銀行的IT內(nèi)部稽核HSC/BOC/October20011銀行的IT內(nèi)部稽核HSC/BOC/October2001典型的銀行環(huán)境

信托/中介角色

涉及客戶錢財受高度的監(jiān)管信息系統(tǒng)的高使用度為和廣大的客戶群，交易方等進行業(yè)務(wù)收務(wù)操作處理

典型的銀行環(huán)境

信托/中介角色2銀行的產(chǎn)品與服務(wù)為客戶提供：

存款/提款

房屋貸款、汽車貸款等

信用卡:使用的系統(tǒng)和分銷渠道：

現(xiàn)金存款機，匯款系統(tǒng)，電話銀行、互聯(lián)網(wǎng)銀行、信用卡付帳系統(tǒng)銀行的產(chǎn)品與服務(wù)為客戶提供：3銀行的產(chǎn)業(yè)與服務(wù)為企業(yè)客戶提供：- 融資：

貸款－定期貸款、銀團

信用證、擔保

上市- 組合管理和交易使用的系統(tǒng)貸款/執(zhí)行和追蹤系統(tǒng)- 交易：前臺、后臺和清算系統(tǒng)- 投資管理：組合管理系統(tǒng)銀行的產(chǎn)業(yè)與服務(wù)為企業(yè)客戶提供：4銀行的信托責任銀行必須：保持客戶的隱私確?？蛻舻慕灰椎牧? 維持為客戶提供的資料和系統(tǒng)的可用性銀行的信托責任銀行必須：5銀行業(yè)務(wù)潛在的問題盜用公款高成本或失盈利資產(chǎn)的破壞/損失不可接受的合計手法不可接受的入帳手法業(yè)務(wù)中斷管理決策錯誤法規(guī)競爭不利Basel對操作風險的定義

“因不足或失敗的內(nèi)部作業(yè)、人員、系統(tǒng)或外部因素而導致的直接/間接損失“銀行業(yè)務(wù)潛在的問題盜用公款6電腦增大操作風險因為：電腦把資料集中于一處人們對資料的取得比以前更多錯誤增加無形難追蹤資料容易遭到破壞或更換電腦病毒缺乏對電腦檢控的認識難以保護寶貴的資料電腦增大操作風險因為：7電腦化的銀行環(huán)境所帶來的風險程序是否適當程序的更換是否經(jīng)過測試、批準及適當?shù)谋灰?？未批準更換的可能性客戶資料是否會有未經(jīng)批準更換？所有交易是否都被記載？所有交易的記載是否不多過一次？所有記載過的交易是否都準確？所有記載是否都被入?。侩娔X化的銀行環(huán)境所帶來的風險程序是否適當8一般的與電腦相關(guān)的不愧手法DataDiddling:

在資料輸入電腦之前/時作更換TrojanHorse:

將無用的指令輸入主流系統(tǒng)執(zhí)行LogicalBomb:

在預定的時間內(nèi)對電腦程序/資料進行破壞Impersonation－偽裝病毒一般的與電腦相關(guān)的不愧手法DataDiddling:9過去三年所盜用的資料和財務(wù)欺詐Source:ComputerSecurityInstitute(CSI)/FBISurvey過去三年所盜用的資料和財務(wù)欺詐Source:Compute10在電子銀行和電子錢幣業(yè)務(wù)中的風險Basel的定義

操作風險是因系統(tǒng)的嚴重缺 而導致到虧損的可能。銀行因系統(tǒng)/產(chǎn)品可能遭到外/內(nèi)部的攻擊使到監(jiān)控極為重要

在電子銀行和電子錢幣業(yè)務(wù)中的風險Basel的定義11如何降低風險

適當?shù)膬?nèi)部監(jiān)控和風險管理框架

如何降低風險12銀行內(nèi)部監(jiān)控的框架五個大點：

控制環(huán)境

風險測試

業(yè)務(wù)監(jiān)控

訊息和交流

監(jiān)督

銀行內(nèi)部監(jiān)控的框架五個大點：13什么是監(jiān)控監(jiān)控是：

政策、作業(yè)/做法及框架以確保在可控制范圍內(nèi)達到業(yè)務(wù)目標和避免不良事件的發(fā)生什么是監(jiān)控監(jiān)控是：14

