为全面掌握信息科技管理存在的风险隐患及风险防控情况,履行内审部门咨询服务职能,更好的促进建立健全有效的风险防范机制,切实提高人民银行信息化管理水平,近日,中国人民银行荆门市中心支行内审部门对该行信息科技管理情况进行了风险评估。
一是制定方案,突出重点。该行内审部门认真制定了关于信息科技管理情况风险评估方案,审计的重点包括内部控制环境建设、机房与设施管理、网络管理、安全及保密管理、应急备份和文档管理、业务应用系统运维管理、采购和外包服务管理等环节,为突出评估工作的有效性,该行内审部门将风险导向理念贯穿于信息科技管理重点环节的全过程,为评估工作打下了基础。
二是深入调查、量化评估。6月17日至20日,审计评估小组一行3人深入科技及重要业务部门进行摸底评估,利用风险矩阵,对内部控制环境、网络管理、应急备份和文档管理等7个一级指标,管理与控制意识、网络结构、系统安全配置等35个二级指标,重要岗位人员调离时交接是否规范、是否启用访问控制功能、突发事件预防预警机制是否详细等321个三级指标风险评估指标逐一进行了风险量化评估,最终的评估值为106.6分。
三是综合分析,查找不足。为更好的掌握风险分布状况及控制水平,评估小组将近两年的评估数据进行了对比分析。分析结果显示,与去年的风险评估值107.5分相比,该行的信息技术风险可控,风险防控效果较好,信息技术管理水平进一步提升。同时,评估小组也指出了该行在内控环境建设的有效性,应急备份管理的健全性,安全管理有效性等方面存在的薄弱环节,须引起重点关注。
四是提出建议,强化管理。针对信息科技管理中存在的问题,评估小组及时提出了四个方面的合理化建议,即加强机房与设施管理,使用新风系统以满足工作需要;加强应急备份管理,健全灾难恢复方案,积极开展重要信息系统的灾难恢复演练;加强内部控制环境建设,合理配置科技资源;强化安全管理,防范老旧设备带来的风险隐患。充分发挥了内审部门的咨询服务作用,有效促进了该行防范和化解各类风险。(高 博 李雪锋)