IT審計(jì)參考資料課件_第1頁(yè)
IT審計(jì)參考資料課件_第2頁(yè)
IT審計(jì)參考資料課件_第3頁(yè)
IT審計(jì)參考資料課件_第4頁(yè)
IT審計(jì)參考資料課件_第5頁(yè)
已閱讀5頁(yè),還剩59頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

目錄內(nèi)部控制定義信息科技層面評(píng)估架構(gòu)IT公司層面控制IT一般性控制應(yīng)用程序控制IT審計(jì)的參考標(biāo)準(zhǔn)目錄內(nèi)部控制定義內(nèi)部控制定義(續(xù))Basel內(nèi)部控制框架的定義Internalcontrolisaprocesseffectedbytheboardofdirectors,seniormanagementandalllevelsofpersonnel.Itisnotsolelyaprocedureorpolicythatisperformedatacertainpointintime,butratheritiscontinuallyoperatingatalllevelswithinthebank.Theboardofdirectorsandseniormanagementareresponsibleforestablishingtheappropriateculturetofacilitateaneffectiveinternalcontrolprocessandformonitoringitseffectivenessonanongoingbasis;however,eachindividualwithinanorganisationmustparticipateintheprocess.內(nèi)部控制定義(續(xù))Basel內(nèi)部控制框架的定義內(nèi)部控制定義(續(xù))COSO內(nèi)部控制定義內(nèi)部控制被寬泛地定義為一個(gè)由主體的董事會(huì)、管理層和其他人員實(shí)施的、旨在為實(shí)現(xiàn)以下各類目標(biāo)提供合理保證的過程:經(jīng)營(yíng)的有效性和效率財(cái)務(wù)報(bào)告的可靠性符合適用的法律和法規(guī)內(nèi)部控制定義(續(xù))COSO內(nèi)部控制定義內(nèi)部控制定義(續(xù))內(nèi)部控制是:為實(shí)現(xiàn)經(jīng)營(yíng)目標(biāo)的動(dòng)態(tài)過程和機(jī)制一系列的:制度程序方法對(duì)風(fēng)險(xiǎn)進(jìn)行事前防范、事中控制、事后監(jiān)督和糾正高級(jí)管理層責(zé)任需要全體職工參與的工作需要通過監(jiān)控來確保有效性內(nèi)部控制定義(續(xù))內(nèi)部控制是:流程A商業(yè)流程/交易類別關(guān)鍵應(yīng)用程序IT基礎(chǔ)設(shè)施服務(wù)數(shù)據(jù)庫(kù)管理系統(tǒng)操作系統(tǒng)網(wǎng)絡(luò)/硬件流程B流程C應(yīng)用程序X應(yīng)用程序Y應(yīng)用程序Z流程AIT一般控制控制環(huán)境程序開發(fā)程序變更訪問控制系統(tǒng)運(yùn)行應(yīng)用系統(tǒng)自動(dòng)控制輸入控制校驗(yàn)控制系統(tǒng)接口系統(tǒng)計(jì)算權(quán)限控制信息系統(tǒng)控制識(shí)別信息系統(tǒng)范圍商業(yè)流程/交易類別戰(zhàn)略風(fēng)險(xiǎn)運(yùn)營(yíng)風(fēng)險(xiǎn)財(cái)務(wù)風(fēng)險(xiǎn)合規(guī)風(fēng)險(xiǎn)IT公司層面控制信息科技層面評(píng)估架構(gòu)流程A商業(yè)流程/交易類別關(guān)鍵應(yīng)用程序IT基礎(chǔ)設(shè)施服務(wù)數(shù)據(jù)庫(kù)管信息科技層面評(píng)估架構(gòu)(續(xù))信息系統(tǒng)控制評(píng)估的建議構(gòu)架基于國(guó)際通行的評(píng)估標(biāo)準(zhǔn)。其中,IT公司層面控制評(píng)估是基于COSO模型,IT一般性控制和應(yīng)用程序控制評(píng)估是基于COBIT?模型。監(jiān)控信息與溝通控制活動(dòng)風(fēng)險(xiǎn)評(píng)估控制環(huán)境合規(guī)性操作財(cái)務(wù)報(bào)告應(yīng)用程序控制COSOIT公司層面控制IT一般性控制信息科技層面評(píng)估架構(gòu)(續(xù))信息系統(tǒng)控制評(píng)估的建議構(gòu)架基于國(guó)際信息科技層面評(píng)估架構(gòu)(續(xù))風(fēng)險(xiǎn)評(píng)估信息技術(shù)風(fēng)險(xiǎn)評(píng)估目標(biāo)的設(shè)定技術(shù)風(fēng)險(xiǎn)的識(shí)別機(jī)制及風(fēng)險(xiǎn)分析降低風(fēng)險(xiǎn)的行動(dòng)計(jì)劃與預(yù)算控制活動(dòng)制定各類程序和政策根據(jù)風(fēng)險(xiǎn)執(zhí)行相應(yīng)信息系統(tǒng)控制信息技術(shù)職責(zé)分工信息與溝通關(guān)注戰(zhàn)略一體化的信息系統(tǒng)與信息質(zhì)量關(guān)注內(nèi)部與外部的溝通及其溝通方式控制環(huán)境信息技術(shù)員工誠(chéng)信和道德價(jià)值觀信息技術(shù)員工勝任能力管理層/董事會(huì)對(duì)信息技術(shù)的關(guān)注信息技術(shù)組織結(jié)構(gòu)信息技術(shù)策略與制度數(shù)據(jù)和應(yīng)用系統(tǒng)的歸屬制與職責(zé)分離COSO“內(nèi)部控制-整體框架”監(jiān)控進(jìn)行持續(xù)性信息系統(tǒng)監(jiān)督活動(dòng)信息系統(tǒng)的獨(dú)立評(píng)估體系適宜的信息技術(shù)內(nèi)部審計(jì)計(jì)劃信息系統(tǒng)缺陷報(bào)告控制環(huán)境風(fēng)險(xiǎn)評(píng)估控制活動(dòng)信息與溝通監(jiān)控合規(guī)性操作財(cái)務(wù)報(bào)告信息科技層面評(píng)估架構(gòu)(續(xù))風(fēng)險(xiǎn)評(píng)估控制活動(dòng)信息與溝通控制環(huán)境信息科技層面評(píng)估構(gòu)架(續(xù))COBIT4.1包含34個(gè)信息技術(shù)過程控制,并歸集為四個(gè)控制域:計(jì)劃與組織獲取與實(shí)施交付與支持監(jiān)控與評(píng)價(jià)COBIT

(ControlObjectivesforInformationandrelatedTechnology,信息及相關(guān)技術(shù)的控制目標(biāo))是國(guó)際公認(rèn)的IT治理框架,為企業(yè)管理者、用戶、信息系統(tǒng)審計(jì)和安全從業(yè)者提供了一個(gè)優(yōu)良參考構(gòu)架.。信息科技層面評(píng)估構(gòu)架(續(xù))COBIT4.1包含34個(gè)信息技信息科技層面評(píng)估架構(gòu)(續(xù))應(yīng)用程序控制簡(jiǎn)介 應(yīng)用程序控制是業(yè)務(wù)流程中控制的一部分,是在應(yīng)用系統(tǒng)中由程序自動(dòng)執(zhí)行的控制,用以替代很多由人工完成的基礎(chǔ)性檢查工作。由于應(yīng)用程序控制普遍適用于各種交易的處理,所以應(yīng)用程序控制是否有效對(duì)于內(nèi)控的有效性有著重要的影響。應(yīng)用程序控制可以分為兩類:

