银行信息系统管制IT审计（毕马威） .ppt

《银行信息系统管制IT审计（毕马威） .ppt》由会员分享，可在线阅读，更多相关《银行信息系统管制IT审计（毕马威） .ppt（71页珍藏版）》请在三一办公上搜索。

1、ABCD,银行信息系统管制,朱恩良毕马威会计师事务所2003年7月26日,06/03/2023,2003 KPMG,内容提要,毕马威介绍日益增长的信息技术应用需求信息系统管制信息技术安全信息系统审计毕马威可提供的服务问答,06/03/2023,2003 KPMG,在全球各地金融服务业拥有雄厚的实力,金融服务业是毕马威阵容最鼎盛、实力最雄厚的行业专责团队，拥有遍布世界各地的服务网络在全球逾 150 个国家超过 750个城市设有办事处，共聘用专业人员超过 10 万人本所亦于中国多个城市设立办事处，包括香港、北京、上海、广州、深圳及澳门本所为全球五百大银行当中的一半银行，以及三分之二全球最大型的保险

2、公司提供服务,毕马威介绍,06/03/2023,2003 KPMG,毕马威曾多次为世界各地的金融机构提供服务，所以拥有无可比拟的经验实力,澳洲纽西兰银行花旗集团瑞士信贷第一波士顿德意志银行德国裕宝联合银行荷兰商业银行澳洲国民银行第一银行汇丰银行渣打银行维萨国际美国银行法国兴业银行太阳信托银行美国信孚银行,穆迪美国嘉信理财公司美林集团美国信托公司苏黎世金融大联基金管理纽约人寿美国保德信人寿保险安联大众人寿保险英国保诚皇家太阳联合保险慕尼黑再保险瑞士丰泰保险蓝十字美国再保险,毕马威介绍,06/03/2023,2003 KPMG,毕马威亦为多家国内及香港的金融机构提供服务,北京,上海,深圳,广州,香

3、港,中国国际再保险公司中保国际控股有限公司香港出口信用保险局中国人民保险公司泰康人寿安联大众东方人寿太平人寿信诚人寿,中国银行中国建设银行招商银行中信实业银行上海浦东发展银行中国国际金融有限公司广东发展银行京华山一证券,汇丰银行恒生银行渣打银行东亚银行中信嘉华银行港基国际银行永亨银行,毕马威介绍,06/03/2023,2003 KPMG,内容提要,毕马威简介日益增长的信息技术应用需求信息系统管制信息技术安全信息系统审计毕马威可提供的服务问答,06/03/2023,2003 KPMG,日益增长的信息技术应用需求,用以区分自身与竞争对手间的产品和服务促进不同部门及区域间的合作，以使知识资本和企业专

4、长发挥最大效益鼓励员工间的沟通和团队合作按由客户驱动的业务品种整合技术战略,信息技术对银行的重要性,06/03/2023,2003 KPMG,增进客户关系:帮助建立特定客户的整体信息资料针对现有客户关系的一致的、综合的和可靠的信息识别交叉销售机会业务涉及大量数据，提高效率及减少反应时间除了记录原始数据外，银行会应用资讯科技于客户 服务系统、投资系统、保险系统、精算系统、会计系统及现金支付系统等,信息技术对银行的重要性（续）,日益增长的信息技术应用需求,06/03/2023,2003 KPMG,今天金融企业的管理者比以往更依赖信息技术去经营其业务管理层更有责任确保信息系统和业务流程受到恰当的监控

5、越来越注重信息技术的投入产出在很多情况下，信息技术往往是仅次于人工的第二大费用支出,信息技术对管理的影响,日益增长的信息技术应用需求,06/03/2023,2003 KPMG,那个系统不重要？,越来越复杂的信息系统,日益增长的信息技术应用需求,06/03/2023,2003 KPMG,一般银行内部审计部门的框架,向审计委员会定期汇报,日益增长的信息技术应用需求,06/03/2023,2003 KPMG,内容提要,毕马威简介日益增长的信息技术应用需求信息系统管制信息技术安全信息系统审计毕马威可提供的服务问答,06/03/2023,2003 KPMG,信息时代对信息技术的要求,完整性(Integr

