Digital & Cybertrust

摘要 随着对信息技术（IT）服务在效率、速度和灵活性方面需求的不断增长，信永中和印尼所主动设立了一个专注于 IT 离岸外包服务的部门。信永中和印尼所能够以白标模式提供服务，该模式可以成为一种有效且可持续的解决方案，用于弥合区域与国际层面在项目执行能力、规模及成本效率方面的差距。IT 离岸外包服务的设计具有灵活性，既可作为IT企业的执行伙伴，也可为来自各个行业的企业提供技术职能的外包服务。信永中和数字化解决方案正通过外包模式持续扩大其市场覆盖范围，服务对象既包括信永中和国际成员所，也涵盖各国的非成员客户。 随着对信息技术服务效率、速度和灵活性要求的不断提高，信永中和印尼所战略性地成立了专注于信息技术（IT）外包服务的专项部门。这一举措旨在满足两类主要合作伙伴的需求：希望外包IT职能的企业，以及需要以白标方案获取类似服务的国际审计与咨询公司。 通过这一模式，信永中和印尼所作为国际合作伙伴机构的延伸部门，在不占用其内部资源的情况下开展工作。借助白标合作方式，所有项目均以合作伙伴名义执行，遵循高标准的专业水平、完整的文档记录，并确保质量的一致性，以满足全球预期。我们坚信，该模式可以成为一种有效且可持续的解决方案，用于弥合区域与国际层面在项目执行能力、规模及成本效率方面的差距。 不同于仅专注于应用程序开发或编程的传统外包模式，我们的方法侧重于在整个技术实施周期中提供高附加值的服务。我们的重点不仅仅是作为技术员或问题解决者，而是作为一支专业团队，支持客户开展数字化转型项目、ERP系统实施、系统配置与用户培训，乃至远程部署支持服务。基于这个方法，我们提供具备项目管理能力、深刻理解业务流程、擅长执行复杂信息系统的专业团队，以此满足合作伙伴（无论是 IT 公司还是其他咨询公司）的需求。 我们的IT外包服务采用灵活的设计，旨在支持两种主要场景：第一，作为IT企业的执行伙伴，在其自身名义下或以白标形式提供项目实施所需的额外支持；第二，为来自各个行业的企业提供技术职能的外包服务，例如系统实施、应用集成以及数字化项目管理。 我们提供具有竞争力的费用和始终如一的质量相结合的服务。我们的服务不仅在于任务执行，更注重理解客户的业务背景，并在整个过程中提供战略性建议。这正是我们与众不同之处——我们具备成为真正合作伙伴的能力，既懂技术又理解客户业务运营情况。 我们预见，未来市场对技术执行伙伴的需求将持续增长。许多企业虽希望实现数字化转型，却缺乏足够的内部能力来有效地执行整个流程。此时IT外包的战略意义便凸显出来——它不仅是效率解决方案，更是推动能力成长与强化的催化剂。 通过我们训练有素、具备国际项目经验的顾问网络，我们能够满足跨时区、语言与文化背景的项目需求。在日益复杂且变化迅速的商业环境中，这种灵活性正是不可或缺的附加价值。 秉持协作精神，我们诚邀IT企业、国际会计师事务所，以及来自各行业私营企业，共同探索这一IT外包模式下的战略合作机会。信永中和印尼所将以高效、可量化且富有意义的方式，助力您的项目成功实施。 近期，信永中和国际成员咨询所之间的区域会议在新加坡召开。在此次会议中，与会各方一致同意加强成员之间的整合，组建具备向市场提供数字服务能力的信永中和东南亚团队。作为这一发展计划的一部分，信永中和数字化解决方案正通过外包模式持续扩大其市场覆盖范围，服务对象既包括信永中和国际成员所，也涵盖各国的非成员客户。鉴于IT与数字技术工作可远程执行的特点，该模式为高效、可持续地开拓区域与国际市场提供了巨大机遇。