系統(tǒng)自動(dòng)控制由系統(tǒng)自動(dòng)完成的控制,無需人工干預(yù),在開發(fā)系統(tǒng)時(shí)已經(jīng)考慮并嵌入到系統(tǒng)中。人工依賴系統(tǒng)控制由系統(tǒng)完成部分的控制,需要人工干預(yù),且控制是否有效會(huì)受到人為因素的影響。控制目標(biāo)控制類型人工自動(dòng)預(yù)防性發(fā)現(xiàn)性人工控制人工依賴系統(tǒng)控制系統(tǒng)自動(dòng)控制信息科技層面評(píng)估架構(gòu)(續(xù))應(yīng)用程序控制簡(jiǎn)介 應(yīng)用程信息科技層面評(píng)估架構(gòu)(續(xù))應(yīng)用程序控制類型: 登陸權(quán)限/崗位分離實(shí)時(shí)校驗(yàn)/編輯檢查計(jì)算機(jī)計(jì)算自動(dòng)系統(tǒng)接口配置控制應(yīng)用程序控制信息科技層面評(píng)估架構(gòu)(續(xù))應(yīng)用程序控制類型: 信息科技層面評(píng)估架構(gòu)(續(xù))應(yīng)用程序控制類型 實(shí)時(shí)校驗(yàn)/編輯檢查控制:也稱為系統(tǒng)錄入控制,這類控制主要是確保錄入到系統(tǒng)中的數(shù)據(jù)的準(zhǔn)確性,進(jìn)行錄入時(shí)系統(tǒng)會(huì)對(duì)重要字段的合理性、合規(guī)性和準(zhǔn)確性進(jìn)行檢查,防止一些不合適的數(shù)據(jù)被系統(tǒng)接受,造成系統(tǒng)數(shù)據(jù)的不真實(shí)和垃圾數(shù)據(jù)的產(chǎn)生登陸權(quán)限/崗位分離控制:系統(tǒng)中用戶的權(quán)限設(shè)置是否合理,是否按照職責(zé)需要進(jìn)行授權(quán),是否考慮到崗位分離的情況計(jì)算機(jī)計(jì)算控制:系統(tǒng)自動(dòng)計(jì)算并保證計(jì)算的正確性,此類控制一般在程序開發(fā)時(shí)已嵌入到系統(tǒng)中自動(dòng)系統(tǒng)接口控制:主要關(guān)注不同應(yīng)用系統(tǒng)之間通過接口傳遞的數(shù)據(jù)是否準(zhǔn)確完整配置控制:主要關(guān)注的是系統(tǒng)中維護(hù)的重要參數(shù)是否準(zhǔn)確,這些參數(shù)對(duì)于系統(tǒng)的運(yùn)行和業(yè)務(wù)處理的正確性起著重要的作用信息科技層面評(píng)估架構(gòu)(續(xù))應(yīng)用程序控制類型 信息科技層面評(píng)估架構(gòu)(續(xù))識(shí)別關(guān)鍵風(fēng)險(xiǎn)及信息資產(chǎn)根據(jù)貴行的特性包括現(xiàn)有制度、業(yè)務(wù)需要、風(fēng)險(xiǎn)識(shí)別、組織模型、管理、體系結(jié)構(gòu)和行業(yè)標(biāo)準(zhǔn)以及法律、法規(guī)、識(shí)別關(guān)鍵流程和控制范圍。監(jiān)控控制活動(dòng)貴行的控制活動(dòng)得到改善和加強(qiáng)后,需要建立一套監(jiān)控體系來保證控制活動(dòng)的持續(xù)有效。建立一整套完善的監(jiān)控方案,用以監(jiān)控控制活動(dòng)的有效性。評(píng)估現(xiàn)有控制貴行需在IT管理層面以及流程層面需建立相應(yīng)的控制,使貴行的工作模式能夠有效地規(guī)范起來。在這一階段中,內(nèi)審部將對(duì)現(xiàn)有IT流程和控制進(jìn)行評(píng)估,了解內(nèi)部管理和控制情況,確認(rèn)控制中存在的風(fēng)險(xiǎn)及差異??刂频母纳婆c加強(qiáng)基于對(duì)貴行內(nèi)部管理和控制情況的評(píng)估結(jié)果及發(fā)現(xiàn)的風(fēng)險(xiǎn)與差異,對(duì)控制進(jìn)行改善和加強(qiáng)。依照國(guó)際認(rèn)可的實(shí)踐經(jīng)驗(yàn)與標(biāo)準(zhǔn),改善自身的控制活動(dòng),以更好的防范風(fēng)險(xiǎn)。信息科技評(píng)估體系信息科技層面評(píng)估架構(gòu)(續(xù))識(shí)別關(guān)鍵風(fēng)險(xiǎn)及信息資產(chǎn)監(jiān)控控制活動(dòng)IT審計(jì)的參考標(biāo)準(zhǔn)-CoBITCoBIT(ControlObjectivesforInformationandrelatedTechnology,信息及相關(guān)技術(shù)的控制目標(biāo))最初的用途是為企業(yè)的IT治理提供清晰的指導(dǎo)策略和優(yōu)良的實(shí)踐范本,以幫助管理層理解并管理有關(guān)IT的風(fēng)險(xiǎn)。CoBIT已經(jīng)被發(fā)展成為一套國(guó)際公認(rèn)的、企業(yè)通用的,有關(guān)IT安全和控制的標(biāo)準(zhǔn)。它為企業(yè)管理者、用戶、信息系統(tǒng)審計(jì)和安全從業(yè)者提供了一個(gè)優(yōu)良參考構(gòu)架。CoBIT將IT過程,IT資源與企業(yè)的策略與目標(biāo)(準(zhǔn)則)聯(lián)系起來,形成一個(gè)三維的體系結(jié)構(gòu)。IT審計(jì)的參考標(biāo)準(zhǔn)-CoBITCoBIT(ControlOIT審計(jì)的參考標(biāo)準(zhǔn)-CoBIT(續(xù))有效性效率保密性完整性可用性合規(guī)性可靠性應(yīng)用系統(tǒng)信息基礎(chǔ)設(shè)施人員計(jì)劃與組織采購(gòu)與實(shí)施交付與支持監(jiān)控與評(píng)價(jià)有效性(Effectiveness):是指信息與商業(yè)過程相關(guān),并以及時(shí)、準(zhǔn)確、一致和可行的方式傳送。高效性(Efficiency):關(guān)于如何最佳(最高產(chǎn)和最經(jīng)濟(jì))利用資源來提供信息。機(jī)密性(Confidentiality):涉及對(duì)敏感信息的保護(hù),以防止未經(jīng)授權(quán)的披露。完整性(Integrity):涉及信息的精確性和完全性,以及與商業(yè)評(píng)價(jià)和期望相一致??捎眯裕ˋvailability):指在現(xiàn)在和將來的商業(yè)處理需求中,信息是可用的。還指對(duì)必要的資源和相關(guān)性能的維護(hù)。符合性(Compliance):遵守商業(yè)運(yùn)作過程中必須遵守的法律、法規(guī)和契約條款,如外部強(qiáng)制商業(yè)標(biāo)準(zhǔn)??煽啃裕≧eliabilityofInformation):為管理者的日常經(jīng)營(yíng)管理以及履行財(cái)務(wù)報(bào)告責(zé)任提供適當(dāng)?shù)男畔?。IT審計(jì)的參考標(biāo)準(zhǔn)-CoBIT(續(xù))有效性效率保密性完整有效性效率保密性完整性可用性合規(guī)性可靠性應(yīng)用系統(tǒng)信息基礎(chǔ)設(shè)施人員計(jì)劃與組織采購(gòu)與實(shí)施交付與支持監(jiān)控與評(píng)價(jià)計(jì)劃與組織(PO)IT戰(zhàn)略與業(yè)務(wù)戰(zhàn)略是否一致企業(yè)是否優(yōu)化資源的使用組織的成員是否能夠理解IT目標(biāo)管理層是否意識(shí)到企業(yè)面臨的IT風(fēng)險(xiǎn)并予以妥善管理IT系統(tǒng)的質(zhì)量能否滿足業(yè)務(wù)需求采購(gòu)與實(shí)施(AI)新項(xiàng)目所提供的解決方案能否滿足業(yè)務(wù)需求新項(xiàng)目能否在既定的預(yù)算內(nèi)按期交付新系統(tǒng)能否按預(yù)期運(yùn)行變更是否影響當(dāng)前業(yè)務(wù)的正常運(yùn)行交付與支持(DS)IT服務(wù)是否根據(jù)業(yè)務(wù)的優(yōu)先級(jí)交付IT成本是否最優(yōu)工作負(fù)荷是否影響IT系統(tǒng)的有效使用是否充分實(shí)現(xiàn)保密性、完整性和可用性監(jiān)控與評(píng)價(jià)(ME)IT績(jī)效考核能否及時(shí)發(fā)現(xiàn)問題管理層能否確保內(nèi)部控制的效率和有效性IT績(jī)效能否與業(yè)務(wù)目標(biāo)相關(guān)聯(lián)是否測(cè)量并報(bào)告風(fēng)險(xiǎn)、控制、符合性和績(jī)效IT審計(jì)的參考標(biāo)準(zhǔn)-CoBIT(續(xù))有效性效率保密性完整性可用性合規(guī)性可靠性應(yīng)信基人計(jì)劃與組有效性效率保密性完整性可用性合規(guī)性可靠性應(yīng)用系統(tǒng)信息基礎(chǔ)設(shè)施人員計(jì)劃與組織采購(gòu)與實(shí)施交付與支持監(jiān)控與評(píng)價(jià)應(yīng)用系統(tǒng):用戶處理信息的自動(dòng)化用戶系統(tǒng)及手冊(cè)程序。

信息:信息系統(tǒng)輸入、處理和輸出的所有形式的數(shù)據(jù),可以被業(yè)務(wù)以任何形式所使用。

基礎(chǔ)設(shè)施:保障應(yīng)用系統(tǒng)處理信息所需的技術(shù)和設(shè)施(硬件、操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、網(wǎng)絡(luò)、多媒體等,以及放置、支持上述技術(shù)和設(shè)施的環(huán)境)。

人員:策劃、組織、采購(gòu)、實(shí)施、交付、支持、監(jiān)視和評(píng)價(jià)信息系統(tǒng)和服務(wù)所需的人員。人員可以是內(nèi)部的、外包人員或合同人員。IT審計(jì)的參考標(biāo)準(zhǔn)-CoBIT(續(xù))有效性效率保密性完整性可用性合規(guī)性可靠性應(yīng)信基人計(jì)劃與組CoBIT34個(gè)高層次控制目標(biāo)IT審計(jì)的參考標(biāo)準(zhǔn)-CoBIT(續(xù))監(jiān)控與評(píng)價(jià)

ME1IT績(jī)效監(jiān)控與評(píng)估

ME2內(nèi)部控制監(jiān)控與評(píng)估

ME3確保法規(guī)遵從

ME4提供IT治理交付與支持DS1定義并管理服務(wù)水平DS2管理第三方服務(wù)DS3性能管理與能力管理DS4確保服務(wù)的持續(xù)性DS5確保系統(tǒng)安全DS6確認(rèn)與分?jǐn)偝杀綝S7教育并培訓(xùn)客戶DS8服務(wù)臺(tái)與事件管理DS9配置管理DS10問題管理DS11數(shù)據(jù)管理DS12物理環(huán)境管理DS13運(yùn)營(yíng)管理規(guī)劃與組織PO1制定IT戰(zhàn)略規(guī)劃PO2確定信息架構(gòu)PO3確定技術(shù)方向PO4確定IT流程、組織及相互關(guān)系PO5管理IT投資PO6管理目標(biāo)與方向的協(xié)調(diào)PO7IT人力資源管理PO8質(zhì)量管理PO9評(píng)估并管理IT風(fēng)險(xiǎn)PO10項(xiàng)目管理獲取與實(shí)施

AI1確定自動(dòng)化解決方案

AI2應(yīng)用軟件的獲取和維護(hù)

AI3技術(shù)基礎(chǔ)設(shè)施的獲取和維護(hù)

AI4授權(quán)操作和使用

AI5獲取IT資源

AI6變更管理

AI7實(shí)施并驗(yàn)收及變更管理CoBIT34個(gè)高層次控制目標(biāo)IT審計(jì)的參考標(biāo)準(zhǔn)-CoBIIT審計(jì)的參考標(biāo)準(zhǔn)-COSOCommitteeofSponsoringOrganizationsofTheTreadwayCommission(COSO)由美國(guó)會(huì)計(jì)師協(xié)會(huì)、美國(guó)審計(jì)總署、美國(guó)內(nèi)部審計(jì)師協(xié)會(huì)和管理會(huì)計(jì)師協(xié)會(huì)等7個(gè)團(tuán)體共同贊助成立,專門研究?jī)?nèi)部控制問題。內(nèi)部控制—整體框架的目標(biāo):保證財(cái)務(wù)報(bào)告的可靠性保證經(jīng)營(yíng)效益和效率對(duì)相關(guān)法律法規(guī)的遵循IT審計(jì)的參考標(biāo)準(zhǔn)-COSOCommitteeofSpo根據(jù)COSO內(nèi)控框架,公司層面的內(nèi)部控制由以下五個(gè)部分組成:1.控制環(huán)境2.風(fēng)險(xiǎn)評(píng)估3.控制活動(dòng)4.信息與溝通5.監(jiān)控

