毕马威、银行信息系统管制ppt课件

1、ABCD银行信息系统控制银行信息系统控制朱恩良朱恩良毕马威会计师事务所毕马威会计师事务所2003年年7月月26日日ABCD内容提要内容提要n毕马威引见毕马威引见n日益增长的信息技术运用需求日益增长的信息技术运用需求n信息系统控制信息系统控制n信息技术平安信息技术平安n信息系统审计信息系统审计n毕马威可提供的效力毕马威可提供的效力n问答问答ABCD在全球各地金融效力业拥有雄厚的实力在全球各地金融效力业拥有雄厚的实力n金融效力业是毕马威阵容最鼎盛、实力最雄厚的行业专责金融效力业是毕马威阵容最鼎盛、实力最雄厚的行业专责团队，拥有遍及世界各地的效力网络团队，拥有遍及世界各地的效力网络n在全球逾在全球逾

2、 150 个国家超越个国家超越 750个城市设有办事处，共聘个城市设有办事处，共聘用专业人员超越用专业人员超越 10 万人万人n本所亦于中国多个城市设立办事处，包括香港、北京、上本所亦于中国多个城市设立办事处，包括香港、北京、上海、广州、深圳及澳门海、广州、深圳及澳门n本所为全球五百大银行当中的一半银行，以及三分之二全本所为全球五百大银行当中的一半银行，以及三分之二全球最大型的保险公司提供效力球最大型的保险公司提供效力毕马威引见毕马威引见ABCD毕马威曾多次为世界各地的金融机构提供效力，所以毕马威曾多次为世界各地的金融机构提供效力，所以拥有无可比较的阅历实力拥有无可比较的阅历实力n澳洲纽西兰银

3、行澳洲纽西兰银行n花旗集团花旗集团n瑞士信贷第一波士顿瑞士信贷第一波士顿n德意志银行德意志银行n德国裕宝结合银行德国裕宝结合银行n荷兰商业银行荷兰商业银行n澳洲国民银行澳洲国民银行n第一银行第一银行n汇丰银行汇丰银行n渣打银行渣打银行n维萨国际维萨国际n美国银行美国银行n法国兴业银行法国兴业银行n太阳信托银行太阳信托银行n美国信孚银行美国信孚银行n穆迪穆迪n美国嘉信理财公司美国嘉信理财公司n美林集团美林集团n美国信托公司美国信托公司n苏黎世金融苏黎世金融n大联基金管理大联基金管理n纽约人寿纽约人寿n美国保德信人寿保险美国保德信人寿保险n安联群众人寿保险安联群众人寿保险n英国保诚英国保诚n皇家太

4、阳结合保险皇家太阳结合保险n慕尼黑再保险慕尼黑再保险n瑞士丰泰保险瑞士丰泰保险n蓝十字蓝十字n美国再保险美国再保险毕马威引见毕马威引见ABCD毕马威亦为多家国内及香港的金融机构提毕马威亦为多家国内及香港的金融机构提供效力供效力北京北京上海上海 深圳深圳广州广州 香港香港n中国国际再保险公司中国国际再保险公司n中保国际控股中保国际控股n香港出口信誉保险局香港出口信誉保险局n中国人民保险公司中国人民保险公司n泰康人寿泰康人寿n安联群众安联群众n东方人寿东方人寿n太平人寿太平人寿n信诚人寿信诚人寿n中国银行中国银行n中国建立银行中国建立银行n招商银行招商银行n中信实业银行中信实业银行n上海浦东开展银

5、行上海浦东开展银行n中国国际金融中国国际金融n广东开展银行广东开展银行n京华山一证券京华山一证券n汇丰银行汇丰银行n恒生银行恒生银行n渣打银行渣打银行n东亚银行东亚银行n中信嘉华银行中信嘉华银行n港基国际银行港基国际银行n永亨银行永亨银行毕马威引见毕马威引见ABCD内容提要内容提要n毕马威简介毕马威简介n日益增长的信息技术运用需求日益增长的信息技术运用需求n信息系统控制信息系统控制n信息技术平安信息技术平安n信息系统审计信息系统审计n毕马威可提供的效力毕马威可提供的效力n问答问答ABCD日益增长的信息技术运用需求日益增长的信息技术运用需求n用以区分本身与竞争对手间的产品和效力用以区分本身与竞争

