毕马威：银行信息系统管制.ppt

555555 ? 2003 KPMG 银行信息系统管制 在全球各地金融服务业拥有雄厚的实力 毕马威曾多次为世界各地的金融机构提供服务，所以拥有无可比拟的经验实力 毕马威亦为多家国内及香港的金融机构提供服务 信息时代对信息技术的要求 信息系统管制关注的主要方面 信息系统管制剖析 来自利益相关方的压力 信息技术的应用产生信息系统管制的需要 监管层发出何种信息？ 对信息系统管制的需求与日倶增 信息技术管制剖析 为何要进行信息技术管制？ 董事会应有哪些作为？ 银行管理层应有哪些作为？ 审计师该如何应对？ COBIT : 一套信息技术控制和管制架构 COBIT :一套信息技术控制和管制架构 信息技术管制剖析 信息技术一致化 信息技术管制剖析 信息技术风险管理 信息技术的风险（举例） 信息技术风险管理 信息安全董事会的一些考虑 毕马威2002年全球信息安全状况纵览 毕马威2002年全球信息安全状况纵览 毕马威2002年全球信息安全状况纵览 毕马威2002年全球信息安全状况纵览 毕马威2002年全球信息安全状况纵览 ABCD 利益相关方 信息技术管制架构 信息技术设置及价值的实现 风险管理 性能评估 安全 信息系统管制 董事会应通过以下方式管理企业风险： 确定企业在其重大风险方面具有透明度 理解风险管理的最终责任在于董事会 理解风险化解能带来成本效益 考虑积极的风险管理方式会创造竞争优势 风险管理是企业营运中的内在组成部分 “就是那些你看不见的信息技术鳄鱼会吃掉你！” 信息系统管制 – 信息系统管制剖析 信息技术 的风险 技能 安全 地理 文化 竞争 技术 品牌 语言 业务流程 信息系统管制 – 信息系统管制剖析 风险管理的延伸… … 风险分配－合同、SLAs… … 风险缓解－安全保障和控制手段 风险转移－保险和责任 风险保障－审计和认证 风险承担－正式、透明 信息系统管制 – 信息系统管制剖析 董事会关注的问题 风险管理 基准评估 服从规定 ITRMB 信息技术对业务的有效性 信息技术的效率 信息技术的有效性 Models “要改善性能，你必须知道如何更好地管理风险” 信息系统管制 信息系统管制 – 信息系统管制剖析 0 1 2 3 4 5 信息技术的管理 物理安全控制 信息的安全 系统的持续性 变更管理 系统开发 内部审计 1st Quartile 2nd Quartile 3rd Quartile 4th Quartile 客户 信息技术风险的管理评估 信息系统管制 – 信息系统管制剖析 信息技术管制剖析 利益相关方 信息技术管制架构 信息技术设置及价值的实现 风险管理 性能评估 安全 信息系统管制 信息 财务 客户 流程 目标 措施 目标 措施 学习 目标 措施 目标 措施 信息技术目标和措施 信息技术均衡计分卡 “如果你玩商业游戏却不给信息技术打分，你就只是在纸上谈兵。” 信息系统管制 – 信息系统管制剖析 信息技术管制剖析 利益相关方 信息技术管制架构 信息技术设置及价值的实现 风险管理 性能评估 安全 信息系统管制 理解董事会成员们应该提什么问题 理解需要 提高意识 目的明确 衡量业绩 坚持不懈 信息系统管制 – 信息系统管制剖析 内容提要 毕马威介绍 日益增长的信息技术应用需求 信息系统管制 信息技术安全 信息系统审计 毕马威可提供的服务 问答 安全事故的种类 信息技术安全 信息技术安全 信息技术安全 信息技术安全 信息技术安全 毕马威2002年全球信息安全状况纵览 信息技术安全 毕马威2002年全球信息安全状况纵览 信息技术安全 毕马威2002年全球信息安全状况纵览 信息技术安全 内容提要 毕马威介绍 日益增长的信息技术应用需求 信息系统管制 信息技术安全 信息系统审计 毕马威可提供的服务 问答 信息系统审计 信息系统审计和控制协会ISACA (Information System Audit and Control Association)对信息系统审计的定义： 信息系统审计是一个收集、评估证据的过程，以决定信息系统及相关的资源、数据维护和系统的完整性，是否有合适的安全保护， 能否为有效地实现组织机构的目标提供可靠的信息，能否有效地利用资源，是否有一个有效的内部控制，能否为实现运作和控制目标提供合理的保障。  信息系统审计 信息系统审计 信息系统审计是按照特定项目的范围和目标开展的。其审计的步骤包括： 获取并记录审计范围/主题 风险评估和制定初步审计计划及排程 详细审计计划 初步审阅 控制测试 大量/实质性测试 报告/结果沟通 跟踪 信息系统审计 信息系统