银行信息系统管制IT审计（毕马威）

《银行信息系统管制IT审计（毕马威）》由会员分享，可在线阅读，更多相关《银行信息系统管制IT审计（毕马威）（71页珍藏版）》请在装配图网上搜索。

1、ABCD银行信息系统管制银行信息系统管制朱恩良朱恩良毕马威会计师事务所毕马威会计师事务所20032003年年7 7月月2626日日ABCD 12/30/2021 2003 KPMG内容提要内容提要n毕马威毕马威介绍介绍n日益增长的信息技术应用需求日益增长的信息技术应用需求n信息系统管制信息系统管制n信息技术安全信息技术安全n信息系统审计信息系统审计n毕马威可提供的服务毕马威可提供的服务n问答问答ABCD 12/30/2021 2003 KPMG在全球各地金融服务业拥有雄厚的实力在全球各地金融服务业拥有雄厚的实力n金融服务业是毕马威阵容最鼎盛、实力最雄厚的行业专责金融服务业是毕马威阵容最鼎盛、实

2、力最雄厚的行业专责团队，拥有遍布世界各地的服务网络团队，拥有遍布世界各地的服务网络n在全球逾在全球逾 150 个国家超过个国家超过 750个城市设有办事处，共聘用个城市设有办事处，共聘用专业人员超过专业人员超过 10 万人万人n本所亦于中国多个城市设立办事处，包括香港、北京、上本所亦于中国多个城市设立办事处，包括香港、北京、上海、广州、深圳及澳门海、广州、深圳及澳门n本所为全球五百大银行当中的一半银行，以及三分之二全本所为全球五百大银行当中的一半银行，以及三分之二全球最大型的保险公司提供服务球最大型的保险公司提供服务毕马威介绍毕马威介绍ABCD 12/30/2021 2003 KPMG毕马威曾

3、毕马威曾多次多次为为世界各地世界各地的的金融金融机构机构提供服务提供服务，所以所以拥有拥有无可比拟无可比拟的的经验实力经验实力n澳洲纽西兰银行澳洲纽西兰银行n花旗集团花旗集团n瑞士信贷第一波士顿瑞士信贷第一波士顿n德意志银行德意志银行n德国裕宝联合银行德国裕宝联合银行n荷兰商业银行荷兰商业银行n澳洲国民银行澳洲国民银行n第一银行第一银行n汇丰银行汇丰银行n渣打银行渣打银行n维萨国际维萨国际n美国银行美国银行n法国兴业银行法国兴业银行n太阳信托银行太阳信托银行n美国信孚银行美国信孚银行n穆迪穆迪n美国嘉信理财公司美国嘉信理财公司n美林集团美林集团n美国信托公司美国信托公司n苏黎世金融苏黎世金融n

4、大联基金管理大联基金管理n纽约人寿纽约人寿n美国保美国保德德信人信人寿保险寿保险n安联大众人寿保险安联大众人寿保险n英国保诚英国保诚n皇家太阳联合保险皇家太阳联合保险n慕尼黑再保险慕尼黑再保险n瑞士丰泰保险瑞士丰泰保险n蓝十字蓝十字n美国再保险美国再保险毕马威介绍毕马威介绍ABCD 12/30/2021 2003 KPMG毕马威亦为多毕马威亦为多家国内及香港的金融机构提家国内及香港的金融机构提供服务供服务北京北京上海上海 深圳深圳广州广州 香港香港n中国国际再保险公司中国国际再保险公司n中保国际控股有限公司中保国际控股有限公司n香港出口信用保险局香港出口信用保险局n中国人民保险公司中国人民保险

5、公司n泰康人寿泰康人寿n安联大众安联大众n东方人寿东方人寿n太平人寿太平人寿n信诚人寿信诚人寿n中国银行中国银行n中国建设银行中国建设银行n招商银行招商银行n中信实业银行中信实业银行n上海浦东发展银行上海浦东发展银行n中国国际金融有限公司中国国际金融有限公司n广东发展银行广东发展银行n京华山一证券京华山一证券n汇丰银行汇丰银行n恒生银行恒生银行n渣打银行渣打银行n东亚银行东亚银行n中信嘉华银行中信嘉华银行n港基国际银行港基国际银行n永亨银行永亨银行毕马威介绍毕马威介绍ABCD 12/30/2021 2003 KPMG内容提要内容提要n毕马威简介毕马威简介n日益增长的信息技术应用需求日益增长的信