IT環(huán)境中的監(jiān)控可大致分類為：使用和管理監(jiān)控

確保IT的開發(fā)、執(zhí)行和操作能如期的，受控制的情況下進行預防、改正和偵察的監(jiān)控

資料在電腦系統(tǒng)中所執(zhí)行的監(jiān)控

IT環(huán)境中的監(jiān)控可大致分類為：15使用和管理監(jiān)控高層管理在IT活動的規(guī)劃和監(jiān)控的責任系統(tǒng)開發(fā)管理日常操作管理使用監(jiān)控為保護資產(chǎn)資料，維持資料的完整性 -資料處理監(jiān)控 -授權(quán)/批準 -輸入監(jiān)控 -輸送監(jiān)控 -操作監(jiān)控 -出品監(jiān)控 -稽核監(jiān)控 -后備和恢復監(jiān)控使用和管理監(jiān)控高層管理在IT活動的規(guī)劃和監(jiān)控的責任16想象應(yīng)有的監(jiān)控….偽造簽名而拿取現(xiàn)金支票的遺失員工盜用公款員工通過操縱付款指令作出不正當?shù)母犊钸`法交換客戶的資料程序員改造工資程序以獲得個人利益;黑客以大量的信息要求來充滿網(wǎng)頁以阻止其他人上網(wǎng)想象應(yīng)有的監(jiān)控….偽造簽名而拿取現(xiàn)金17信息系統(tǒng)稽核標準CoBit(信息和相關(guān)科技的監(jiān)控目的) ControlObjectivesforInformation&RelatedTechnology):- 通過技術(shù)，專業(yè)及法規(guī)標準來提高信息系統(tǒng)的監(jiān)控稽核基礎(chǔ);- 一個一般被接受的標準信息系統(tǒng)稽核標準CoBit(信息和相關(guān)科技的監(jiān)控目的)18

CoBit列出：質(zhì)量要求

質(zhì)量

成本

遞送信托要求

有效及效益的操作

資料的可靠性

法規(guī)的依據(jù)監(jiān)控要求

保密

廉政

可用

CoBit列出：質(zhì)量要求19CoBit框架CoBit框架20TAKO示范為ISACA開發(fā)原本是為提高公司對工資信托所應(yīng)有的IT監(jiān)控的認識TAKO示范為ISACA開發(fā)21ComparisonofControlConceptsCOBITSACCOSOSASs55/78PrimaryAudienceManagement,users,informationsystemauditorsInternalAuditorsManagementExternalAuditorsICviewedasaSetofprocessesincludingpolicies,procedures,practices,andorganizationalstructuresSetofprocesses,subsystems,andpeopleProcessProcessICObjectivesorganizationalEffective&efficientoperations

Confidentiality,Integrityandavailabilityofinformation

Reliablefinancialreporting

Compliancewithlaws®sEffective&efficientoperations

Reliablefinancialreporting

Compliancewithlaws®sEffective&efficientoperations

Reliablefinancialreporting

Compliancewithlaws®sReliablefinancialreporting

Effective&efficientoperations

Compliancewithlaws®sComponentsorDomainsDomains:

Planningandorganization

Acquisitionandimplementation

Deliveryandsupport

MonitoringComponents:

ControlEnvironment

Manual&Automated

SystemsControlProceduresComponents:

ControlEnvironment

RiskManagementControl

ActivitiesInformation&CommunicationMonitoringComponents:

ControlEnvironmentRisk

AssessmentControl

ActivitiesInformation&CommunicationMonitoringFocusInformationTechnologyInformationTechnologyOverallEntityFinancialStatementICEffectivenessEvaluatedForaperiodoftimeForaperiodoftimeAtapointintimeForaperiodoftimeResponsibilityforICSystemManagementManagementManagementManagementSize187pagesinfourdocuments1193pagesin12modules353pagesinfourvolumes63pagesintwodocumentsComparisonofControlConcepts22IT保安要求交通網(wǎng)絡(luò)

