银行的IT内部稽核

HSC/BOC/October20011银行的IT内部稽核典型的银行环境•信托/中介角色•涉及客户钱财•受高度的监管•信息系统的高使用度为和广大的客户群，交易方等进行业务收务操作处理银行的产品与服务•为客户提供：存款/提款房屋贷款、汽车贷款等信用卡•:使用的系统和分销渠道：现金存款机，汇款系统，电话银行、互联网银行、信用卡付帐系统银行的产业与服务•为企业客户提供：-融资：贷款－定期贷款、银团信用证、担保上市-组合管理和交易•使用的系统-贷款/执行和追踪系统-交易：前台、后台和清算系统-投资管理：组合管理系统银行的信托责任•银行必须：-保持客户的隐私-确保客户的交易的廉政性-维持为客户提供的资料和系统的可用性银行业务潜在的问题•盗用公款•高成本或失盈利•资产的破坏/损失•不可接受的合计手法•不可接受的入帐手法•业务中断•管理决策错误•法规•竞争不利Basel对操作风险的定义“因不足或失败的内部作业、人员、系统或外部因素而导致的直接/间接损失“电脑增大操作风险因为：电脑把资料集中于一处人们对资料的取得比以前更多错误增加无形难追踪资料容易遭到破坏或更换电脑病毒缺乏对电脑检控的认识难以保护宝贵的资料电脑化的银行环境所带来的风险•程序是否适当•程序的更换是否经过测试、批准及适当的被引用？•未批准更换的可能性•客户资料是否会有未经批准更换？•所有交易是否都被记载？•所有交易的记载是否不多过一次？•所有记载过的交易是否都准确？•所有记载是否都被入取？一般的与电脑相关的不愧手法•DataDiddling:在资料输入电脑之前/时作更换•TrojanHorse:将无用的指令输入主流系统执行•LogicalBomb:在预定的时间内对电脑程序/资料进行破坏•Impersonation－伪装•病毒过去三年所盗用的资料和财务欺诈Source:ComputerSecurityInstitute(CSI)/FBISurvey在电子银行和电子钱币业务中的风险•Basel的定义操作风险是因系统的严重缺而导致到亏损的可能。银行因系统/产品可能遭到外/内部的攻击使到监控极为重要如何降低风险适当的内部监控和风险管理框架银行内部监控的框架•五个大点：控制环境风险测试业务监控讯息和交流监督什么是监控•监控是：政策、作业/做法及框架以确保在可控制范围内达到业务目标和避免不良事件的发生IT环境中的监控可大致分类为：•使用和管理监控确保IT的开发、执行和操作能如期的，受控制的情况下进行•预防、改正和侦察的监控资料在电脑系统中所执行的监控使用和管理监控•高层管理在IT活动的规划和监控的责任•系统开发管理•日常操作管理•使用监控为保护资产资料，维持资料的完整性-资料处理监控-授权/批准-输入监控-输送监控-操作监控-出品监控-稽核监控-后备和恢复监控想象应有的监控….•伪造签名而拿取现金•支票的遗失•员工盗用公款•员工通过操纵付款指令作出不正当的付款•违法交换客户的资料•程序员改造工资程序以获得个人利益;•黑客以大量的信息要求来充满网页以阻止其他人上网信息系统稽核标准•CoBit(信息和相关科技的监控目的)ControlObjectivesforInformation&RelatedTechnology):-通过技术，专业及法规标准来提高信息系统的监控稽核基础;-一个一般被接受的标准CoBit列出：•质量要求质量成本递送•信托要求有效及效益的操作资料的可靠性法规的依据•监控要求保密廉政可用CoBit框架TAKO示范•为ISACA开发•原本是为提高公司对工资信托所应有的IT监控的认识ComparisonofControlConceptsCOBITSACCOSOSASs55/78PrimaryAudienceManagement,users,informationsystemauditorsInternalAuditorsManagementExternalAuditorsICviewedasaSetofprocessesincludingpolicies,procedures,practices,andorganizationalstructuresSetofprocesses,subsystems,andpeopleProcessProcessICObjectivesorganizationalEffective&efficientoperationsConfidentiality,IntegrityandavailabilityofinformationReliablefinancialreportingCompliancewithlaws®sEffective&efficientoperationsReliablefinancialreportingCompliancewithlaws®sEffective&efficientoperationsReliablefinancialreportingCompliancewithlaws®sReliablefinancialreportingEffective&efficientoperationsCompliancewithlaws®sComponentsorDomainsDomains:PlanningandorganizationAcquisitionandimplementationDeliveryandsupportMonitoringComponents:ControlEnvironmentManual&AutomatedSystemsControlProceduresComponents:ControlEnvironmentRiskManagementControlActivitiesInformation&CommunicationMonitoringComponents:ControlEnvironmentRiskAssessmentControlActivitiesInformation&CommunicationMonitoringFocusInformationTechnologyInformationTechnologyOverallEntityFinancialStatementICEffectivenessEvaluatedForaperiodoftimeForaperiodoftimeAtapointintimeForaperiodoftimeResponsibilityforICSystemManagementManagementManagementManagementSize187pagesinfourdocuments1193pagesin12modules353pagesinfourvolumes63pagesintwodocumentsIT保安要求•交通网络电子商务的保安SecureRemoteAccess第三方的使用/电邮的保安•重要业务系统的保安系统开发讯息处理•保安管理BS7799讯息保安政策–操作准则IT稽核程序•风险分析和审核讯息保安调研工具(样品)业务流程Walkthrough采访标准和作业•通过法规和/或者抽查利用电脑进行资料分析比较方法标准和作业稽核步骤样本