6、aty)安全性(Security)可靠性(Reliability)服从规定(Compliance),信息系统管制是上述要求得到落实的重要措施。,信息系统管制,06/03/2023,2003 KPMG,着重关注领导能力、组织结构和流程，以保证信息技术支持及拓展企业的创造和保存价值及财富的战略和目标。,信息系统管制的定义,信息系统管制,06/03/2023,2003 KPMG,信息系统管制关注的主要方面,信息系统的管理、规划与组织 信息系统技术基础设施与操作实务 信息资产的保护 灾难恢复与业务持续计划 应用系统开发、获得、实施与维护 业务流程评价与风险管理,信息系统管制,06/03/2023,20

7、03 KPMG,信息系统管制剖析,利益相关方信息技术管制架构信息技术设置及价值的实现风险管理性能评估安全,信息系统管制,06/03/2023,2003 KPMG,来自利益相关方的压力,股东和高级管理层,低成本、高利润及增大市场占用率,客户和员工,低成本、多功能及易于操作,社会,高级行政人员承担更多的责任,信息系统管制 信息系统管制剖析,06/03/2023,2003 KPMG,信息技术的应用产生信息系统管制的需要,有希望达到其目的有适应发展的余地能控制所面临的风险能恰当地认清机遇并给出适当的回应,企业必须知道其信息系统是否:,信息系统管制 信息系统管制剖析,06/03/2023,2003 KP

8、MG,监管层发出何种信息？,中国的监管层,着重关注营运风险，在这方面安全性和信息技术极为重要所有重要风险事项均由以下方面造成:内部控制疏忽信息技术,信息系统管制 信息系统管制剖析,06/03/2023,2003 KPMG,对信息系统管制的需求与日倶增,从金融企业经营的角度对信息系统加以适当监控的需求越来越迫切管理者必须确保信息技术的投资回报来自国家的规定和资金市场的压力与日俱增事实证明竞争优势来源于对信息技术的大量投资越来越多的股东需求对投资的保障,信息系统管制 信息系统管制剖析,06/03/2023,2003 KPMG,信息技术管制剖析,利益相关方信息技术管制架构信息技术设置及价值的实现性能

9、评估风险管理安全,信息系统管制,06/03/2023,2003 KPMG,为何要进行信息技术管制？,“审慎”信息技术对企业至关重要信息技术对企业经营有着战略上的意义预期与现实不相吻合信息技术没有得到应有的重视信息技术牵涉到高额投资和巨大的风险,信息系统管制 信息系统管制剖析,06/03/2023,2003 KPMG,董事会应有哪些作为？,从利益相关方的利益出发建立一个信息技术管制框架提出适当的问题着重关注信息技术的以下方面与企业业务的有机结合价值创造风险管理 评估结果,信息系统管制 信息系统管制剖析,06/03/2023,2003 KPMG,银行管理层应有哪些作为？,根据经营目标设立信息技术战

10、略将战略及目标传达至企业各个层面设置能够促进该架构的战略实施的组织结构采用一套信息技术控制及管制架构提高信息技术基础设施以促进业务信息的生成和分享着重关注重要的信息技术流程和核心功能评估结果(业务均衡计分卡),信息系统管制 信息系统管制剖析,06/03/2023,2003 KPMG,审计师该如何应对？,取得对信息技术管制的理解让董事会和管理层集中精力解决前两页中所述的问题建议采用一套信息技术的控制和管制架构，例如COBIT建立地区机构组织，以利于上述架构的实施自我衡量业绩（业务均衡计分卡）,信息系统管制 信息系统管制剖析,06/03/2023,2003 KPMG,COBIT:一套信息技术控制和

