I审计参考资料

目录内部控制定义信息科技层面评估架构IT公司层面控制IT一般性控制应用程序控制IT审计的参考标准内部控制定义(续）Basel内部控制框架的定义Internalcontrolisaprocesseffectedbytheboardofdirectors,seniormanagementandalllevelsofpersonnel.Itisnotsolelyaprocedureorpolicythatisperformedatacertainpointintime,butratheritiscontinuallyoperatingatalllevelswithinthebank.Theboardofdirectorsandseniormanagementareresponsibleforestablishingtheappropriateculturetofacilitateaneffectiveinternalcontrolprocessandformonitoringitseffectivenessonanongoingbasis;however,eachindividualwithinanorganisationmustparticipateintheprocess.内部控制定义(续）COSO内部控制定义内部控制被宽泛地定义为一个由主体的董事会、管理层和其他人员实施的、旨在为实现以下各类目标提供合理保证的过程：经营的有效性和效率财务报告的可靠性符合适用的法律和法规内过部争控斧制柳定桑义(续志）内列部扑控朝制弊是仍：为康实凭现披经些营师目牌标衰的况动它态牛过弟程欣和品机露制一非系变列侄的尿：制暗度程摸序方美法对厌风钳险心进柳行纱事掠前希防武范都、谦事轻中虫控沫制者、饲事多后湾监争督迁和削纠狮正高舱级有管局理暴层沿责痛任需惧要统全弊体鸦职捡工鸟参时与旅的而工漫作需荣要碍通芳过缺监划控久来仁确乱保岸有倾效警性流缸程A商铺业亚流课程/交脾易姨类剑别关孕键谜应卷用冠程黄序I移T基射础荒设百施芬服鸣务数榆据街库妻管蒸理林系基统操姿作且系鼓统网孝络/硬贩件流茶程B流政程C应销用栋程堂序X应浩用毁程排序Y应菊用婶程权序Z流同程AIT一般控制控制环境程序开发程序变更访问控制系统运行应用系统自动控制输入控制校验控制系统接口系统计算权限控制信隐息彻系伟统疗控凝制识魄别部信弹息体系籍统质范驶围商份业勉流梁程/交眉易仆类潜别战略风险运营风险财务风险合规风险IT公司层面控制信地息虑科控技弦层词面闭评脚估致架庭构信引息道科仍技茶层和面仆评父估心架家构筒（馋续贿）信既息夏系狠统伏控轧制脏评破估秀的猪建忠议贺构映架橡基径于科国朋际阀通样行润的渔评阻估术标腿准遗。将其杠中莲，I裤T公氧司括层妥面肝控左制灭评胀估总是蚕基冒于C峰O销S易O模尊型但，I犹T一等般册性播控产制壮和衰应剪用轻程谷序牙控茶制会评奴估勤是症基吹于C安O斜B阶I哀T©模寄型杜。监控信息与沟通控制活动风险评估控制环境合规性操作财务报告应翁用凳程伶序君控雄制C蓄O寒S夕OI砍T公兽司层也面题控聋制I减T一缝般贵性哗控也制信骂息酷科豪技旱层鹅面盗评对估钟架宿构现（性续壤）风饼险糟评魄估信男息林技乒术伙风节险井评夏估上目库标坦的鼓设甘定技嫌术束风闪险霉的泼识美别宏机词制故及师风辩险踩分蚁析降亏低出风吗险委的叫行窑动边计谣划帐与剑预馆算控克制技活需动制可定谨各锐类就程增序毛和毙政浸策根尺据莫风辞险高执苗行活相肾应辰信巨息序系柱统按控途制信娘息银技塌术之职坡责蜘分寻工信紫息纺与角沟掩通关吩注哗战植略减一搜体葬化非的冤信殖息岗系废统菌与抱信程息执质裙量关足注谋内毁部环与旬外大部劝的暖沟燥通粱及愧其蕉沟杨通介方拐式控钩制箱环厉境信透息尿技率术拔员己工流诚兄信境和蛙道扁德乘价盼值投观信建息触技殖术戒员回工药胜顿任着能张力管振理乏层/董早事油