6、对手间的产品和效力n促进不同部门及区域间的协作，以使知识资本促进不同部门及区域间的协作，以使知识资本和企业专长发扬最大效益和企业专长发扬最大效益n鼓励员工间的沟通和团队协作鼓励员工间的沟通和团队协作n按由客户驱动的业务种类整合技术战略按由客户驱动的业务种类整合技术战略信息技术对银行的重要性信息技术对银行的重要性ABCDn增进客户关系增进客户关系: :n协助建立特定客户的整体信息资料协助建立特定客户的整体信息资料n针对现有客户关系的一致的、综合的和可靠的信息针对现有客户关系的一致的、综合的和可靠的信息n识别交叉销售时机识别交叉销售时机n业务涉及大量数据，提高效率及减少反响时间业务涉及大量数据，提

7、高效率及减少反响时间n除了记录原始数据外，银行会运用资讯科技于客户除了记录原始数据外，银行会运用资讯科技于客户 效力系统、投资系统、保险系统效力系统、投资系统、保险系统 、精算系统、会计、精算系统、会计系统及现金支付系统等系统及现金支付系统等信息技术对银行的重要性续信息技术对银行的重要性续日益增长的信息技术运用需求日益增长的信息技术运用需求ABCDn今天金融企业的管理者比以往更依赖信息技术今天金融企业的管理者比以往更依赖信息技术去运营其业务去运营其业务n管理层更有责任确保信息系统和业务流程遭到管理层更有责任确保信息系统和业务流程遭到恰当的监控恰当的监控n越来越注重信息技术的投入产出越来越注重信

8、息技术的投入产出n在很多情况下，信息技术往往是仅次于人工的在很多情况下，信息技术往往是仅次于人工的第二大费用支出第二大费用支出信息技术对管理的影响信息技术对管理的影响日益增长的信息技术运用需求日益增长的信息技术运用需求ABCD那个系统不重要？那个系统不重要？越来越复杂的信息系统越来越复杂的信息系统日益增长的信息技术运用需求日益增长的信息技术运用需求ABCD普通银行内部审计部门的框架普通银行内部审计部门的框架审计任务审计任务汇报汇报n 缺乏之处及对其影响的评价缺乏之处及对其影响的评价n 建议建议n 跟进跟进n 风险确认及管理程序风险确认及管理程序n 监控框架评价监控框架评价n 财务及管理资料的合

9、规审核财务及管理资料的合规审核n 业务审核业务审核 效益、效率及效果效益、效率及效果n 基准及主要表现目的基准及主要表现目的内部审计职权范围内部审计职权范围内部审计战略内部审计战略内部审计方案内部审计方案n 范围范围n 职权职权n 上报程序上报程序n 职责职责n 问责性问责性n 风险评价风险评价n 监控框架监控框架n 审计范畴审计范畴n 范围范围n 人力资源人力资源n 时间范围时间范围n 到访频密程度到访频密程度继继续续改改善善向向审审计计委委员员会会定定期期汇汇报报日益增长的信息技术运用需求日益增长的信息技术运用需求ABCD内容提要内容提要n毕马威简介毕马威简介n日益增长的信息技术运用需求日

10、益增长的信息技术运用需求n信息系统控制信息系统控制n信息技术平安信息技术平安n信息系统审计信息系统审计n毕马威可提供的效力毕马威可提供的效力n问答问答ABCD信息时代对信息技术的要求信息时代对信息技术的要求o完好性完好性 (Integraty)o平安性平安性 (Security)o可靠性可靠性 (Reliability)o服从规定服从规定 (Compliance)o信息系统控制是上述要求得到落实的重要措施。信息系统控制是上述要求得到落实的重要措施。信息系统控制信息系统控制ABCD着重关注指点才干、组织构造和流程，以着重关注指点才干、组织构造和流程，以保证信息技术支持及拓展企业的发明和保保证信息

11、技术支持及拓展企业的发明和保管价值及财富的战略和目的。管价值及财富的战略和目的。信息系统控制的定义信息系统控制的定义信息系统控制信息系统控制ABCD信息系统控制关注的主要方面信息系统控制关注的主要方面信息系统的管理、规划与组织信息系统的管理、规划与组织 信息系统技术根底设备与操作实务信息系统技术根底设备与操作实务 信息资产的维护信息资产的维护 灾难恢复与业务继续方案灾难恢复与业务继续方案 运用系统开发、获得、实施与维护运用系统开发、获得、实施与维护 业务流程评价与风险管理业务流程评价与风险管理 信息系统控制信息系统控制ABCD信息系统控制分析信息系统控制分析利益相关方利益相关方信息技术控制架构