摘要 在当前数字化时代，网络安全、合规监管和运营效率已成为银行业面临的重大挑战。利用信息技术控制措施（如渗透测试、数据加密及零信任架构）来增强对网络威胁的抵御能力，有助于确保银行业符合包括《巴塞尔协议 II 和 III》、《通用数据保护条例》及《支付卡行业数据安全标准》在内的法律要求。现代技术战略与严格的信息技术控制相结合，不仅能提升银行在数字金融时代的竞争力、创新能力和客户信任度，还能帮助外部审计师评估银行内部系统的运行效率。 在日益复杂的数字时代，银行业在网络安全、合规监管和运营效率方面面临重大挑战。然而，这些挑战也为革命性创新和增长带来了机遇。严格的网络安全法规正在推动数据保护的更新，以确保合规性、保护客户资金并维护金融稳定。监管机构要求银行采取具体措施来应对这些挑战。银行网络安全框架的重要组成部分包括在董事会层面建立明确的责任制、定期进行渗透测试以发现系统漏洞、主动分享信息以识别新威胁、以及为员工提供全面的网络安全培训，使他们具备有效降低风险所需的技能。 根据《巴塞尔协议II和III》、《通用数据保护条例》（GDPR）和《支付卡行业数据安全标准》（PCI-DSS）等法律要求，银行必须建立强有力的网络安全防护体系。为了满足运营和监管要求，银行需要实施信息技术控制措施，其中包括应用程序控制和信息技术通用控制（ITGC）。应用程序控制确保交易能够准确执行，并符合会计准则。ITGC通过分级管理访问权限和对潜在问题的监控，确保信息技术基础设施的安全性和稳定性。银行可以通过采用ISO/IEC 27001和美国国家标准与技术研究院（NIST）网络安全框架等国际认可的标准，提高其识别、应对和恢复网络安全问题的能力。此外，信息技术在提高银行业运营效率方面也发挥着重要作用。提升效率、降低运营成本以及自动化流程都需要先进的信息技术支持。借助大规模数据分析，人工智能（AI）和机器学习（ML）等技术为银行提供了更强大的能力，使其能够更快、更明智地做出决策。例如，AI可以优化内部审计流程、降低欺诈风险，并实时识别可疑交易。 银行可以利用这些技术提升运营效率并为客户提供更优质的服务。此外，识别、降低和缓解技术风险（尤其是网络风险）很大程度上也依赖于高效的信息技术管理。渗透测试和漏洞评估能够帮助银行在黑客攻击之前发现并修复系统漏洞，这些测试通过模拟网络攻击来评估信息技术系统的抗风险能力。采用零信任架构可以消除“内部网络或用户天然安全”的观念，确保所有访问请求都经过严格审查。信息技术控制不仅是一种风险缓解的工具，还能推动创新和形成竞争优势。随着银行将区块链、人工智能和大数据分析等前沿技术融入其运营中，它们在全球市场中将获得关键的竞争优势。例如：大数据分析帮助银行更好地了解消费者行为，并提供个性化解决方案；而区块链技术则提升了金融交易的安全性和透明度。 银行可以通过实施这些技术来提升客户体验和运营效率，从而增强客户忠诚度并推动业务增长。因此，信息技术控制正在转变为推动金融行业创新和竞争力的战略优势。最后，人为因素仍然是网络安全的关键，这突显了为银行员工提供信息技术培训和技能发展的重要性。即使拥有先进的技术保护，人为错误和知识不足仍可能带来巨大风险。 全面的网络安全培训计划应涵盖以下主题：保护敏感数据、实施安全的身份验证程序，以及识别网络钓鱼攻击。为了确保员工掌握最新的技术发展和网络安全威胁动态，银行还应鼓励终身学习。除了提升安全性，区块链、人工智能、机器学习和大数据分析等前沿技术还能够提高运营效率，加快交易处理、检测欺诈行为，并提供个性化的客户支持。此外，由于采用了零信任架构、量子加密和定期渗透测试等有效的信息技术管理方法，银行能够更好地抵御日益复杂的网络攻击。然而，仅靠技术是不够的，人为因素仍然很重要，这凸显了全面的网络安全教育和技能发展的必要性。这不仅有助于降低人为错误带来的风险，还能促进安全意识文化的形成。 在评估银行业信息技术系统的效率并确保其可靠性、安全性和合规性方面，外部审计师发挥着至关重要的作用。他们的主要职责是对银行的财务账务进行公正、独立的评估，这必然涉及对内部控制，尤其是信息技术相关控制的深入分析。外部审计师通过审查银行的IT架构、识别潜在风险并评估控制程序，帮助确保银行的IT系统稳定可靠运行，能够支持准确的财务报告。这些审计程序不仅保护了财务数据的准确性，还增强了银行的整体运营韧性，使其更能抵御冲击并维持利益相关者的信任。 全面了解银行的IT环境是评估流程的首要步骤。