信息技术：风险因素和管理PPT课件

InformationTechnology:RiskFactorsandKeyControlAreas信息技术：风险因素和管理**OutlineoftheDiscussion提纲 ITexaminations-integrationandratingsIT检查—综合与分级 KeyITrisksandmitigatingcontrolsIT主要风险与化解方法 Integratedsupervision-ITandfinancial综合监督—IT和财务 ITissues-businesslinereviewsIT问 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 —业务部门检查 Businessresiliency业务恢复 Serviceprovider/outsourcingrisks服务提供商/外包的风险 E-bankingissues电子银行问题*ITExaminations-IntegrationandRatingsIT检查—综合与分级 Partofsafetyandsoundnessexamination是安全性和稳定性检查的一部分 Targetedexaminationmaybedoneforcomplexinstitutionsorspecificissues目标检查可用于综合性机构或特别事件 Singlecompositeratingofperformance-“URSIT”rating-maybeasinglerating-e.g.strong,satisfactory,fair,marginallysatisfactory,unsatisfactory性能的单一因素评级—“URSIT”评级—可能是单一评级—如很好、满意、一般、基本满意、不满意* Four“URSIT”components:“URSIT”的4个组成部分： Audit审计 Management管理 DevelopmentandAcquisition开发和购置 SupportandDelivery支持和交付 ITriskfactorsIT风险因素： Organizationalrisk机构风险 Infrastructurerisk基础设施风险 Integrityrisk完整性风险 Securityrisk安全性风险 Availabilityrisk有效性风险ITExaminations-IntegrationandRatingsIT检查—综合与分级*ScopeofITExaminationIT检查的范围 Otherkeyfactors:其他主要因素 implementationofnewsystems新系统的使用 significantchangesinoperationsincludingmergersorsystemconversions运作发生重大变化，包括合并或系统转化 newormodifiedoutsourcingrelationshipsforcriticaloperations重要运作出现新的或调整后的外包关系* Areastoconcentrateon集中于以下领域： significantindustrytrends/issues重大的行业趋势/事件 businesslineswhereinternalcontrolsorriskmanagementareheavilydependentoninformationtechnology内控或风险管理主要依靠信息技术的业务部门 follow-uponissuesraisedbyinternalauditorinthelastreportofexamination跟踪内审或最后检查报告提出的问题ScopeofITExaminationIT检查的范围*DegreeofControl控制的程度 LevelofITrisks-dependsondegreeofcontrolIT风险的水平—取决于控制程度 In-houseoperations-100percent内部操作—100% retainsallresponsibilityauthorityandaccountability保留所有的职责权限和义务 Outsourcedoperations-0percent外包操作—0% delegatessomeauthoritytoanoutsidepartythroughacontractwhileretainingaccountability通过 合同 劳动合同范本免费下载装修合同范本免费下载租赁合同免费下载房屋买卖合同下载劳务合同范本下载 将部分权限委派给外部机构，同时保留责任 Vendor-0percent卖主—0% productsdevelopedwithoutbankinput;carefullyevaluatetherisks不用银行投入的产品开发；仔细评估风险*AnalysisofURSITRatingFactorsURSIT评级因素的分析 InternalAuditreviewincludes内部审计检查包括： Overalleffectivenessoftheauditprocess整个审计过程的有效性 Auditindependence审计的独立性 Adequacyofriskassessmentmethodology风险评估方法的适宜性 Scope,frequency,accuracyandtimelinessofinternalandexternalauditreports内部和外部审计报告的范围、频率、准确性和及时性 Extentofauditparticipationinapplication,development,acquisitionandtesting审计在应用、开发、盘购和测试方面的参与程度 ITauditstaffandqualificationsIT审计人员和资格 QualityandeffectivenessofinternalandexternalauditasitrelatestoItcontrols内部和外部审计在IT管理方面的质量和效力 Overalladequacyofplanvs.ITrisks计划的充分性与IT风险*AnalysisofURSITRatingFactors,cont.URSIT评级因素的分析（续） Managementreviewincludes管理层检查包括： Level/qualityofoversightandsupportofITprocessesIT程序监督与支持的水平/质量 