11、管制架构,综合经营报告“有一种方式”架构“这种方式是”控制目标“最低控制措施是”审计方针“如何审计”实施指南“如何实施”管理层指南“如何衡量”,COBIT的要素 什么?,信息系统管制 信息系统管制剖析,06/03/2023,2003 KPMG,COBIT:一套信息技术控制和管制架构,业绩衡量要素（所有信息技术流程的成果衡量指标和表现的影响因素）关键成功因素的清单，它为每个信息技术流程提供简明的非技术性最佳作法一个成熟的模式，用于协助每个信息技术流程控制的基准和决策,最近的发展趋势是增加一个管理和管制层，为管理层提供了一套工具，其中包括：,信息系统管制 信息系统管制剖析,06/03/2023,2

12、003 KPMG,信息技术管制剖析,利益相关方信息技术管制架构信息技术设置及价值的实现风险管理性能评估安全,信息系统管制,06/03/2023,2003 KPMG,信息技术一致化,“信息技术一致化是一个过程，而不是最终目标。”,信息系统管制 信息系统管制剖析,06/03/2023,2003 KPMG,“信息技术的价值在关注者的眼中。”,信息技术价值的实现,信息系统管制 信息系统管制剖析,06/03/2023,2003 KPMG,信息技术管制剖析,利益相关方信息技术管制架构信息技术设置及价值的实现风险管理性能评估安全,信息系统管制,06/03/2023,2003 KPMG,信息技术风险管理,董事

13、会应通过以下方式管理企业风险：确定企业在其重大风险方面具有透明度理解风险管理的最终责任在于董事会理解风险化解能带来成本效益考虑积极的风险管理方式会创造竞争优势风险管理是企业营运中的内在组成部分,“就是那些你看不见的信息技术鳄鱼会吃掉你！”,信息系统管制 信息系统管制剖析,06/03/2023,2003 KPMG,信息技术的风险（举例）,信息技术的风险,技能,安全,地理,文化,竞争,技术,品牌,语言,业务流程,信息系统管制 信息系统管制剖析,06/03/2023,2003 KPMG,信息技术风险管理,风险管理的延伸 风险分配合同、SLAs 风险缓解安全保障和控制手段风险转移保险和责任风险保障审计

14、和认证风险承担正式、透明,信息系统管制 信息系统管制剖析,06/03/2023,2003 KPMG,董事会关注的问题风险管理基准评估服从规定,ITRMB,信息技术对业务的有效性,信息技术的效率,信息技术的有效性,Models,“要改善性能，你必须知道如何更好地管理风险”,信息系统管制,信息系统管制 信息系统管制剖析,06/03/2023,2003 KPMG,0,1,2,3,4,5,信息技术的管理,物理安全控制,信息的安全,系统的持续性,变更管理,系统开发,内部审计,1st Quartile,2nd Quartile,3rd Quartile,4th Quartile,客户,信息技术风险的管理评

15、估,信息系统管制 信息系统管制剖析,06/03/2023,2003 KPMG,信息技术管制剖析,利益相关方信息技术管制架构信息技术设置及价值的实现风险管理性能评估安全,信息系统管制,06/03/2023,2003 KPMG,信息技术目标和措施,信息技术均衡计分卡,“如果你玩商业游戏却不给信息技术打分，你就只是在纸上谈兵。”,信息系统管制 信息系统管制剖析,06/03/2023,2003 KPMG,信息技术管制剖析,利益相关方信息技术管制架构信息技术设置及价值的实现风险管理性能评估安全,信息系统管制,06/03/2023,2003 KPMG,理解董事会成员们应该提什么问题理解需要提高意识目的明确

16、衡量业绩坚持不懈,信息安全董事会的一些考虑,信息系统管制 信息系统管制剖析,06/03/2023,2003 KPMG,内容提要,毕马威介绍日益增长的信息技术应用需求信息系统管制信息技术安全信息系统审计毕马威可提供的服务问答,06/03/2023,2003 KPMG,安全事故的种类,毕马威2002年全球信息安全状况纵览,信息技术安全,06/03/2023,2003 KPMG,毕马威2002年全球信息安全状况纵览,信息技术安全,06/03/2023,2003 KPMG,毕马威2002年全球信息安全状况纵览,信息技术安全,06/03/2023,2003 KPMG,毕马威2002年全球信息安全状况纵览

