ABCD,2020/8/6, 2003 KPMG,银行信息系统管制,朱恩良 毕马威会计师事务所 2003年7月26日,2020/8/6, 2003 KPMG,内容提要,毕马威介绍 日益增长的信息技术应用需求 信息系统管制 信息技术安全 信息系统审计 毕马威可提供的服务 问答,2020/8/6, 2003 KPMG,在全球各地金融服务业拥有雄厚的实力,金融服务业是毕马威阵容最鼎盛、实力最雄厚的行业专责团队，拥有遍布世界各地的服务网络 在全球逾 150 个国家超过 750个城市设有办事处，共聘用专业人员超过 10 万人 本所亦于中国多个城市设立办事处，包括香港、北京、上海、广州、深圳及澳门 本所为全球五百大银行当中的一半银行，以及三分之二全球最大型的保险公司提供服务,毕马威介绍,2020/8/6, 2003 KPMG,毕马威曾多次为世界各地的金融机构提供服务，所以拥有无可比拟的经验实力,澳洲纽西兰银行 花旗集团 瑞士信贷第一波士顿 德意志银行 德国裕宝联合银行 荷兰商业银行 澳洲国民银行 第一银行 汇丰银行 渣打银行 维萨国际 美国银行 法国兴业银行 太阳信托银行 美国信孚银行,穆迪 美国嘉信理财公司 美林集团 美国信托公司 苏黎世金融 大联基金管理 纽约人寿 美国保德信人寿保险 安联大众人寿保险 英国保诚 皇家太阳联合保险 慕尼黑再保险 瑞士丰泰保险 蓝十字 美国再保险,毕马威介绍,2020/8/6, 2003 KPMG,毕马威亦为多家国内及香港的金融机构提供服务,北京,上海,深圳,广州,香港,中国国际再保险公司 中保国际控股有限公司 香港出口信用保险局 中国人民保险公司 泰康人寿 安联大众 东方人寿 太平人寿 信诚人寿,中国银行 中国建设银行 招商银行 中信实业银行 上海浦东发展银行 中国国际金融有限公司 广东发展银行 京华山一证券,汇丰银行 恒生银行 渣打银行 东亚银行 中信嘉华银行 港基国际银行 永亨银行,毕马威介绍,2020/8/6, 2003 KPMG,内容提要,毕马威简介 日益增长的信息技术应用需求 信息系统管制 信息技术安全 信息系统审计 毕马威可提供的服务 问答,2020/8/6, 2003 KPMG,日益增长的信息技术应用需求,用以区分自身与竞争对手间的产品和服务 促进不同部门及区域间的合作，以使知识资本和企业专长发挥最大效益 鼓励员工间的沟通和团队合作 按由客户驱动的业务品种整合技术战略,信息技术对银行的重要性,2020/8/6, 2003 KPMG,增进客户关系: 帮助建立特定客户的整体信息资料 针对现有客户关系的一致的、综合的和可靠的信息 识别交叉销售机会 业务涉及大量数据，提高效率及减少反应时间 除了记录原始数据外，银行会应用资讯科技于客户 服务系统、投资系统、保险系统 、精算系统、会计系统及现金支付系统等,信息技术对银行的重要性（续）,日益增长的信息技术应用需求,2020/8/6, 2003 KPMG,今天金融企业的管理者比以往更依赖信息技术去经营其业务 管理层更有责任确保信息系统和业务流程受到恰当的监控 越来越注重信息技术的投入产出 在很多情况下，信息技术往往是仅次于人工的第二大费用支出,信息技术对管理的影响,日益增长的信息技术应用需求,2020/8/6, 2003 KPMG,那个系统不重要？,越来越复杂的信息系统,日益增长的信息技术应用需求,2020/8/6, 2003 KPMG,一般银行内部审计部门的框架,向审计委员会定期汇报,日益增长的信息技术应用需求,2020/8/6, 2003 KPMG,内容提要,毕马威简介 日益增长的信息技术应用需求 信息系统管制 信息技术安全 信息系统审计 毕马威可提供的服务 问答,2020/8/6, 2003 KPMG,信息时代对信息技术的要求,完整性 (Integraty) 安全性 (Security) 可靠性 (Reliability) 服从规定 (Compliance),信息系统管制是上述要求得到落实的重要措施。