風險管理流程
風險領域
風險管理工具
風險控制自評估(RCSA)
關鍵風險指標(KRI)
信息科技風險事件
風險管理流程
風險識別和評估
風險應對和控制
風險評價和計量
風險監測和報告
3.風險管理機制
組織架構
三道防線
管理制度和流程
風險文化
績效考核
意識教育和培訓
風險信息溝通和報告
審計監督
模塊四 商業銀行信息風險審計流程、方法和技術
一.商業銀行信息科技風險審計流程
1.審計準備階段
審計目的和審計任務
審計依據
審計項目組
收集相關信息
審計規劃
審計風險
2.審計實施階段
進場會
現場工作
IT控制評估
3.審計終結階段
工作底稿整理和復核
審計發現
溝通審計結果
審計報告
審計文檔歸檔
4.審計后續(跟蹤)審計
5.審計質量管理和評估
二.商業銀行信息科技風險審計方法和技術
1.審計方法
訪談
核查
測試
評估
2.審計技術
檢查技術
識別和分析技術
漏洞驗證技術
第三天 商業銀行信息科技風險審計實踐
模塊五 商業銀行信息科技風險審計項目案例研討
1.信息科技風險管理審計項目(金融監管總局)
2.重要信息系統投產及變更審計項目(金融監管總局)
3.數據中心審計項目(金融監管總局)
4.業務連續性管理審計項目(金融監管總局)
5.信息科技外包風險管理審計項目(金融監管總局)
6.其它IT專項審計(網絡(信息)安全審計)項目
網絡安全等級保護/關鍵信息基礎設施保護審計
ISO/IEC 27001信息安全管理體系審計
ISO 22301業務連續性管理體系審計
7.A+H上市公司IT內控審計項目
模塊六 商業銀行信息科技風險審計項目展望
1.個人金融信息保護審計項目(人民銀行、金融監管總局)
2.金融科技應用風險審計項目(人民銀行)
3.數據治理審計(金融監管總局)
4.數據安全治理和管理審計(人民銀行、金融監管總局)
5.自主定義審計項目
6.商業銀行信息科技風險審計重點、難點和痛點
馬老師
馬慶
常駐地:北京
專業認證
1.注冊信息系統審計師(CISA,Certified Information System Auditor),2002年,ISACA
2.注冊內部審計師(CIA,Certified Internal Auditor),2003年,IIA
3.注冊控制自我評估師(CCSA, Certification in Control Self-Assessment),2003年,IIA
4.特許金融分析師(CFA,Chartered Financial Analyst)二級考試,2005年,CFA Institute
5.注冊業務持續性專家(CBCP,Certified Business Continuity Professional),2011年,DRII
6.網絡安全認證(Security+),2011年,CompTIA
7.ISO22301業務連續性管理體系主任執行師(ISO 22301 BCMS Lead Implementer),2013年,PECB
8.ISO27001信息安全管理體系主任審計師(ISO/IEC 27001 ISMS Lead Auditor),2013年,PECB
講師資質
1.國家互聯網應急中心CNCERT網絡安全能力認證培訓講師
2.中國信息安全測評中心CISP信息安全培訓講師-注冊信息安全培訓講師CISI。
3.中國網絡安全審查技術與認證中心信息系統審計師ISA 課程設計師,培訓講師。
4.中國通信企業協會網絡安全人員能力認證講師。
5.中國銀行業協會東方銀行業高級管理人員研修院商業銀行業務連續性管理專家講師。
6.中國計算機用戶協會信息科技審計分會業務連續性管理、信息科技外包風險管理、信息科技審計等專家庫專家,專家講師。
7.中治研(北京)國際信息技術研究院高級研究員,中治智庫專家庫專家,專家講師,《中國IT治理.價值叢書》編委會委員。
8.云安全聯盟CSA云安全授權講師,課程包括:CCSMP(國際注冊云安全管理認證專家)、CCSSP(國際注冊云安全系統認證專家)。
9.國際災難恢復(中國)協會(DRI China)技術委員會(DRICTC)委員(2011--2014),專業講師資質認證(TCBC),課程包括:注冊業務持續性專家(CBCP)。
10.職業評價和認證委員會Professional Evaluation and Certification Board(PECB)專業講師資質認證(PECB CERTIFIED TRAINER),課程包括:ISO 27001 Foundation,ISO/IEC 27001LA和ISO/IEC 27001LI;ISO 22301 Foundation,ISO 22301 LA和ISO 22301 LI。
11.美國培訓認證協會(AACTP)國際認證培訓師(ICT,International Certificated Trainer)。
12.中國電子勞動學會數字素養與技能提升人才培養工程智庫專家
13.中國電力企業聯合會科技開發服務中心/中國電力技術市場協會專家庫專家。
14.中國通信工業協會信息安全分會專家庫專家。
15.中國國際航空公司信息管理部專家庫專家。
行業經驗
馬慶在信息系統審計、信息科技風險管理、業務連續性管理和網絡信息安全管理領域擁有34年的實施、咨詢經驗,在技術管理方面具有豐富知識和經驗,通曉電信運營商、金融行業信息系統軟件、硬件、開發、運營、維護、管理和安全,熟悉業務運營管理的核心,能夠利用信息系統審計技術,對信息系統的安全性、穩定性和有效性進行審計、檢查、評價和改造。
專業著作
在國家會計學院《中國會計視野》,《中國計算機用戶》,《計算機產品與流通》等發表多篇信息系統審計實踐文章;在《計算機世界》,《中國計算機報》,《互聯網周刊》,《每周電腦報》,《信息安全》等發表多篇信息系統安全,商務智能文章,中國最早最大的信息系統審計論壇(www.itpub.net的“信息安全與審計”)的資深斑竹“cisamaqing”。
馬慶同時是一位專業講師,為電信、金融、政府和公用事業、企業以及行業協會等提供下列領域培訓服務:
1. 信息化規劃、績效評價、運營管理;
2. 內部控制,內部審計,風險評估和風險管理,控制/風險自我評估(CSA),COSO,Sarbanes & Oxley Act;
3. 信息系統審計和控制,CISA認證,CISM認證,CRISC認證,CGEIT認證,COBIT 5/COBIT2019認證;
4. 金融行業、電信運營商、企業級網絡性能管理,信息安全管理,網絡安全等級保護/關鍵信息基礎設施安全保護,CISP認證,CISSP認證,CCSP認證,云安全CSA認證,ISO27001LA認證;
5. 業務連續性(BCP) ,災難恢復(DRP),CBCP認證,ISO 22301 Foundation,ISO22031LA和ISO22301LI認證。
我要預訂
咨詢電話:027-5111 9925 , 027-5111 9926手機:18971071887郵箱:Service@mingketang.com