会怜对刮信修息益技螺术春的眯关耍注信挨息宇技挨术橡组摘织而结掏构信醉息夜技自术京策嘱略奋与读制屯度数肝据喉和挽应斤用鲁系塘统禾的说归饶属恭制失与储职雕责逐分他离C钟O耻S哪O见“内睬部突控杆制-整障体俘框馋架挑”监山控进辈行姥持楼续芦性万信每息缠系链统拦监寻督驼活据动信状息愤系想统浮的住独会立昆评衰估晓体挎系适轨宜闯的差信踢息箱技讽术杆内画部怠审勿计国计振划信马息石系户统抚缺拿陷耳报戴告控制环境风险评估控制活动信息与沟通监控合规性操作财务报告信着息拿科捆技亚层露面热评牲估在构碍架单（珍续汉）CO逝B妖IT组4呆.染1包俊含3猾4个枣信汉息丛技比术呀过脖程免控饺制输，惊并章归辟集纯为颤四如个鼻控喇制武域串：计营划搞与散组伍织获旷取旱与提实海施交渴付帐与柔支附持监排控引与担评卡价COB垫IT(各C婚o支n笨t筑r失o撑l所O叹b脊j透e颂c贩t桶i走v贪e微s赌f睬o塘r末I室n消f涉o仅r导m汤a夹t妄i树o至n甩a柏n挂d透r砖e芬l归a垮t忠e龟d索T设e签c镇h草n嗓o速l山o捡g胁y乎，信烫息灶及雨相捧关只技妨术际的域控顾制贺目茫标确)是兴国便际者公愁认监的I精T治会理充框雁架胜，振为皇企篇业姐管博理谱者运、铺用泊户劝、有信滩息刺系器统卷审念计协和仗安日全滔从虏业补者搁提赵供啊了慰一瓦个基优飞良右参若考贞构犯架.。信岗息蹦科违技腐层幅面哄评炮估蜡架惊构害（线续关）应粪用丽程渣序困控别制骂简蠢介应循用遭程抢序抛控锯制券是响业累务驱流卵程伐中珍控载制剖的踪蝶一酸部陕分毙，旗是遗在旋应筛用或系毒统制中厉由枕程同序逮自锦动治执荷行怨的君控正制仓，透用飞以鞋替属代堤很插多菜由择人优工悄完仿成伙的泉基概础往性僚检佣查尺工碎作千。获由朝于摄应筐用未程枪序飘控孟制蒙普耽遍蜻适删用壶于墙各忍种沿交瓶易他的互处毅理扫，广所应以晚应缝用庄程羞序腥控逃制哪是者否栋有练效队对皆于渣内后控夹的棋有经效堡性岔有轻着莫重廊要躲的格影翅响结。应待用俗程某序捐控典制姜可班以降分临为摧两插类盒：系尾统妨自稳动遍控练制由伏系废统阳自观动姿完锻成柜的共控捏制恋，腔无翼需藏人飞工你干警预娘，熟在怖开汗发龟系猴统蹄时峰已召经获考凯虑脉并士嵌适入霜到制系番统吗中备。人仪工是依替赖亏系域统撕控厉制由禽系毕统心完言成骆部团分身的喷控袍制叔，谅需圾要闭人缩慧工至干止预蓬，涌且础控泡制警是种否华有胞效肯会养受巧到匙人稀为素因回素历的萄影板响欢。控制目标控制类型人工自动预防性发现性人工控制人工依赖系统控制系统自动控制信粒息获科透技彼层焦面知评砖估膜架竹构壁（输续宁）应昼用胖程呆序匠控繁制汗类柱型轻：登陆权限/岗位分离实时校验/编辑检查计算机计算自动系统接口配置控制应用程序控制信西息球科棵技象层利面耕评咳估叠架辽构番（普续严）应青用咳程此序撒控单制肃类童型实胁时足校缴验/编刺辑萝检忘查合控州制：楼也带称杆为疏系逗统苹录皆入善控牧制悼，懂这则类里控火制平主靠要脸是哈确岛保寸录抄入材到篮系缸统剪中旧的诞数我据属的强准煌确富性无，险进钩行批录终入闹时钩系战统鄙会蒙对聚重衫要贡字俩段稳的蚀合勒理很性小、免合枪规润性茧和恋准显确粗性让进贸行撇检抄查缴，姿防骗止臣一臣些萌不珠合蒙适炮的取数蹲据铺被再系尚统拢接绘受饮，困造刚成誉系耗统码数富据脂的剑不垂真半实填和率垃萌圾初数默据贺的宽产跪生登此陆缠权骡限/岗凶位摄分荷离晓控乳制：霉系师统巡寿中午用肿户谈的早权步限红设帜置弃是下否刘合璃理逐，巡寿是烫否债按距照贵职呆责圣需米要籍进撞行部授饰权悼，缴是合否技考摔虑坛到袭岗墓位突分搞离犬的区情摄况计演算壶机菊计伞算王控校制：原系末统胸自父动捧计咳算谱并溪保宁证么计纹算其的安正剃确祸性员，客此扯类确控闪制纳一瓦般殃在救程菌序努开弃发正时免已府嵌蒙入份到贩系寨统伏中自币动纠系腥统固接叮口技控医制：腾主龄要高关违注孤不军同烤应隙用屑系捐统助之匙间酸通财过翠接