Effectivenessofriskmonitoringsystemsincludingidentification,measurement,monitoringandcontrollingrisks风险监督体系的有效性，包括风险识别、度量、监督和控制 Managementplanning-newactivities-successionplan管理层规划—新的活动—连续性计划 AdequacyofMISreports管理信息系统报告的充分性 Awarenessofandcompliancewithlawsandregulation法律法规的认知和遵守 Managementofcontracts,outsourcing,andservicedeliveryandmonitoringofthearrangements合同、外包、服务交付的管理和监督* Developmentandacquisitionreviewincludes:开发和盘购检查包括： OversightandsupportofsystemsdevelopmentandacquisitionactivitiesbyseniormanagementandBoard高级管理层和董事会对于系统开发和盘购予以监督和支持 Accountabilityforsystemsdevelopment系统开发的义务 AdequacyofSDLCandprogrammingstandards同步数据链路控制（SDLC）和编程标准的适宜性 Qualityofprojectmanagementprograms,systemsdocumentationandsoftwarereleases专案管理程序、系统文件和软件发布的质量 Independenceofqualityassurancefunction保证质量的职能的独立性 Integrityandsecurityofthenetwork,systemandapplicationsoftware网络、系统和应用软件的完整性与安全性 Involvementofclientsintheacquisitionprocess盘购过程中的客户参与AnalysisofURSITRatingFactors,cont.URSIT评级因素的分析（续）* Supportanddeliveryreviewincludesadequacyof支持和交付检查包括： Operatingpolicies,procedures,andmanuals运做方针、程序和手册 Physicalandlogicalsecurityincludingdataprivacy可操作的、合理的安全措施，包括数据保密 Securitypolicies,procedures,andpracticesinallunitsandatalllevelsoffinancialinstitution金融机构各级别、各部门都有安全方针、程序和操作要求 Servicelevelsthatmeetbusinessrequirements能够满足业务需求的服务水平 Datacontrolsoverpreparation,input,processing,andoutput数据准备、输入、处理和输出的管理 Corporatecontingencyplanningandbusinessresumption公司应急计划和业务恢复 Programs/processesmonitoringcapacity/performance程序/程序监督能力/表现 Qualityofassistanceprovidedtousers向客户提供的援助的质量 ControlsoverandmonitoringofOSPsOSP的管理和监督 Firewallarchitectures/securityofpublicnetworks防火墙体系/公共网络安全AnalysisofURSITRatingFactors,cont.URSIT评级因素的分析（续）*IntegrationofKeyRiskFactors/Ratings主要风险因素的整合/分级 ReviewITrisksataninstitution-widelevel在机构范围内检查IT风险 Developprocessestoevaluatetherisks开发风险评估程序 IncorporateinformationneededforITratingintoriskevaluation将IT评级需要的信息与风险评估相结合 EvaluateITriskswhenreviewingspecificbusinesslinesorproducts在检查具体的业务部门或产品时，对IT风险进行评估*DefinitionofOrganizationalRisk机构风险的定义 Theriskthatineffectivemanagementprocesseswillresultininformationsystemsthatarenotadequatelyorappropriatelyalignedwith,orsupportiveofthebusinessprocessesandmissionoftheorganization由于管理程序无效，造成信息系统不能充分或适当地支持业务运转及完成机构目标所带来的风险*OrganizationalRisk-ManagementProcesses机构风险—管理程序 Strategicplanning战略规划 Managementandreportinghierarchy管理层和报告层级 Managementsuccession管理的连续性 Independentreviewfunction-e.g.internalaudit独立的检查职能—如内审*OrganizationalRisk-KeyIssues机构风险—主要问题 Competitiveadvantage竞争优势 Criticaltoglobalcompetition对于全球竞争很重要 Criticaltoamerger-whosesystemstouseandhowtointegrate对于合并很重要—用谁的系统，如何整合 Linkagetostrategicplanning与战略规划相联结 End-users-shouldunderstandthesystemsandbeincludedinthedecisions终端用户—应该了解系统并在决策中予以考虑*OrganizationalRisk机构风险 