17、,信息技术安全,06/03/2023,2003 KPMG,毕马威2002年全球信息安全状况纵览,信息技术安全,06/03/2023,2003 KPMG,毕马威2002年全球信息安全状况纵览,信息技术安全,06/03/2023,2003 KPMG,毕马威2002年全球信息安全状况纵览,信息技术安全,06/03/2023,2003 KPMG,毕马威2002年全球信息安全状况纵览,信息技术安全,06/03/2023,2003 KPMG,内容提要,毕马威介绍日益增长的信息技术应用需求信息系统管制信息技术安全信息系统审计毕马威可提供的服务问答,06/03/2023,2003 KPMG,信息系统审计,信息

18、系统审计和控制协会ISACA(Information System Audit and Control Association)对信息系统审计的定义：信息系统审计是一个收集、评估证据的过程，以决定信息系统及相关的资源、数据维护和系统的完整性，是否有合适的安全保护，能否为有效地实现组织机构的目标提供可靠的信息，能否有效地利用资源，是否有一个有效的内部控制，能否为实现运作和控制目标提供合理的保障。,信息系统审计,06/03/2023,2003 KPMG,信息系统审计,信息系统审计是按照特定项目的范围和目标开展的。其审计的步骤包括：获取并记录审计范围/主题风险评估和制定初步审计计划及排程详细审计计划

19、初步审阅控制测试大量/实质性测试报告/结果沟通跟踪,信息系统审计,06/03/2023,2003 KPMG,信息系统审计,信息系统审计不仅仅是传统审计业务的简单扩展，信息技术不单影响传统审计人员执行鉴证业务的能力，更重要的是公司和信息系统管理者都认识到信息系统是企业最有价值的资产，和传统资产一样需要控制，企业同时需要审计人员提供对信息资产控制的评价。因此信息系统审计是一门边缘性学科，跨越多学科领域。,信息系统审计,06/03/2023,2003 KPMG,信息技术审计的实例,信息风险评估,其它信息风险管理保证,一般信息技术控制审计,电脑辅助审计技巧,应用系统审计(包括运作前及运作后),信息系统

20、审计,06/03/2023,2003 KPMG,信息系统管制及信息系统审计的实践 信息系统审计可以提供何种帮助,信息系统审计可以在以下方面帮助管理层评估内部控制风险以及财务报告流程：信息技术管理与公司董事会设定的长期发展方向和目标相符合。信息技术管理同董事会能够有效沟通，以助于董事会能够了解并监管信息技术部门的行为及风险。信息技术管理采取了适当的流程以保证公司的信息技术运行符合相关的法律和规定。信息系统审计根据广泛认可的标准进行，例如：Committee of Sponsoring Organization(COSO),The Control Objectives for Informatio

21、n and related Technology(COBIT).,信息系统审计,06/03/2023,2003 KPMG,信息系统审计可以通过以下方面帮助董事会了解信息技术部门的行为：董事会在制定日程计划及任务优先级时考虑了业务及信息技术的风险。董事会从管理层、内部审计人员或其他方面获得了足够的信息以了解并监控信息部门的行为及风险。董事会对公司是否遵循信息技术的法律和规章有必要的关注。董事会有适当的成员构成并具有适当的组织形式以便能了解信息技术的相关问题及风险。,信息系统管制及信息系统审计的实践 信息系统审计可以提供何种帮助,信息系统审计,06/03/2023,2003 KPMG,信息系统审计

22、能够帮助管理层:根据广泛认可的标准（如：COSO,COBIT)对公司内部控制的框架进行分析。为公司建立一套内部控制的方法以助于设计、评估、测试、纠正、监控和跟踪相关控制。为公司建立一套方法以助于公司来设立保证公司内控政策得到遵循的程序。为董事会提供建议。,信息系统管制及信息系统审计的实践 信息系统审计可以提供何种帮助,信息系统审计,06/03/2023,2003 KPMG,新的法规与规定,2002年Sarbanes-Oxley Act 的要求：首席执行官和首席财务官每个季度要签署一份声明，保证公司的财务报表是真实，完整和公正地表述的。首席执行官和首席财务官要每个季度和年度的报告中，要评估公司信