佛口挣传悬递哲的岛数后据熟是匪否哑准奴确华完精整配佛置钉控寇制：摊主浓要步关泪注割的喉是炉系阔统架中投维瓜护赠的博重辰要徐参疑数眉是庆否顷准跨确冰，呆这稍些约参蔽数理对扬于被系刮统饥的宅运抓行怨和宵业亭务笑处日理轻的激正榨确阁性昨起铁着跟重旨要库的壁作寸用信愚息闷科近技觉层并面析评甲估抗架逗构凝（雅续下）识掘别峡关四键盗风禽险番及愧信在息兔资烟产根宋据夹贵耍行同的效特石性箱包躲括涝现漠有俩制野度坐、屯业凉务悠需扰要早、蹄风乏险恢识赌别醋、意组井织塞模赢型子、勉管地理远、影体铅系铃结派构接和货行霜业悼标耻准岭以盖及节法矮律姑、变法够规斥、笛识稼别束关丧键娃流织程础和钞控米制栽范芒围痕。监津控购控欣制溪活岔动贵蝇行员的组控却制灵活鱼动蛇得岭到柳改纷善趁和类加滔强和后惯，佩需组要吗建纷立田一羞套捕监利控品体昌系怒来励保哀证全控胡制锦活出动谨的隆持煌续舅有选效衫。肉建末立就一土整酿套原完皇善截的补监狭控普方踩案通，传用芦以疏监医控明控翻制蕉活碌动清的丢有那效阴性与。评成估肉现出有职控偿制贵舞行贴需朴在I猫T管港理渴层冻面使以章及硬流携程辽层西面暖需饥建掘立瓜相沿应揉的矿控宰制缘瑞，适使五贵爪行止的可工录作莲模恐式斜能炎够榴有亏效何地钢规决范蓄起猎来毫。疏在怒这渗一丧阶墨段莫中枪，访内脑审裕部开将逗对暴现摇有I践T流扑程丑和唉控鼻制口进存行午评朱估造，丑了际解婆内东部追管垄理弯和嗓控绒制归情矩况陆，揪确券认搭控芹制活中戚存社在期的谈风确险歪及脾差申异算。控遣制败的扫改这善末与菠加慌强基御于组对氏贵背行及内料部旱管谣理汽和筛控羞制模情仓况载的译评距估膀结派果绑及唐发董现顿的源风握险盘与档差煮异甜，追对赛控辱制乳进解行匹改土善催和粪加意强皮。留依释照絮国娃际太认瞎可改的疼实信践摧经棚验雀与亭标翅准工，吼改苍善洁自岛身淹的始控愚制类活奇动奋，花以身更艺好叉的捞防注范跳风内险隶。信跟息写科烟技劫评因估斧体此系I住T审朝计红的斩参赤考方标济准及－C饿o反B艳I连TC必o依B减I腊T(桂C唤o渔n姥t野r径o抢l僻O严b赵j放e复c对t喷i看v伟e趣s已f饮o厕r近I章n窜f订o最r吸m势a扮t秩i稻o垄n界a番n温d素r标e馋l蜻a产t妻e贪d融T嗓e腐c析h苹n版o蝇l勤o削g址y，蹄信暮息食及辫相塌关颠技灾术棍的悟控竞制远目疯标)最晒初切的洞用馅途慌是自为愚企渴业脑的I滋T治讯理形提墨供筐清惧晰萍的累指敬导律策牙略避和斧优凡良湾的乱实刚践郊范呆本睡，粪以阁帮斗助文管芦理糟层彻理菌解梢并瞧管斗理修有兔关I凶T的北风在险嗓。C歪o串B恭I订T已林经翻被局发恰展获成缘瑞为重一糖套档国纺际凝公木认魂的答、诱企等业溜通券用棚的栏，筝有宅关I姐T安缝全通和说控潜制虎的饰标翅准无。喝它驼为弃企彩业尘管晌理锹者苦、配用颠户跟、王信纸息屿系不统稻审允计弃和御安德全松从迟业黑者策提宅供剃了气一扯个犬优遍良厚参字考违构搬架灰。C挠o膏B饱I倒T将I爸T过仰程听，I禁T资拐源稳与撕企馅业支的难策裕略幅与斯目单标血（武准炸则插）击联但系阀起讲来届，弊形锋成趟一恶个开三院维阔的座体减系击结尖构牢。I仰T审度计厦的厌参这考蔽标聪准厉－C抚o拼B初I冶T（犯续雾）有效性效率保密性完整性可用性合规性可靠性应用系统信息基础设施人员计划与组织采购与实施交付与支持监控与评价有棒效刘性杠（E降f恐f适e声c胞t撤i代v匆e绞n冒e庄s情s）殿：是彼指臭信亩息良与膨商摔业被过涝程贿相参关混，敢并鱼以门及唇时昌、或准冒确貌、梢一香致蛮和礼可查行搞的眠方看式浪传县送启。高统效扰性致（E喜f衫f肉i施c俗i韵e卧n知c渗y）添：关逼于势如树何潮最葱佳饥（谅最境高嗓产剃和剧最介经珠济咽）惨利祸用普资榜源载来悬提疼供毫信顿息晋。机费密灰性计（C气o其n膏f辱i店d近e婶n内t妹i暮a威l肃i馒t谈y）暮：涉氧及疲对予敏独感白信犁息扫的孔保绢护嗓，群以辈防属止看未泰经切授沸权凭的情披凯露盾。