6、息技术应用需求n信息系统管制信息系统管制n信息技术安全信息技术安全n信息系统审计信息系统审计n毕马威可提供的服务毕马威可提供的服务n问答问答ABCD 12/30/2021 2003 KPMG日益增长的信息技术应用需求日益增长的信息技术应用需求n用以区分自身用以区分自身与与竞争对手竞争对手间的间的产品产品和和服务服务n促进不同部门促进不同部门及及区域区域间的间的合作合作，以使，以使知识资本知识资本和和企业专长发挥最大企业专长发挥最大效益效益n鼓励员工鼓励员工间的间的沟通沟通和和团队合作团队合作n按由按由客户驱动客户驱动的的业务品种整合业务品种整合技术战略技术战略信息技术对银行的重要性信息技术对银

7、行的重要性ABCD 12/30/2021 2003 KPMGn增进客户关系增进客户关系: :-帮助建立特定客户的整体信息资料-针对现有客户关系的一致的、综合的和可靠的信息-识别交叉销售机会n业务涉及大量数据，业务涉及大量数据，提高效率及减少反应时间提高效率及减少反应时间n除了记录原始数据外，除了记录原始数据外，银行银行会应用资讯科技于客户会应用资讯科技于客户 服务系统、投资系统、保险系统服务系统、投资系统、保险系统 、精算系统、会计、精算系统、会计系统及现金支付系统等系统及现金支付系统等信息技术对银行的重要性（续）信息技术对银行的重要性（续）日益增长的信息技术应用需求日益增长的信息技术应用需求

8、ABCD 12/30/2021 2003 KPMGn今天金融企业的管理者比以往更依赖信息技术今天金融企业的管理者比以往更依赖信息技术去经营其业务去经营其业务n管理层更有责任确保信息系统和业务流程受到管理层更有责任确保信息系统和业务流程受到恰当的监控恰当的监控n越来越注重信息技术的投入产出越来越注重信息技术的投入产出n在很多情况下，信息技术往往是仅次于人工的在很多情况下，信息技术往往是仅次于人工的第二大费用支出第二大费用支出信息技术对管理的影响信息技术对管理的影响日益增长的信息技术应用需求日益增长的信息技术应用需求ABCD 12/30/2021 2003 KPMG那个系统不重要？那个系统不重要？

9、越来越复杂的信息系统越来越复杂的信息系统日益增长的信息技术应用需求日益增长的信息技术应用需求ABCD 12/30/2021 2003 KPMG一般银行内部审计部门的框架一般银行内部审计部门的框架审计工作审计工作汇报汇报n 不足之处及对其影响的评价不足之处及对其影响的评价n 建议建议n 跟进跟进n 风险确认及管理程序风险确认及管理程序n 监控框架评价监控框架评价n 财务及管理资料的合规审核财务及管理资料的合规审核n 业务审核业务审核 效益、效率及成效效益、效率及成效n 基准及主要表现指标基准及主要表现指标内部审计职权范围内部审计职权范围内部审计策略内部审计策略内部审计方案内部审计方案n 范围范围

10、n 职权职权n 上报程序上报程序n 职责职责n 问责性问责性n 风险评估风险评估n 监控框架监控框架n 审计范畴审计范畴n 范围范围n 人力资源人力资源n 时间范围时间范围n 到访频密程度到访频密程度持持续续改改善善向向审审计计委委员员会会定定期期汇汇报报日益增长的信息技术应用需求日益增长的信息技术应用需求ABCD 12/30/2021 2003 KPMG内容提要内容提要n毕马威简介毕马威简介n日益增长的信息技术应用需求日益增长的信息技术应用需求n信息系统管制信息系统管制n信息技术安全信息技术安全n信息系统审计信息系统审计n毕马威可提供的服务毕马威可提供的服务n问答问答ABCD 12/30/2

11、021 2003 KPMG信息时代对信息技术的要求信息时代对信息技术的要求o完整性完整性 (Integraty)o安全性安全性 (Security)o可靠性可靠性 (Reliability)o服从规定服从规定 (Compliance)信息系统管制信息系统管制是上述要求得到落实的重要措施。是上述要求得到落实的重要措施。信息系统管制信息系统管制ABCD 12/30/2021 2003 KPMG着重关注领导能力着重关注领导能力、组织结构和流程，以、组织结构和流程，以保证信息保证信息技术支持及技术支持及拓展企业拓展企业的的创造创造和和保保存价值存价值及及财富财富的战略和目标。的战略和目标。信息信息系统