12、信息技术控制架构信息技术设置及价值的实现信息技术设置及价值的实现风险管理风险管理性能评价性能评价平安平安信息系统控制信息系统控制 ABCD来自利益相关方的压力来自利益相关方的压力股东和高级管理层股东和高级管理层低本钱、高利润及增大市场占用率低本钱、高利润及增大市场占用率客户和员工客户和员工低本钱、多功能及易于操作低本钱、多功能及易于操作社会社会高级行政人员承当更多的责任高级行政人员承当更多的责任信息系统控制信息系统控制 信息系统控制分析信息系统控制分析 ABCD信息技术的运用信息技术的运用产生信息系统控制的需求产生信息系统控制的需求有希望到达其目的有希望到达其目的有顺应开展的余地有顺应开展的余

13、地能控制所面临的风险能控制所面临的风险能恰当地认清机遇并给出适当的回应能恰当地认清机遇并给出适当的回应企业必需知道其信息系统能否企业必需知道其信息系统能否: 信息系统控制信息系统控制 信息系统控制分信息系统控制分析析 ABCD监管层发出何种信息？监管层发出何种信息？中国的监管层中国的监管层n着重关注营运风险，在这方面平安性和信着重关注营运风险，在这方面平安性和信息技术极为重要息技术极为重要n一切重要风险事项均由以下方面呵斥一切重要风险事项均由以下方面呵斥 : :n内部控制内部控制n忽略忽略n信息技术信息技术 信息系统控制信息系统控制 信息系统控制分信息系统控制分析析 ABCD对信息系统控制的需

14、求与日倶增对信息系统控制的需求与日倶增从金融企业运营的角度对信息系统加以适当监控的从金融企业运营的角度对信息系统加以适当监控的需求越来越迫切需求越来越迫切管理者必需确保信息技术的投资报答管理者必需确保信息技术的投资报答来自国家的规定和资金市场的压力与日俱增来自国家的规定和资金市场的压力与日俱增现实证明竞争优势来源于对信息技术的大量投资现实证明竞争优势来源于对信息技术的大量投资越来越多的股东需求对投资的保证越来越多的股东需求对投资的保证信息系统控制信息系统控制 信息系统控制分信息系统控制分析析ABCD信息技术控制分析信息技术控制分析利益相关方利益相关方信息技术控制架构信息技术控制架构信息技术设置

15、及价值的实现信息技术设置及价值的实现性能评价性能评价风险管理风险管理平安平安信息系统控制信息系统控制 ABCD为何要进展信息技术控制？为何要进展信息技术控制？o“谨慎谨慎o信息技术对企业至关重要信息技术对企业至关重要o信息技术对企业运营有着战略上的意义信息技术对企业运营有着战略上的意义o预期与现实不相吻合预期与现实不相吻合o信息技术没有得到应有的注重信息技术没有得到应有的注重o信息技术牵涉到高额投资和宏大的风险信息技术牵涉到高额投资和宏大的风险o信息系统控制信息系统控制 信息系统控制分信息系统控制分析析ABCD董事会应有哪些作为？董事会应有哪些作为？信息技术价信息技术价值的实现值的实现利益相关

16、方利益相关方价值动因价值动因结果评价结果评价风险管理风险管理信息技术的信息技术的战略组合战略组合n从利益相关方的利益出发从利益相关方的利益出发n建立一个信息技术控制框架建立一个信息技术控制框架n提出适当的问题提出适当的问题n着重关注信息技术的以下方面着重关注信息技术的以下方面n与企业业务的有机结合与企业业务的有机结合n价值发明价值发明n风险管理风险管理 n评价结果评价结果信息系统控制信息系统控制 信息系统控制分信息系统控制分析析ABCD银行管理层应有哪些作为？银行管理层应有哪些作为？o根据运营目的设立信息技术战略根据运营目的设立信息技术战略o将战略及目的传达至企业各个层面将战略及目的传达至企业