中國(guó)內(nèi)部審計(jì)協(xié)會(huì)于2003年6月1日頒布實(shí)施的《內(nèi)部審計(jì)具體準(zhǔn)則》(第5號(hào))—內(nèi)部控制第5條,亦明確公司的內(nèi)部控制是由上述五個(gè)部分組成的。公司要建立完善的內(nèi)部控制,就要從這五方面著手,因?yàn)樗鼈兪莾?nèi)控的根基,它們會(huì)影響到公司風(fēng)險(xiǎn)管理每個(gè)環(huán)節(jié)的工作。監(jiān)控信息與溝通控制活動(dòng)風(fēng)險(xiǎn)評(píng)估控制環(huán)境合規(guī)性操作財(cái)務(wù)報(bào)告IT審計(jì)的參考標(biāo)準(zhǔn)-COSO(續(xù))根據(jù)COSO內(nèi)控框架,公司層面的內(nèi)部控制由以下五個(gè)部分組成:控制環(huán)境控制環(huán)境是影響、制約企業(yè)內(nèi)部控制建立與執(zhí)行的各種內(nèi)部因素的總稱,是實(shí)施內(nèi)部控制的基礎(chǔ)。內(nèi)部環(huán)境主要包括治理結(jié)構(gòu)、組織機(jī)構(gòu)設(shè)置與權(quán)責(zé)分配、企業(yè)文化、人力資源政策、內(nèi)部審計(jì)機(jī)構(gòu)設(shè)置、反舞弊機(jī)制等。從以下三個(gè)方面評(píng)價(jià)控制環(huán)境的有效性:識(shí)別及評(píng)價(jià)公司業(yè)務(wù)和財(cái)務(wù)報(bào)表的風(fēng)險(xiǎn)的能力按照公認(rèn)會(huì)計(jì)準(zhǔn)則編制高質(zhì)量的財(cái)務(wù)報(bào)表保證財(cái)務(wù)報(bào)表可靠性的基本控制及監(jiān)控措施控制環(huán)境風(fēng)險(xiǎn)評(píng)估控制活動(dòng)信息與溝通監(jiān)控合規(guī)性操作財(cái)務(wù)報(bào)告IT審計(jì)的參考標(biāo)準(zhǔn)-COSO(續(xù))控制環(huán)境控制環(huán)境風(fēng)險(xiǎn)評(píng)估控制活動(dòng)信息與溝通監(jiān)控合規(guī)性操作財(cái)務(wù)風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估是及時(shí)識(shí)別、科學(xué)分析和評(píng)價(jià)影響企業(yè)內(nèi)部控制目標(biāo)實(shí)現(xiàn)的各種不確定因素并采取應(yīng)對(duì)策略的過程,是實(shí)施內(nèi)部控制的重要環(huán)節(jié)。風(fēng)險(xiǎn)評(píng)估主要包括目標(biāo)設(shè)定、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)應(yīng)對(duì)。包括:控制環(huán)境風(fēng)險(xiǎn)評(píng)估控制活動(dòng)信息與溝通監(jiān)控合規(guī)性操作財(cái)務(wù)報(bào)告IT審計(jì)的參考標(biāo)準(zhǔn)-COSO(續(xù))正式建立和廣泛公布公司層面的目標(biāo)及價(jià)值觀、風(fēng)險(xiǎn)評(píng)估的程序?qū)χ卮髥栴}的預(yù)計(jì)、識(shí)別以及做出反應(yīng)的機(jī)制識(shí)別公認(rèn)會(huì)計(jì)原則變更、商業(yè)慣例及內(nèi)部控制的步驟和程序等風(fēng)險(xiǎn)評(píng)估控制環(huán)境風(fēng)險(xiǎn)評(píng)估控制活動(dòng)信息與溝通監(jiān)控合規(guī)性操作財(cái)務(wù)控制活動(dòng)控制活動(dòng)是根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果、結(jié)合風(fēng)險(xiǎn)應(yīng)對(duì)策略所采取的確保企業(yè)內(nèi)部控制目標(biāo)得以實(shí)現(xiàn)的方法和手段,是實(shí)施內(nèi)部控制的具體方式??刂苹顒?dòng)結(jié)合企業(yè)具體業(yè)務(wù)和事項(xiàng)的特點(diǎn)與要求制定,主要包括職責(zé)分工控制、授權(quán)控制、審核批準(zhǔn)控制、預(yù)算控制、財(cái)產(chǎn)保護(hù)控制、會(huì)計(jì)系統(tǒng)控制、內(nèi)部報(bào)告控制、經(jīng)濟(jì)活動(dòng)分析控制、績(jī)效考評(píng)控制、信息技術(shù)控制等。控制環(huán)境風(fēng)險(xiǎn)評(píng)估控制活動(dòng)信息與溝通監(jiān)控合規(guī)性操作財(cái)務(wù)報(bào)告IT審計(jì)的參考標(biāo)準(zhǔn)-COSO(續(xù))控制活動(dòng)控制活動(dòng)結(jié)合企業(yè)具體業(yè)務(wù)和事項(xiàng)的特點(diǎn)與要求制定,主要信息與溝通信息與溝通是及時(shí)、準(zhǔn)確、完整地收集與企業(yè)經(jīng)營(yíng)管理相關(guān)的各種信息,并使這些信息以適當(dāng)?shù)姆绞皆谄髽I(yè)有關(guān)層級(jí)之間進(jìn)行及時(shí)傳遞、有效溝通和正確應(yīng)用的過程,是實(shí)施內(nèi)部控制的重要條件。主要包括:管理層有效地傳達(dá)員工的崗位職責(zé)和應(yīng)負(fù)有的控制責(zé)任建立渠道收集和處理內(nèi)部投訴及不滿充分的溝通交流指定人員或部門負(fù)責(zé)收集和處理外部的評(píng)論和投訴已建立上下各部門之間的匯報(bào)路線和溝通渠道控制環(huán)境風(fēng)險(xiǎn)評(píng)估控制活動(dòng)信息與溝通監(jiān)控合規(guī)性操作財(cái)務(wù)報(bào)告IT審計(jì)的參考標(biāo)準(zhǔn)-COSO(續(xù))信息與溝通管理層有效地傳達(dá)員工的崗位職責(zé)和應(yīng)負(fù)有的控制責(zé)任控監(jiān)督主要包括對(duì)建立并執(zhí)行內(nèi)部控制的整體情況進(jìn)行持續(xù)性監(jiān)督檢查,對(duì)內(nèi)部控制的某一方面或者某些方面進(jìn)行專項(xiàng)監(jiān)督檢查,以及提交相應(yīng)的檢查報(bào)告、提出有針對(duì)性的改進(jìn)措施等。企業(yè)內(nèi)部控制自我評(píng)估是內(nèi)部控制監(jiān)督檢查的一項(xiàng)重要內(nèi)容。監(jiān)控監(jiān)督是企業(yè)對(duì)其內(nèi)部控制的健全性、合理性和有效性進(jìn)行監(jiān)督檢查與評(píng)估,形成書面報(bào)告并作出相應(yīng)處理的過程,是實(shí)施內(nèi)部控制的重要保證??刂骗h(huán)境風(fēng)險(xiǎn)評(píng)估控制活動(dòng)信息與溝通監(jiān)控合規(guī)性操作財(cái)務(wù)報(bào)告IT審計(jì)的參考標(biāo)準(zhǔn)-COSO(續(xù))監(jiān)督主要包括對(duì)建立并執(zhí)行內(nèi)部控制的整體情況進(jìn)行持續(xù)性監(jiān)督檢查IT審計(jì)的參考標(biāo)準(zhǔn)-COSO與BaselII的關(guān)系IT審計(jì)相關(guān)標(biāo)準(zhǔn)——COSO與BaselII的關(guān)系BaselII原則COSO控制方面IT相關(guān)需求1.董事會(huì)應(yīng)清楚的認(rèn)識(shí)到銀行業(yè)務(wù)的運(yùn)作風(fēng)險(xiǎn)各個(gè)方面,制定出風(fēng)險(xiǎn)管理框架,并定期審閱該框架。框架內(nèi)容需包括如何對(duì)運(yùn)營(yíng)風(fēng)險(xiǎn)進(jìn)行定義、評(píng)估、監(jiān)控、控制??