12、管制的定义系统管制的定义信息系统管制信息系统管制ABCD 12/30/2021 2003 KPMG信息系统管制信息系统管制关注的主要方面关注的主要方面o信息系统的管理、规划与组织信息系统的管理、规划与组织 o信息系统技术基础设施与操作实务信息系统技术基础设施与操作实务 o信息资产的保护信息资产的保护 o灾难恢复与业务持续计划灾难恢复与业务持续计划 o应用系统开发、获得、实施与维护应用系统开发、获得、实施与维护 o业务流程评价与风险管理业务流程评价与风险管理 信息系统管制信息系统管制ABCD 12/30/2021 2003 KPMG信息信息系统管制系统管制剖析剖析利益相关利益相关方方信息信息技术

13、技术管制管制架构架构信息信息技术技术设置设置及及价值价值的的实现实现风险风险管理管理性能评估性能评估安全安全信息系统管制信息系统管制 ABCD 12/30/2021 2003 KPMG来自利益相关来自利益相关方的方的压力压力股东股东和和高级管理高级管理层层低低成本成本、高、高利润利润及及增大市场占用增大市场占用率率客户客户和和员工员工低低成本成本、多、多功能功能及及易于操作易于操作社会社会高级行政人员承担更多高级行政人员承担更多的的责任责任信息系统管制信息系统管制 信息系统管制剖析信息系统管制剖析 ABCD 12/30/2021 2003 KPMG信息技术的应用信息技术的应用产生信息系统管制的

14、需要产生信息系统管制的需要有希望达到其目的有希望达到其目的有适应发展的余地有适应发展的余地能控制所面临的风险能控制所面临的风险能恰当地认清机遇并给出适当的回应能恰当地认清机遇并给出适当的回应企业必须知道其信息系统是否企业必须知道其信息系统是否: 信息系统管制信息系统管制 信息系统管制剖析信息系统管制剖析 ABCD 12/30/2021 2003 KPMG监管监管层层发出发出何种何种信息信息？中国中国的的监管监管层层着重关注着重关注营运营运风险风险，在这，在这方面安全性方面安全性和和信信息技术极为重要息技术极为重要所有重要风险事项所有重要风险事项均由均由以下方面造成以下方面造成 : :-内部控制

15、-疏忽-信息技术 信息系统管制信息系统管制 信息系统管制剖析信息系统管制剖析 ABCD 12/30/2021 2003 KPMG对信息系统管制的需求与日倶增对信息系统管制的需求与日倶增从金融企业经营的角度对信息系统加以适当监控的从金融企业经营的角度对信息系统加以适当监控的需求越来越迫切需求越来越迫切管理者必须确保信息技术的投资回报管理者必须确保信息技术的投资回报来自国家的规定和资金市场的压力与日俱增来自国家的规定和资金市场的压力与日俱增事实证明竞争优势来源于对信息技术的大量投资事实证明竞争优势来源于对信息技术的大量投资越来越多的股东需求对投资的保障越来越多的股东需求对投资的保障信息系统管制信息

16、系统管制 信息系统管制剖析信息系统管制剖析ABCD 12/30/2021 2003 KPMG信息信息技术技术管制管制剖析剖析利益相关利益相关方方信息信息技术技术管制管制架构架构信息信息技术技术设置设置及及价值价值的的实现实现性能评估性能评估风险风险管理管理安全安全信息系统管制信息系统管制 ABCD 12/30/2021 2003 KPMG为何为何要要进行信息进行信息技术技术管制管制o“审慎审慎”o信息信息技术对技术对企业至关重要企业至关重要o信息信息技术对技术对企业经营企业经营有着战略上的有着战略上的意义意义o预期预期与与现实现实不相不相吻合吻合o信息信息技术没有技术没有得到应有得到应有的的重

17、视重视o信息信息技术牵涉到高额技术牵涉到高额投资投资和和巨大巨大的的风险风险信息系统管制信息系统管制 信息系统管制剖析信息系统管制剖析ABCD 12/30/2021 2003 KPMG董事董事会会应有哪些作为应有哪些作为？信息信息技术技术价价值值的的实现实现利益相关利益相关方方价值价值动因动因结果结果评估评估风险风险管理管理信息信息技术的技术的战略战略组合组合o从从利益相关利益相关方的方的利益出发利益出发o建立一个信息建立一个信息技术技术管制管制框架框架o提出适当提出适当的的问题问题o着重关注信息着重关注信息技术的技术的以下方面以下方面o与与企业业务企业业务的有机的有机结合结合o价值创造价值创