17、各个层面o设置可以促进该架构的战略实施的组织构造设置可以促进该架构的战略实施的组织构造o采用一套信息技术控制及控制架构采用一套信息技术控制及控制架构o提高信息技术根底设备以促进业务信息的生成提高信息技术根底设备以促进业务信息的生成和分享和分享o着重关注重要的信息技术流程和中心功能着重关注重要的信息技术流程和中心功能o评价结果评价结果( (业务平衡计分卡业务平衡计分卡) )信息系统控制信息系统控制 信息系统控制分信息系统控制分析析ABCD审计师该如何应对？审计师该如何应对？o获得对信息技术控制的了解获得对信息技术控制的了解o让董事会和管理层集中精神处理前两页中所述让董事会和管理层集中精神处理前两

18、页中所述的问题的问题o建议采用一套信息技术的控制和控制架构，例建议采用一套信息技术的控制和控制架构，例如如COBITo建立地域机构组织，以利于上述架构的实施建立地域机构组织，以利于上述架构的实施o自我衡量业绩业务平衡计分卡自我衡量业绩业务平衡计分卡信息系统控制信息系统控制 信息系统控制分信息系统控制分析析ABCDCOBIT : 一套信息技术控制和控制架构一套信息技术控制和控制架构综合运营报告综合运营报告 “有一种方式有一种方式架构架构 “这种方式是这种方式是 控制目的控制目的 “最低控制措施是最低控制措施是 审计方针审计方针 “如何审计如何审计 实施指南实施指南 “如何实施如何实施管理层指南管

19、理层指南 “如何衡量如何衡量COBIT的要素的要素 什么什么?信息系统控制信息系统控制 信息系统控制分信息系统控制分析析ABCDCOBIT :一套信息技术控制和控制架构一套信息技术控制和控制架构业绩衡量要素一切信息技术流程的成果衡量目的业绩衡量要素一切信息技术流程的成果衡量目的和表现的影响要素和表现的影响要素关键胜利要素的清单，它为每个信息技术流程提供关键胜利要素的清单，它为每个信息技术流程提供简明的非技术性最正确作法简明的非技术性最正确作法一个成熟的方式，用于协助每个信息技术流程控制一个成熟的方式，用于协助每个信息技术流程控制的基准和决策的基准和决策最近的开展趋势是添加一个管理和控制层，为管

20、最近的开展趋势是添加一个管理和控制层，为管理层提供了一套工具，其中包括：理层提供了一套工具，其中包括：信息系统控制信息系统控制 信息系统控制分信息系统控制分析析ABCD信息技术控制分析信息技术控制分析利益相关方利益相关方信息技术控制架构信息技术控制架构信息技术设置及价值的实现信息技术设置及价值的实现风险管理风险管理性能评价性能评价平安平安信息系统控制信息系统控制 ABCD信息技术一致化信息技术一致化 “信息技术一致化是一个过程，而不是最终目的。信息技术一致化是一个过程，而不是最终目的。 业务战略业务战略一致化举措一致化举措信息系统营运信息系统营运信息技术战信息技术战略略业务营运业务营运信息系统

21、控制信息系统控制 信息系统控制分信息系统控制分析析ABCD“信息技术的价值在关注者的眼中。信息技术的价值在关注者的眼中。 信息技术价值的实现信息技术价值的实现财务业务单位运营业务单位信息技术运用业务单位整个公司信息技术对业务的影响时间对业务的影响时间所实现的业务价值业务管理业务管理信息技术信息技术管理管理影响程度影响程度信息系统控制信息系统控制 信息系统控制分信息系统控制分析析ABCD信息技术控制分析信息技术控制分析利益相关方利益相关方信息技术控制架构信息技术控制架构信息技术设置及价值的实现信息技术设置及价值的实现风险管理风险管理性能评价性能评价平安平安信息系统控制信息系统控制 ABCD信息技

22、术风险管理信息技术风险管理董事会应经过以下方式管理企业风险：董事会应经过以下方式管理企业风险：确定企业在其艰苦风险方面具有透明度确定企业在其艰苦风险方面具有透明度了解风险管理的最终责任在于董事会了解风险管理的最终责任在于董事会了解风险化解能带来本钱效益了解风险化解能带来本钱效益思索积极的风险管理方式会发明竞争优势思索积极的风险管理方式会发明竞争优势风险管理是企业营运中的内在组成部分风险管理是企业营运中的内在组成部分“就是那些他看不见的信息技术鳄鱼会吃掉他！就是那些他看不见的信息技术鳄鱼会吃掉他！信息系统控制信息系统控制 信息系统控制分信息系统控制分析析ABCD信息技术的风险举例信息技术的风险举

