IT Assurance in China Key players doing IT Assurance In China Professional Organizations Types of IT Related Services by Public Accounting Firms Assurance Standards China Internal Control Standard Framework E-banking Security Assessment Guidelines for Financial Institutions (CBRC) IT Risk Management Guide for Commercial Banks Key Challenges and Trends Philip Yang 十月 2011 1 Key players doing IT Assurance In China • Accounting firms, with the big 4 being the key players. Local firms are lagging behind but starting to train their people and going after both assurance and consulting projects. • National Audit Office has a very large number of auditors with some focusing on IT audit. • Industry regulators, mainly bank regulator CBRC and insurance regulator CIRC. • Internal audit departments, depends on nature of business some have IT audit departments, e.g. large banks, insurance companies, telecom companies. 十月 2011 2 Professional Organizations • China Institute of Certified Public Accountants - Issues China CPA assurance standards. - China CPA exams and certifications. • China Institute of Internal Auditors - Issues China internal audit standards, e.g. Internal Audit Standard No. 28–Information System Audit. - Agent of IIA on CIA exams and certifications. • ISACA China Chapter (running out of Hong Kong) • China Information Systems Auditor Union 十月 2011 3 Types of IT Related Services by Public Accounting Firms • Audit of IT for the purpose of F/S audit • Audit of IT as part of internal control audit • Compliance driven IT assurance work, especially for financial institutions such as banks and insurance companies • Audit report on internal controls of service organizations (ISAE3402) • Consulting projects: IT strategy, IT governance, IT risk, IT security, Data integrity, IT projects 十月 2011 4 F/S Audit Related CICPA Standards • AS1211 – Understanding of client and its environments • AS1212 – Considerations on use of service organizations • AS1231 – Audit procedures to address significant risks • AS1314 – Sampling and other means of substantative tests • AS1421 – Use of specialists • AS1611 – Audit of commercial banks • AS1633 – Impacts of e-commerce to F/S audit 十月 2011 5 Other IT Related Assurance Standards • AS3101 – Standard on assurance of information other than historical financial information (CICPA) • Internal control audit guide (CICPA) • Internal Audit Standard No. 28–Information System Audit (CIIA) - 十月 2011 6 China Enterprise Internal Control Standards Framework Companies Internal Control Assessment Guide (MOF) Auditors Internal Control Audit Guide (CICPA) Industry Regulator Requirements, e.g. Internal Control Guide for Commercial Banks (CBRC) Security Regulator and Stock Exchange Requirements, e.g. IPO requirements, Annual Report requirements Internal Control Application Guidelines (MOF) 18 Guidelines at this moment(see next page) The Basic Standard for Enterprise Internal Control (MOF) 7 China Enterprise Internal Control Standards Framework(cont’d) 内部环境类(5项) 控制活动类(9项) 控制手段类(4项) 组织架构 发展战略 人力资源 社会责任 企业文化 资金活动、采购业务 资产管理、销售业务 研究与开发 工程项目、担保业务 业务外包、财务报告 全面预算 合同管理 内部信息传递 信息系统 需要强调的是:应用指引旨在提出原则性的指导,而不是提出刚性的要求, 因此企业要根据自身业务的要求,建立合适的内部控制体系; 针对银行的内部控制应用指引尚未发布,目前可参考的监管要求为银监会 《商业银行内部控制指引》。 