我经常从有抱负的信息系统审计师那里听到这样的问题:你如何审核一个你从未使用过的系统?”
每个人都有起点! 我之前的信息系统内部审计经验在很大程度上与金融服务行业有关, 重点是审计核心银行系统(CBS).
市场上有各种类型的核心银行系统, 但是,该方法可以针对您的组织正在使用的任何核心银行系统进行定制. 因此,以下控制测试可能适用于您的组织正在使用的CBS.
因为金融服务业受到高度监管, 在你们的信息系统审计开始之前, 您需要花时间阅读并更深入地了解监管金融服务组织应该遵守的各种法规. 这些组织包括银行, fintechs, 电信公司, 征信局, 移动支付服务公司, 小额贷款组织, 投资集团, 等. 在这种情况下, 你必须了解贵国中央银行的监管要求, 金融机构法(FIA), 美国证券交易委员会(SEC), 以及其他机构的规定, 比如保险监管机构和税收机构, 监督金融机构的活动.
取决于您的范围和审核目标, 然后,您可以确定将对已确定的要审查的区域执行的控制测试. 这些可能包括:
- 审查组织策略, 有关CBS的操作和后端管理的程序和标准.
- 大多数系统项目失败或出现问题取决于它们的启动方式, 每件事开始的时候都需要太多的关注. 如果CBS是外包的, 检查您与供应商签订的服务水平协议(SLA)或合同,并重点检查供应商支持服务提供(是否满足设置的矩阵,以及是否对违反商定的矩阵/T进行处罚)&c是隐含的). 在进一步查看SLA时,请确保 审计权 条款存在, 与条款, 订阅的性质和许可证更新的频率, 并确保签署了保密协议(NDA)或保密协议或在合同(和版本)中存在条款, 如适用).
- 审查应用程序支持, 脚本/开发和CBS版本控制的时间表,以及如何进行维护通信. 在购买CBS之前,确认是否开发了业务案例并审查批准. 确认CBS是否通过了UAT,以及六个月后是否进行了实施后审查(PIR). 确保对用户的培训已经或正在持续进行,并且供应商提供了技术和非用户手册. 验证服务提供商认证也很重要.
- 审查已批准的公司设置, 后端引擎管理或CBS的参数配置与从CBS提取的报告.
- 了解机构的产品需求(贷款、透支、存款、储蓄等).), 并检查核心银行系统,以验证每个产品需求是否在CBS中按原样配置. 使用数据分析工具重新计算每个产品的收费,以确保收费的透明度和配置的准确性. 还要审查变更管理程序.
- 检查CBS的托管位置(在云上)也很重要, 混合云或本地),以了解托管客户PII的数据隐私和保护需求. 出于业务连续性的目的,您还需要确认主数据中心和恢复站点的安全性.
- 测试应用程序的逻辑访问控制(例如.g., 查看当前系统用户/活动帐户和未激活帐户的数量与更新的员工列表). 检查每个用户配置文件的权限. 也, 在行动中建立问责制, 审查以验证职责隔离(SoD)或授权控制是否存在. 另外, 审核系统参数变更是否在各自用户批准后实施.
- 检讨容量管理实务,以确保妥善规划资讯科技资源.
- 在核心银行系统中输入财务数据之前,检查是否有人工对账, 因为垃圾输入=垃圾输出. 这将使您能够保证数据的完整性和准确性.
- 确保机构在其入职表格中定义了了解您的客户(KYC)详细信息,以确保您了解银行收集的数据类型, 流程和档案. 在同一方面, 查看银行的隐私政策和隐私声明,了解银行如何处理个人身份信息. 查看应用程序中客户详细信息更新的频率.
- 查看备份计划, 一天的开始(SOD)和一天的结束(EOD)是如何完成的, 监视未发布/不受监督的事务,以及如何将它们追溯到发起者或主管, 并审查恢复时间表.
- 检查您的组织和CBS服务提供商的业务连续性计划(BCP)和灾难恢复计划(DRP).
- 在CBS的模块和菜单之间, 检查CBS上是否有嵌入式审计模块(EAM),以及信息安全团队或负责人员多久检查一次日志.
- 审查组织的变更管理程序,并验证是否在CBS和应用程序上实现了所有必要的安全控制.
- 检查与CBS集成的其他应用程序、渠道、商家或api的安全性. 另外, 找出哪些新技术和网络安全威胁需要紧急解决,以保护整个组织在可接受的水平上免受网络攻击.
您可以在CBS上测试的控件列表是无穷无尽的, 取决于你的审核范围和目标. 因此, 作为一名信息系统审计师, 您有责任制定一个全面的审核计划,为您的组织增加价值并提供可信的保证.