23、例信息技术信息技术的风险的风险技艺技艺平安平安地理地理文化文化竞争竞争技术技术品牌品牌言语言语业务流程业务流程信息系统控制信息系统控制 信息系统控制分信息系统控制分析析ABCD信息技术风险管理信息技术风险管理风险管理的延伸风险管理的延伸 风险分配合同、风险分配合同、SLAs 风险缓解平安保证和控制手段风险缓解平安保证和控制手段风险转移保险和责任风险转移保险和责任风险保证审计和认证风险保证审计和认证风险承当正式、透明风险承当正式、透明信息系统控制信息系统控制 信息系统控制分信息系统控制分析析ABCDn董事会关注的问题董事会关注的问题n风险管理风险管理n基准评价基准评价n服从规定服从规定信息技术对

24、业务的有效性信息技术对业务的有效性信息技术的效率信息技术的效率信息技术的有效性信息技术的有效性“要改善性能，他必需知道如何更好地管理风险要改善性能，他必需知道如何更好地管理风险信息系统控制信息系统控制信息系统控制信息系统控制 信息系统控制分信息系统控制分析析ABCD012345信息技术的管理信息技术的管理物理平安控制物理平安控制信息的平安信息的平安系统的继续性系统的继续性变卦管理变卦管理系统开发系统开发内部审计内部审计1st Quartile2nd Quartile3rd Quartile4th Quartile客户信息技术风险的管理评价信息技术风险的管理评价信息系统控制信息系统控制 信息系统

25、控制分信息系统控制分析析ABCD信息技术控制分析信息技术控制分析利益相关方利益相关方信息技术控制架构信息技术控制架构信息技术设置及价值的实现信息技术设置及价值的实现风险管理风险管理性能评价性能评价平安平安信息系统控制信息系统控制ABCD信息信息 财务财务客户客户流程流程目的目的措施措施目的目的措施措施学习学习目的目的措施措施目的目的措施措施信息技术目的和措施信息技术目的和措施信息技术平衡计分卡信息技术平衡计分卡“假设他玩商业游戏却不给信息技术打分，他就只是在纸上谈兵。假设他玩商业游戏却不给信息技术打分，他就只是在纸上谈兵。信息系统控制信息系统控制 信息系统控制分信息系统控制分析析ABCD信息技

26、术控制分析信息技术控制分析利益相关方利益相关方信息技术控制架构信息技术控制架构信息技术设置及价值的实现信息技术设置及价值的实现风险管理风险管理性能评价性能评价平安平安信息系统控制信息系统控制 ABCDo了解董事会成员们应该提什么问题了解董事会成员们应该提什么问题o了解需求了解需求o提高认识提高认识o目的明确目的明确o衡量业绩衡量业绩o坚持不懈坚持不懈信息平安信息平安董事会的一些思索董事会的一些思索信息系统控制信息系统控制 信息系统控制分信息系统控制分析析ABCD内容提要内容提要n毕马威引见毕马威引见n日益增长的信息技术运用需求日益增长的信息技术运用需求n信息系统控制信息系统控制n信息技术平安信

27、息技术平安n信息系统审计信息系统审计n毕马威可提供的效力毕马威可提供的效力n问答问答ABCD 平安事故的种类平安事故的种类毕马威毕马威20022002年全球信息平安情况纵览年全球信息平安情况纵览信息技术平安信息技术平安ABCD 毕马威毕马威20022002年全球信息平安情况纵览年全球信息平安情况纵览信息技术平安信息技术平安ABCD 毕马威毕马威20022002年全球信息平安情况纵览年全球信息平安情况纵览信息技术平安信息技术平安ABCD 毕马威毕马威20022002年全球信息平安情况纵览年全球信息平安情况纵览信息技术平安信息技术平安ABCD 毕马威毕马威2002年全球信息平安情况纵览年全球信息平

28、安情况纵览信息技术平安信息技术平安ABCD 毕马威毕马威20022002年全球信息平安情况纵览年全球信息平安情况纵览信息技术平安信息技术平安ABCD 毕马威毕马威20022002年全球信息平安情况纵览年全球信息平安情况纵览信息技术平安信息技术平安ABCD 毕马威毕马威20022002年全球信息平安情况纵览年全球信息平安情况纵览信息技术平安信息技术平安ABCD内容提要内容提要n毕马威引见毕马威引见n日益增长的信息技术运用需求日益增长的信息技术运用需求n信息系统控制信息系统控制n信息技术平安信息技术平安n信息系统审计信息系统审计n毕马威可提供的效力毕马威可提供的效力n问答问答ABCD信息系统审计信

