Digital & Cybertrust

摘要 本文件讨论了印度尼西亚信息技术审计的合规性监督，特别是在银行和非银行金融机构。根据印尼金融服务管理局（OJK）和印尼央行（BI）的规定，金融机构必须定期进行 IT 审计，以确保信息系统的安全性。监管机构通过定期检查和临时抽查进行监督，并对不合规行为实施行政处罚。相关法规涵盖IT 风险管理、内部审计以及审计师独立性等要求。这些合规措施的实施旨在增强金融行业的网络安全性，提高信息系统的可靠性。 在印度尼西亚，业务与银行产品和金融机构直接相关的企业将受到金融服务监管局（OJK）作为监管机构的监督。企业在其业务流程中使用的技术和信息系统也引起了监管机构的关注。这种关注体现在监管机构发布的相关法规中。 一些法规要求对信息系统中技术的应用进行信息技术审计（IT审计）。IT审计由管理层独立组织进行，监管机构负责对IT审计的合规性进行监督。通常，像OJK或印度尼西亚银行（BI）这样的监管机构并没有固定的或定期的时间表来监督公司执行信息技术（TI）审计的情况。 定期检查通常取决于监管机构的内部政策，并可能由多种因素触发，如违规报告、公司重大变化或安全事件等。然而，监管机构可以根据需要或在出现重大风险迹象时，进行特别检查或合规性测试。 以下是与监督信息技术审计（IT审计）合规性相关的一些法规： 主题：支付服务提供商（“PJP”）是指包括提供支付交易便利服务的银行或非银行机构。 第44条：规定PJP必在使用支付系统时应遵守信息系统安全标准的一般原则。 第71条：规定PJP必须每年至少进行一次由独立IT审计师执行的IT审计。 第231条：授权印度尼西亚银行进行定期检查和/或不定期检查，以确保银行遵守适用的法规，包括信息系统方面。 主题：非银行金融机构（“LJKNB”）是指在保险、养老金、融资机构和其他金融服务领域开展业务的机构。 第3条：规定LJKNB实施有效的风险管理，包括识别、衡量、控制和监控信息技术使用风险的适当程序，以及内部控制。 第19条和第20条：规定LJKNB必须定期进行内部审计，覆盖信息技术实施和使用的各个方面，并且必须定期审查与IT使用有关的内部审计职能。 第34条：OJK可以对违反本POJK规定的LJKNB实施行政处罚。 主题：所有商业银行，包括总部位于国外的银行分支机构，并且还包括伊斯兰商业银行和伊斯兰业务单元。 第21条：银行必须保持网络安全性，并具有足够能力的保持网络安全信息系统。 第54条和第55条：要求银行根据需求、优先级以及信息技术管理风险分析的结果，进行内部审计，至少每年进行一次，并且必须每三年至少一次审查信息技术管理中的内部审计职能，并使用独立的外部服务。OJK的监督：第9、14、20、27、33、42、46、51、56、62-64、66条：OJK可以对违反本POJK规定的银行实施行政处罚。

摘要 生成式人工智能（AI）是数字技术领域的最新创新，它正在改变企业运营方式以及与客户互动的方式。这项技术能够创造新内容、实现服务个性化，并提高运营效率，同时为各个行业的创新带来机遇。然而，在其应用过程中，企业对数据保护的承诺和责任依然至关重要。在具备承诺和责任的前提下，生成式AI有望成为数字化转型的核心支柱，为企业未来创造附加价值和竞争力。 在当今数字化时代，生成式人工智能（AI）是人工智能领域的一项全新突破。生成式AI正在改变企业的运营方式以及与客户的互动方式。除了加速流程外，这项技术还为创造力、个性化以及运营效率带来了新的可能性。本文将探讨生成式AI的概念及其对企业的重要性。 什么是生成式AI？ 生成式AI是人工智能领域的一部分，旨在“创造”新内容，如文本、图像、音乐，甚至是程序代码。这种方法不同于以数据分析或预测为主的其他广泛使用的AI。生成式AI基于从大数据中学习到的一些模式生成原创输出。这项技术已经在多个行业中得到了应用，从医疗到营销，并推动了许多重要解决方案的开发。 生成式AI的应用 生成式AI可以用于识别检测金融系统中的可疑交易模式或异常活动。通过模拟或构建攻击场景，这项技术可帮助公司针对金融系统的安全威胁做好预防措施。 机遇与挑战 尽管生成式AI潜力巨大，但在实施过程中需要关注以下挑战： 印尼数字化的未来 通过利用生成式AI，企业能够推动创新，加速决策，提高客户体验。这项技术不仅提升了内部效率，还为开发更具创意的产品和服务提供了新机遇。成功的关键在于以负责任的方式实施生成式AI，特别是在数据保护和伦理应用方面保持高度关注。