完址整肾性摇（I杆n称t耀e议g状r炼i鉴t烛y）封：涉衬及袖信砍息茫的赤精损确衣性搬和再完蜓全始性嘉，民以米及筋与糕商劣业览评揪价唐和博期孝望畜相妹一绿致言。可气用探性演（A蕉v枯a沟i闻l蛛a佣b傲i得l衔i燥t斗y）挂：指偏在杀现左在窜和府将解来乌的窗商贵业切处缴理抄需淡求坛中赤，宾信狡息奴是置可竟用晓的蔑。台还胳指辱对灭必帽要舍的秀资感源梅和随相东关掀性耳能小的隔维沃护魂。符带合姿性贸（C走o贯m窃p撑l颠i挪a莫n榜c伙e）划：遵兵守油商讽业够运购作她过算程泽中温必狮须穷遵壮守府的吊法柿律刻、哥法须规乳和杯契睡约累条颗款涉，张如堵外需部法强塘制帆商耗业缘瑞标脂准郊。可娃靠惩性游（R璃e污l盆i陷a律b坛i兰l饰i塔t雄y除o燥f哈I衔n车f烟o勉r迈m衡a锁t却i谦o非n）法：为觉管某理箭者班的定日桃常烟经就营那管令理趟以邻及笛履脊行部财遇务见报屿告护责尼任暂提阻供雪适谈当值的未信拼息盗。有境效域性效获率保项密仆性完赖整奸性可难用秒性合妇规计性可激靠骨性应用系统信息基础设施人员计划与组织采购与实施交付与支持监控与评价计具划危与写组播织(抢P答O般)I内T战捉略绒与军业散务攻战伶略材是躲否初一澡致企妨业俘是境否略优拒化援资骨源迫的扑使帜用组贺织促的品成韵员饼是揉否效能强够鼻理缠解I衡T目废标管索理参层居是狱否菌意峰识希到芦企朴业愚面期临挽的I驾T风苏险虾并幻玉予绕以误妥悼善歪管箱理I晶T系漫统型的葱质敏量坡能从否尊满仔足堆业逮务浓需惠求采耗购舱与羽实眼施(粥A腐I蓄)新跑项呼目染所厨提采供布的贵解兼决闸方讽案扣能有否松满田足熟业集务爷需鉴求新疲项晚目链能脖否幅在类既吗定睁的德预草算导内注按筋期荣交宵付新驼系浑统羡能墙否广按免预昨期烧运贩行变炮更度是浆否薯影尘响桨当待前晋业得务素的厦正劳常骂运吸行交代付忌与夜支征持(福D购S霜)I庸T服凑务猜是模否饱根谦据趋业柄务四的看优委先罗级宾交韵付I休T成疫本均是芝否孤最穴优工绵作烧负秒荷腾是律否切影股响I端T系补统怨的调有晕效而使堵用是监否藏充排分范实田现璃保炉密街性纽奉、裹完孤整诉性删和雅可畅用障性监神控址与晕评余价(潮M渐E何)I晋T绩浇效巡寿考峰核由能叛否迎及袭时驻发愚现勒问聚题管授理党层脖能瓜否暑确掠保既内催部球控丙制鼠的坊效缴率酷和谁有巨效摊性I沙T绩绞效冒能泼否取与混业急务麻目般标滋相爪关舍联是死否梳测仰量受并招报炭告筛风贸险询、唤控谦制搞、光符尽合梳性酿和颠绩药效I技T审红计鸡的疑参命考倒标翁准酿－C撑o致B趁I旷T（巡寿续桨）有醋效莫性效谨率保候密糕性完竞整革性可竞用宅性合狮规牵性可轧靠累性应用系统信息基础设施人员计划与组织采购与实施交付与支持监控与评价应洪用差系纷统常：用齿户恢处勾理腰信具息熊的论自狸动饶化向用痕户抱系令统洲及猴手最册长程绘序舌。信哨息柜：信渴息姑系去统浆输道入赚、穷处砌理胞和暮输他出既的雅所统有篇形紫式进的默数崭据育，苏可奔以风被指业堂务狡以膀任铁何强形群式努所壳使拖用资。基委础裳设陪施适：保裳障科应堪用旗系巨统贺处逼理扎信轮息紫所漆需吼的风技肃术来和宽设症施址（遇硬心件群、膜操滩作戏系士统穗、竖数梳据臭库渴管属理闭系连统窗、撑网盗络肤、奸多逆媒孔体袭等铁，元以西及鹿放时置枣、麻支嚼持仆上施述航技疾术驱和蒸设蹦施翅的蚕环竭境币）禾。人好员提：策畏划级、堡组极织序、阅采糖购视、输实茎施第、生交令付候、均支服持纺、查监维视回和缝评清价尖信鸡息慎系粒统协和驰服眨务掠所报需秘的瓶人置员跨。字人工员摩可挪以捎是市内锅部兼的云、粘外斥包礼人回员烂或睁合付同灰人斜员采。I弯T审址计齐的精参眠考滨标煎准悬－C携o躺B忠I膊T（歇续廉）C五o郊B铁I近T寸3率4个他高您层果次恶控匆制称目俊标I势T审绞计君的醋参虫考愧标盐准芬－C案o依B许I到T（锐续别）监控与评价

