為加強商業銀行信息科技風險管理,根據《中華人民共和國銀行業監督管理法》、《中華人民共和國商業銀行法》、《中華人民共和國外資銀行管理條例》、國家信息安全相關要求及相關法律法規,制定本指引。
本指引適用於在中華人民共和國境內設立的法人商業銀行。政策性銀行、農村合作銀行、城市信用社、農村信用社、村鎮銀行、貸款公司、金融資產管理公司、信托公司、財務公司、金融租賃公司、汽車金融公司、貨幣經紀公司等銀行業金融機構參照執行。
本指引所稱信息技術是指計算機、通信、微電子和軟件工程等現代信息技術在商業銀行業務交易處理、經營管理和內部控制中的應用,包括信息技術治理、建立完整的管理組織架構、制定完善的管理制度和流程。
本指引所稱信息科技風險,是指商業銀行在信息科技應用過程中,因自然因素、人為因素、技術漏洞和管理缺陷而產生的操作、法律和聲譽風險。
信息科技風險管理的目標是通過建立有效的機制,實現商業銀行信息科技風險的識別、計量、監測和控制,促進商業銀行安全、持續、穩健經營,推動業務創新,提高信息科技運用水平,增強核心競爭力和可持續發展能力。
外部審計
第六十七條。商業銀行可以根據法律法規和監管要求,委托具有相應資質的外部審計機構進行信息科技外部審計。
第六十八條。在委托審計過程中,商業銀行應確保外部審計機構能夠檢查本行的硬件、軟件、文件和數據,以發現信息科技中存在的風險,但國家法律、法規、規章和規範性文件規定的重要商業和技術機密信息除外。
第六十九條。商業銀行在實施外部審計前,應與外部審計機構充分溝通,詳細確定審計範圍,不得故意隱瞞事實或阻撓審計檢查。