18、造o风险风险管理管理 o评估评估结果结果信息系统管制信息系统管制 信息系统管制剖析信息系统管制剖析ABCD 12/30/2021 2003 KPMG银行银行管理层管理层应有哪些作为应有哪些作为？o根据根据经营经营目标目标设立信息设立信息技术战略技术战略o将战略及目标将战略及目标传达传达至至企业各个企业各个层面层面o设置能够促进设置能够促进该架构的战略该架构的战略实施实施的组织结构的组织结构o采用一套信息采用一套信息技术技术控制控制及及管制管制架构架构o提高信息提高信息技术技术基础设施基础设施以以促进业务信息促进业务信息的生成的生成和和分享分享o着重关注重要着重关注重要的的信息信息技术流程和技术

19、流程和核心功能核心功能o评估评估结果结果( (业务均衡计分卡业务均衡计分卡) )信息系统管制信息系统管制 信息系统管制剖析信息系统管制剖析ABCD 12/30/2021 2003 KPMG审计师该如何应对？审计师该如何应对？o取得对信息技术管制的理解取得对信息技术管制的理解o让董事会和管理层集中精力解决前两页中所述让董事会和管理层集中精力解决前两页中所述的问题的问题o建议采用一套信息技术的控制和管制架构，例建议采用一套信息技术的控制和管制架构，例如如COBITo建立建立地区地区机构组织，以利于上述架构的实施机构组织，以利于上述架构的实施o自我衡量业绩（业务均衡计分卡）自我衡量业绩（业务均衡计分

20、卡）信息系统管制信息系统管制 信息系统管制剖析信息系统管制剖析ABCD 12/30/2021 2003 KPMGCOBIT : 一套信息技术控制和管制架构一套信息技术控制和管制架构综合经营报告综合经营报告 “有一种方式有一种方式”架构架构 “这种方式是这种方式是 ”控制目标控制目标 “最低控制措施是最低控制措施是 ”审计方针审计方针 “如何审计如何审计 ”实施指南实施指南 “如何实施如何实施”管理层指南管理层指南 “如何衡量如何衡量”COBIT的要素的要素 什么什么? ?信息系统管制信息系统管制 信息系统管制剖析信息系统管制剖析ABCD 12/30/2021 2003 KPMGCOBIT :一

21、套信息技术控制和管制架构一套信息技术控制和管制架构业绩衡量要素（所有信息技术流程的成果衡量指标业绩衡量要素（所有信息技术流程的成果衡量指标和表现的影响因素）和表现的影响因素）关键成功因素的清单，它为每个信息技术流程提供关键成功因素的清单，它为每个信息技术流程提供简明的非技术性最佳作法简明的非技术性最佳作法一个成熟的模式，用于协助每个信息技术流程控制一个成熟的模式，用于协助每个信息技术流程控制的基准和决策的基准和决策最近的发展趋势是增加一个管理和管制层，为管最近的发展趋势是增加一个管理和管制层，为管理层提供了一套工具，其中包括：理层提供了一套工具，其中包括：信息系统管制信息系统管制 信息系统管制

22、剖析信息系统管制剖析ABCD 12/30/2021 2003 KPMG信息信息技术技术管制管制剖析剖析利益相关利益相关方方信息信息技术技术管制管制架构架构信息信息技术技术设置设置及及价值价值的的实现实现风险风险管理管理性能评估性能评估安全安全信息系统管制信息系统管制 ABCD 12/30/2021 2003 KPMG信息技术一致化信息技术一致化 “信息技术一致化是一个过程，而不是最终目标。信息技术一致化是一个过程，而不是最终目标。” 业务战略业务战略一致化举措一致化举措信息系统营运信息系统营运信息技术战信息技术战略略业务营运业务营运信息系统管制信息系统管制 信息系统管制剖析信息系统管制剖析AB

23、CD 12/30/2021 2003 KPMG“信息技术的价值在关注者的眼中。信息技术的价值在关注者的眼中。” 信息技术价值的实现信息技术价值的实现财务业务单位经营业务单位信息技术应用业务单位整个公司信息技术对业务的影响时间对业务的影响时间所实现的业务价值业务管理业务管理信息技术信息技术管理管理影响程度影响程度信息系统管制信息系统管制 信息系统管制剖析信息系统管制剖析ABCD 12/30/2021 2003 KPMG信息信息技术技术管制管制剖析剖析利益相关利益相关方方信息信息技术技术管制管制架构架构信息信息技术技术设置设置及及价值价值的的实现实现风险风险管理管理性能评估性能评估安全安全信息系统