ME1IT绩效监控与评估

ME2内部控制监控与评估

ME3确保法规遵从

ME4提供IT治理交付与支持DS1定义并管理服务水平DS2管理第三方服务DS3性能管理与能力管理DS4确保服务的持续性DS5确保系统安全DS6确认与分摊成本DS7教育并培训客户DS8服务台与事件管理DS9配置管理DS10问题管理DS11数据管理DS12物理环境管理DS13运营管理规划与组织PO1制定IT战略规划PO2确定信息架构PO3确定技术方向PO4确定IT流程、组织及相互关系PO5管理IT投资PO6管理目标与方向的协调PO7IT人力资源管理PO8质量管理PO9评估并管理IT风险PO10项目管理获取与实施

AI1确定自动化解决方案

AI2应用软件的获取和维护

AI3技术基础设施的获取和维护

AI4授权操作和使用

AI5获取IT资源

AI6变更管理

AI7实施并验收及变更管理I警T审孝计蜓的伴参弓考已标司准竖－C验O猛S源OC啄o塌m势m佛i剩t袭t辜e理e兵o齿f念S液p兵o仰n塘s嗽o兰r停i犁n茎g某O担r梳g逢a户n珍i叠z付a丽t际i弯o理n倘s箭o较f间T锅h构e练T撑r煎e六a旅d谋w男a址y垃C片o姜m坝m祝i刃s渡s援i妥o忽n伐(萌C扶O迫S暂O菠)由杏美厦国擦会云计裤师弹协只会废、秘美裳国器审插计握总勉署脾、卸美嫁国筐内骑部裂审两计灭师汗协怎会获和捷管幅理驻会奶计俭师半协曲会缸等柳7让个央团凑体迅共歪同铅赞问助叛成亭立泉，却专捞门生研援究裁内暖部窃控州制暖问挪题欣。内蜡部翼控匀制任—滨整给体吴框励架栋的身目庭标：保拘证痒财猎务举报讲告助的散可焰靠从性保身证败经疑营切效傲益亡和气效舒率对婆相蓝关度法皂律纱法抬规垫的均遵滚循根坊据C将O须S宗O内开控拉框忌架凯，木公睁司谷层坑面预的格内蜜部赏控孤制仁由嫂以暗下劫五陈个侧部霉分事组哨成院：1阿.控萝制问环伴境2甜.风佣险菠评斧估3滥.控统制钻活广动4土.信颜息猜与苦沟屋通5颗.监现控中查国拿内泛部渴审型计斧协之会档于2牛0衡0绵3年6月1日船颁米布球实录施烧的《内内部碎审拨计劲具以体涨准肉则》（滴第5号搞）—内意部瓶控致制婚第5条均，该亦衔明江确户公胆司壳的棒内众部帖控蝴制常是后由竖上榜述锦五葡个层部裹分眠组塞成假的丈。那公扰司坊要千建洲立薪完数善板的溪内译部顶控告制粮，比就崖要夏从仙这恼五概方腔面羞着巴手蜜，显因煎为嫁它划们梳是布内芬控躬的局根便基定，洁它蹄们温会皇影掏响鹅到犹公太司丑风泪险裙管抓理无每肆个节环跃节裕的双工仆作煎。监控信息与沟通控制活动风险评估控制环境合规性操作财务报告I豪T审担计伶的默参遵考篇标担准驾－C辟O墓S键O（行续屠）控蚂制递环霞境控芝制厉环谱境秆是府影奏响淹、风制浴约蛋企嗽业稀内抖部货控蜻制楚建莲立夜与勺执闹行吩的校各番种膏内体部鄙因愈素戴的剪总损称冶，血是鼻实灿施岭内印部筑控幼制狮的陵基汇础小。凶内贵部架环溉境款主倘要铃包抵括伙治剃理扭结没构渠、室组员织凡机奶构施设语置婚与驱权田责蚁分婚配锯、精企亡业童文风化砌、稠人松力灵资旷源宣政转策爬、详内记部删审质计肃机泽构惕设寨置站、恨反艇舞屡弊赔机口制穗等协。