Centralversuslocaldecisionmaking总部与本地的决策 Useofconsultants顾问的使用 Developmentofsystemsonaglobalbasis开发全球性系统 Decisionmakinginsmallerinstitutions小规模机构的决策*OrganizationalRisk-KeyControls机构风险—主要管理 Preventative预防 Strategicplan战略计划 Successionplanning连续规划 Communications沟通 Staffing人员配置 Policies/procedures方针/程序 Segregationofduties职责分工 Crosstraining/jobrotation交叉培训/岗位轮换 Documentation文件 * Detective检查 Managerialreports管理报告 Financialreports财务报告 Variancereports差异报告 Employeeappraisals员工考核 Errorstatisticsandlogs错误统计和记录 Internalandexternalaudit内部和外部审计OrganizationalRisk-KeyControls机构风险—主要管理* Corrective整改 Education教育 Newplansorprocedures新计划或程序 Outsourcing外包 Replacementofmanagement更换管理层OrganizationalRisk-KeyControls机构风险—主要管理*InfrastructureRisk基础设施风险 Riskthattheunderlyingdesignandindividualcomponentsofanautomatedinformationsystemwillnotmeetcurrentandlong-termorganizationalobjectives自动信息系统的设计或个别组成部分不能满足机构当前或长期目标所带来的风险*InfrastructureRisk–Architecture基础设施风险—体系建设 Underlyingdesignoftheinformationtechnologysystemanditsphysicalandlogicalcomponents:信息技术系统的可操作的、合理的架构设计： Networkcommunications网络通信 Hardware硬件 Software:operatingsystems,communicationssoftware,databasemanagementsystems,programminglanguagesanddesktopsoftware软件：操作系统、通信软件、数据库管理系统、编程语言和桌面软件*TypesofComputerSystems计算机系统的种类 PCs/workstations个人电脑/工作站 Clientserver-typicallyaLAN客户服务器—常见的是局域网 Localareanetwork局域网 Mid-range中频 Mainframe主机*InfrastructureRisk基础设施风险 Choiceofplatforms-openserverversusmainframes平台的选择—开放式服务器与主机 Flexibilityversuscomputingability灵活性与计算能力*InfrastructureRisk-KeyControls基础设施风险—主要管理 Preventative:预防 Strategicandtacticalplans战略和战术计划 Feasibilitystudy可行性研究 Procurementpolicy获取方针 Systemdevelopmentmethodology系统开发方法 Capitalplansandprocedures资本预算和程序 Changecontrol改造管理 Acceptancetesting验收测试* Detective:检查 Inventorysystems存货系统 Self-assessment自我评估 Internalandexternalaudit内部和外部审计InfrastructureRisk-KeyControls基础设施风险—主要管理* Corrective:整改 Retrofit翻新式样 Re-engineer重新设计 Translate/transform调整/转换InfrastructureRisk-KeyControls基础设施风险—主要管理*IntegrityRisk完整性风险 Riskthatasystem,application,orcomputerprogram,andtheresultinginformationflows,willnotsatisfyend-userbusinessrequirementsandexpectations 系统、应用软件或电脑程序以及由其产生的信息流不能满足终端用户业务需要和期望所带来的风险*IntegrityRisk完整性风险 Keypartofthisprocess-System关键问题—系统 DevelopmentLifeCycle–SDLC开发生命周期—同步数据链路控制 Initiation发起 Requirements需求 Design设计 Programming编程 Testing测试 Implementation实施 Evaluation评估 Maintenance维护*IntegrityRisk-KeyControls完整性风险—主要管理 Preventative:预防 AdherencetoSDLC遵循SDLC Qualityassuranceprogram质量保证程序 Changecontrol改造管理 Acceptancetesting验收测试 Capacityplanning容量规划 Resourcescheduling资源安排 * Detective:检查 Self-assessment自我评估 Internalandexternalaudit内部和外部审计 Acceptancetesting验收测试 Performancemonitoring运行监督 Machinediagnostics/logs机器诊断/记录 Errorstatistics错误统计IntegrityRisk-KeyControls完整性风险—主要管理* Corrective:整改 