24、管制信息系统管制 ABCD 12/30/2021 2003 KPMG信息技术风险管理信息技术风险管理董事会应通过以下方式管理企业风险：董事会应通过以下方式管理企业风险：o确定企业在其重大风险方面具有确定企业在其重大风险方面具有透明度透明度o理解风险管理的最终理解风险管理的最终责任责任在于董事会在于董事会o理解风险化解能带来理解风险化解能带来成本效益成本效益o考虑积极的风险管理方式会创造考虑积极的风险管理方式会创造竞争优势竞争优势o风险管理是风险管理是企业营运中的内在组成部分企业营运中的内在组成部分“就是那些你看不见的信息技术鳄鱼会吃掉你！就是那些你看不见的信息技术鳄鱼会吃掉你！”信息系统管制信

25、息系统管制 信息系统管制剖析信息系统管制剖析ABCD 12/30/2021 2003 KPMG信息技术的风险信息技术的风险（举例）（举例）信息技术信息技术的风险的风险技能技能安全安全地理地理文化文化竞争竞争技术技术品牌品牌语言语言业务流程业务流程信息系统管制信息系统管制 信息系统管制剖析信息系统管制剖析ABCD 12/30/2021 2003 KPMG信息技术风险管理信息技术风险管理风险管理的延伸风险管理的延伸 o风险分配合同、风险分配合同、SLAs o风险缓解安全保障和控制手段风险缓解安全保障和控制手段o风险转移保险和责任风险转移保险和责任o风险保障审计和认证风险保障审计和认证o风险承担正式

26、、透明风险承担正式、透明信息系统管制信息系统管制 信息系统管制剖析信息系统管制剖析ABCD 12/30/2021 2003 KPMGn董事会关注的问题董事会关注的问题n风险管理风险管理n基准评估基准评估n服从规定服从规定信息技术对业务的有效性信息技术对业务的有效性信息技术的效率信息技术的效率信息技术的有效性信息技术的有效性“要改善性能，你必须知道如何更好地管理风险要改善性能，你必须知道如何更好地管理风险”信息系统管制信息系统管制信息系统管制信息系统管制 信息系统管制剖析信息系统管制剖析ABCD 12/30/2021 2003 KPMG012345信息技术的管理信息技术的管理物理安全控制物理安全

27、控制信息的安全信息的安全系统的持续性系统的持续性变更管理变更管理系统开发系统开发内部审计内部审计1st Quartile2nd Quartile3rd Quartile4th Quartile客户信息技术风险的管理评估信息技术风险的管理评估信息系统管制信息系统管制 信息系统管制剖析信息系统管制剖析ABCD 12/30/2021 2003 KPMG信息信息技术技术管制管制剖析剖析利益相关利益相关方方信息信息技术技术管制管制架构架构信息信息技术技术设置设置及及价值价值的的实现实现风险风险管理管理性能评估性能评估安全安全信息系统管制信息系统管制ABCD 12/30/2021 2003 KPMG信息信

28、息 财务财务客户客户流程流程目标目标措施措施目标目标措施措施学习学习目标目标措施措施目标目标措施措施信息技术目标和措施信息技术目标和措施信息技术均衡计分卡信息技术均衡计分卡“如果你玩商业游戏却不给信息技术打分，你就只是在纸上谈兵。如果你玩商业游戏却不给信息技术打分，你就只是在纸上谈兵。”信息系统管制信息系统管制 信息系统管制剖析信息系统管制剖析ABCD 12/30/2021 2003 KPMG信息信息技术技术管制管制剖析剖析利益相关利益相关方方信息信息技术技术管制管制架构架构信息信息技术技术设置设置及及价值价值的的实现实现风险风险管理管理性能评估性能评估安全安全信息系统管制信息系统管制 ABC

29、D 12/30/2021 2003 KPMGo理解董事会成员们应该提什么问题理解董事会成员们应该提什么问题o理解需要理解需要o提高意识提高意识o目的明确目的明确o衡量业绩衡量业绩o坚持不懈坚持不懈信息安全信息安全董事会的一些考虑董事会的一些考虑信息系统管制信息系统管制 信息系统管制剖析信息系统管制剖析ABCD 12/30/2021 2003 KPMG内容提要内容提要n毕马威介绍毕马威介绍n日益增长的信息技术应用需求日益增长的信息技术应用需求n信息系统管制信息系统管制n信息技术信息技术安全安全n信息系统审计信息系统审计n毕马威可提供的服务毕马威可提供的服务n问答问答ABCD 12/30/2021