刂骗h(huán)境風(fēng)險(xiǎn)管理流程需將IT整合起來。2.董事會(huì)應(yīng)確保銀行的運(yùn)營(yíng)風(fēng)險(xiǎn)管理框架能夠有效的被內(nèi)審人員運(yùn)用到實(shí)際工作中。內(nèi)審部門并不直接對(duì)風(fēng)險(xiǎn)管理框架的管理負(fù)責(zé)。監(jiān)控制定內(nèi)部審計(jì)計(jì)劃時(shí)除包括財(cái)務(wù)部門的運(yùn)營(yíng)風(fēng)險(xiǎn)還應(yīng)考慮IT的影響;IT內(nèi)審人員應(yīng)具有相應(yīng)的技術(shù)背景,并受到培訓(xùn),技術(shù)背景包括對(duì)BaselII協(xié)議、風(fēng)險(xiǎn)管理原則、會(huì)計(jì)準(zhǔn)則的理解;IT內(nèi)審職責(zé)應(yīng)受到財(cái)務(wù)部門管理人員的審閱;外部專業(yè)資源應(yīng)被適當(dāng)?shù)睦谩?.管理層負(fù)責(zé)實(shí)施風(fēng)險(xiǎn)管理框架,實(shí)施范圍需貫徹整個(gè)銀行組織,各個(gè)級(jí)別的職員都應(yīng)該理解他們?cè)谠摽蚣苤械穆氊?zé)。管理層需負(fù)責(zé)對(duì)各類業(yè)務(wù)、活動(dòng)和系統(tǒng)制定制度及操作流程??刂骗h(huán)境信息與溝通IT管理層擁有與高級(jí)管理層相同的職責(zé);制定好的風(fēng)險(xiǎn)框架應(yīng)滿足IT的需求,可以考慮根據(jù)風(fēng)險(xiǎn)框架制定IT控制框架;風(fēng)險(xiǎn)框架中IT部分,需與財(cái)務(wù)部門負(fù)責(zé)人進(jìn)行溝通,例如IT組織管理,IT計(jì)劃,安全,系統(tǒng)開發(fā),程序變更,運(yùn)行支持,內(nèi)部審計(jì)職責(zé)等。4.銀行應(yīng)對(duì)所有業(yè)務(wù)、產(chǎn)品和系統(tǒng)的固有風(fēng)險(xiǎn)進(jìn)行定義和評(píng)估。在新業(yè)務(wù)、產(chǎn)品和系統(tǒng)實(shí)施前,必須完成對(duì)其固有的評(píng)估。目標(biāo)設(shè)定事件定義風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估應(yīng)該與影響銀行業(yè)務(wù)的IT行為一體化,例如程序變更、基礎(chǔ)架構(gòu)變更和安全監(jiān)控;風(fēng)險(xiǎn)評(píng)估應(yīng)整合在系統(tǒng)開發(fā)和實(shí)施的流程中;對(duì)企業(yè)有重大影響的股東需要考慮進(jìn)風(fēng)險(xiǎn)評(píng)估框架中;風(fēng)險(xiǎn)評(píng)估結(jié)果需與GRC框架保持一致。5.銀行應(yīng)該建立定期監(jiān)控操作風(fēng)險(xiǎn)和重大漏洞的體系,同時(shí)定期向管理層和董事會(huì)匯報(bào)相關(guān)內(nèi)容,以便管理層對(duì)風(fēng)險(xiǎn)進(jìn)行控制。事件定義風(fēng)險(xiǎn)評(píng)估信息與溝通運(yùn)行風(fēng)險(xiǎn)評(píng)估應(yīng)包含在年度計(jì)劃和戰(zhàn)略計(jì)劃中;運(yùn)行風(fēng)險(xiǎn)應(yīng)根據(jù)內(nèi)部和外部重大事件的變化進(jìn)行再評(píng)估,例如發(fā)生災(zāi)難后需要對(duì)可持續(xù)性計(jì)劃進(jìn)行重新定義;風(fēng)險(xiǎn)行為圖表應(yīng)該被定義并審閱,當(dāng)異常的曲線被檢測(cè)到,分析原因并及時(shí)改進(jìn)。IT審計(jì)的參考標(biāo)準(zhǔn)-COSO與BaselII的關(guān)系IT審計(jì)BaselII原則COSO控制方面IT相關(guān)需求6.銀行應(yīng)該有一套完整的制度和流程凱控制或降低重大運(yùn)營(yíng)風(fēng)險(xiǎn)。銀行應(yīng)該定期審閱自身的風(fēng)險(xiǎn)局限性和控制戰(zhàn)略,并根據(jù)對(duì)風(fēng)險(xiǎn)的整體考慮來調(diào)整運(yùn)營(yíng)風(fēng)險(xiǎn)結(jié)果。風(fēng)險(xiǎn)響應(yīng)控制環(huán)境信息與溝通控制行為存在一套完整的IT內(nèi)控框架一遍降低運(yùn)營(yíng)風(fēng)險(xiǎn);IT內(nèi)控框架應(yīng)該以準(zhǔn)確的制度、流程為依據(jù);運(yùn)營(yíng)風(fēng)險(xiǎn)應(yīng)該根據(jù)外部和內(nèi)部發(fā)生的事件進(jìn)行再評(píng)估,例如另一家銀行被收購(gòu),必須考慮該行為對(duì)行業(yè)的綜合影響及帶來的新的運(yùn)營(yíng)風(fēng)險(xiǎn);IT制度和流程必須被定期(至少一年一次)審閱、審批。7.銀行應(yīng)該有一套完整的業(yè)務(wù)連續(xù)性計(jì)劃,來確保當(dāng)發(fā)生重大商業(yè)干擾時(shí),業(yè)務(wù)的能夠正常運(yùn)行。風(fēng)險(xiǎn)響應(yīng)IT部門應(yīng)該有一套和業(yè)務(wù)連續(xù)性相關(guān)的IT連續(xù)性計(jì)劃。8.銀行監(jiān)管人應(yīng)該要求各家銀行(不論規(guī)模大?。┒加幸惶子行У目蚣軄矶x、評(píng)估、監(jiān)控、控制或降低運(yùn)營(yíng)風(fēng)險(xiǎn),作為風(fēng)險(xiǎn)管理的一部分。監(jiān)控IT部門應(yīng)該實(shí)施IT風(fēng)險(xiǎn)管理框架來滿足財(cái)務(wù)部門的需求。9.主管對(duì)運(yùn)營(yíng)風(fēng)險(xiǎn)相關(guān)制度、流程進(jìn)行評(píng)價(jià),確保存在一套正確的機(jī)制促進(jìn)銀行的發(fā)展。監(jiān)控IT高級(jí)管理層應(yīng)確保IT相關(guān)的制度與公司整體的制度和流程整合在一起。對(duì)于財(cái)務(wù)部門發(fā)現(xiàn)的缺陷及時(shí)調(diào)整;IT合規(guī)職能應(yīng)該和財(cái)務(wù)部門合規(guī)職能整合在一起,確保財(cái)務(wù)部門主管能夠及時(shí)獲得IT發(fā)展的動(dòng)態(tài)。10.銀行必須充分披露以便市場(chǎng)參與者評(píng)估自身的運(yùn)營(yíng)風(fēng)險(xiǎn)管理??刂骗h(huán)境信息與溝通IT應(yīng)該定義所有與重大運(yùn)營(yíng)相關(guān)的風(fēng)險(xiǎn),并與董事會(huì)和高級(jí)管理層進(jìn)行溝通。IT審計(jì)的參考標(biāo)準(zhǔn)-COSO與BaselII的關(guān)系(續(xù))BaselII原則COSO控制方面IT相關(guān)需求6.銀行應(yīng)有兩種方法來選擇相關(guān)的IT流程和控制:風(fēng)險(xiǎn)驅(qū)動(dòng)-根據(jù)風(fēng)險(xiǎn)的屬性(嚴(yán)重、重要、有影響、無影響)來定義控制目標(biāo)和步驟目標(biāo)驅(qū)動(dòng)-根據(jù)BaselII定義目標(biāo),然后使用CoBIT提供的指引IT審計(jì)的參考標(biāo)準(zhǔn)-CoBIT與BaselII的關(guān)系有兩種方法來選擇相關(guān)的IT流程和控制:IT審計(jì)的參考標(biāo)準(zhǔn)-CIT審計(jì)的參考標(biāo)準(zhǔn)-CoBIT與BaselII的關(guān)系-風(fēng)險(xiǎn)驅(qū)動(dòng)方法BaselII風(fēng)險(xiǎn)類型IT方面CoBIT流程內(nèi)部舞弊?蓄意使用程序