電子商務(wù)的保安 SecureRemoteAccess

第三方的使用/電郵的保安重要業(yè)務(wù)系統(tǒng)的保安

系統(tǒng)開發(fā)

訊息處理保安管理 BS7799訊息保安政策–操作準則IT保安要求交通網(wǎng)絡(luò)23IT稽核程序風險分析和審核

訊息保安調(diào)研工具(樣品)

業(yè)務(wù)流程Walkthrough

采訪

標準和作業(yè)通過法規(guī)和/或者抽查

利用電腦進行資料分析

比較方法

標準和作業(yè)IT稽核程序風險分析和審核24稽核步驟樣本稽核步驟樣本25銀行的IT內(nèi)部稽核HSC/BOC/October200126銀行的IT內(nèi)部稽核HSC/BOC/October2001典型的銀行環(huán)境

信托/中介角色

涉及客戶錢財受高度的監(jiān)管信息系統(tǒng)的高使用度為和廣大的客戶群，交易方等進行業(yè)務(wù)收務(wù)操作處理

典型的銀行環(huán)境

信托/中介角色27銀行的產(chǎn)品與服務(wù)為客戶提供：

存款/提款

房屋貸款、汽車貸款等

信用卡:使用的系統(tǒng)和分銷渠道：

現(xiàn)金存款機，匯款系統(tǒng)，電話銀行、互聯(lián)網(wǎng)銀行、信用卡付帳系統(tǒng)銀行的產(chǎn)品與服務(wù)為客戶提供：28銀行的產(chǎn)業(yè)與服務(wù)為企業(yè)客戶提供：- 融資：

貸款－定期貸款、銀團

信用證、擔保

上市- 組合管理和交易使用的系統(tǒng)貸款/執(zhí)行和追蹤系統(tǒng)- 交易：前臺、后臺和清算系統(tǒng)- 投資管理：組合管理系統(tǒng)銀行的產(chǎn)業(yè)與服務(wù)為企業(yè)客戶提供：29銀行的信托責任銀行必須：保持客戶的隱私確?？蛻舻慕灰椎牧? 維持為客戶提供的資料和系統(tǒng)的可用性銀行的信托責任銀行必須：30銀行業(yè)務(wù)潛在的問題盜用公款高成本或失盈利資產(chǎn)的破壞/損失不可接受的合計手法不可接受的入帳手法業(yè)務(wù)中斷管理決策錯誤法規(guī)競爭不利Basel對操作風險的定義

“因不足或失敗的內(nèi)部作業(yè)、人員、系統(tǒng)或外部因素而導致的直接/間接損失“銀行業(yè)務(wù)潛在的問題盜用公款31電腦增大操作風險因為：電腦把資料集中于一處人們對資料的取得比以前更多錯誤增加無形難追蹤資料容易遭到破壞或更換電腦病毒缺乏對電腦檢控的認識難以保護寶貴的資料電腦增大操作風險因為：32電腦化的銀行環(huán)境所帶來的風險程序是否適當程序的更換是否經(jīng)過測試、批準及適當?shù)谋灰?？未批準更換的可能性客戶資料是否會有未經(jīng)批準更換？所有交易是否都被記載？所有交易的記載是否不多過一次？所有記載過的交易是否都準確？所有記載是否都被入取？電腦化的銀行環(huán)境所帶來的風險程序是否適當33一般的與電腦相關(guān)的不愧手法DataDiddling:

在資料輸入電腦之前/時作更換TrojanHorse:

將無用的指令輸入主流系統(tǒng)執(zhí)行LogicalBomb:

在預定的時間內(nèi)對電腦程序/資料進行破壞Impersonation－偽裝病毒一般的與電腦相關(guān)的不愧手法DataDiddling:34過去三年所盜用的資料和財務(wù)欺詐Source:ComputerSecurityInstitute(CSI)/FBISurvey過去三年所盜用的資料和財務(wù)欺詐Source:Compute35在電子銀行和電子錢幣業(yè)務(wù)中的風險Basel的定義