30、 2003 KPMG 安全事故的种类安全事故的种类毕马威毕马威20022002年全球信息安全状况纵览年全球信息安全状况纵览信息技术安全信息技术安全ABCD 12/30/2021 2003 KPMG 毕马威毕马威20022002年全球信息安全状况纵览年全球信息安全状况纵览信息技术安全信息技术安全ABCD 12/30/2021 2003 KPMG 毕马威毕马威20022002年全球信息安全状况纵览年全球信息安全状况纵览信息技术安全信息技术安全ABCD 12/30/2021 2003 KPMG 毕马威毕马威20022002年全球信息安全状况纵览年全球信息安全状况纵览信息技术安全信息技术安全ABCD

31、12/30/2021 2003 KPMG 毕马威毕马威20022002年全球信息安全状况纵览年全球信息安全状况纵览信息技术安全信息技术安全ABCD 12/30/2021 2003 KPMG 毕马威毕马威20022002年全球信息安全状况纵览年全球信息安全状况纵览信息技术安全信息技术安全ABCD 12/30/2021 2003 KPMG 毕马威毕马威20022002年全球信息安全状况纵览年全球信息安全状况纵览信息技术安全信息技术安全ABCD 12/30/2021 2003 KPMG 毕马威毕马威20022002年全球信息安全状况纵览年全球信息安全状况纵览信息技术安全信息技术安全ABCD 12/3

32、0/2021 2003 KPMG内容提要内容提要n毕马威介绍毕马威介绍n日益增长的信息技术应用需求日益增长的信息技术应用需求n信息系统管制信息系统管制n信息技术信息技术安全安全n信息系统审计信息系统审计n毕马威可提供的服务毕马威可提供的服务n问答问答ABCD 12/30/2021 2003 KPMG信息系统审计信息系统审计信息系统审计和控制协会信息系统审计和控制协会ISACA ISACA ( (Information Information System Audit and Control Association)System Audit and Control Association)对对信

33、息信息系统审计的定义：系统审计的定义：信息系统审计是一个收集信息系统审计是一个收集、评估证据的过程，以评估证据的过程，以决定信息系统及相关的资源决定信息系统及相关的资源、数据维护和系统的数据维护和系统的完整性，是否有合适的安全保护，完整性，是否有合适的安全保护， 能否为有效地能否为有效地实现组织机构的目标提供可靠的信息，能否有效实现组织机构的目标提供可靠的信息，能否有效地利用资源，是否有一个有效的内部控制，能地利用资源，是否有一个有效的内部控制，能否否为实现运作和控制目标提供合理的保障。为实现运作和控制目标提供合理的保障。 信息系统审计信息系统审计ABCD 12/30/2021 2003 KP

34、MG信息系统审计信息系统审计信息系统审计是按照特定项目的范围和目标开展的。其信息系统审计是按照特定项目的范围和目标开展的。其审计的步骤包括：审计的步骤包括：n获取并记录审计范围获取并记录审计范围/ /主题主题n风险评估和制定初步审计计划及排程风险评估和制定初步审计计划及排程n详细审计计划详细审计计划n初步审阅初步审阅n控制测试控制测试n大量大量/实实质性质性测试测试n报告报告/结果沟通结果沟通n跟踪跟踪信息系统审计信息系统审计ABCD 12/30/2021 2003 KPMG信息系统审计信息系统审计信息系统审计不仅仅是传统审计业务的简单信息系统审计不仅仅是传统审计业务的简单扩展，信息技术不单影

35、响传统审计人员执行扩展，信息技术不单影响传统审计人员执行鉴证业务的能力，更重要的是公司和信息系鉴证业务的能力，更重要的是公司和信息系统管理者都认识到信息系统是统管理者都认识到信息系统是企业企业最有价值最有价值的资产，和传统资产一样需要控制，的资产，和传统资产一样需要控制，企业企业同同时需要审计人员提供对信息资产控制的评价时需要审计人员提供对信息资产控制的评价。因此信息系统审计是一门边缘性学科，跨。因此信息系统审计是一门边缘性学科，跨越多学科领域。越多学科领域。 信息系统审计信息系统审计ABCD 12/30/2021 2003 KPMG信息技术审计的实例信息技术审计的实例信息风险评估信息风险评估

