資源描述:
《網(wǎng)上銀行審計(jì)指引(國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)ISACA).pdf》由會(huì)員上傳分享,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫(kù)����。
1、欄目編輯唐志潔一�����、網(wǎng)上銀行二�、網(wǎng)上銀行概述1.網(wǎng)上銀行的定義金融業(yè)務(wù)的特殊性,決定它的高風(fēng)險(xiǎn)性�����。網(wǎng)上銀行業(yè)網(wǎng)上銀行是指把互聯(lián)網(wǎng)作為遠(yuǎn)程支付渠道來(lái)為銀行服務(wù)不會(huì)增加新的風(fēng)險(xiǎn)��,但是它增加和修改了一些傳統(tǒng)的風(fēng)務(wù)。它包括傳統(tǒng)上的諸如開(kāi)設(shè)賬戶(hù)或轉(zhuǎn)賬給不同的賬戶(hù)��,險(xiǎn)�����。銀行應(yīng)該有一個(gè)風(fēng)險(xiǎn)管理流程��,以使他們能識(shí)別��、測(cè)量�、以及新的銀行服務(wù)比如電子在線支付(允許客戶(hù)通過(guò)網(wǎng)上監(jiān)控和控制技術(shù)風(fēng)險(xiǎn)。新技術(shù)風(fēng)險(xiǎn)管理包含三個(gè)基本要素���。銀行接收或支付賬單)等服務(wù)��。第一��,風(fēng)險(xiǎn)管理是由董事會(huì)與高層管理層負(fù)責(zé)的�,他們有責(zé)任去開(kāi)發(fā)銀行發(fā)展戰(zhàn)略同時(shí)建立有效的風(fēng)險(xiǎn)管理方2.網(wǎng)上銀行業(yè)務(wù)法���。他們必須具備知識(shí)與技
2、能來(lái)管理網(wǎng)上銀行及其他的一網(wǎng)上銀行可以通過(guò)以下一種或多種方法實(shí)現(xiàn)網(wǎng)上業(yè)務(wù)����。切相關(guān)風(fēng)險(xiǎn)�。董事會(huì)應(yīng)該做出明確戰(zhàn)略決策來(lái)指導(dǎo)銀行是(1)信息類(lèi)——網(wǎng)上銀行在一個(gè)獨(dú)立服務(wù)器上擁有金否或怎樣來(lái)提供網(wǎng)上銀行服務(wù)����。最初的決定應(yīng)該包括明確融產(chǎn)品與服務(wù)的營(yíng)銷(xiāo)或市場(chǎng)信息。風(fēng)險(xiǎn)相對(duì)低����。一般在服的職責(zé)、政策�、監(jiān)控以及處理那些跨國(guó)風(fēng)險(xiǎn)。董事會(huì)審查�、務(wù)器與內(nèi)部網(wǎng)絡(luò)之間沒(méi)有連接路徑。要適當(dāng)控制��,防止未批準(zhǔn)與監(jiān)控網(wǎng)上銀行的新技術(shù)項(xiàng)目對(duì)金融的風(fēng)險(xiǎn)預(yù)測(cè)有重經(jīng)授權(quán)的數(shù)據(jù)修改����。大意義,而且確保適當(dāng)?shù)谋O(jiān)控能得以貫徹落實(shí)��。(2)信息交互類(lèi)——允許金融系統(tǒng)與客戶(hù)之間相互第二�����,技術(shù)的貫徹落實(shí)是由信息技術(shù)的高層管理
3、負(fù)責(zé)��。作用���。~lfAu電子郵件��、賬戶(hù)查詢(xún)��、申請(qǐng)貸款以及靜態(tài)資料他們應(yīng)該有效評(píng)估網(wǎng)上銀行技術(shù)與產(chǎn)品���,同時(shí),確保它們等���。因?yàn)檫@些服務(wù)器����,通常有一條到達(dá)銀行內(nèi)部網(wǎng)絡(luò)的直的被適當(dāng)安裝與記錄����。如果銀行內(nèi)部成員中沒(méi)有專(zhuān)業(yè)人員接通道。所以風(fēng)險(xiǎn)比信息類(lèi)要高��。要有適當(dāng)?shù)目刂拼胧┓纴?lái)履行這些職責(zé)��,就應(yīng)該與從事金融業(yè)或與金融業(yè)相關(guān)的范不當(dāng)訪問(wèn)����。專(zhuān)家簽訂合同來(lái)執(zhí)行相關(guān)職責(zé)。(3)交易類(lèi)——允許用戶(hù)直接執(zhí)行資金交易�。有兩個(gè)第三,度量與監(jiān)控風(fēng)險(xiǎn)是由經(jīng)營(yíng)管理層負(fù)責(zé)�。他們應(yīng)層次上的交易。一是只允許客戶(hù)在同一銀行賬戶(hù)之間進(jìn)行該有能力去識(shí)別��,測(cè)量���,監(jiān)控與控制網(wǎng)上銀行相關(guān)風(fēng)險(xiǎn)�����。轉(zhuǎn)賬����,二是直接地向銀行以外
