商业银行业务连续性管理：审计要点

实施业务连续性审计工作时需要考虑到以下要点并应在审计报告中有所体现。

1.审计区间

一般而言，业务连续性审计需要覆盖一整年。在报告中也需要说明现场审计工作时间段，现场审计工作时间段因审计范围、审计方法、人员安排而异。

2.审计计划

审计计划一般包含审计项目启动及框架开发、审计现场调研、审计控制点分析与交流、审计报告开发与审核四个阶段。

（1）审计项目启动及框架开发 在此阶段，商业银行内审部门或者第三方独立机构需要组建审计团队，编制项目实施计划并开发审计底稿模板。

（2）审计现场调研 在此阶段，商业银行内审部门或者第三方独立机构将进行现场审计工作，并与相关流程负责人进行访谈和调研。

（3）审计控制点的分析与交流 在此阶段，商业银行内审部门或者第三方独立机构将识别并分析审计控制点，并与相关控制点负责人进行沟通交流。

（4）审计报告开发与审核 在此阶段，商业银行内审部门或者第三方独立机构将根据沟通结果，撰写、修正、审核并最终确定审计报告，并将报告提交给董（理）事会进行审批。

3.审计标准

如同所有审计工作，商业银行审计部门在开展业务连续性审计之前，应明确审计准则并识别有关的法律法规作为审计依据。商业银行业务连续性审计主要以银监会颁布的《商业银行业务连续性监管指引》为依据，同时应兼顾其他法律法规及相关监管指引。

1）《商业银行业务连续性监管指引》（银监发[2011]104号）。

2）《商业银行资本管理办法（试行）》（银监发[2012]1号）。

3）JR/T 0044—2008《银行业信息系统灾难恢复管理规范》。

4）《商业银行信息科技风险管理指引》（银监发[2009]19号）。

5）《银行业重要信息系统突发事件应急管理规范（试行）》（银监办发[2008]53号）。

6）《商业银行数据中心监管指引》（银监办发[2010]114号）。

7）GB/T 20988—2007《信息安全技术 信息系统灾难恢复规范》。

……

4.审计方法

审计方法包括询问、检查、观察和重新执行等。

（1）询问 与相关执行人员或管理人员讨论业务连续性管理控制过程，明确控制相关人员对控制的理解和执行程度。(www.xing528.com)

（2）检查 检查与控制执行情况相关的文档或报告。

（3）观察 观察控制的执行情况。

（4）重新执行 重新执行相关控制。

5.局限性声明

由于审计范围、时间等多方面限制，在审计报告中需要对业务连续性审计的局限性进行说明，从而明确报告使用的范围和目的。

1）审计发现的局限性。

2）审计建议的局限性。

3）审计时间的局限性。

6.审计领域

《商业银行业务连续性监管指引》第五十九条对业务连续性审计范围进行了详细规定。业务连续性审计范围应当至少包括：

（1）业务连续性战略 主要包括业务连续性战略是否与公司整体战略目标和体系建设现状相符合。

（2）业务连续性管理组织 主要包括业务连续性日常管理组织架构和应急管理组织架构是否符合《商业银行业务连续性监管指引》等相关要求。

（3）业务影响分析 主要包括业务划分、业务优先级排序、业务恢复目标的设定是否合理并且完整。

（4）风险评估 主要包括风险评估方法、风险评估过程以及评估结果的合理性。

（5）业务连续性策略 主要包括事件分级策略、关键资源建设策略、应急预案建设策略、演练管理策略、应急通信策略、业务功能和信息系统的恢复策略以及危机公关策略。

（6）业务连续性计划 主要包括业务连续性计划文档体系及其完整性和可操作性。

（7）业务连续性资源建设 主要包括资源清单、资源建设规划和资源建设策略等的可操作性、合理性等。

（8）业务连续性演练 主要包括业务连续性计划演练过程及演练报告的真实性和有效性。

（9）业务连续性持续改进 主要包括业务连续性持续改进机制、持续改进频率、持续内容是否合理有效。

（10）运营中断事件应急处置 主要包括业务连续性应急处置流程、紧急通知通报流程、应急组织分级启动机制的可行性。