?未經(jīng)授權(quán)的使用修改功能

?蓄意使用系統(tǒng)指令

?蓄意使用硬件

?蓄意的未經(jīng)授權(quán)的對(duì)系統(tǒng)和應(yīng)用數(shù)據(jù)進(jìn)行修改

?使用、拷貝無許可證或未授權(quán)的軟件

?通過欺詐手段獲取他人的訪問特權(quán)?PO6溝通管理的目標(biāo)和方向

?DS5確保系統(tǒng)安全

?DS9配置管理

?DS12物理安全管理外部欺騙?通過黑客修改系統(tǒng)和應(yīng)用數(shù)據(jù)

?外來人員獲得機(jī)密文檔

?通過欺詐手段獲取他人的訪問特權(quán)

?竊取信息

?密碼泄露

?病毒?DS5確保系統(tǒng)安全員工管理和工作場(chǎng)所安全?IT資源的濫用

?缺乏安全響應(yīng)?PO6溝通管理的目標(biāo)和方向

?DS5確保系統(tǒng)安全客戶、產(chǎn)品和商業(yè)行為?員工把敏感信息披露給外部人員?第三方提供商管理?PO6溝通管理的目標(biāo)和方向?DS2第三方服務(wù)管理IT審計(jì)的參考標(biāo)準(zhǔn)-CoBIT與BaselII的關(guān)系-風(fēng)險(xiǎn)IT審計(jì)的參考標(biāo)準(zhǔn)-CoBIT與BaselII的關(guān)系-風(fēng)險(xiǎn)驅(qū)動(dòng)方法(續(xù))BaselII風(fēng)險(xiǎn)類型IT方面CoBIT流程實(shí)物損壞?IT基礎(chǔ)資源物理?yè)p壞?DS12物理安全管理商業(yè)中斷和系統(tǒng)失敗?硬件和軟件故障?通信失敗?員工破壞?IT職員丟失鑰匙?數(shù)據(jù)文件損壞?軟件或敏感數(shù)據(jù)被竊取?電腦病毒?備份失敗?拒絕服務(wù)攻擊?配置控制失敗?AI7安裝和認(rèn)證解決方案和變更?DS3性能和容量管理?DS4確保服務(wù)的連續(xù)?DS5確保系統(tǒng)安全?DS9配置管理?DS10問題管理執(zhí)行,交付和流程管理?處理電子介質(zhì)時(shí)發(fā)生錯(cuò)誤?無人管理的工作站?變更控制錯(cuò)誤?交易錄入不完整?數(shù)據(jù)錄入/導(dǎo)出發(fā)生錯(cuò)誤?程序開發(fā)/測(cè)試發(fā)生錯(cuò)誤?操作錯(cuò)誤,如恢復(fù)過程時(shí)發(fā)生錯(cuò)誤?AI3獲得和維護(hù)技術(shù)基礎(chǔ)架構(gòu)?AI6變更管理?AI7安裝和認(rèn)證解決方案和變更?DS5確保系統(tǒng)安全?DS10問題管理IT審計(jì)的參考標(biāo)準(zhǔn)-CoBIT與BaselII的關(guān)系-風(fēng)險(xiǎn)IT審計(jì)的參考標(biāo)準(zhǔn)-CoBIT與BaselII的關(guān)系-目標(biāo)驅(qū)動(dòng)方法序號(hào)CoBIT設(shè)定的目標(biāo)是否與Basel有關(guān)聯(lián)1對(duì)商業(yè)需求的響應(yīng)要服從企業(yè)戰(zhàn)略2對(duì)管理需求的響應(yīng)要服從于董事會(huì)導(dǎo)向●3為終端用戶提供令其滿意的服務(wù)4使信息使用最優(yōu)化5保持IT的靈活性6定義業(yè)務(wù)功能和控制的需求如何轉(zhuǎn)化成有效自動(dòng)的解決方案7獲取和維護(hù)整合的標(biāo)準(zhǔn)的應(yīng)用系統(tǒng)8獲取和維護(hù)整合的IT基礎(chǔ)架構(gòu)●9獲取和維護(hù)符合IT戰(zhàn)略的IT技術(shù)●10與第三方服務(wù)商保持良好關(guān)系●11確保IT應(yīng)用與業(yè)務(wù)流程的有效結(jié)合12正確理解IT成本、利益、戰(zhàn)略、制度和服務(wù)等級(jí)●13確保應(yīng)用系統(tǒng)和技術(shù)方案的使用和性能●14統(tǒng)計(jì)和保護(hù)所有IT資產(chǎn)●IT審計(jì)的參考標(biāo)準(zhǔn)-CoBIT與BaselII的關(guān)系-目標(biāo)序號(hào)CoBIT設(shè)定的目標(biāo)是否與Basel有關(guān)聯(lián)15優(yōu)化IT架構(gòu)、資源和性能●16盡量避免IT解決方案和服務(wù)過程中的不足,以減少重復(fù)工作●17保護(hù)IT目標(biāo)的成就18使業(yè)務(wù)對(duì)IT目標(biāo)、資源的影響透明化●19確保只有授權(quán)人員才能訪問重要和機(jī)密信息●20確保業(yè)務(wù)較易的自動(dòng)處理和信息交互是可信賴的●21確保IT架構(gòu)和服務(wù)可以防御和修復(fù)因系統(tǒng)錯(cuò)誤、惡意攻擊或?yàn)?zāi)難帶來的影響●22確保IT系統(tǒng)中斷或變更對(duì)業(yè)務(wù)的影響降到最低●23確保IT服務(wù)滿足需求●24提高IT的成本效益和IT對(duì)企業(yè)收益的貢獻(xiàn)25在預(yù)算范圍內(nèi)及時(shí)、高效、高質(zhì)量的完成項(xiàng)目26維護(hù)信息和流程架構(gòu)的完整性●27確保IT符合相關(guān)法律、制度和合同的要求●28確保IT提供符合成本效益的服務(wù)質(zhì)量,提高連續(xù)性,并為將來的變更做好準(zhǔn)備IT審計(jì)的參考標(biāo)準(zhǔn)-CoBIT與BaselII的關(guān)系-目標(biāo)驅(qū)動(dòng)方法(續(xù))序號(hào)CoBIT設(shè)定的目標(biāo)是否與Basel有關(guān)聯(lián)15優(yōu)化IT架IT審計(jì)的參考標(biāo)準(zhǔn)——IIA應(yīng)用控制審計(jì)國(guó)際內(nèi)部審計(jì)師協(xié)會(huì)(InstituteofInternalAuditors?IIA)是由內(nèi)部審計(jì)人員組成的國(guó)際性審計(jì)職業(yè)團(tuán)體。成立于1941年。其前身美國(guó)內(nèi)部審計(jì)師協(xié)會(huì)。2007年IIA頒布了《應(yīng)用控制審計(jì)》(AuditingApplicationControls)用于指導(dǎo)應(yīng)用控制的審計(jì)。IT審計(jì)的參考標(biāo)準(zhǔn)——IIA應(yīng)用控制審計(jì)國(guó)際內(nèi)部審計(jì)師協(xié)會(huì)(目錄內(nèi)部控制定義信息科技層面評(píng)估架構(gòu)IT公司層面控制IT一般性控制應(yīng)用程序控制IT審計(jì)的參考標(biāo)準(zhǔn)目錄內(nèi)部控制定義內(nèi)部控制定義(續(xù))Basel內(nèi)部控制框架的定義Internalcontrolisaprocesseffectedbytheboardofdirectors,seniormanagementandalllevelsofpersonnel.Itisnotsolelyaprocedureorpolicythatisperformedatacertainpointintime,butratheritiscontinuallyoperatingatalllevelswithinthebank.Theboardofdirectorsandseniormanagementareresponsibleforestablishingtheappropriateculturetofacilitateaneffectiveinternalcontrolprocessandformonitoringitseffectivenessonanongoingbasis;however,eachindividualwithinanorganisationmustparticipateintheprocess.內(nèi)部控制定義(續(xù))Basel內(nèi)部控制框架的定義內(nèi)部控制定義(續(xù))COSO內(nèi)部控制定義內(nèi)部控制被寬泛地定義為一個(gè)由主體的董事會(huì)、管理層和其他人員實(shí)施的、旨在為實(shí)現(xiàn)以下各類目標(biāo)提供合理保證的過程:經(jīng)營(yíng)的有效性和效率財(cái)務(wù)報(bào)告的可靠性符合適用的法律和法規(guī)內(nèi)部控制定義(續(xù))COSO內(nèi)部控制定義內(nèi)部控制定義(續(xù))內(nèi)部控制是:為實(shí)現(xiàn)經(jīng)營(yíng)目標(biāo)的動(dòng)態(tài)過程和機(jī)制一系列的:制度程序方法對(duì)風(fēng)險(xiǎn)進(jìn)行事前防范、事中控制、事后監(jiān)督和糾正高級(jí)管理層責(zé)任需要全體職工參與的工作需要通過監(jiān)控來確保有效性內(nèi)部控制定義(續(xù))內(nèi)部控制是:流程A商業(yè)流程/交易類別關(guān)鍵應(yīng)用程序IT基礎(chǔ)設(shè)施服務(wù)數(shù)據(jù)庫(kù)管理系統(tǒng)操作系統(tǒng)網(wǎng)絡(luò)/硬件流程B流程C應(yīng)用程序X應(yīng)用程序Y應(yīng)用程序Z流程AIT一般控制控制環(huán)境程序開發(fā)程序變更訪問控制系統(tǒng)運(yùn)行應(yīng)用系統(tǒng)自動(dòng)控制輸入控制校驗(yàn)控制系統(tǒng)接口系統(tǒng)計(jì)算權(quán)限控制信息系統(tǒng)控制識(shí)別信息系統(tǒng)范圍商業(yè)流程/交易類別戰(zhàn)略風(fēng)險(xiǎn)運(yùn)營(yíng)風(fēng)險(xiǎn)財(cái)務(wù)風(fēng)險(xiǎn)合規(guī)風(fēng)險(xiǎn)IT公司層面控制信息科技層面評(píng)估架構(gòu)流程A商業(yè)流程/交易類別關(guān)鍵應(yīng)用程序IT基礎(chǔ)設(shè)施服務(wù)數(shù)據(jù)庫(kù)管信息科技層面評(píng)估架構(gòu)(續(xù))信息系統(tǒng)控制評(píng)估的建議構(gòu)架基于國(guó)際通行的評(píng)估標(biāo)準(zhǔn)。其中,IT公司層面控制評(píng)估是基于COSO模型,IT一般性控制和應(yīng)用程序控制評(píng)估是基于COBIT?模型。監(jiān)控信息與溝通控制活動(dòng)風(fēng)險(xiǎn)評(píng)估控制環(huán)境合規(guī)性操作財(cái)務(wù)報(bào)告應(yīng)用程序控制COSOIT公司層面控制IT一般性控制信息科技層面評(píng)估架構(gòu)(續(xù))信息系統(tǒng)控制評(píng)估的建議構(gòu)架基于國(guó)際信息科技層面評(píng)估架構(gòu)(續(xù))風(fēng)險(xiǎn)評(píng)估信息技術(shù)風(fēng)險(xiǎn)評(píng)估目標(biāo)的設(shè)定技術(shù)風(fēng)險(xiǎn)的識(shí)別機(jī)制及風(fēng)險(xiǎn)分析降低風(fēng)險(xiǎn)的行動(dòng)計(jì)劃與預(yù)算控制活動(dòng)制定各類程序和政策根據(jù)風(fēng)險(xiǎn)執(zhí)行相應(yīng)信息系統(tǒng)控制信息技術(shù)職責(zé)分工信息與溝通關(guān)注戰(zhàn)略一體化的信息系統(tǒng)與信息質(zhì)量關(guān)注內(nèi)部與外部的溝通及其溝通方式控制環(huán)境信息技術(shù)員工誠(chéng)信和道德價(jià)值觀信息技術(shù)員工勝任能力管理層/董事會(huì)對(duì)信息技術(shù)的關(guān)注信息技術(shù)組織結(jié)構(gòu)信息技術(shù)策略與制度數(shù)據(jù)和應(yīng)用系統(tǒng)的歸屬制與職責(zé)分離COSO“內(nèi)部控制-整體框架”監(jiān)控進(jìn)行持續(xù)性信息系統(tǒng)監(jiān)督活動(dòng)信息系統(tǒng)的獨(dú)立評(píng)估體系適宜的信息技術(shù)內(nèi)部審計(jì)計(jì)劃信息系統(tǒng)缺陷報(bào)告控制環(huán)境風(fēng)險(xiǎn)評(píng)估控制活動(dòng)信息與溝通監(jiān)控合規(guī)性操作財(cái)務(wù)報(bào)告信息科技層面評(píng)估架構(gòu)(續(xù))風(fēng)險(xiǎn)評(píng)估控制活動(dòng)信息與溝通控制環(huán)境信息科技層面評(píng)估構(gòu)架(續(xù))COBIT4.1包含34個(gè)信息技術(shù)過程控制,并歸集為四個(gè)控制域:計(jì)劃與組織獲取與實(shí)施交付與支持監(jiān)控與評(píng)價(jià)COBIT

