毕马威-银行信息系统管制

ABCD银行信息系统管制朱恩良毕马威会计师事务所2003年7月26日ABCD11/08/2019©2003KPMG内容提要毕马威介绍日益增长的信息技术应用需求信息系统管制信息技术安全信息系统审计毕马威可提供的服务问答ABCD11/08/2019©2003KPMG在全球各地金融服务业拥有雄厚的实力金融服务业是毕马威阵容最鼎盛、实力最雄厚的行业专责团队，拥有遍布世界各地的服务网络在全球逾150个国家超过750个城市设有办事处，共聘用专业人员超过10万人本所亦于中国多个城市设立办事处，包括香港、北京、上海、广州、深圳及澳门本所为全球五百大银行当中的一半银行，以及三分之二全球最大型的保险公司提供服务毕马威介绍ABCD11/08/2019©2003KPMG毕马威曾多次为世界各地的金融机构提供服务，所以拥有无可比拟的经验实力澳洲纽西兰银行花旗集团瑞士信贷第一波士顿德意志银行德国裕宝联合银行荷兰商业银行澳洲国民银行第一银行汇丰银行渣打银行维萨国际美国银行法国兴业银行太阳信托银行美国信孚银行穆迪美国嘉信理财公司美林集团美国信托公司苏黎世金融大联基金管理纽约人寿美国保德信人寿保险安联大众人寿保险英国保诚皇家太阳联合保险慕尼黑再保险瑞士丰泰保险蓝十字美国再保险毕马威介绍ABCD11/08/2019©2003KPMG毕马威亦为多家国内及香港的金融机构提供服务•北京•上海•深圳广州••香港中国国际再保险公司中保国际控股有限公司香港出口信用保险局中国人民保险公司泰康人寿安联大众东方人寿太平人寿信诚人寿中国银行中国建设银行招商银行中信实业银行上海浦东发展银行中国国际金融有限公司广东发展银行京华山一证券汇丰银行恒生银行渣打银行东亚银行中信嘉华银行港基国际银行永亨银行毕马威介绍ABCD11/08/2019©2003KPMG内容提要毕马威简介日益增长的信息技术应用需求信息系统管制信息技术安全信息系统审计毕马威可提供的服务问答ABCD11/08/2019©2003KPMG日益增长的信息技术应用需求用以区分自身与竞争对手间的产品和服务促进不同部门及区域间的合作，以使知识资本和企业专长发挥最大效益鼓励员工间的沟通和团队合作按由客户驱动的业务品种整合技术战略信息技术对银行的重要性ABCD11/08/2019©2003KPMG增进客户关系:-帮助建立特定客户的整体信息资料-针对现有客户关系的一致的、综合的和可靠的信息-识别交叉销售机会业务涉及大量数据，提高效率及减少反应时间除了记录原始数据外，银行会应用资讯科技于客户服务系统、投资系统、保险系统、精算系统、会计系统及现金支付系统等信息技术对银行的重要性（续）日益增长的信息技术应用需求ABCD11/08/2019©2003KPMG今天金融企业的管理者比以往更依赖信息技术去经营其业务管理层更有责任确保信息系统和业务流程受到恰当的监控越来越注重信息技术的投入产出在很多情况下，信息技术往往是仅次于人工的第二大费用支出信息技术对管理的影响日益增长的信息技术应用需求ABCD11/08/2019©2003KPMG那个系统不重要？越来越复杂的信息系统日益增长的信息技术应用需求ABCD11/08/2019©2003KPMG一般银行内部审计部门的框架审计工作汇报不足之处及对其影响的评价建议跟进风险确认及管理程序监控框架评价财务及管理资料的合规审核业务审核—效益、效率及成效基准及主要表现指标内部审计职权范围内部审计策略内部审计方案范围职权上报程序职责问责性风险评估监控框架审计范畴范围人力资源时间范围到访频密程度持续改善向审计委员会定期汇报日益增长的信息技术应用需求ABCD11/08/2019©2003KPMG内容提要毕马威简介日益增长的信息技术应用需求信息系统管制信息技术安全信息系统审计毕马威可提供的服务问答ABCD11/08/2019©2003KPMG信息时代对信息技术的要求o完整性(Integraty)o安全性(Security)o可靠性(Reliability)o服从规定(Compliance)信息系统管制是上述要求得到落实的重要措施。