23、息披露的流程和控制的有效性，并在报告中提出结论性意见。管理层每年评估和声明公司财务报告的流程和控制的有效性。,信息系统审计,06/03/2023,2003 KPMG,国内有关法规与规定,中国人民银行的有关要求:商业银行内部控制指引 商业银行计算机信息系统内部控制的重点是：严格划分计算机信息系统开发部门、管理部门与应用部门的职责，建立和健全计算机信息系统风险防范的制度，确保计算机信息系统设备、数据、系统运行和系统环境的安全。外资银行外部审计指导意见注册会计师须审查外资银行电脑系统的使用情况，包括系统是否足以满足日常经营管理及财务报表处理的需要以及通过电脑处理产生的会计分类账、总账等是否能正确反映

24、外资银行的财务状况；信息管理系统应确保各项业务经营的结果和重要信息及时传达相关的管理部门和人员。,信息系统审计,06/03/2023,2003 KPMG,信息系统审计与控制协会（ISACA)的标准及指南,因为信息系统审计的特殊性，以及其对技能的特殊要求，就必须要有一套针对信息系统审计的准则。信息系统审计与控制协会（ISACA)所制定的标准及指南就为信息系统审计做出了规范。,信息系统审计,06/03/2023,2003 KPMG,内容提要,毕马威介绍日益增长的信息技术应用需求信息系统管制信息技术安全信息系统审计毕马威可提供的服务问答,06/03/2023,2003 KPMG,毕马威可提供的相关服

25、务包括：信息系统管制 业务系统控制 业务系统控制 项目风险管理 业务持续性管理,毕马威的服务,06/03/2023,2003 KPMG,信息系统管制,本所的信息系统管制服务包括：协助制订IT政策，IT标准，IT流程协助进行内部审计，如内部进行IT审计的协助；以及内部审计的外包服务信息系统管制的审阅服务控制和风险的评估协助制定外包服务水准协议,毕马威可提供的服务,06/03/2023,2003 KPMG,业务系统控制,本所的业务流程控制服务项目包括：业务流程分析评估和设计基于信息系统的、围绕应用程序业务流程的管理控制和人工控制机制安全管理和控制审阅解决信息安全领域的问题，在系统内实现有效、高效和

26、安全的信息存取IT运行控制审阅重点在与应用程序运行环境的支持和维护相关的风险上数据质量/集成审阅重点在与所需的数据转换和数据接口相关的风险上,毕马威可提供的服务,06/03/2023,2003 KPMG,信息安全服务,本所的信息安全服务的重点和特点在于：确认并减轻信息的安全性/信息的机密性所面临的风险在整个机构内实施统一的安全控制系统和程序增强在有外来攻击时对电子资产的保护监控或审阅安全程序是否符合公司标准帮助设计和实施对互联网的设置制定互联网安全政策独立评估安全应对手段和防火墙方案进行渗透研究，以审阅现有控制机制是否有效,毕马威可提供的服务,06/03/2023,2003 KPMG,项目风险

27、管理,本所的项目风险管理服务包括：项目审阅保证所有风险都得到了必要的处理，并对控制机制提供指导，增大项目成功的可能性项目管理提供专业技能或其他资源，帮助客户管理项目、项目流程或项目办公室软件包的选择和实施协助客户在公司内部市场选择和实施配套的软件数据集成协助客户分析和清除数据，帮助转移至新的系统、或在合并/收购情况下的数据处理。,毕马威可提供的服务,06/03/2023,2003 KPMG,业务持续性管理,本所的业务持续性管理服务的范围包括：审阅现有的业务持续性设备和文件风险评估对关键的经营场所进行渗透测试分析对业务的影响选择系统恢复策略制定业务持续性计划测试系统恢复计划减少/评估保险服务,毕马威可提供的服务,06/03/2023,2003 KPMG,毕马威的相关解决方案,毕马威可提供的服务,06/03/2023,2003 KPMG,问 答,朱 恩 良电 话：(21)53594666 分机3601 电 邮：William.Z,如 有 垂 询，请 联 络：,Eric Kan 电 话：(21)53594666 分机2709 电 邮：Eric.K,ABCD,