(ControlObjectivesforInformationandrelatedTechnology,信息及相關(guān)技術(shù)的控制目標(biāo))是國(guó)際公認(rèn)的IT治理框架,為企業(yè)管理者、用戶、信息系統(tǒng)審計(jì)和安全從業(yè)者提供了一個(gè)優(yōu)良參考構(gòu)架.。信息科技層面評(píng)估構(gòu)架(續(xù))COBIT4.1包含34個(gè)信息技信息科技層面評(píng)估架構(gòu)(續(xù))應(yīng)用程序控制簡(jiǎn)介 應(yīng)用程序控制是業(yè)務(wù)流程中控制的一部分,是在應(yīng)用系統(tǒng)中由程序自動(dòng)執(zhí)行的控制,用以替代很多由人工完成的基礎(chǔ)性檢查工作。由于應(yīng)用程序控制普遍適用于各種交易的處理,所以應(yīng)用程序控制是否有效對(duì)于內(nèi)控的有效性有著重要的影響。應(yīng)用程序控制可以分為兩類:

系統(tǒng)自動(dòng)控制由系統(tǒng)自動(dòng)完成的控制,無需人工干預(yù),在開發(fā)系統(tǒng)時(shí)已經(jīng)考慮并嵌入到系統(tǒng)中。人工依賴系統(tǒng)控制由系統(tǒng)完成部分的控制,需要人工干預(yù),且控制是否有效會(huì)受到人為因素的影響。控制目標(biāo)控制類型人工自動(dòng)預(yù)防性發(fā)現(xiàn)性人工控制人工依賴系統(tǒng)控制系統(tǒng)自動(dòng)控制信息科技層面評(píng)估架構(gòu)(續(xù))應(yīng)用程序控制簡(jiǎn)介 應(yīng)用程信息科技層面評(píng)估架構(gòu)(續(xù))應(yīng)用程序控制類型: 登陸權(quán)限/崗位分離實(shí)時(shí)校驗(yàn)/編輯檢查計(jì)算機(jī)計(jì)算自動(dòng)系統(tǒng)接口配置控制應(yīng)用程序控制信息科技層面評(píng)估架構(gòu)(續(xù))應(yīng)用程序控制類型: 信息科技層面評(píng)估架構(gòu)(續(xù))應(yīng)用程序控制類型 實(shí)時(shí)校驗(yàn)/編輯檢查控制:也稱為系統(tǒng)錄入控制,這類控制主要是確保錄入到系統(tǒng)中的數(shù)據(jù)的準(zhǔn)確性,進(jìn)行錄入時(shí)系統(tǒng)會(huì)對(duì)重要字段的合理性、合規(guī)性和準(zhǔn)確性進(jìn)行檢查,防止一些不合適的數(shù)據(jù)被系統(tǒng)接受,造成系統(tǒng)數(shù)據(jù)的不真實(shí)和垃圾數(shù)據(jù)的產(chǎn)生登陸權(quán)限/崗位分離控制:系統(tǒng)中用戶的權(quán)限設(shè)置是否合理,是否按照職責(zé)需要進(jìn)行授權(quán),是否考慮到崗位分離的情況計(jì)算機(jī)計(jì)算控制:系統(tǒng)自動(dòng)計(jì)算并保證計(jì)算的正確性,此類控制一般在程序開發(fā)時(shí)已嵌入到系統(tǒng)中自動(dòng)系統(tǒng)接口控制:主要關(guān)注不同應(yīng)用系統(tǒng)之間通過接口傳遞的數(shù)據(jù)是否準(zhǔn)確完整配置控制:主要關(guān)注的是系統(tǒng)中維護(hù)的重要參數(shù)是否準(zhǔn)確,這些參數(shù)對(duì)于系統(tǒng)的運(yùn)行和業(yè)務(wù)處理的正確性起著重要的作用信息科技層面評(píng)估架構(gòu)(續(xù))應(yīng)用程序控制類型 信息科技層面評(píng)估架構(gòu)(續(xù))識(shí)別關(guān)鍵風(fēng)險(xiǎn)及信息資產(chǎn)根據(jù)貴行的特性包括現(xiàn)有制度、業(yè)務(wù)需要、風(fēng)險(xiǎn)識(shí)別、組織模型、管理、體系結(jié)構(gòu)和行業(yè)標(biāo)準(zhǔn)以及法律、法規(guī)、識(shí)別關(guān)鍵流程和控制范圍。監(jiān)控控制活動(dòng)貴行的控制活動(dòng)得到改善和加強(qiáng)后,需要建立一套監(jiān)控體系來保證控制活動(dòng)的持續(xù)有效。建立一整套完善的監(jiān)控方案,用以監(jiān)控控制活動(dòng)的有效性。評(píng)估現(xiàn)有控制貴行需在IT管理層面以及流程層面需建立相應(yīng)的控制,使貴行的工作模式能夠有效地規(guī)范起來。在這一階段中,內(nèi)審部將對(duì)現(xiàn)有IT流程和控制進(jìn)行評(píng)估,了解內(nèi)部管理和控制情況,確認(rèn)控制中存在的風(fēng)險(xiǎn)及差異??刂频母纳婆c加強(qiáng)基于對(duì)貴行內(nèi)部管理和控制情況的評(píng)估結(jié)果及發(fā)現(xiàn)的風(fēng)險(xiǎn)與差異,對(duì)控制進(jìn)行改善和加強(qiáng)。依照國(guó)際認(rèn)可的實(shí)踐經(jīng)驗(yàn)與標(biāo)準(zhǔn),改善自身的控制活動(dòng),以更好的防范風(fēng)險(xiǎn)。信息科技評(píng)估體系信息科技層面評(píng)估架構(gòu)(續(xù))識(shí)別關(guān)鍵風(fēng)險(xiǎn)及信息資產(chǎn)監(jiān)控控制活動(dòng)IT審計(jì)的參考標(biāo)準(zhǔn)-CoBITCoBIT(ControlObjectivesforInformationandrelatedTechnology,信息及相關(guān)技術(shù)的控制目標(biāo))最初的用途是為企業(yè)的IT治理提供清晰的指導(dǎo)策略和優(yōu)良的實(shí)踐范本,以幫助管理層理解并管理有關(guān)IT的風(fēng)險(xiǎn)。CoBIT已經(jīng)被發(fā)展成為一套國(guó)際公認(rèn)的、企業(yè)通用的,有關(guān)IT安全和控制的標(biāo)準(zhǔn)。它為企業(yè)管理者、用戶、信息系統(tǒng)審計(jì)和安全從業(yè)者提供了一個(gè)優(yōu)良參考構(gòu)架。CoBIT將IT過程,IT資源與企業(yè)的策略與目標(biāo)(準(zhǔn)則)聯(lián)系起來,形成一個(gè)三維的體系結(jié)構(gòu)。IT審計(jì)的參考標(biāo)準(zhǔn)-CoBITCoBIT(ControlOIT審計(jì)的參考標(biāo)準(zhǔn)-CoBIT(續(xù))有效性效率保密性完整性可用性合規(guī)性可靠性應(yīng)用系統(tǒng)信息基礎(chǔ)設(shè)施人員計(jì)劃與組織采購(gòu)與實(shí)施交付與支持監(jiān)控與評(píng)價(jià)有效性(Effectiveness):是指信息與商業(yè)過程相關(guān),并以及時(shí)、準(zhǔn)確、一致和可行的方式傳送。高效性(Efficiency):關(guān)于如何最佳(最高產(chǎn)和最經(jīng)濟(jì))利用資源來提供信息。機(jī)密性(Confidentiality):涉及對(duì)敏感信息的保護(hù),以防止未經(jīng)授權(quán)的披露。完整性(Integrity):涉及信息的精確性和完全性,以及與商業(yè)評(píng)價(jià)和期望相一致。可用性(Availability):指在現(xiàn)在和將來的商業(yè)處理需求中,信息是可用的。還指對(duì)必要的資源和相關(guān)性能的維護(hù)。符合性(Compliance):遵守商業(yè)運(yùn)作過程中必須遵守的法律、法規(guī)和契約條款,如外部強(qiáng)制商業(yè)標(biāo)準(zhǔn)??煽啃裕≧eliabilityofInformation):為管理者的日常經(jīng)營(yíng)管理以及履行財(cái)務(wù)報(bào)告責(zé)任提供適當(dāng)?shù)男畔?。IT審計(jì)的參考標(biāo)準(zhǔn)-CoBIT(續(xù))有效性效率保密性完整有效性效率保密性完整性可用性合規(guī)性可靠性應(yīng)用系統(tǒng)信息基礎(chǔ)設(shè)施人員計(jì)劃與組織采購(gòu)與實(shí)施交付與支持監(jiān)控與評(píng)價(jià)計(jì)劃與組織(PO)IT戰(zhàn)略與業(yè)務(wù)戰(zhàn)略是否一致企業(yè)是否優(yōu)化資源的使用組織的成員是否能夠理解IT目標(biāo)管理層是否意識(shí)到企業(yè)面臨的IT風(fēng)險(xiǎn)并予以妥善管理IT系統(tǒng)的質(zhì)量能否滿足業(yè)務(wù)需求采購(gòu)與實(shí)施(AI)新項(xiàng)目所提供的解決方案能否滿足業(yè)務(wù)需求新項(xiàng)目能否在既定的預(yù)算內(nèi)按期交付新系統(tǒng)能否按預(yù)期運(yùn)行變更是否影響當(dāng)前業(yè)務(wù)的正常運(yùn)行交付與支持(DS)IT服務(wù)是否根據(jù)業(yè)務(wù)的優(yōu)先級(jí)交付IT成本是否最優(yōu)工作負(fù)荷是否影響IT系統(tǒng)的有效使用是否充分實(shí)現(xiàn)保密性、完整性和可用性監(jiān)控與評(píng)價(jià)(ME)IT績(jī)效考核能否及時(shí)發(fā)現(xiàn)問題管理層能否確保內(nèi)部控制的效率和有效性IT績(jī)效能否與業(yè)務(wù)目標(biāo)相關(guān)聯(lián)是否測(cè)量并報(bào)告風(fēng)險(xiǎn)、控制、符合性和績(jī)效IT審計(jì)的參考標(biāo)準(zhǔn)-CoBIT(續(xù))有效性效率保密性完整性可用性合規(guī)性可靠性應(yīng)信基人計(jì)劃與組有效性效率保密性完整性可用性合規(guī)性可靠性應(yīng)用系統(tǒng)信息基礎(chǔ)設(shè)施人員計(jì)劃與組織采購(gòu)與實(shí)施交付與支持監(jiān)控與評(píng)價(jià)應(yīng)用系統(tǒng):用戶處理信息的自動(dòng)化用戶系統(tǒng)及手冊(cè)程序。