Redesignofapplication重新设计申请 Filerotationandretention文件的运转和保存 Recoveryandrestart恢复和重新开始 Replacement置换 Rescheduledemand重新制定需求IntegrityRisk-KeyControls完整性风险—主要管理*SecurityRisk安全性风险 Thepotentialthatcontrolbreacheswillresultinunauthorizedaccess,modification,destruction,ordisclosureofinformationassetsduringtheircreation,transmission,processing,maintenance,orstorage信息资产在创建、传输、处理、维护或储存的过程中，管理漏洞导致信息的擅自存取、更改、破坏和披露的潜在风险* Utilizepreventativeanddetectingcontrols-physicalandlogical利用预防和检查的控制手段—可操作的、合理的 Physical-isolatemainframesandservers可操作的—主机与服务器分离 Logical-restrictaccesstosystemsandchangestosystems;createaudittrails;periodicallyreviewaccess;encryptcriticalinformation合理的—限制系统的进入和更改；创建审计报告；定期检查登录状况；对重要信息加密SecurityRisk安全性风险*SecurityRisk-KeyControls安全性风险—主要管理 Preventative:预防 Physical/logicalaccesscontrol可操作的/合理的登录管理 Capacitymodeling容量模型 Proprietarynetworks自有网络 Switchabilityrouting可转换路由 Protocols 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 Publicnetworks公共网络 Encryption/authentication加密/证明 Accesscode登录密码 * Detective:检查 Violationreports违反规定的报告 Self-assessment自我评估 Internalandexternalaudit内部和外部审计 Inventorycontrol存货管理 Reconciliation调节 Verification/configuration验证/配置 Callback回电 Batchcontrol批控制SecurityRisk-KeyControls安全性风险—主要管理* Corrective:整改 Disasterrecoveryplan灾难恢复计划 Insurance保险 Retransmission/rerouting重发/变更路由SecurityRisk-KeyControls安全性风险—主要管理*AvailabilityRisk有效性风险 Thepotentialthatanorganizationwillnotbeabletoconsistentlydeliverinformationonatimelybasisinsupportofbusinessprocessesanddecisionmaking 机构不能持续及时地传递信息，支持业务操作和决策制定所带来的风险*AvailabilityRisk有效性风险 Identificationofcriticalsystems重要系统的确定 Databack-upsites-“hot”,“warm”or“cold”数据备份所在地—“热”、“暖”或“冷” Regulartestingofthecontingencyplan应急计划的定期测试 Sufficientsystemcapacity充足的系统容量*AvailabilityRisk-KeyControls有效性风险—主要管理 Preventative:预防 Maintenance-hardware/software维护—硬件/软件 Redundancy备用 Modeling建模 Testing测试 Diverserouting多种邮件路由 Physicalsecurity可操作的安全管理 * Detective:检查 Virusdetection病毒 检测 工程第三方检测合同工程防雷检测合同植筋拉拔检测方案传感器技术课后答案检测机构通用要求培训 Externalsources外部来源 Self-assessment自我评估 Internalandexternalaudit内部和外部审计AvailabilityRisk-KeyControls有效性风险—主要管理* Corrective:整改 Disasterrecoveryplan灾难恢复计划 Insurance保险 Reciprocalagreement互惠协议AvailabilityRisk-KeyControls有效性风险—主要管理*RoleofInternalandExternalAudit内部和外部审计的作用 OveralladequacyofITauditcoverageIT审计范围的整体适宜性 EvaluationofITrisksIT风险的评估 SpecificaudittestsforIT专适IT的特别审计检查 Integrationwithfinancialandoperationalaudits与财务和操作审计相结合*RiskAssessment风险评估 SpecificevaluationofITrisksIT风险的特别评估 Relationshipofriskstosafetyandsoundnessrisks:credit,market,liquidity,operational,legalandreputational此类风险与影响安全稳定的风险的关系，即信用、市场、流动性、操作、法律和信誉风险 Integrationwithsafetyandsoundnessexamination与安全和稳定检查相结合*IntegratedSupervision综合监督 EmphasisonprocessesincludingIT强调程序，包括IT AdequacyofMISandReporting管理信息系统和报告的充足性 