36、其它信息风其它信息风险管理保证险管理保证一般信息技一般信息技术控制审计术控制审计电脑电脑辅助辅助审计技巧审计技巧应用系统审应用系统审计计( (包括运作包括运作前及运作后前及运作后) )信息系统审计信息系统审计ABCD 12/30/2021 2003 KPMG信息系统管制及信息系统管制及信息系统审计信息系统审计的实践的实践 信息系统审计可以提供何种帮助信息系统审计可以提供何种帮助n信息系统审计可以在以下方面帮助管理层评估内部控制风信息系统审计可以在以下方面帮助管理层评估内部控制风险以及财务报告流程：险以及财务报告流程： 信息技术管理与公司董事会设定的长期发展方向和目标相符合。 信息技术管理同董事

37、会能够有效沟通，以助于董事会能够了解并监管信息技术部门的行为及风险。 信息技术管理采取了适当的流程以保证公司的信息技术运行符合相关的法律和规定。 信息系统审计根据广泛认可的标准进行，例如：Committee of Sponsoring Organization (COSO), The Control Objectives for Information and related Technology (COBIT).信息系统审计信息系统审计ABCD 12/30/2021 2003 KPMGn信息系统审计可以通过以下方面帮助董事会了解信息技术信息系统审计可以通过以下方面帮助董事会了解信息技术部门的

38、行为：部门的行为： 董事会在制定日程计划及任务优先级时考虑了业务及信息技术的风险。 董事会从管理层、内部审计人员或其他方面获得了足够的信息以了解并监控信息部门的行为及风险。 董事会对公司是否遵循信息技术的法律和规章有必要的关注。 董事会有适当的成员构成并具有适当的组织形式以便能了解信息技术的相关问题及风险。信息系统管制及信息系统管制及信息系统审计信息系统审计的实践的实践 信息系统审计可以提供何种帮助信息系统审计可以提供何种帮助信息系统审计信息系统审计ABCD 12/30/2021 2003 KPMGn信息系统审计能够帮助管理层信息系统审计能够帮助管理层: 根据广泛认可的标准（如：COSO,CO

39、BIT)对公司内部控制的框架进行分析。 为公司建立一套内部控制的方法以助于设计、评估、测试、纠正、监控和跟踪相关控制。为公司建立一套方法以助于公司来设立保证公司内控政策得到遵循的程序。为董事会提供建议。信息系统管制及信息系统管制及信息系统审计信息系统审计的实践的实践 信息系统审计可以提供何种帮助信息系统审计可以提供何种帮助信息系统审计信息系统审计ABCD 12/30/2021 2003 KPMG新的法规与规定新的法规与规定2002年年Sarbanes-Oxley Act 的要求的要求：n首席执行官和首席财务官每个季度要签署一份声明，保证公司的财务报表是真实，完整和公正地表述的。n首席执行官和首

40、席财务官要每个季度和年度的报告中，要评估公司信息披露的流程和控制的有效性，并在报告中提出结论性意见。n管理层每年评估和声明公司财务报告的流程和控制的有效性。信息系统审计信息系统审计ABCD 12/30/2021 2003 KPMG国内有关法规与规定国内有关法规与规定中国人民银行的有关要求中国人民银行的有关要求: n商业银行内部控制指引商业银行内部控制指引 商业银行计算机信息系统内部控制的重点是：严格划分计算机信息系统开发部门、管理部门与应用部门的职责，建立和健全计算机信息系统风险防范的制度，确保计算机信息系统设备、数据、系统运行和系统环境的安全。n外资银行外部审计指导意见外资银行外部审计指导意

41、见注册会计师须审查外资银行电脑系统的使用情况，包括系统是否足以满足日常经营管理及财务报表处理的需要以及通过电脑处理产生的会计分类账、总账等是否能正确反映外资银行的财务状况；信息管理系统应确保各项业务经营的结果和重要信息及时传达相关的管理部门和人员。信息系统审计信息系统审计ABCD 12/30/2021 2003 KPMG信息系统审计与控制协会信息系统审计与控制协会（ISACA)ISACA)的标准及指南的标准及指南因为信息系统审计的特殊性，以及其对技能的特殊要求，就必须要有一套针对信息系统审计的准则。信息系统审计与控制协会（ISACA)所制定的标准及指南就为信息系统审计做出了规范。信息系统审计信