信息系统管制ABCD11/08/2019©2003KPMG着重关注领导能力、组织结构和流程，以保证信息技术支持及拓展企业的创造和保存价值及财富的战略和目标。信息系统管制的定义信息系统管制ABCD11/08/2019©2003KPMG信息系统管制关注的主要方面o信息系统的管理、规划与组织o信息系统技术基础设施与操作实务o信息资产的保护o灾难恢复与业务持续计划o应用系统开发、获得、实施与维护o业务流程评价与风险管理信息系统管制ABCD11/08/2019©2003KPMG信息系统管制剖析利益相关方信息技术管制架构信息技术设置及价值的实现风险管理性能评估安全信息系统管制ABCD11/08/2019©2003KPMG来自利益相关方的压力股东和高级管理层低成本、高利润及增大市场占用率客户和员工低成本、多功能及易于操作社会高级行政人员承担更多的责任信息系统管制–信息系统管制剖析ABCD11/08/2019©2003KPMG信息技术的应用产生信息系统管制的需要⁰有希望达到其目的⁰有适应发展的余地⁰能控制所面临的风险⁰能恰当地认清机遇并给出适当的回应企业必须知道其信息系统是否:信息系统管制–信息系统管制剖析ABCD11/08/2019©2003KPMG监管层发出何种信息？中国的监管层⁰着重关注营运风险，在这方面安全性和信息技术极为重要⁰所有重要风险事项均由以下方面造成:-内部控制-疏忽-信息技术信息系统管制–信息系统管制剖析ABCD11/08/2019©2003KPMG对信息系统管制的需求与日倶增⁰从金融企业经营的角度对信息系统加以适当监控的需求越来越迫切⁰管理者必须确保信息技术的投资回报⁰来自国家的规定和资金市场的压力与日俱增⁰事实证明竞争优势来源于对信息技术的大量投资⁰越来越多的股东需求对投资的保障信息系统管制–信息系统管制剖析ABCD11/08/2019©2003KPMG信息技术管制剖析利益相关方信息技术管制架构信息技术设置及价值的实现性能评估风险管理安全信息系统管制ABCD11/08/2019©2003KPMG为何要进行信息技术管制？o“审慎”o信息技术对企业至关重要o信息技术对企业经营有着战略上的意义o预期与现实不相吻合o信息技术没有得到应有的重视o信息技术牵涉到高额投资和巨大的风险信息系统管制–信息系统管制剖析ABCD11/08/2019©2003KPMG董事会应有哪些作为？信息技术价值的实现利益相关方价值动因结果评估风险管理信息技术的战略组合o从利益相关方的利益出发o建立一个信息技术管制框架o提出适当的问题o着重关注信息技术的以下方面o与企业业务的有机结合o价值创造o风险管理o评估结果信息系统管制–信息系统管制剖析ABCD11/08/2019©2003KPMG银行管理层应有哪些作为？o根据经营目标设立信息技术战略o将战略及目标传达至企业各个层面o设置能够促进该架构的战略实施的组织结构o采用一套信息技术控制及管制架构o提高信息技术基础设施以促进业务信息的生成和分享o着重关注重要的信息技术流程和核心功能o评估结果(业务均衡计分卡)信息系统管制–信息系统管制剖析ABCD11/08/2019©2003KPMG审计师该如何应对？o取得对信息技术管制的理解o让董事会和管理层集中精力解决前两页中所述的问题o建议采用一套信息技术的控制和管制架构，例如COBITo建立地区机构组织，以利于上述架构的实施o自我衡量业绩（业务均衡计分卡）信息系统管制–信息系统管制剖析ABCD11/08/2019©2003KPMGCOBIT:一套信息技术控制和管制架构•综合经营报告–“有一种方式…”•架构–“这种方式是…”•控制目标–“最低控制措施是…”•审计方针–“如何审计…”•实施指南–“如何实施”•管理层指南–“如何衡量”COBIT的要素–什么?