AppropriatenessofITinspecificbusinesslinesandproductsIT在特别业务部门和产品中的适宜性*ITIssues-BusinessLinesIT问题—业务部门 ReviewofITincludedwithbusinesslinereviews业务部门检查包括IT检查 Keybusinesslineorproductrisks:securityandavailability业务部门或产品的主要风险：安全、有效 Integrationwithsixmainrisks与6大主要风险相结合*BusinessResiliency业务恢复 Institution’soverallplanstoresumeoperationsafteradisaster灾难后机构重新运作的整体计划 Includesbothsystemandoperations(people)包括系统和业务（人） Largeinstitution-seniorofficerresponsibleforbusinessresiliency大型机构—高级人员负责业务恢复 CrisisManagementTeam-includestheheadofbusinessresiliencyandotherkeyexecutives危机管理小组—包括业务恢复的负责人和其他主要行政人员*BusinessResiliency,cont.业务恢复（续） Keyelementsofacorporatelevelplan:机构整体计划的关键要素： Managementcontinuity-definingkeyrolesandalternateresponsibility管理的连续性—定义主要作用和交替职责 Continuityofoperations-highlevelanalysisofkeyoperations,peopleandlocations操作的连续性—对主要业务、人员和区域的高层次分析 Specificdetails-whodoeswhat,when,whereandhow具体细节—何人、何时、何地、如何做何事* Keyissuestoconsiderpriortoadisaster:灾难发生前需要考虑的主要问题： Wherearerecordsstoredandhowcantheybeaccesses档案保存于何地？如何获取？ Howcandatasecuritybemaintainedatalternatesites(i.e.secureoff-premisesdial-in)如何在后备场所保证数据的安全性（即场所外拨号） Alternatessites-location,capacity,businesslineusage后备地点—位置、容量、业务部门使用 Necessarycontractswiththirdpartyvendors-datastorageandprocurement,alternatefacilities(ifanexternalvendorisused),storageofcash/notes,insurance与第三方卖主的必要合同—数据保存与获取、后备设备（如果使用外部卖主）、现金/支票的存储、保险 Smallbank-namingofare-openingteam小银行—重新启动小组的命名BusinessResiliency,cont.业务恢复（续）* Businesslineplans-keyelements业务部门计划—关键要素 Eachdepartmenthaveabusinesscontinuitycoordinatorwhodevelopstheplanbasedonabusinessimpactanalysis每一个部门都有一位业务连续性协调人，他在业务影响分析的基础上制定计划 Planelementswillbebasedontheidentifiedrisks计划因素以识别的风险为基础 Buildingevacuationataminimum-morecriticaloperations-detailedback-upplan根据后备计划建立重要业务部门的撤离 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 Planrevisedannuallyorwhenmajorchangesoccurinthebusiness每年对计划进行修订，或在业务发生重大变化时进行修订BusinessResiliency,cont.业务恢复（续）* Keyelementsinabusinesslineplan:业务部门计划的关键要素： evacuationandemergencyprocedures撤离和应急程序 procedurestonotifyinternalandexternalcontacts通知内部和外部联系人的程序 alternaterecoverysiteactivationprocedures后备恢复地点的启动程序 businessrecoveryprocedures-detailsandpriorities-includestimeframeforrecovery(2-4hours,oneday,oneweek)业务恢复程序—详细资料和首要部门—包括恢复的时间安排（2—4个小时、一天、一周） Detailsonresourcerequirements资源需求的详情 Testingofallplansatleastannually至少每年对所有计划进行一次测试BusinessResiliency,cont.业务恢复（续）*RegulatoryGuidance-SoundPracticesPaper监管指引—稳健做法报告 Issuedby:U.S.RegulatoryAgencies美国监管机构发布 DateofIssuance-April8,2003发布日期—2003年4月8日 Purpose-strengthentheresilienceoftheU.S.financialsystem目的—加强美国金融体系的恢复能力 Threesignificantpost-September11businesscontinuityobjectives:9.11后3个重要的业务连续性目标 “Rapidrecoveryandtimelyresumptionofcriticaloperationsfollowingawide-scaledisruption;发生大规模业务中断后，重要业务可以快速恢复并适时重新启动 Rapidrecoveryandtimelyresumptionofcriticaloperationsfollowingthelossorinaccessibilityofstaffinatleastonemajoroperatinglocation;出现人员损失或联系不上的情况时，至少一个重要运作点可以快速恢复并适时重新启动 Ahighlevelofconfidence,throughongoinguseorrobusttesting,thatcriticalinternalandexternalcontinuityarrangementsareeffectiveandcompatible.”