4����、第三方提供付款功能。這是董事會(huì)應(yīng)該定期收到關(guān)于技術(shù)引進(jìn)�����、風(fēng)險(xiǎn)預(yù)測(cè)以及風(fēng)險(xiǎn)管最高的風(fēng)險(xiǎn)結(jié)構(gòu)體系,必須要有最強(qiáng)大的控制��。理措施報(bào)告���。44f金屯2011~3,qWorldWideWatch環(huán)球嘹望網(wǎng)上銀行的內(nèi)部控制與銀行所提供的風(fēng)險(xiǎn)服務(wù)等級(jí)密四����、審計(jì)人員的勝任能力集相關(guān)����。而這種風(fēng)險(xiǎn)等級(jí)涉及到銀行承受風(fēng)險(xiǎn)的能力與風(fēng)險(xiǎn)管控。網(wǎng)上銀行內(nèi)部監(jiān)控可以幫助審計(jì)員提供合理的證審計(jì)員應(yīng)該具備必要的技能����、操作技巧與知識(shí)以便對(duì)明來(lái)確保適當(dāng)?shù)目刂婆c管理。單個(gè)銀行的網(wǎng)上銀行服務(wù)技網(wǎng)上銀行的相關(guān)風(fēng)險(xiǎn)與采用技術(shù)的審計(jì)�����。審計(jì)員應(yīng)確定銀術(shù)與產(chǎn)品的管理目標(biāo)可集中關(guān)注如下幾點(diǎn):(1)技術(shù)規(guī)劃行的技術(shù)與產(chǎn)品是
5���、否與銀行戰(zhàn)略目標(biāo)一致����。在特殊情況下,與戰(zhàn)略目標(biāo)的一致性���,包括業(yè)務(wù)操作有效性、經(jīng)濟(jì)性�����、效這樣的審計(jì)要求有銀行的操作業(yè)務(wù)知識(shí)和相關(guān)的風(fēng)險(xiǎn)����、金率及合規(guī)性;(2)數(shù)據(jù)與服務(wù)可用性�����,包括業(yè)務(wù)恢復(fù)計(jì)劃��;融法律法規(guī)知識(shí)與技術(shù)知識(shí)�����,技術(shù)知識(shí)包括評(píng)估WEB托(3)數(shù)據(jù)完整性�����,包括提供有保障的資產(chǎn),適當(dāng)?shù)臉I(yè)務(wù)授管技術(shù)�、加密技術(shù)、網(wǎng)絡(luò)安全體系結(jié)構(gòu)和安全技術(shù)����,例如權(quán)和可靠的數(shù)據(jù)流;(4)數(shù)據(jù)�,資料保密性,包括員工和防火墻�、入侵檢測(cè)和病毒防護(hù)。專(zhuān)家意見(jiàn)與引進(jìn)專(zhuān)家很有客戶(hù)越權(quán)訪問(wèn)的控制����。(5)經(jīng)營(yíng)報(bào)告成果可靠性。必要�����,外部的專(zhuān)家資源應(yīng)該適當(dāng)合理利用��,事實(shí)上����,外面信息系統(tǒng)審計(jì)員要了解銀行的經(jīng)營(yíng)管
6��、理環(huán)境�����。COBIT的專(zhuān)業(yè)資源應(yīng)該以書(shū)面文件的方式傳達(dá)給銀行管理層����。規(guī)定了信息系統(tǒng)的7個(gè)標(biāo)準(zhǔn):(1)有效性�;(2)效率�;(3)保密性;(4)完整性����;(5)可用性;(6)合規(guī)性�;(7)可五、計(jì)劃靠性�����。審查網(wǎng)上銀行�����,就是看網(wǎng)上銀行的措施、應(yīng)用及實(shí)1.風(fēng)險(xiǎn)評(píng)估施是否符合COBIT的信息標(biāo)準(zhǔn)��。與其他業(yè)務(wù)相比�,網(wǎng)上銀行系統(tǒng)很大程度上取決于對(duì)審計(jì)員應(yīng)該收集信息,包括網(wǎng)上銀行目標(biāo)����,實(shí)現(xiàn)這客戶(hù)資料的完整性、可靠性��、保密性和系統(tǒng)的可用性��。因些目標(biāo)的戰(zhàn)略��,銀行利用互聯(lián)網(wǎng)技術(shù)與其客戶(hù)建立業(yè)務(wù)關(guān)此���,銀行內(nèi)部要有適當(dāng)?shù)娜哂?、回滾措施和災(zāi)難恢復(fù)程序�����。系途徑����。這些信息可以幫助高層次地評(píng)估銀行風(fēng)險(xiǎn)及
7�、與網(wǎng)上銀行的付款����、資金轉(zhuǎn)賬與交易的不可否認(rèn)性與完整性COBIT信息標(biāo)準(zhǔn)有關(guān)的風(fēng)險(xiǎn)。這樣的高級(jí)別的風(fēng)險(xiǎn)評(píng)估可是其本質(zhì)屬性����。在這種情況下,為了確保其業(yè)務(wù)的不可否以幫助確定審計(jì)的覆蓋范圍�����,如果銀行有風(fēng)險(xiǎn)架構(gòu)體系�����,認(rèn)性與完整性�,應(yīng)強(qiáng)調(diào)網(wǎng)上銀行系統(tǒng)監(jiān)控的有效性�����。評(píng)估則可利用�����。網(wǎng)上銀行方案可用性,要合理關(guān)注它們���,尤其是跨國(guó)業(yè)務(wù)為了分析和評(píng)價(jià)那些和網(wǎng)上銀行運(yùn)行相關(guān)的主要潛在操作���,因?yàn)樗赡軙?huì)違反某個(gè)規(guī)定或與銀行的規(guī)章相悖。的和一般的與特別的威脅���、可能的風(fēng)險(xiǎn)表現(xiàn)以及對(duì)銀行的網(wǎng)上銀行的基本屬性是確定任何通信���、交易和訪問(wèn)請(qǐng)潛在影響,諸如發(fā)生的可能性�,可能采用的風(fēng)險(xiǎn)管理措施,求是合法