8 IT Risk Management Guide for Commercial Banks China Banking Regulatory Commission • 第一章 总 则 Chapter 1, General Guidelines • 第二章 信息科技治理 Chapter 2, IT Governance • 第三章 信息科技风险管理 Chapter 3, IT Risk Management Framework • 第四章 信息安全 Chapter 4, Information Security • 第五章 信息系统开发、测试和维护 Chapter 5, IT Application Development, Test and Maintenance • 第六章 信息科技运行 Chapter 6, IT Operation • 第七章 业务连续性管理 Chapter 7, Business Continuity Management • 第八章 外 包 Chapter 8, Outsourcing • 第九章 内部审计 Chapter 9, Internal Audit • 第十章 外部审计 Chapter 10, External Audit • 第十一章 附 则 Chapter 11, Other Matters 十月 2011 9 IT Risk Management Guide for Commercial Banks China Banking Regulatory Commission • 第九章 内部审计 Chapter 9, Internal Audit - Internal Audit Department should have auditors with relevant IT audit knowledge and experience - Internal Audit should decide audit scope and frequency based on nature of IT applications. A comprehensive IT audit should be done at least once in every 3 years. • 第十章 外部审计 Chapter 10, External Audit - Banks may engage external auditors to conduct IT audit. 十月 2011 10 E-banking Security Assessment Guidelines for Financial Institutions (CBRC) Chapter 1, General Requirements • E-banking security assessment 第二条 电子银行的安全评估,是指金 融机构在开展电子银行业务过程中,对电子银行的安全策略、内控制 度、风险管理、系统安全、客户保护等方面进行的安全测试和管控能 力的考察与评价。 • 第三条 开展电子银行业务的金融机构,应根据其电子银行发展和管理 的需要,至少每2年对电子银行进行一次全面的安全评估。 十月 2011 11 E-banking Security Assessment Guidelines for Financial Institutions (CBRC) (cont’d) Chapter 2, Assessment Agent • 第七条 承担金融机构电子银行安全评估工作的机构,可以是金融机构 外部的社会专业化机构,也可以是金融机构内部具备相应条件的相对 独立部门。 • 第十一条 金融机构在进行电子银行安全评估时,可以选择经中国银监 会资质认定的安全评估机构,也可以选择未经中国银监会资质认定的 安全评估机构。 十月 2011 12 E-banking Security Assessment Guidelines for Financial Institutions (CBRC) (cont’d) Chapter 3, Execution of Security Assessment • 第二十七条 电子银行安全评估至少应包括以下内容: 安全策略; (二) 内控制度建设;(三) 风险管理状况;(四) 系统安全 性; (五) 电子银行业务运行连续性计划;(六) 电子银行业务运 行应急计划;(七) 电子银行风险预警体系; • 第三十六条 评估报告应至少包括以下内容 范围及其他协议中重要的约定; 7 (一) 评估的时间、 • (二) 评估的总体框架、程序、主要方法及主要评估人员介绍; 7 • (三) 不同评估内容风险权重的确定标准,风险等级的计算方法,以 及风险等级的定义; 7 • (四) 评估内容与评估活动描述; • (五) 评估结论; 7 7 十月 2011 13 E-banking Security Assessment Guidelines for Financial Institutions (CBRC) (cont’d) Chapter 4, Assessment and Reporting Requirments • 第三十八条 金融机构在申请开办电子银行业务时,应当按照有关规定 对完成测试的电子银行系统进行安全评估。 8 • 第三十九条 金融机构开办电子银行业务后,有下列情形之一的,应立 即组织安全评估: 8 • 第四十三条 电子银行主要业务处理系统设置在境外的外资金融机构, 其境外总行(公司)已经进行了安全评估且符合本指引有关规定的, 其境内分支机构开展电子银行业务不需单独进行安全评估,但应按照 本指引的有关要求,向监管部门报送安全评估报告。 8 • 第四十四条 电子银行主要业务处理系统设置在境内的外资金融机构, 或者虽设置在境外但其境外总行(公司)未进行安全评估或安全评估 不符合本指引有关规定的,应按规定开展电子银行安全评估工作。 8 十月 2011 • 第五十条 金融机构在收到评估机构评估报告的1个月内,应将评估报 14 告报送中国银监会。 9 Key Challenges and Trends, in my view • Talents • Standards • IT strategy and planning • IT investment management • IT cost management • IT GOVERNANCE IT Assurance in China, Philip Yang 十月 2011 15 Thank you... Philip Yang philip.yang@cn.pwc.com (86) 10 – 6533-7308