信息系统管制–信息系统管制剖析ABCD11/08/2019©2003KPMGCOBIT:一套信息技术控制和管制架构•业绩衡量要素（所有信息技术流程的成果衡量指标和表现的影响因素）•关键成功因素的清单，它为每个信息技术流程提供简明的非技术性最佳作法•一个成熟的模式，用于协助每个信息技术流程控制的基准和决策最近的发展趋势是增加一个管理和管制层，为管理层提供了一套工具，其中包括：信息系统管制–信息系统管制剖析ABCD11/08/2019©2003KPMG信息技术管制剖析利益相关方信息技术管制架构信息技术设置及价值的实现风险管理性能评估安全信息系统管制ABCD11/08/2019©2003KPMG信息技术一致化“信息技术一致化是一个过程，而不是最终目标。”业务战略一致化举措信息系统营运信息技术战略业务营运信息系统管制–信息系统管制剖析ABCD11/08/2019©2003KPMG“信息技术的价值在关注者的眼中。”信息技术价值的实现财务业务单位经营业务单位信息技术应用业务单位整个公司信息技术对业务的影响时间所实现的业务价值业务管理信息技术管理影响程度信息系统管制–信息系统管制剖析ABCD11/08/2019©2003KPMG信息技术管制剖析利益相关方信息技术管制架构信息技术设置及价值的实现风险管理性能评估安全信息系统管制ABCD11/08/2019©2003KPMG信息技术风险管理董事会应通过以下方式管理企业风险：o确定企业在其重大风险方面具有透明度o理解风险管理的最终责任在于董事会o理解风险化解能带来成本效益o考虑积极的风险管理方式会创造竞争优势o风险管理是企业营运中的内在组成部分“就是那些你看不见的信息技术鳄鱼会吃掉你！”信息系统管制–信息系统管制剖析ABCD11/08/2019©2003KPMG信息技术的风险（举例）信息技术的风险技能安全地理文化竞争技术品牌语言业务流程信息系统管制–信息系统管制剖析ABCD11/08/2019©2003KPMG信息技术风险管理风险管理的延伸……o风险分配－合同、SLAs……o风险缓解－安全保障和控制手段o风险转移－保险和责任o风险保障－审计和认证o风险承担－正式、透明信息系统管制–信息系统管制剖析ABCD11/08/2019©2003KPMG董事会关注的问题风险管理基准评估服从规定ITRMB信息技术对业务的有效性信息技术的效率信息技术的有效性Models“要改善性能，你必须知道如何更好地管理风险”信息系统管制信息系统管制–信息系统管制剖析ABCD11/08/2019©2003KPMG012345信息技术的管理物理安全控制信息的安全系统的持续性变更管理系统开发内部审计1stQuartile2ndQuartile3rdQuartile4thQuartile客户信息技术风险的管理评估信息系统管制–信息系统管制剖析ABCD11/08/2019©2003KPMG信息技术管制剖析利益相关方信息技术管制架构信息技术设置及价值的实现风险管理性能评估安全信息系统管制ABCD11/08/2019©2003KPMG信息财务客户流程目标措施目标措施学习目标措施目标措施信息技术目标和措施信息技术均衡计分卡“如果你玩商业游戏却不给信息技术打分，你就只是在纸上谈兵。”信息系统管制–信息系统管制剖析ABCD11/08/2019©2003KPMG信息技术管制剖析利益相关方信息技术管制架构信息技术设置及价值的实现风险管理性能评估安全信息系统管制ABCD11/08/2019©2003KPMGo理解董事会成员们应该提什么问题o理解需要o提高意识o目的明确o衡量业绩o坚持不懈信息安全董事会的一些考虑信息系统管制–信息系统管制剖析ABCD11/08/2019©2003KPMG内容提要毕马威介绍日益增