从咐以的下值三央个废方变面场评丘价挠控吼制多环布境构的涝有贡效执性厉：识羞别趣及尺评键价饥公舒司窄业撕务限和忽财留务散报观表爪的份风例险膏的凶能恭力按忆照愉公狭认优会赛计歪准纠则取编厕制庙高宜质第量脸的妥财挡务猎报远表保燥证毫财幻玉务罚报寄表爬可呼靠朋性渠的晕基稍本木控档制叔及市监弓控怎措昌施控制环境风险评估控制活动信息与沟通监控合规性操作财务报告I突T审踪蝶计肆的成参建考扛标雀准束－C阶O再S鹿O（畅续旋）风喜险丢评宫估风敞险鼓评坚估档是腊及块时税识悉别喷、阴科毒学骑分援析鼠和博评抛价背影汉响蠢企亭业晓内掘部随控朝制从目速标抽实许现沉的租各获种妈不枯确贼定余因泉素俗并剥采杰取蚂应收对葡策草略插的柜过忽程超，剃是叮实塞施语内歼部甘控泉制辆的写重处要栏环恰节励。滩风躬险封评汗估借主辰要纯包合括射目肚标悠设喷定堪、音风者险奥识连别瞧、按风涂险傍分硬析出和贪风古险厕应页对震。慎包价括沫：控制环境风险评估控制活动信息与沟通监控合规性操作财务报告I橡T审歼计扒的霞参卧考倘标育准也－C凭O蓝S祥O（拍续喇）正揭式贺建沙立响和侮广伶泛愤公颈布省公畏司愚层萄面辜的华目辩标痛及起价县值龄观夏、泄风其险萝评斗估砍的后程线序对枝重普大缓问鬼题陶的柜预锹计椅、妨识流别伪以利及肤做蔑出飞反捧应樱的领机割制识燃别第公付认唉会衣计站原慰则役变笼更五、笔商析业啄惯长例断及桐内酬部快控高制迷的今步原骤坛和墙程扮序蝇等控庆制胁活秃动控芳制些活寄动窄是屈根瞧据来风丹险吨评冶估关结念果效、乞结忌合脏风盗险鸟应克对均策约略居所键采涂取筋的租确亏保歉企猫业练内苏部抛控池制慰目隐标遵得债以券实赔现躲的极方贞法团和严手翻段万，笔是凉实丹施衰内闯部哨控间制练的奶具铸体背方饥式属。控社制道活修动辜结尾合玻企计业呆具趟体骂业逢务口和勾事膛项旬的畏特炊点拐与镰要玩求税制陕定勒，叶主音要妄包冻括疮职紧责骑分惊工蠢控购制夹、包授矮权扬控巧制久、胜审鱼核帽批框准英控销制匹、维预宾算吴控梁制舟、写财手产西保躁护雹控光制询、你会寺计份系浓统瓶控江制象、饿内凉部摘报碎告没控虏制枕、纷经骨济嗽活勺动窗分鸣析删控香制话、秘绩况效登考桌评料控箱制两、此信克息兽技眼术帽控愈制斩等摄。控制环境风险评估控制活动信息与沟通监控合规性操作财务报告I腾T审东计浸的乡丰参繁考忧标呆准哭－C恨O病S示O（涝续挽）信果息闻与父沟趣通信予息曾与详沟广通逢是迫及阅时测、澡准幼确慨、煤完名整仙地被收餐集程与溉企关业社经愉营冬管刃理顾相纠关瘦的钻各请种始信丧息针，呜并虫使食这哀些识信宿息帐以安适乎当上的房诚方版式河在纪企欠业暮有趟关尸层昌级奴之剂间次进金行劲及箭时筒传鲁递意、桶有超效糖沟写通旅和楼正夏确谋应被用损的例过坊程绘，烦是他实宋施承内欲部秤控狐制甘的马重家要烟条布件苍。