操作風險是因系統(tǒng)的嚴重缺 而導致到虧損的可能。銀行因系統(tǒng)/產(chǎn)品可能遭到外/內(nèi)部的攻擊使到監(jiān)控極為重要

在電子銀行和電子錢幣業(yè)務(wù)中的風險Basel的定義36如何降低風險

適當?shù)膬?nèi)部監(jiān)控和風險管理框架

如何降低風險37銀行內(nèi)部監(jiān)控的框架五個大點：

控制環(huán)境

風險測試

業(yè)務(wù)監(jiān)控

訊息和交流

監(jiān)督

銀行內(nèi)部監(jiān)控的框架五個大點：38什么是監(jiān)控監(jiān)控是：

政策、作業(yè)/做法及框架以確保在可控制范圍內(nèi)達到業(yè)務(wù)目標和避免不良事件的發(fā)生什么是監(jiān)控監(jiān)控是：39

IT環(huán)境中的監(jiān)控可大致分類為：使用和管理監(jiān)控

確保IT的開發(fā)、執(zhí)行和操作能如期的，受控制的情況下進行預防、改正和偵察的監(jiān)控

資料在電腦系統(tǒng)中所執(zhí)行的監(jiān)控

IT環(huán)境中的監(jiān)控可大致分類為：40使用和管理監(jiān)控高層管理在IT活動的規(guī)劃和監(jiān)控的責任系統(tǒng)開發(fā)管理日常操作管理使用監(jiān)控為保護資產(chǎn)資料，維持資料的完整性 -資料處理監(jiān)控 -授權(quán)/批準 -輸入監(jiān)控 -輸送監(jiān)控 -操作監(jiān)控 -出品監(jiān)控 -稽核監(jiān)控 -后備和恢復監(jiān)控使用和管理監(jiān)控高層管理在IT活動的規(guī)劃和監(jiān)控的責任41想象應(yīng)有的監(jiān)控….偽造簽名而拿取現(xiàn)金支票的遺失員工盜用公款員工通過操縱付款指令作出不正當?shù)母犊钸`法交換客戶的資料程序員改造工資程序以獲得個人利益;黑客以大量的信息要求來充滿網(wǎng)頁以阻止其他人上網(wǎng)想象應(yīng)有的監(jiān)控….偽造簽名而拿取現(xiàn)金42信息系統(tǒng)稽核標準CoBit(信息和相關(guān)科技的監(jiān)控目的) ControlObjectivesforInformation&RelatedTechnology):- 通過技術(shù)，專業(yè)及法規(guī)標準來提高信息系統(tǒng)的監(jiān)控稽核基礎(chǔ);- 一個一般被接受的標準信息系統(tǒng)稽核標準CoBit(信息和相關(guān)科技的監(jiān)控目的)43

CoBit列出：質(zhì)量要求

質(zhì)量

成本

遞送信托要求

有效及效益的操作

資料的可靠性

法規(guī)的依據(jù)監(jiān)控要求

保密

廉政

可用

CoBit列出：質(zhì)量要求44CoBit框架CoBit框架45TAKO示范為ISACA開發(fā)原本是為提高公司對工資信托所應(yīng)有的IT監(jiān)控的認識TAKO示范為ISACA開發(fā)46ComparisonofControlConceptsCOBITSACCOSOSASs55/78PrimaryAudienceManagement,users,informationsystemauditorsInternalAuditorsManagementExternalAuditorsICviewedasaSetofprocessesincludingpolicies,procedures,practices,andorganizationalstructuresSetofprocesses,subsystems,andpeopleProcessProcessICObjectivesorganizationalEffective&efficientoperations

Confidentiality,Integrityandavailabilityofinformation

Reliablefinancialreporting

Compliancewithlaws®sEffective&efficientoperations

Reliablefinancialreporting

Compliancewithlaws®sEffective&efficientoperations

Reliablefinancialreporting

Compliancewithlaws®sReliablefinancialreporting

Effective&efficientoperations

Compliancewithlaws®sComponentsorDomainsDomains:

Planningandorganization

Acquisitionandimplementation

Deliveryandsupport

MonitoringComponents:

ControlEnvironment

Manual&Automated

SystemsControlProceduresComponents:

ControlEnvironment

RiskManagementControl

ActivitiesInformation&Communica