42、息系统审计ABCD 12/30/2021 2003 KPMG内容提要内容提要n毕马威介绍毕马威介绍n日益增长的信息技术应用需求日益增长的信息技术应用需求n信息系统管制信息系统管制n信息技术信息技术安全安全n信息系统审计信息系统审计n毕马威可提供的服务毕马威可提供的服务n问答问答ABCD 12/30/2021 2003 KPMG 毕马威可提供的相关服务包括：毕马威可提供的相关服务包括：o 信息系统管制信息系统管制o 业务业务系统系统控制控制o 业务系统控制业务系统控制o 项目风险管理项目风险管理o 业务持续性管理业务持续性管理毕马威的服务毕马威的服务ABCD 12/30/2021 2003 KP

43、MG信息信息系统系统管制管制 本所的信息系统管制服务包括：协助制订IT政策，IT标准，IT流程协助进行内部审计，如内部进行IT审计的协助；以及内部审计的外包服务信息系统管制的审阅服务控制和风险的评估协助制定外包服务水准协议毕马威可提供的服务毕马威可提供的服务ABCD 12/30/2021 2003 KPMG业务业务系统系统控制控制本所的业务流程控制服务项目包括：业务流程分析评估和设计基于信息系统的、围绕应用程序业务流程的管理控制和人工控制机制安全管理和控制审阅解决信息安全领域的问题，在系统内实现有效、高效和安全的信息存取IT运行控制审阅重点在与应用程序运行环境的支持和维护相关的风险上数据质量/

44、集成审阅重点在与所需的数据转换和数据接口相关的风险上毕马威可提供的服务毕马威可提供的服务ABCD 12/30/2021 2003 KPMG信息安全服务信息安全服务本所的信息安全服务的重点和特点在于：确认并减轻信息的安全性/信息的机密性所面临的风险在整个机构内实施统一的安全控制系统和程序增强在有外来攻击时对电子资产的保护监控或审阅安全程序是否符合公司标准帮助设计和实施对互联网的设置制定互联网安全政策独立评估安全应对手段和防火墙方案进行渗透研究，以审阅现有控制机制是否有效毕马威可提供的服务毕马威可提供的服务ABCD 12/30/2021 2003 KPMG项目风险项目风险管理管理本所的项目风险管理

45、服务包括：项目审阅保证所有风险都得到了必要的处理，并对控制机制提供指导，增大项目成功的可能性项目管理提供专业技能或其他资源，帮助客户管理项目、项目流程或项目办公室软件包的选择和实施协助客户在公司内部市场选择和实施配套的软件数据集成协助客户分析和清除数据，帮助转移至新的系统、或在合并/收购情况下的数据处理。毕马威可提供的服务毕马威可提供的服务ABCD 12/30/2021 2003 KPMG业务业务持续性管理持续性管理本所的业务持续性管理服务的范围包括：审阅现有的业务持续性设备和文件风险评估对关键的经营场所进行渗透测试分析对业务的影响选择系统恢复策略制定业务持续性计划测试系统恢复计划减少/评估保

46、险服务毕马威可提供的服务毕马威可提供的服务ABCD 12/30/2021 2003 KPMG知识知识 方法方法工具工具信息技术风险的信息技术风险的基准对标（基准对标（Benchmarking）信息技术控制的审阅信息技术控制的审阅信息安全信息安全技术服务技术服务毕马威全球毕马威全球网络资源网络资源计算机辅助计算机辅助审计技术审计技术（CAATs）系统完整性控制系统完整性控制信息系统审计的培训信息系统审计的培训风险评估流程风险评估流程持续经营计划持续经营计划内部控制模式内部控制模式项目风险管理项目风险管理信息风险管理信息风险管理技术的趋势技术的趋势业务流程分析业务流程分析电子商务审阅电子商务审阅渗透测试渗透测试业务风险矩阵业务风险矩阵信息资产的管理信息资产的管理数据中心的运行数据中心的运行毕马威的相关解决方案毕马威的相关解决方案毕马威可提供的服务毕马威可提供的服务ABCD 12/30/2021 2003 KPMG问问 答答 朱朱 恩恩 良良电电 话：话： (21) 53594666 分机分机3601 电电 邮邮 ： William.Z如如 有有 垂垂 询询 ， 请请 联联 络络 ： Eric Kan 电电 话：话： (21) 53594666 分机分机2709 电电 邮邮 ： Eric.KABCD