29、息系统审计信息系统审计和控制协会信息系统审计和控制协会ISACA (Information ISACA (Information System Audit and Control Association)System Audit and Control Association)对信息对信息系统审计的定义：系统审计的定义：信息系统审计是一个搜集、评价证据的过程，以信息系统审计是一个搜集、评价证据的过程，以决议信息系统及相关的资源、数据维护和系统的决议信息系统及相关的资源、数据维护和系统的完好性，能否有适宜的平安维护，完好性，能否有适宜的平安维护， 能否为有效地能否为有效地实现组织机构的目的提供可

30、靠的信息，能否有效实现组织机构的目的提供可靠的信息，能否有效地利用资源，能否有一个有效的内部控制，能否地利用资源，能否有一个有效的内部控制，能否为实现运作和控制目的提供合理的保证。为实现运作和控制目的提供合理的保证。 信息系统审计信息系统审计ABCD信息系统审计信息系统审计信息系统审计是按照特定工程的范围和目的开展的。其审计的步骤包括：获取并记录审计范围/主题风险评价和制定初步审计方案及排程详细审计方案初步审阅控制测试大量/本质性测试报告/结果沟通跟踪信息系统审计信息系统审计ABCD信息系统审计信息系统审计信息系统审计不仅仅是传统审计业务的简单扩展，信息技术不单影响传统审计人员执行鉴证业务的才

31、干，更重要的是公司和信息系统管理者都认识到信息系统是企业最有价值的资产，和传统资产一样需求控制，企业同时需求审计人员提供对信息资产控制的评价。因此信息系统审计是一门边缘性学科，跨越多学科领域。 信息系统审计信息系统审计ABCD信息技术审计的实例信息技术审计的实例信息风险评价信息风险评价其它信息风其它信息风险管理保证险管理保证普通讯息技普通讯息技术控制审计术控制审计电脑辅助电脑辅助审计技巧审计技巧运用系统审运用系统审计计( (包括运作包括运作前及运作后前及运作后) )信息系统审计信息系统审计ABCD信息系统控制及信息系统审计的实际信息系统控制及信息系统审计的实际 信息系统审计可以提供何种协助信息

32、系统审计可以提供何种协助n信息系统审计可以在以下方面协助管理层评价内部控制风信息系统审计可以在以下方面协助管理层评价内部控制风险以及财务报告流程：险以及财务报告流程： n信息技术管理与公司董事会设定的长期开展方向和目的相信息技术管理与公司董事会设定的长期开展方向和目的相符合。符合。n信息技术管理同董事会可以有效沟通，以助于董事会可以信息技术管理同董事会可以有效沟通，以助于董事会可以了解并监管信息技术部门的行为及风险。了解并监管信息技术部门的行为及风险。n信息技术管理采取了适当的流程以保证公司的信息技术运信息技术管理采取了适当的流程以保证公司的信息技术运转符合相关的法律和规定。转符合相关的法律和

33、规定。n信息系统审计根据广泛认可的规范进展，例如：信息系统审计根据广泛认可的规范进展，例如：Committee of Sponsoring Organization (COSO), The Control Objectives for Information and related Technology (COBIT).信息系统审计信息系统审计ABCDn信息系统审计可以经过以下方面协助董事会了解信息技术信息系统审计可以经过以下方面协助董事会了解信息技术部门的行为：部门的行为： n董事会在制定日程方案及义务优先级时思索了业务及信息董事会在制定日程方案及义务优先级时思索了业务及信息技术的风险。技术

34、的风险。n董事会从管理层、内部审计人员或其他方面获得了足够的董事会从管理层、内部审计人员或其他方面获得了足够的信息以了解并监控信息部门的行为及风险。信息以了解并监控信息部门的行为及风险。n董事会对公司能否遵照信息技术的法律和规章有必要的关董事会对公司能否遵照信息技术的法律和规章有必要的关注。注。n董事会有适当的成员构成并具有适当的组织方式以便能了董事会有适当的成员构成并具有适当的组织方式以便能了解信息技术的相关问题及风险。解信息技术的相关问题及风险。信息系统控制及信息系统审计的实际信息系统控制及信息系统审计的实际 信息系统审计可以提供何种协助信息系统审计可以提供何种协助信息系统审计信息系统审计

