__银行的IT内部稽核.ppt

银行的IT 内部稽核 典型的银行环境 信托/中介角色 涉及客户钱财 受高度的监管 信息系统的高使用度为和广大的客户群，交易方等进行业务收务操作处理 银行的产品与服务 为客户提供： 存款/提款 房屋贷款、汽车贷款等 信用卡 :使用的系统和分销渠道： 现金存款机，汇款系统，电话银行、互联网银行、信用卡付帐系统 银行的产业与服务 为企业客户提供： - 融资： 贷款－定期贷款、银团 信用证、担保 上市 - 组合管理和交易 使用的系统 贷款/执行和追踪系统 - 交易：前台、后台和清算系统 - 投资管理：组合管理系统 银行的信托责任 银行必须： 保持客户的隐私 确保客户的交易的廉政性 - 维持为客户提供的资料和系统的可用性 银行业务潜在的问题 盗用公款 高成本或失盈利 资产的破坏/损失 不可接受的合计手法 不可接受的入帐手法 业务中断 管理决策错误 法规 竞争不利 Basel对操作风险的定义 “因不足或失败的内部作业、人员、系统或外部因素而导致的直接/间接损失“ 电脑增大操作风险 因为： 电脑把资料集中于一处 人们对资料的取得比以前更多 错误增加 无形 难追踪 资料容易遭到破坏或更换 电脑病毒 缺乏对电脑检控的认识 难以保护宝贵的资料 电脑化的银行环境所带来的风险 程序是否适当 程序的更换是否经过测试、批准及适当的被引用？ 未批准更换的可能性 客户资料是否会有未经批准更换？ 所有交易是否都被记载？ 所有交易的记载是否不多过一次？ 所有记载过的交易是否都准确？ 所有记载是否都被入取？ 一般的与电脑相关的不愧手法 Data Diddling: 在资料输入电脑之前/时作更换 Trojan Horse: 将无用的指令输入主流系统执行 Logical Bomb: 在预定的时间内对电脑程序/资料进行破坏 Impersonation－伪装 病毒 过去三年所盗用的资料和财务欺诈 在电子银行和电子钱币业务中的风险 Basel的定义 操作风险是因系统的严重缺 而导致到亏损的可能。银行因系统/产品可能遭到外/内部的攻击使到监控极为重要 如何降低风险 适当的内部监控和风险管理框架 银行内部监控的框架 五个大点： 控制环境 风险测试 业务监控 讯息和交流 监督 什么是监控 监控是： 政策、作业/做法及框架以确保在可控制范围内达到业务目标和避免不良事件的发生 IT环境中的监控 可大致分类为： 使用和管理监控 确保IT的开发、执行和操作能如期的，受控制的情况下进行 预防、改正和侦察的监控 资料在电脑系统中所执行的监控 使用和管理监控 高层管理在IT活动的规划和监控的责任 系统开发管理 日常操作管理 使用监控为保护资产资料，维持资料的完整性 - 资料处理监控 - 授权/批准 - 输入监控 - 输送监控 - 操作监控 - 出品监控 - 稽核监控 - 后备和恢复监控 想象应有的监控 …. 伪造签名而拿取现金 支票的遗失 员工盗用公款 员工通过操纵付款指令作出不正当的付款 违法交换客户的资料 程序员改造工资程序以获得个人利益; 黑客以大量的信息要求来充满网页以阻止其他人上网 信息系统稽核标准 CoBit (信息和相关科技的监控目的) Control Objectives for Information Related Technology) : - 通过技术，专业及法规标准来提高信息系统的监控稽核基础; - 一个一般被接受的标准 CoBit 列出： 质量要求 质量 成本 递送 信托要求 有效及效益的操作 资料的可靠性 法规的依据 监控要求 必威体育官网网址 廉政 可用 CoBit 框架 TAKO示范 为ISACA开发 原本是为提高公司对工资信托所应有的IT监控的认识 IT 保安要求 交通网络 电子商务的保安 Secure Remote Access 第三方的使用/电邮的保安 重要业务系统的保安 系统开发 讯息处理 保安管理 BS 7799 讯息保安政策 – 操作准则 IT 稽核程序 风险分析和审核 讯息保安调研工具 (样品) 业务流程 Walkthrough 采访 标准和作业 通过法规和/或者抽查 利用电脑进行资料分析 比较方法 标准和作业 稽核步骤样本 * HSC/BOC/October 2001 Source: Computer Security Institute (CSI)/FBI Survey 63 pages in two documents 353 pages in four volumes 1193 pages in 12 modules 187 pa