通过持续使用和强测试，充分相信内外部连续性安排有效、协调*RegulatoryGuidance-SoundPracticesPaper,cont.监管指引—稳健做法报告（续） Paperappliesto:报告适用于 coreclearingandsettlementorganizationsand核心清算和结算机构 firmsthatplaysignificantrolesincriticalfinancialmarkets(settlesatleast5%oftransactionsinaspecificmarket)在重要金融市场上起关键作用的公司（在某一市场的交易结算至少占5%） Keysettlementactivitiesinclude:主要结算活动包括 completingpendinglarge-valuepayments,完成未决的大额支付 clearingandsettlingmaterialpendingtransactions,清算、结算重要的未决交易 meetingmaterialend-of-dayfundingandcollateralobligations,汇总重要的日末融资和抵押债务 managingmaterialopenfirmandcustomerriskpositions,reconcilingtheday’srecords,andsafeguardingfirmandcustomerassets,管理公司和客户的重要风险头寸、调整当天的记录，并保护公司和客户的资产 carryingoutallrelatedsupportfunctions执行所有相关支持职能* Foursoundpracticesforimpactedorganizations-appliestobothdatacentersandbusinesslines架构严谨的机构的4个稳健运作的程序—适用于数据中心和业务部门 identifyapplicableclearingandsettlementactivities;确定适用的清算和结算活动 determineappropriaterecoveryandresumptionobjectives(e.g.-amountoftimeinwhichthebusinesswillrecoverafterawidescaledisruption);确定合适的恢复和重新启动目标（如：在大规模中断后，业务恢复所需的时间） maintainsufficientgeographicallydisbursedresourcestomeetobjectives-criticalbusinessesmayoperatesimultaneouslyfromseveralsites;在不同地区保持足够的支付资源以满足目标—重要业务可同时在多个场所运作 routinelyuseortestrecoveryandresumption定期使用或检测恢复和重新启动系统 Coreclearingandsettlementorganizationsshouldachievetheseobjectivesbyendof2004;criticalfirmsinspecificmarketswithinthreeyearsofthepublicationofthispaper-Apr.2006核心清算和结算机构应于2004年底以前实现上述目标；特殊市场上的重要公司自本报告公布起，3年内实现上述目标—2006年4月RegulatoryGuidance-SoundPracticesPaper,cont.监管指引—稳健做法报告（续）*LessonsLearnedfromSeptember119.11的教训 Priorassumptionsdonotwork预先假设不起作用 Eachbusinesslineshouldconsider每一个业务部门应该考虑： locationofoffices-primaryandrecovery办公地点—主要地点和备用地点 locationofdatacenters-primaryandrecovery数据中心的位置—主要地点和备用地点 peopleconcentration-needredundantstaffinalternatelocations;needcontactnumbersforallstaffandforclientsaswellasclientemergencylocations人员集中度—需要在备用场所安排后备人员；需要所有员工和客户的联系电话以及客户的应急联络地点 communications-telephone,data.etc.-needredundancy通信—电话、数据等—要有备份 multi-channelcommunicationdeliveryincludingInternet多渠道信息传递，包括因特网*WhatisOutsourcingfromanITPerspective?