金融信息科技审计.docxVIP

1

金融信息科技审计

1范围

本文件主要规定了金融信息科技审计标准框架及制定、实践标准的基本原则。

本文件适用于金融信息科技审计标准的规划与制定及风险控制。也适用于任何开展金融信息科技内部控制、风险评估和审计的机构。

2规范性引用文件

本文件没有规范性引用性文件。

3术语和定义

下列术语和定义适用于本文件。

3.1

金融信息科技financialinformationtechnology

是指涉及金融服务的机构所应用的计算机、通信、微电子、软件工程等现代信息技术，包括云计算、大数据、区块链和AI等应用。

3.2

金融信息科技风险financialinformationtechnologyrisk

是指信息科技在金融服务应用的生命周期和结果可能产生的操作、法律、声誉和系统性金融风险。

3.3

金融信息科技审计financialinformationtechnologyaudit

对金融信息科技风险和控制进行的独立、客观的监督、评价与咨询活动。包括但不限于其运行的基础设施、信息系统和输入输出数据、治理和管理规程等。

3.4

金融信息科技审计服务机构financialinformationtechnologyauditserviceinstitution

是指开展金融信息科技审计服务的专业机构。

3.5

审计工具auditinstrument

2

审计工作中利用技术手段进行检查和验证的辅助工具，以及为提高审计的能力水平、效率效果和规范性而使用的专用工具或方法。

4金融信息科技风险分析

金融信息科技审计应以风险分析为基础。

4.1分析内容

信息科技风险分析的内容包括但不限于：

a)风险识别、计量、监测、控制机制;

b)控制机制有效性;

c)风险事件的影响程度和发生概率。

4.2分析方法

4.2.1应对各种风险事件的影响程度进行分类，影响程度可分为五类:

a)低：非关键控制失效，无明显影响；

b)较低：非关键控制失效、影响非重要业务；

c)中：部分关键控制失效，影响非重要业务；

d)较高：关键控制实效，影响重要业务；

e)高：控制丧失，系统性影响机构运行。

4.2.2应对各种风险事件发生的概率进行分类，发生概率可分为五类：

a)低；

b)较低；

c)中；

d)较高；

e)高。

4.2.3实施信息科技审计应建立信息科技风险分析矩阵，每个风险事件应在矩阵上被量化，确定该事件的影响程度和发生概率，以确定风险事件的强度，并做出降低风险的建议。信息科技风险分析矩阵是信息科技审计风险分析工具，见附录A。

5金融信息科技审计标准框架

金融信息科技审计标准体系包括外部监管要求、企业内部的管理规定和金融信息科技审计标准三部分，如图1所示。虚线框表示依据的规范、标准和制度监管要求以及企业内部的规章制度，这些不属本文件的范畴。实线框表示本系列标准主要涉及的内容。

3

图1金融信息科技审计标准框架

金融科技审计标准主要包括：基本框架和原则、审计机构与审计人员、审计过程、审计方法、审计工具、金融信息科技具项审计细则和审计评价七部分，其中：

a)金融信息科技审计基本框架和原则：规定了金融信息科技审计标准的体系框架，以及应遵循的基本原则

b)审计人员与机构：规定了从事金融信息科技审计工作的人员的能力水平要求，金融业内部审计机构、第三方金融信息科技审计服务机构资质能力要求

c)审计过程：规定了内部和第三方金融信息科技审计服务机构审计过程管理的规范性要求d)审计方法：规定了开展金融信息科技审计的可采取的方法的规范性要求

e)审计工具：规定了金融信息科技审计工具的选择、建设、应用和管理的规范性要求f)具项审计细则：规定了具体金融信息科技审计项目及规范性要求

g)审计评价：规定了金融信息科技审计合规与价值评价方法、模型等规范性要求

6金融信息科技审计基本原则

6.1合法合规原则

金融信息科技审计应依据相应的法律、法规、制度、流程等要求，开展相关场景审计工作，提出审计意见和结论。应包括：

a)金融信息科技审计应遵循国家相关的法律法规、监管和行业规范与指引；

b)金融信息科技审计应依据被审计机构或组织内部规章制度；

c)金融信息科技审计应依据被审计机构或组织与相关方的合同或协议。

6.2独立客观原则

金融信息科技审计应保持独立、客观、公正，确保审计监督真实有效。

4

6.3安全必威体育官网网址原则

金融信息科技审计服务机构及人员应遵守信息安全和必威体育官网网址规定。应建立对审计活动中相关人员、信息和活动的信息安全和必威体育官网网址机制，包括但不限于：

a)应建立对审计人员的职业道德、信息安全、必威体育官网网址教育、考核机制；

b)应对审计过程中接触到的被审计