信息:信息系統(tǒng)輸入、處理和輸出的所有形式的數(shù)據(jù),可以被業(yè)務(wù)以任何形式所使用。

基礎(chǔ)設(shè)施:保障應(yīng)用系統(tǒng)處理信息所需的技術(shù)和設(shè)施(硬件、操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、網(wǎng)絡(luò)、多媒體等,以及放置、支持上述技術(shù)和設(shè)施的環(huán)境)。

人員:策劃、組織、采購(gòu)、實(shí)施、交付、支持、監(jiān)視和評(píng)價(jià)信息系統(tǒng)和服務(wù)所需的人員。人員可以是內(nèi)部的、外包人員或合同人員。IT審計(jì)的參考標(biāo)準(zhǔn)-CoBIT(續(xù))有效性效率保密性完整性可用性合規(guī)性可靠性應(yīng)信基人計(jì)劃與組CoBIT34個(gè)高層次控制目標(biāo)IT審計(jì)的參考標(biāo)準(zhǔn)-CoBIT(續(xù))監(jiān)控與評(píng)價(jià)

ME1IT績(jī)效監(jiān)控與評(píng)估

ME2內(nèi)部控制監(jiān)控與評(píng)估

ME3確保法規(guī)遵從

ME4提供IT治理交付與支持DS1定義并管理服務(wù)水平DS2管理第三方服務(wù)DS3性能管理與能力管理DS4確保服務(wù)的持續(xù)性DS5確保系統(tǒng)安全DS6確認(rèn)與分?jǐn)偝杀綝S7教育并培訓(xùn)客戶DS8服務(wù)臺(tái)與事件管理DS9配置管理DS10問題管理DS11數(shù)據(jù)管理DS12物理環(huán)境管理DS13運(yùn)營(yíng)管理規(guī)劃與組織PO1制定IT戰(zhàn)略規(guī)劃PO2確定信息架構(gòu)PO3確定技術(shù)方向PO4確定IT流程、組織及相互關(guān)系PO5管理IT投資PO6管理目標(biāo)與方向的協(xié)調(diào)PO7IT人力資源管理PO8質(zhì)量管理PO9評(píng)估并管理IT風(fēng)險(xiǎn)PO10項(xiàng)目管理獲取與實(shí)施

AI1確定自動(dòng)化解決方案

AI2應(yīng)用軟件的獲取和維護(hù)

AI3技術(shù)基礎(chǔ)設(shè)施的獲取和維護(hù)

AI4授權(quán)操作和使用

AI5獲取IT資源

AI6變更管理

AI7實(shí)施并驗(yàn)收及變更管理CoBIT34個(gè)高層次控制目標(biāo)IT審計(jì)的參考標(biāo)準(zhǔn)-CoBIIT審計(jì)的參考標(biāo)準(zhǔn)-COSOCommitteeofSponsoringOrganizationsofTheTreadwayCommission(COSO)由美國(guó)會(huì)計(jì)師協(xié)會(huì)、美國(guó)審計(jì)總署、美國(guó)內(nèi)部審計(jì)師協(xié)會(huì)和管理會(huì)計(jì)師協(xié)會(huì)等7個(gè)團(tuán)體共同贊助成立,專門研究?jī)?nèi)部控制問題。內(nèi)部控制—整體框架的目標(biāo):保證財(cái)務(wù)報(bào)告的可靠性保證經(jīng)營(yíng)效益和效率對(duì)相關(guān)法律法規(guī)的遵循IT審計(jì)的參考標(biāo)準(zhǔn)-COSOCommitteeofSpo根據(jù)COSO內(nèi)控框架,公司層面的內(nèi)部控制由以下五個(gè)部分組成:1.控制環(huán)境2.風(fēng)險(xiǎn)評(píng)估3.控制活動(dòng)4.信息與溝通5.監(jiān)控

