银行的IT 内部稽核
HSC/BOC/October 2001 1
典型的银行环境
• 信托/中介角色
• 涉及客户钱财
• 受高度的监管
• 信息系统的高使用度为和广大的客户群,交易方
等进行业务收务操作处理
银行的产品与服务
• 为客户提供:
存款/提款
房屋贷款、汽车贷款等
信用卡
• :使用的系统和分销渠道:
现金存款机,汇款系统,电话银行、互联网银行、
信用卡付帐系统
银行的产业与服务
• 为企业客户提供:
- 融资:
贷款-定期贷款、银团
信用证、担保
上市
- 组合管理和交易
• 使用的系统
• 贷款/执行和追踪系统
- 交易:前台、后台和清算系统
- 投资管理:组合管理系统
银行的信托责任
• 银行必须:
• 保持客户的隐私
• 确保客户的交易的廉政性
- 维持为客户提供的资料和系统的可用性
银行业务潜在的问题
• 盗用公款
• 高成本或失盈利
• 资产的破坏/损失
• 不可接受的合计手法
• 不可接受的入帐手法
• 业务中断
• 管理决策错误
• 法规
• 竞争不利
Basel对操作风险的定义
“因不足或失败的内部作业、人员、系统或外部因素而导致的直接/间接损失“
电脑增大操作风险
因为:
电脑把资料集中于一处
人们对资料的取得比以前更多
错误增加
无形
难追踪
资料容易遭到破坏或更换
电脑病毒
缺乏对电脑检控的认识
难以保护宝贵的资料
电脑化的银行环境所带来的风险
• 程序是否适当
• 程序的更换是否经过测试、批准及适当的被引用?
• 未批准更换的可能性
• 客户资料是否会有未经批准更换?
• 所有交易是否都被记载?
• 所有交易的记载是否不多过一次?
• 所有记载过的交易是否都准确?
• 所有记载是否都被入取?
一般的与电脑相关的不愧手法
• Data Diddling:
在资料输入电脑之前/时作更换
• Trojan Horse:
将无用的指令输入主流系统执行
• Logical Bomb:
在预定的时间内对电脑程序/资料进行破坏
• Impersonation-伪装
• 病毒
过去三年所盗用的资料和财务欺诈
Source: Computer Security Institute (CSI)/FBI Survey
在电子银行和电子钱币业务中的风险
• Basel的定义
操作风险是因系统的严重缺 而导致到亏损的可能。银
行因系统/产品可能遭到外/内部的攻击使到监控极为重要
如何降低风险
适当的内部监控和风险管理框架
银行内部监控的框架
• 五个大点:
控制环境
风险测试
业务监控
讯息和交流
监督
什么是监控
• 监控是:
政策、作业/做法及框架以确保在可控制范围内达到业务
目标和避免不良事件的发生
IT环境中的监控
可大致分类为:
• 使用和管理监控
确保IT的开发、执行和操作能如期的,受控制的情况下进
行
• 预防、改正和侦察的监控
资料在电脑系统中所执行的监控
使用和管理监控
• 高层管理在IT活动的规划和监控的责任
• 系统开发管理
• 日常操作管理
• 使用监控为保护资产资料,维持资料的完整性
- 资料处理监控
- 授权/批准
- 输入监控
- 输送监控
- 操作监控
- 出品监控
- 稽核监控
- 后备和恢复监控
想象应有的监控 ….
• 伪造签名而拿取现金
• 支票的遗失
• 员工盗用公款
• 员工通过操纵付款指令作出不正当的付款
• 违法交换客户的资料
• 程序员改造工资程序以获得个人利益;
• 黑客以大量的信息要求来充满网页以阻止其他人
上网
信息系统稽核标准
• CoBit (信息和相关科技的监控目的)
Control Objectives for Information & Related
Technology) :
- 通过技术,专业及法规标准来提高信息系统的监
控稽核基础;
- 一个一般被接受的标准
CoBit 列出:
• 质量要求
质量
成本
递送
• 信托要求
有效及效益的操作
资料的可靠性
法规的依据
• 监控要求
保密
廉政
可用
CoBit 框架
TAKO示范
• 为ISACA开发
• 原本是为提高公司对工资信托所应有的IT监控的认识
Comparison of Control Concepts
COBIT SAC COSO SASs 55/78
Primary
Audience
Management, users, information system
auditors
Internal Auditors Management External Auditors
IC viewed as
a
Set of processes including policies,
procedures, practices, and organizational
structures
Set of processes,
subsystems, and
people
Process Process
IC Objectives
organizationa
l
Effective & efficient operations
Confidentiality, Integrity and availability of
information
Reliable financial reporting
Compliance with laws & regs
Effective & efficient
operations
Reliable financial
reporting
Compliance with
laws & regs
Effective & efficient
operations
Reliable financial
reporting
Compliance with laws &
regs
Reliable financial
reporting
Effective & efficient
operations
Compliance with laws &
regs
Components
or Domains
Domains:
Planning and organization
Acquisition and implementation
Delivery and support
Monitoring
Components:
Control Environment
Manual & Automated
Systems Control
Procedures
Components:
Control Environment
Risk Management Control
Activities Information &
Communication
Monitoring
Components:
Control Environment Risk
Assessment Control
Activities Information &
Communication
Monitoring
Focus Information Technology Information
Technology
Overall Entity Financial Statement
IC
Effectiveness
Evaluated
For a period of time For a period of time At a point in time For a period of time
Responsibilit
y for IC
System
Management Management Management Management
Size 187 pages in four documents 1193 pages in 12
modules
353 pages in four volumes 63 pages in two
documents
IT 保安要求
• 交通网络
电子商务的保安
Secure Remote Access
第三方的使用/电邮的保安
• 重要业务系统的保安
系统开发
讯息处理
• 保安管理
BS 7799 讯息保安政策 – 操作准则
IT 稽核程序
• 风险分析和审核
讯息保安调研工具 (样品)
业务流程 Walkthrough
采访
标准和作业
• 通过法规和/或者抽查
利用电脑进行资料分析
比较方法
标准和作业
稽核步骤样本