搬主厉要绸包她括姥：管湿理接层恨有堆效盼地穗传敲达何员甩工茂的亮岗容位絮职误责归和团应湖负眨有誉的京控供制闯责载任建进立项渠任道观收浩集丝式和辟处朽理钟内易部判投巩诉勾及宴不岔满充毯分氧的文沟灶通毒交培流指汉定榜人讯员拐或标部流门韵负映责稻收悦集指和劈燕处若理伶外枯部嘴的妈评柱论汪和袄投择诉已转建看立邀上孩下悟各检部取门袍之卫间火的务汇炸报内路弹线染和男沟架通首渠粒道控制环境风险评估控制活动信息与沟通监控合规性操作财务报告I梳T审酸计泉的朗参喊考漏标乞准棋－C窄O壤S辅O（葱续匠）监语督白主疗要岸包榨括凉对迫建抗立皇并咬执迫行惜内眨部糠控墨制匪的坟整甚体貌情椒况之进捏行煮持溉续乌性期监李督朵检异查圈，跨对姻内魔部贼控宰制捉的袋某雨一灰方用面病或距者竭某炼些蛋方梦面纲进吐行锐专股项哑监微督夕检史查材，颠以坦及政提纹交光相泻应麦的五检厨查贼报艇告惧、酬提抬出服有嫂针跟对青性渡的吃改努进席措围施甲等畅。战企们业岩内锈部坚控瞧制语自模我货评萌估利是疗内比部蹦控授制驻监推督屿检裳查旗的翠一拴项筋重届要恢内顿容热。监岂控监每督剖是川企斗业绝对乎其新内葬部养控题制呈的枝健临全拼性留、导合蝇理廊性反和血有如效青性臂进需行滨监奴督扇检躁查祖与检评德估完，甩形垂成限书嗓面控报币告守并会作已出动相筐应固处廊理遭的越过烛程亮，替是锐实蠢施好内性部窑控察制涝的失重则要茶保姐证煤。控制环境风险评估控制活动信息与沟通监控合规性操作财务报告I瓦T审股计笛的阀参黎考蚀标提准视－C老O冰S令O（寇续修）I斥T审产计短的林参绸考盼标嗽准虽－C纪O想S红O与B佩a漠s梨e枯l阔I叉I的摇关寸系I料T审泊计拒相沙关深标宴准—元—洲C坊O本S当O与B诉a剧s码e敏l芦I筝I的咬关矮系BaselII原则COSO控制方面IT相关需求1.董事会应清楚的认识到银行业务的运作风险各个方面，制定出风险管理框架，并定期审阅该框架。框架内容需包括如何对运营风险进行定义、评估、监控、控制。控制环境风险管理流程需将IT整合起来。2.董事会应确保银行的运营风险管理框架能够有效的被内审人员运用到实际工作中。内审部门并不直接对风险管理框架的管理负责。监控制定内部审计计划时除包括财务部门的运营风险还应考虑IT的影响；IT内审人员应具有相应的技术背景，并受到培训，技术背景包括对BaselII协议、风险管理原则、会计准则的理解；IT内审职责应受到财务部门管理人员的审阅；外部专业资源应被适当的利用。3.管理层负责实施风险管理框架，实施范围需贯彻整个银行组织，各个级别的职员都应该理解他们在该框架中的职责。管理层需负责对各类业务、活动和系统制定制度及操作流程。控制环境信息与沟通IT管理层拥有与高级管理层相同的职责；制定好的风险框架应满足IT的需求，可以考虑根据风险框架制定IT控制框架；风险框架中IT部分，需与财务部门负责人进行沟通，例如IT组织管理，IT计划，安全，系统开发，程序变更，运行支持，内部审计职责等。4.银行应对所有业务、产品和系统的固有风险进行定义和评估。在新业务、产品和系统实施前，必须完成对其固有的评估。目标设定事件定义风险评估风险评估应该与影响银行业务的IT行为一体化，例如程序变更、基础架构变更和安全监控；风险评估应整合在系统开发和实施的流程中；对企业有重大影响的股东需要考虑进风险评估框架中；风险评估结果需与GRC框架保持一致。5.银行应该建立定期监控操作风险和重大漏洞的体系，同时定期向管理层和董事会汇报相关内容，以便管理层对风险进行控制。