35、ABCDn信息系统审计可以协助管理层信息系统审计可以协助管理层: n根据广泛认可的规范如：根据广泛认可的规范如：COSO,COBIT)对公司内部控制的对公司内部控制的框架进展分析。框架进展分析。 n为公司建立一套内部控制的方法以助于设计、评价、测试、为公司建立一套内部控制的方法以助于设计、评价、测试、纠正、监控和跟踪相关控制。纠正、监控和跟踪相关控制。n为公司建立一套方法以助于公司来设立保证公司内控政策得为公司建立一套方法以助于公司来设立保证公司内控政策得到遵照的程序。到遵照的程序。n为董事会提供建议。为董事会提供建议。信息系统控制及信息系统审计的实际信息系统控制及信息系统审计的实际 信息系统

36、审计可以提供何种协助信息系统审计可以提供何种协助信息系统审计信息系统审计ABCD新的法规与规定新的法规与规定2002年年Sarbanes-Oxley Act 的要求：的要求：首席执行官和首席财务官每个季度要签署一份声首席执行官和首席财务官每个季度要签署一份声明，保证公司的财务报表是真实，完好和公正明，保证公司的财务报表是真实，完好和公正地表述的。地表述的。首席执行官和首席财务官要每个季度和年度的报首席执行官和首席财务官要每个季度和年度的报告中，要评价公司信息披露的流程和控制的有告中，要评价公司信息披露的流程和控制的有效性，并在报告中提出结论性意见。效性，并在报告中提出结论性意见。管理层每年评价

37、和声明公司财务报告的流程和控管理层每年评价和声明公司财务报告的流程和控制的有效性。制的有效性。信息系统审计信息系统审计ABCD国内有关法规与规定国内有关法规与规定中国人民银行的有关要求中国人民银行的有关要求: 商业银行计算机信息系统内部控制的重点是：严厉商业银行计算机信息系统内部控制的重点是：严厉划分计算机信息系统开发部门、管理部门与运划分计算机信息系统开发部门、管理部门与运用部门的职责，建立和健全计算机信息系统风用部门的职责，建立和健全计算机信息系统风险防备的制度，确保计算机信息系统设备、数险防备的制度，确保计算机信息系统设备、数据、系统运转和系统环境的平安。据、系统运转和系统环境的平安。注

38、册会计师须审查外资银行电脑系统的运用情况，注册会计师须审查外资银行电脑系统的运用情况，包括系统能否足以满足日常运营管理及财务报包括系统能否足以满足日常运营管理及财务报表处置的需求以及经过电脑处置产生的会计分表处置的需求以及经过电脑处置产生的会计分类账、总账等能否能正确反映外资银行的财务类账、总账等能否能正确反映外资银行的财务情况；情况；信息管理系统应确保各项业务运营的结果和重要信信息管理系统应确保各项业务运营的结果和重要信息及时传达相关的管理部门和人员。息及时传达相关的管理部门和人员。信息系统审计信息系统审计ABCD信息系统审计与控制协会信息系统审计与控制协会ISACA)ISACA)的规范及指

39、南的规范及指南由于信息系统审计的特殊性，以及其对技艺的由于信息系统审计的特殊性，以及其对技艺的特殊要求，就必需求有一套针对信息系统审计特殊要求，就必需求有一套针对信息系统审计的准那么。的准那么。信息系统审计与控制协会信息系统审计与控制协会ISACA)所制定的规所制定的规范及指南就为信息系统审计做出了规范。范及指南就为信息系统审计做出了规范。信息系统审计信息系统审计ABCD内容提要内容提要n毕马威引见毕马威引见n日益增长的信息技术运用需求日益增长的信息技术运用需求n信息系统控制信息系统控制n信息技术平安信息技术平安n信息系统审计信息系统审计n毕马威可提供的效力毕马威可提供的效力n问答问答ABCD 毕马威可提供的相关效力包括： 信息系统控制 业务系统控制 业务系统控制 工程风险管理 业务继续性管理毕马威的效力毕马威的效力ABCD信息系统控制信息系统控制 本所的信息系统控制效