,信息系统管制,2020/8/6, 2003 KPMG,着重关注领导能力、组织结构和流程，以保证信息技术支持及拓展企业的创造和保存价值及财富的战略和目标。,信息系统管制的定义,信息系统管制,2020/8/6, 2003 KPMG,信息系统管制关注的主要方面,信息系统的管理、规划与组织 信息系统技术基础设施与操作实务 信息资产的保护 灾难恢复与业务持续计划 应用系统开发、获得、实施与维护 业务流程评价与风险管理,信息系统管制,2020/8/6, 2003 KPMG,信息系统管制剖析,利益相关方 信息技术管制架构 信息技术设置及价值的实现 风险管理 性能评估 安全,信息系统管制,2020/8/6, 2003 KPMG,来自利益相关方的压力,股东和高级管理层,低成本、高利润及增大市场占用率,客户和员工,低成本、多功能及易于操作,社会,高级行政人员承担更多的责任,信息系统管制 信息系统管制剖析,2020/8/6, 2003 KPMG,信息技术的应用产生信息系统管制的需要,有希望达到其目的 有适应发展的余地 能控制所面临的风险 能恰当地认清机遇并给出适当的回应,企业必须知道其信息系统是否:,信息系统管制 信息系统管制剖析,2020/8/6, 2003 KPMG,监管层发出何种信息？,中国的监管层,着重关注营运风险，在这方面安全性和信息技术极为重要 所有重要风险事项均由以下方面造成 : 内部控制 疏忽 信息技术,信息系统管制 信息系统管制剖析,2020/8/6, 2003 KPMG,对信息系统管制的需求与日倶增,从金融企业经营的角度对信息系统加以适当监控的需求越来越迫切 管理者必须确保信息技术的投资回报 来自国家的规定和资金市场的压力与日俱增 事实证明竞争优势来源于对信息技术的大量投资 越来越多的股东需求对投资的保障,信息系统管制 信息系统管制剖析,2020/8/6, 2003 KPMG,信息技术管制剖析,利益相关方 信息技术管制架构 信息技术设置及价值的实现 性能评估 风险管理 安全,信息系统管制,2020/8/6, 2003 KPMG,为何要进行信息技术管制？,“审慎” 信息技术对企业至关重要 信息技术对企业经营有着战略上的意义 预期与现实不相吻合 信息技术没有得到应有的重视 信息技术牵涉到高额投资和巨大的风险,信息系统管制 信息系统管制剖析,2020/8/6, 2003 KPMG,董事会应有哪些作为？,从利益相关方的利益出发 建立一个信息技术管制框架 提出适当的问题 着重关注信息技术的以下方面 与企业业务的有机结合 价值创造 风险管理 评估结果,信息系统管制 信息系统管制剖析,2020/8/6, 2003 KPMG,银行管理层应有哪些作为？,根据经营目标设立信息技术战略 将战略及目标传达至企业各个层面 设置能够促进该架构的战略实施的组织结构 采用一套信息技术控制及管制架构 提高信息技术基础设施以促进业务信息的生成和分享 着重关注重要的信息技术流程和核心功能 评估结果(业务均衡计分卡),信息系统管制 信息系统管制剖析,2020/8/6, 2003 KPMG,审计师该如何应对？,取得对信息技术管制的理解 让董事会和管理层集中精力解决前两页中所述的问题 建议采用一套信息技术的控制和管制架构，例如COBIT 建立地区机构组织，以利于上述架构的实施 自我衡量业绩（业务均衡计分卡）,信息系统管制 信息系统管制剖析,2020/8/6, 2003 KPMG,COBIT : 一套信息技术控制和管制架构,综合经营报告 “有一种方式” 架构 “这种方式是 ” 控制目标 “最低控制措施是 ” 审计方针 “如何审计 ” 实施指南 “如何实施” 管理层指南 “如何衡量”,COBIT的要素 什么?,信息系统管制 信息系统管制剖析,2020/8/6, 2003 KPMG,COBIT :一套信息技术控制和管制架构,业绩衡量要素（所有信息技术流程的成果衡量指标和表现的影响因素） 关键成功因素的清单，它为每个信息技术流程提供简明的非技术性最佳作法 一个成熟的模式，用于协助每个信息技术流程控制的基准和决策,最近的发展趋势是增加一个管理和管制层，为管理层提供了一套工具，其中包括：,信息系统管制 信息系统管制剖析,2020/8/6, 2003 KPMG,信息技术管制剖析,利益相关方 信息技术管制架构 信息技术设置及价值的实现 风险管理 性能评估 安全,信息系统管制,2020/8/6, 2003 KPMG,信息技术一致化,“信息技术一致化是一个过程，而不是最终目标。”,信息系统管制 信息系统管制剖析,2020/8/6, 2003 KPMG,“信息技术的价值在关注者的眼中。”,信息技术价值的实现,信息系统管制 信息系统管制剖析,2020/8/6, 2003 KPMG,信息技术管制剖析,利益相关方 信息技术管制架构 信息技术设置及价值的实现 风险管理 性能评估 安全,信息系统管制,2020/8/6, 2003 KPMG,信息技术风险管理,董事会应通过以下方式管理企业风险： 确定企业在其重大风险方面具有透明度 理解风险管理的最终责任在于董事会 理解风险化解能带来成本效益 考虑积极的风险管理方式会创造竞争优势 风险管理是企业营运中的内在组成部分,“就是那些你看不见的信息技术鳄鱼会吃掉你！”,信息系统管制 信息系统管制剖析,2020/8/6, 2003 KPMG,信息技术的风险（举例）,信息技术 的风险,技能,安全,地理,文化,竞争,技术,品牌,语言,业务流程,信息系统管制 信息系统管制剖析,2020/8/6, 2003 KPMG,信息技术风险管理,风险管理的延伸 风险分配合同、SLAs 风险缓解安全保障和控制手段 风险转移保险和责任 风险保障审计和认证 风险承担正式、透明,信息系统管制 信息系统管制剖析,2020/8/6, 2003 KPMG,董事会关注的问题 风险管理 基准评估 服从规定,ITRMB,信息技术对业务的有效性,信息技术的效率,信息技术的有效性,Models,“要改善性能，你必须知道如何更好地管理风险”,信息系统管制,信息系统管制 信息系统管制剖析,2020/8/6, 2003 KPMG,0,1,2,3,4,5,信息技术的管理,物理安全控制,信息的安全,系统的持续性,变更管理,系统开发,内部审计,1st Quartile,2nd Quartile,3rd Quartile,4th Quartile,客户,信息技术风险的管理评估,信息系统管制 信息系统管制剖析,2020/8/6, 2003 KPMG,信息技术管制剖析,利益相关方 信息技术管制架构 信息技术设置及价值的实现 风险管理 性能评估 安全,信息系统管制,2020/8/6, 2003 KPMG,信息技术目标和措施,信息技术均衡计分卡,“如果你玩商业游戏却不给信息技术打分，你就只是在纸上谈兵。”,信息系统管制 信息系统管制剖析,2020/8/6, 2003 KPMG,信息技术管制剖析,利益相关方 信息技术管制架构 信息技术设置及价值的实现 风险管理 性能评估 安全,信息系统管制,2020/8/6, 2003 KPMG,理解董事会成员们应该提什么问题 理解需要 提高意识 目的明确 衡量业绩 坚持不懈,信息安全董事会的一些考虑,信息系统管制 信息系统管制剖析,2020/8/6, 2003 KPMG,内容提要,毕马威介绍 日益增长的信息技术应用需求 信息系统管制 信息技术安全 信息系统审计 毕马威可提供的服务 问答,2020/8/6, 2003 KPMG,安全事故的种类,毕马威2002年全球信息安全状况纵览,信息技术安全,2020/8/6, 2003 KPMG,毕马威2002年全球信息安全状况纵览,信息技术安全,2020/8/6, 2003 KPMG,毕马威2002年全球信息安全状况纵览,信息技术安全,2020