事件定义风险评估信息与沟通运行风险评估应包含在年度计划和战略计划中；运行风险应根据内部和外部重大事件的变化进行再评估，例如发生灾难后需要对可持续性计划进行重新定义；风险行为图表应该被定义并审阅，当异常的曲线被检测到，分析原因并及时改进。BaselII原则COSO控制方面IT相关需求6.银行应该有一套完整的制度和流程凯控制或降低重大运营风险。银行应该定期审阅自身的风险局限性和控制战略，并根据对风险的整体考虑来调整运营风险结果。风险响应控制环境信息与沟通控制行为存在一套完整的IT内控框架一遍降低运营风险；IT内控框架应该以准确的制度、流程为依据；运营风险应该根据外部和内部发生的事件进行再评估，例如另一家银行被收购，必须考虑该行为对行业的综合影响及带来的新的运营风险；IT制度和流程必须被定期（至少一年一次）审阅、审批。7.银行应该有一套完整的业务连续性计划，来确保当发生重大商业干扰时，业务的能够正常运行。风险响应IT部门应该有一套和业务连续性相关的IT连续性计划。8.银行监管人应该要求各家银行（不论规模大小）都有一套有效的框架来定义、评估、监控、控制或降低运营风险，作为风险管理的一部分。监控IT部门应该实施IT风险管理框架来满足财务部门的需求。9.主管对运营风险相关制度、流程进行评价，确保存在一套正确的机制促进银行的发展。监控IT高级管理层应确保IT相关的制度与公司整体的制度和流程整合在一起。对于财务部门发现的缺陷及时调整；IT合规职能应该和财务部门合规职能整合在一起，确保财务部门主管能够及时获得IT发展的动态。10.银行必须充分披露以便市场参与者评估自身的运营风险管理。控制环境信息与沟通IT应该定义所有与重大运营相关的风险，并与董事会和高级管理层进行沟通。I筑T审影计互的些参迅考盾标富准披－C絮O便S青O与B宋a港s岂e融l凉I垒I的殿关仰系(续)有妄两娃种严方堆法旷来冶选旱择帅相嫩关注的I简T流输程莫和砌控养制各：风速险垦驱元动娃－亡根怪据尺风敲险图的雀属毛性粒（典严矛重来、写重颠要弓、级有虽影冰响慨、黄无低影恰响建）誓来刚定今义括控略制均目雹标祥和耻步南骤目雷标耳驱答动射－黑根阻据B括a嫌s蛋e冰l馋I拣I定赢义脊目好标额，梅然唤后纪使错用C仅o锅B僵I弯T提钱供陡的驰指奥引I萌T审栋计厘的帜参斜考探标茂准驻－C禁o眼B映I侍T与B羡a钳s叫e饺l尸I央I的洪关澡系I较T审狮计朋的袜参扁考非标菌准狗－C乳o尽B撤I虎T与B搅a倒s惰e破l雀I暮I的套关给系见－听风岩险马驱渔动滚方慎法BaselII风险类型IT方面CoBIT流程内部舞弊•蓄意使用程序

•未经授权的使用修改功能

•蓄意使用系统指令

•蓄意使用硬件

•蓄意的未经授权的对系统和应用数据进行修改

•使用、拷贝无许可证或未授权的软件

•通过欺诈手段获取他人的访问特权•PO6沟通管理的目标和方向

•DS5确保系统安全

•DS9配置管理

•DS12物理安全管理外部欺骗•通过黑客修改系统和应用数据

•外来人员获得机密文档

•通过欺诈手段获取他人的访问特权

•窃取信息

•密码泄露

•病毒•DS5确