外部审计师需要熟悉技术基础设施，其中包括服务器、数据库、网络以及核心银行系统、支付处理系统和风险管理平台等关键系统。此外，审计师还会评估银行的IT政策和程序，包括灾难恢复计划、变更管理流程和信息安全法规。审计师可以确定IT系统支持公司重要运营的关键领域，例如风险管理、交易处理和财务报告。审计师还可以通过分析IT环境来识别潜在漏洞和关注领域，为更有针对性的风险评估和控制审查做准备。在掌握IT架构后，审计师会重点识别可能影响财务报告的潜在威胁，例如数据泄露、系统故障或未遵守GDPR、PCI-DSS等法规的情况。接下来，他们会评估IT控制的设计和实施情况，以确保这些控制组织良好且运行高效。这包括审查相关记录（如事件响应计划、数据加密技术和访问控制规定）、同时还包括监控IT运营情况，并与员工进行交流。 审计师需要仔细测试IT控制的运行效率，例如IT通用控制（ITGC）和应用程序控制，以确保数据完整性、系统可靠性和网络安全抗风险能力。最后，审计师会评估银行是否符合监管要求，并提供一份详细报告，指出IT控制中的薄弱环节，并提出改进建议。通过这些彻底的审查，外部审计师帮助银行保持其IT系统的安全性、有效性和合规性，从而增强金融体系的稳定性和可靠性。

摘要 本文件讨论了印度尼西亚信息技术审计的合规性监督，特别是在银行和非银行金融机构。根据印尼金融服务管理局（OJK）和印尼央行（BI）的规定，金融机构必须定期进行 IT 审计，以确保信息系统的安全性。监管机构通过定期检查和临时抽查进行监督，并对不合规行为实施行政处罚。相关法规涵盖IT 风险管理、内部审计以及审计师独立性等要求。这些合规措施的实施旨在增强金融行业的网络安全性，提高信息系统的可靠性。 在印度尼西亚，业务与银行产品和金融机构直接相关的企业将受到金融服务监管局（OJK）作为监管机构的监督。企业在其业务流程中使用的技术和信息系统也引起了监管机构的关注。这种关注体现在监管机构发布的相关法规中。 一些法规要求对信息系统中技术的应用进行信息技术审计（IT审计）。IT审计由管理层独立组织进行，监管机构负责对IT审计的合规性进行监督。通常，像OJK或印度尼西亚银行（BI）这样的监管机构并没有固定的或定期的时间表来监督公司执行信息技术（TI）审计的情况。 定期检查通常取决于监管机构的内部政策，并可能由多种因素触发，如违规报告、公司重大变化或安全事件等。然而，监管机构可以根据需要或在出现重大风险迹象时，进行特别检查或合规性测试。 以下是与监督信息技术审计（IT审计）合规性相关的一些法规： 主题：支付服务提供商（“PJP”）是指包括提供支付交易便利服务的银行或非银行机构。 第44条：规定PJP必在使用支付系统时应遵守信息系统安全标准的一般原则。 第71条：规定PJP必须每年至少进行一次由独立IT审计师执行的IT审计。 第231条：授权印度尼西亚银行进行定期检查和/或不定期检查，以确保银行遵守适用的法规，包括信息系统方面。 主题：非银行金融机构（“LJKNB”）是指在保险、养老金、融资机构和其他金融服务领域开展业务的机构。 第3条：规定LJKNB实施有效的风险管理，包括识别、衡量、控制和监控信息技术使用风险的适当程序，以及内部控制。 第19条和第20条：规定LJKNB必须定期进行内部审计，覆盖信息技术实施和使用的各个方面，并且必须定期审查与IT使用有关的内部审计职能。 第34条：OJK可以对违反本POJK规定的LJKNB实施行政处罚。 主题：所有商业银行，包括总部位于国外的银行分支机构，并且还包括伊斯兰商业银行和伊斯兰业务单元。 第21条：银行必须保持网络安全性，并具有足够能力的保持网络安全信息系统。 第54条和第55条：要求银行根据需求、优先级以及信息技术管理风险分析的结果，进行内部审计，至少每年进行一次，并且必须每三年至少一次审查信息技术管理中的内部审计职能，并使用独立的外部服务。OJK的监督：第9、14、20、27、33、42、46、51、56、62-64、66条：OJK可以对违反本POJK规定的银行实施行政处罚。