中國(guó)內(nèi)部審計(jì)協(xié)會(huì)于2003年6月1日頒布實(shí)施的《內(nèi)部審計(jì)具體準(zhǔn)則》(第5號(hào))—內(nèi)部控制第5條,亦明確公司的內(nèi)部控制是由上述五個(gè)部分組成的。公司要建立完善的內(nèi)部控制,就要從這五方面著手,因?yàn)樗鼈兪莾?nèi)控的根基,它們會(huì)影響到公司風(fēng)險(xiǎn)管理每個(gè)環(huán)節(jié)的工作。監(jiān)控信息與溝通控制活動(dòng)風(fēng)險(xiǎn)評(píng)估控制環(huán)境合規(guī)性操作財(cái)務(wù)報(bào)告IT審計(jì)的參考標(biāo)準(zhǔn)-COSO(續(xù))根據(jù)COSO內(nèi)控框架,公司層面的內(nèi)部控制由以下五個(gè)部分組成:控制環(huán)境控制環(huán)境是影響、制約企業(yè)內(nèi)部控制建立與執(zhí)行的各種內(nèi)部因素的總稱,是實(shí)施內(nèi)部控制的基礎(chǔ)。內(nèi)部環(huán)境主要包括治理結(jié)構(gòu)、組織機(jī)構(gòu)設(shè)置與權(quán)責(zé)分配、企業(yè)文化、人力資源政策、內(nèi)部審計(jì)機(jī)構(gòu)設(shè)置、反舞弊機(jī)制等。從以下三個(gè)方面評(píng)價(jià)控制環(huán)境的有效性:識(shí)別及評(píng)價(jià)公司業(yè)務(wù)和財(cái)務(wù)報(bào)表的風(fēng)險(xiǎn)的能力按照公認(rèn)會(huì)計(jì)準(zhǔn)則編制高質(zhì)量的財(cái)務(wù)報(bào)表保證財(cái)務(wù)報(bào)表可靠性的基本控制及監(jiān)控措施控制環(huán)境風(fēng)險(xiǎn)評(píng)估控制活動(dòng)信息與溝通監(jiān)控合規(guī)性操作財(cái)務(wù)報(bào)告IT審計(jì)的參考標(biāo)準(zhǔn)-COSO(續(xù))控制環(huán)境控制環(huán)境風(fēng)險(xiǎn)評(píng)估控制活動(dòng)信息與溝通監(jiān)控合規(guī)性操作財(cái)務(wù)風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估是及時(shí)識(shí)別、科學(xué)分析和評(píng)價(jià)影響企業(yè)內(nèi)部控制目標(biāo)實(shí)現(xiàn)的各種不確定因素并采取應(yīng)對(duì)策略的過程,是實(shí)施內(nèi)部控制的重要環(huán)節(jié)。風(fēng)險(xiǎn)評(píng)估主要包括目標(biāo)設(shè)定、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)應(yīng)對(duì)。包括:控制環(huán)境風(fēng)險(xiǎn)評(píng)估控制活動(dòng)信息與溝通監(jiān)控合規(guī)性操作財(cái)務(wù)報(bào)告IT審計(jì)的參考標(biāo)準(zhǔn)-COSO(續(xù))正式建立和廣泛公布公司層面的目標(biāo)及價(jià)值觀、風(fēng)險(xiǎn)評(píng)估的程序?qū)χ卮髥栴}的預(yù)計(jì)、識(shí)別以及做出反應(yīng)的機(jī)制識(shí)別公認(rèn)會(huì)計(jì)原則變更、商業(yè)慣例及內(nèi)部控制的步驟和程序等風(fēng)險(xiǎn)評(píng)估控制環(huán)境風(fēng)險(xiǎn)評(píng)估控制活動(dòng)信息與溝通監(jiān)控合規(guī)性操作財(cái)務(wù)控制活動(dòng)控制活動(dòng)是根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果、結(jié)合風(fēng)險(xiǎn)應(yīng)對(duì)策略所采取的確保企業(yè)內(nèi)部控制目標(biāo)得以實(shí)現(xiàn)的方法和手段,是實(shí)施內(nèi)部控制的具體方式??刂苹顒?dòng)結(jié)合企業(yè)具體業(yè)務(wù)和事項(xiàng)的特點(diǎn)與要求制定,主要包括職責(zé)分工控制、授權(quán)控制、審核批準(zhǔn)控制、預(yù)算控制、財(cái)產(chǎn)保護(hù)控制、會(huì)計(jì)系統(tǒng)控制、內(nèi)部報(bào)告控制、經(jīng)濟(jì)活動(dòng)分析控制、績(jī)效考評(píng)控制、信息技術(shù)控制等。控制環(huán)境風(fēng)險(xiǎn)評(píng)估控制活動(dòng)信息與溝通監(jiān)控合規(guī)性操作財(cái)務(wù)報(bào)告IT審計(jì)的參考標(biāo)準(zhǔn)-COSO(續(xù))控制活動(dòng)控制活動(dòng)結(jié)合企業(yè)具體業(yè)務(wù)和事項(xiàng)的特點(diǎn)與要求制定,主要信息與溝通信息與溝通是及時(shí)、準(zhǔn)確、完整地收集與企業(yè)經(jīng)營(yíng)管理相關(guān)的各種信息,并使這些信息以適當(dāng)?shù)姆绞皆谄髽I(yè)有關(guān)層級(jí)之間進(jìn)行及時(shí)傳遞、有效溝通和正確應(yīng)用的過程,是實(shí)施內(nèi)部控制的重要條件。主要包括:管理層有效地傳達(dá)員工的崗位職責(zé)和應(yīng)負(fù)有的控制責(zé)任建立渠道收集和處理內(nèi)部投訴及不滿充分的溝通交流指定人員或部門負(fù)責(zé)收集和處理外部的評(píng)論和投訴已建立上下各部門之間的匯報(bào)路線和溝通渠道控制環(huán)境風(fēng)險(xiǎn)評(píng)估控制活動(dòng)信息與溝通監(jiān)控合規(guī)性操作財(cái)務(wù)報(bào)告IT審計(jì)的參考標(biāo)準(zhǔn)-COSO(續(xù))信息與溝通管理層有效地傳達(dá)員工的崗位職責(zé)和應(yīng)負(fù)有的控制責(zé)任控監(jiān)督主要包括對(duì)建立并執(zhí)行內(nèi)部控制的整體情況進(jìn)行持續(xù)性監(jiān)督檢查,對(duì)內(nèi)部控制的某一方面或者某些方面進(jìn)行專項(xiàng)監(jiān)督檢查,以及提交相應(yīng)的檢查報(bào)告、提出有針對(duì)性的改進(jìn)措施等。企業(yè)內(nèi)部控制自我評(píng)估是內(nèi)部控制監(jiān)督檢查的一項(xiàng)重要內(nèi)容。監(jiān)控監(jiān)督是企業(yè)對(duì)其內(nèi)部控制的健全性、合理性和有效性進(jìn)行監(jiān)督檢查與評(píng)估,形成書面報(bào)告并作出相應(yīng)處理的過程,是實(shí)施內(nèi)部控制的重要保證??刂骗h(huán)境風(fēng)險(xiǎn)評(píng)估控制活動(dòng)信息與溝通監(jiān)控合規(guī)性操作財(cái)務(wù)報(bào)告IT審計(jì)的參考標(biāo)準(zhǔn)-COSO(續(xù))監(jiān)督主要包括對(duì)建立并執(zhí)行內(nèi)部控制的整體情況進(jìn)行持續(xù)性監(jiān)督檢查IT審計(jì)的參考標(biāo)準(zhǔn)-COSO與BaselII的關(guān)系IT審計(jì)相關(guān)標(biāo)準(zhǔn)——COSO與BaselII的關(guān)系BaselII原則COSO控制方面IT相關(guān)需求1.董事會(huì)應(yīng)清楚的認(rèn)識(shí)到銀行業(yè)務(wù)的運(yùn)作風(fēng)險(xiǎn)各個(gè)方面,制定出風(fēng)險(xiǎn)管理框架,并定期審閱該框架??蚣軆?nèi)容需包括如何對(duì)運(yùn)營(yíng)風(fēng)險(xiǎn)進(jìn)行定義、評(píng)估、監(jiān)控、控制。控制環(huán)境風(fēng)險(xiǎn)管理流程需將IT整合起來。2.董事會(huì)應(yīng)確保銀行的運(yùn)營(yíng)風(fēng)險(xiǎn)管理框架能夠有效的被內(nèi)審人員運(yùn)用到實(shí)際工作中。內(nèi)審部門并不直接對(duì)風(fēng)險(xiǎn)管理框架的管理負(fù)責(zé)。監(jiān)控制定內(nèi)部審計(jì)計(jì)劃時(shí)除包括財(cái)務(wù)部門的運(yùn)營(yíng)風(fēng)險(xiǎn)還應(yīng)考慮IT的影響;IT內(nèi)審人員應(yīng)具有相應(yīng)的技術(shù)背景,并受到培訓(xùn),技術(shù)背景包括對(duì)BaselII協(xié)議、風(fēng)險(xiǎn)管理原則、會(huì)計(jì)準(zhǔn)則的理解;IT內(nèi)審職責(zé)應(yīng)受到財(cái)務(wù)部門管理人員的審閱;外部專業(yè)資源應(yīng)被適當(dāng)?shù)睦谩?.管理層負(fù)責(zé)實(shí)施風(fēng)險(xiǎn)管理框架,實(shí)施范圍需貫徹整個(gè)銀行組織,各個(gè)級(jí)別的職員都應(yīng)該理解他們?cè)谠摽蚣苤械穆氊?zé)。管理層需負(fù)責(zé)對(duì)各類業(yè)務(wù)、活動(dòng)和系統(tǒng)制定制度及操作流程??刂骗h(huán)境信息與溝通IT管理層擁有與高級(jí)管理層相同的職責(zé);制定好的風(fēng)險(xiǎn)框架應(yīng)滿足IT的需求,可以考慮根據(jù)風(fēng)險(xiǎn)框架制定IT控制框架;風(fēng)險(xiǎn)框架中IT部分,需與財(cái)務(wù)部門負(fù)責(zé)人進(jìn)行溝通,例如IT組織管理,IT計(jì)劃,安全,系統(tǒng)開發(fā),程序變更,運(yùn)行支持,內(nèi)部審計(jì)職責(zé)等。4.銀行應(yīng)對(duì)所有業(yè)務(wù)、產(chǎn)品和系統(tǒng)的固有風(fēng)險(xiǎn)進(jìn)行定義和評(píng)估。在新業(yè)務(wù)、產(chǎn)品和系統(tǒng)實(shí)施前,必須完成對(duì)其固有的評(píng)估。目標(biāo)設(shè)定事件定義風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估應(yīng)該與影響銀行業(yè)務(wù)的IT行為一體化,例如程序變更、基礎(chǔ)架構(gòu)變更和安全監(jiān)控;風(fēng)險(xiǎn)評(píng)估應(yīng)整合在系統(tǒng)開發(fā)和實(shí)施的流程中;對(duì)企業(yè)有重大影響的股東需要考慮進(jìn)風(fēng)險(xiǎn)評(píng)估框架中;風(fēng)險(xiǎn)評(píng)估結(jié)果需與GRC框架保持一致。5.銀行應(yīng)該建立定期監(jiān)控操作風(fēng)險(xiǎn)和重大漏洞的體系,同時(shí)定期向管理層和董事會(huì)匯報(bào)相關(guān)內(nèi)容,以便管理層對(duì)風(fēng)險(xiǎn)進(jìn)行控制。事件定義風(fēng)險(xiǎn)評(píng)估信息與溝通運(yùn)行風(fēng)險(xiǎn)評(píng)估應(yīng)包含在年度計(jì)劃和戰(zhàn)略計(jì)劃中;運(yùn)行風(fēng)險(xiǎn)應(yīng)根據(jù)內(nèi)部和外部重大事件的變化進(jìn)行再評(píng)估,例如發(fā)生災(zāi)難后需要對(duì)可持續(xù)性計(jì)劃進(jìn)行重新定義;風(fēng)險(xiǎn)行為圖表應(yīng)該被定義并審閱,當(dāng)異常的曲線被檢測(cè)到,分析原因并及時(shí)改進(jìn)。IT審計(jì)的參考標(biāo)準(zhǔn)-COSO與BaselII的關(guān)系IT審計(jì)BaselII原則COSO控制方面IT相關(guān)需求6.銀行應(yīng)該有一套完整的制度和流程凱控制或降低重大運(yùn)營(yíng)風(fēng)險(xiǎn)。銀行應(yīng)該定期審閱自身的風(fēng)險(xiǎn)局限性和控制戰(zhàn)略,并根據(jù)對(duì)風(fēng)險(xiǎn)的整體考慮來調(diào)整運(yùn)營(yíng)風(fēng)險(xiǎn)結(jié)果。風(fēng)險(xiǎn)響應(yīng)控制環(huán)境信息與溝通控制行為存在一套完整的IT內(nèi)控框架一遍降低運(yùn)營(yíng)風(fēng)險(xiǎn);IT內(nèi)控框架應(yīng)該以準(zhǔn)確的制度、流程為依據(jù);運(yùn)營(yíng)風(fēng)險(xiǎn)應(yīng)該根據(jù)外部和內(nèi)部發(fā)生的事件進(jìn)行再評(píng)估,例如另一家銀行被收購(gòu),必須考慮該行為對(duì)行業(yè)的綜合影響及帶來的新的運(yùn)營(yíng)風(fēng)險(xiǎn);IT制度和流程必須被定期(至少一年一次)審閱、審批。7.銀行應(yīng)該有一套完整的業(yè)務(wù)連續(xù)性計(jì)劃,來確保當(dāng)發(fā)生重大商業(yè)干擾時(shí),業(yè)務(wù)的能夠正常運(yùn)行。風(fēng)險(xiǎn)響應(yīng)IT部門應(yīng)該有一套和業(yè)務(wù)連續(xù)性相關(guān)的IT連續(xù)性計(jì)劃。8.銀行監(jiān)管人應(yīng)該要求各家銀行(不論規(guī)模大?。┒加幸惶子行У目蚣軄矶x、評(píng)估、監(jiān)控、控制或降低運(yùn)營(yíng)風(fēng)險(xiǎn),作為風(fēng)險(xiǎn)管理的一部分。監(jiān)控IT部門應(yīng)該實(shí)施IT風(fēng)險(xiǎn)管理框架來滿足財(cái)務(wù)部門的需求。9.主管對(duì)運(yùn)營(yíng)風(fēng)險(xiǎn)相關(guān)制度、流程進(jìn)行評(píng)價(jià),確保存在一套正確的機(jī)制促進(jìn)銀行的發(fā)展。監(jiān)控IT高級(jí)管理層應(yīng)確保IT相關(guān)的制度與公司整體的制度和流程整合在一起。對(duì)于財(cái)務(wù)部門發(fā)現(xiàn)的缺陷及時(shí)調(diào)整;IT合規(guī)職能應(yīng)該和財(cái)務(wù)部門合規(guī)職能整合在一起,確保財(cái)務(wù)部門主管能夠及時(shí)獲得IT發(fā)展的動(dòng)態(tài)。10.銀行必須充分披露以便市場(chǎng)參與者評(píng)估自身的運(yùn)營(yíng)風(fēng)險(xiǎn)管理。控制環(huán)境信息與溝通IT應(yīng)該定義所有與重大運(yùn)營(yíng)相關(guān)的風(fēng)險(xiǎn),并與董事會(huì)和高級(jí)管理層進(jìn)行溝通。IT審計(jì)的參考標(biāo)準(zhǔn)-COSO與BaselII的關(guān)系(續(xù))BaselII原則COSO控制方面IT相關(guān)需求6.銀行應(yīng)有兩種方法來選擇相關(guān)的IT流程和

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論