从IT的角度看外包 Aninstitutioncontractswithanexternalpartytoprovidedifferentserviceswhichcaninclude:机构同外方签定合同，外方提供包括如下内容的不同服务： coreprocessing核心处理 informationandtransactionprocessingandsettlementactivitiessupportingfunctionssuchaslending,deposit-taking,fundstransfer,fiduciaryortradingactivities;信息和交易处理以及结算活动支持职能，如贷款、取款、资金划转、信托和交易活动 Internetrelatedservices;与因特网相关的服务 securitymonitoring;安全监督 systemsdevelopmentandmaintenance;系统开发与维护 aggregationservices;综合服务 digitalcertificationservices;and数字式证明服务 callcenters电话中心*ExaminationofServiceProviders对服务供应商的检查 UnderBankServiceCompanyAct,servicedinstitutionsshouldmonitoroutsourcingproviders:根据银行服务公司法案，接受服务的机构应该监督外包服务供应商： adequacyofcontrols充分的控制 riskmanagement风险管理 FFIEC-periodicreviewsoflarge-scaleprovidersFFIEC—定期检查大规模的供应商 ExternalAudit-SAS70reviews-assertionbyexternalauditthatcontrolsareeffective外部审计—SAS70检查—外部审计证明控制有效*RiskAssessment-ServiceProviders风险评估—服务供应商 Riskfactors:风险因素 riskofsignificantlosses重大损失的风险 significantinternalcontroldeficiencies,inadequateauditorreporting内控存在重大缺陷、审计或报告不充分 inadequateoversightbycustomers客户的不当疏忽 significantchangesinmanagementorstaffing管理层或人员发生重大变化*OutsourcingRisks外包的风险 Operationalrisks:操作风险 availabilityofsystems系统的实用性 integrityofriskmanagementsystems风险管理体系的完整性 riskoffinancialloss财务损失的风险 reputationaldamage声誉受损*Outsourcing-MonitoringProcess外包—监督程序 Assesskeyrisksthatcouldariseandhowtocontrolthem评估可能发生的重大风险，如何控制 Performaduediligencereviewontheserviceprovider-competenceandstability-financiallyandoperationallysound对服务供应商实施尽职调查—能力和稳定性—财务和操作稳定 Executeaspecificwrittencontractoutliningthescopeandrisks执行特别书面合同，描述范围和风险*OutsourcingContracts-KeyTerms外包合同—关键条款 Requiredservicelevels,performancestandards,costs,andpenalties必要的服务水平、执行标准、成本和处罚 Internalcontrols,insurance,disasterrecoverycapabilities内控、保险、灾难恢复能力 Dataandsystemownershipandaccess数据和系统的所有权和准入 Liabilityfordelayedorerroneoustransactionsandotherpotentialrisks延期交易或错误交易的责任及其他潜在风险* Provisionsfortheaccessbytheinstitutiontointernalorexternalauditsandotherreviewsoftheserviceprovider机构获取内外部审计和其他关于服务提供商的检查情况的条款 Compliancewithanyapplicableregulatoryrequirementsandaccesstoinformationandoperationsbytheinstitution’ssupervisoryauthorities遵守监管要求，了解监管当局的信息和运作 Provisionsforhandlingdisputes,contractchangesandcontracttermination解决争议、合同更改和合同终止的条款OutsourcingContracts-KeyTerms外包合同—关键条款*E-Banking电子银行 Thedeliveryofbankingservicesthroughelectroniccommunications-mainlytheInternet通过电子通信—主要是互联网——提供银行服务 Synonyms:同义词 InternetBanking网上银行 ElectronicBanking电子银行 On-lineBanking在线银行 PCBanking个人电脑银行 E-Bankingmayinclude:电子银行包括： ATMs自动提款机 WireTransfers电汇 TelephoneBanking电话银行 EFT资金电子转帐 DebitCards借计卡*RelatedActivities相关的活动 Electronicbillpresentmentandpayment电子票据提示与支付 Accountaggregation帐目汇总 Electronicsignatures(digitalcertificates)电子签名（数字式证明） Internetpayment网上支付 WirelessInternetbanking无线网上银行*E-Banking-OutsourcingIssues电子银行—外包问题 TendencytooutsourceInternetactivities网上活动外包的倾向 Multiplevendorrelationship多方卖主关系 ISPapplicationsoftwarevendor,billpaymentprovider,coredataprocessor,etc.ISP应用软件卖主、票据支付提供者、核心数据处理器等 Dynamicsofvendormarketplace卖方市场动态 Twotrends-consolidationandnewentrants两个趋势—合并和新的加入者 Inter-relationshipamongproviders提供者之间的关系