随着信息系统（系统和软件）的发展和所使用硬件的技术进步，公司内部的信息技术（IT）环境已经发生了显著变化。此外，国际组织标准（美国反虚假财务报告委员会（COSO）、（国际信息系统审计协会）ISACA、国际标准化组织（ISO））关于信息安全框架的内容也发生了实质性变化。在这种情况下，了解信息技术一般控制（ITGC）（也称一般信息技术控制）变得至关重要。 IT环境的重大和持续变化会导致访问风险增加，并对财务报告产生影响。财务数据（财务报告的来源）存储在数据库等系统中，其功能是确保数据的访问和处理。授予/获得的用户访问权限会影响数据保护，包括以下Shiva密码身份验证协议(SPAP 315, A64)： 按照国际审计与鉴证准则理事会（IAASB）在《国际审计准则第315号》（ISA 315）（2019年修订版）中的规定，审计师必须通过建议的ITGC框架来了解客户的IT环境，并重点关注数据安全。审计师将评估风险，并运用专业判断来确定IT环境中的风险因素以及减轻风险的适当控制措施。 ITGC是什么？ ITGC包括为了确保数据保密性、完整性和可用性，某一组织管理（控制）IT系统运行所使用的政策和程序。ITGC涵盖IT的方方面面，包括软件实施、用户账户创建和数据管理。 ITGC可分为以下几个大类，包括： ITGC为何重要？ ITGC的重要性在于：其能帮助公司确保业务流程和财务报告中所使用信息系统的有效性和合规性。ITGC不仅可以提高信息系统所产生数据、程序和输出结果的安全性和完整性，还能防止未授权访问、数据泄露和运行中断。另外，ITGC还可以降低错误、操纵或滥用信息技术的风险，以防对公司的业绩和声誉造成负面影响。有效的ITGC可以提高财务报告的可靠性和准确性，并有助于降低舞弊风险。ITGC要求满足适用的审计标准和法规。 ITGC审查的执行方、执行时间及益处 理想状态下，应由独立的外部机构定期进行ITGC审查或评估，至少每年一次（建议在一般审计之前进行）或根据公司面临的风险情况按需开展。因为ITGC审查和评估于公司有益，所以必须开展且由独立的外部机构进行，益处包括： 外部独立机构开展ITGC评估的方式 计划 现场工作 报告和建议 独立机构通常会选择信永中和的数字化转型和网络信任服务对其客户进行ITGC评估，原因如下：

银行所处的行业规章制度繁多，业务流程涉及复杂的信息技术(IT)。信息技术是开展银行业务活动、改善客户体验和提高运营效率的基础。信息技术和数字技术的变革给维护安全、遵守法规和管理风险带来了挑战。银行业的IT审查至关重要，并受到印度尼西亚存款保险公司(IDIC，或称LPS)法规的监管。 储蓄保险和LPS的重要作用 在金融安全领域，存款保险机构目前在建立信任和维护经济稳定方面发挥着非常重要的作用。LPS在印度尼西亚是指印度尼西亚存款保险公司。LPS是根据关于存款保险公司的2004年第24号法律（《印度尼西亚存款保险公司法》）成立的机构，2009年第7号法律对该法规进行了修订。自2005年9月22日颁布以来，《印度尼西亚存款保险公司法》的实施标志着上届政府在1998至2005年间担保政策的重大转变。 这一政策最初给人们带来了信心，但也给公共财政带来了负担，并引起了人们的担忧，导致该政策最终终止。LPS的出现是为了确保存款保险的保护作用、维持对银行业的信任及管理风险。 LPS的真正影响是从一般担保向有限担保的转变。《印度尼西亚存款保险公司法》第11条规定，客户在银行每笔存款的最高担保额为1亿印尼盾。这符合在72个国家践行的国际惯例，包括经济发达的国家。向有限担保的过渡可以平衡存款人的信心，降低系统性风险，增强银行系统抵御市场波动的能力。 LPS的职能和权限 LPS具有特定的职能和权限，旨在保障存款人的利益，并帮助维护银行系统的稳定。LPS的主要作用是保证客户存款安全，同时维护银行系统的整体稳定。LPS负责制定存款保险政策，执行保险程序，并制定银行系统稳定政策。此外，LPS的权限还涉及确定保险费和开展存款保险宣传活动等多个方面。 SCV报告：PLPS 2019年第5号 在银行监管领域，2019年第5号LPS法规（PLPS）具有重要地位，特别是与第3条和第10条有关。该法规解决了基于客户的存款担保数据报告的迫切问题，即为单一客户视图（SCV）。 第3条  第10条 由印度尼西亚银行、Otoritas Jasa Keuangan（OJK）和LPS（通过综合报告门户网站报告客户信息）提供的原始数据作为编制SCV的基础。数据每月提交一次。 至少包含根据LPS担保计划总额分类的存款总额的数据。该数据每年提交一次，截至当年年底。 每家银行SCV数据汇总是最常用的数据，用于按照每名客户SCV数据类别计算客户数量和存款。该数据每月提交一次，截至当月月底。 这一监管框架揭示了商业银行报告以客户为基础的存款保险数据的复杂性和相关责任。该法规向我们介绍了不同的客户类别，即第1类、第2类和第3类。这些类别决定了客户存款数据的管理方式。第1类包括银行仔细记录的数据且其不会对银行稳定构成风险的客户。相比之下，第2类客户的数据未被银行记录，他们可能会造成不健康的银行环境。第3类包括前两类以外的客户。 该框架的关键组成部分之一是单一客户视图（SCV）概念，即客户与银行财务关系的综合视图。SCV数据和数据处理系统的可靠性在银行的IT审查中，尤其是在确保遵守LPS法规方面，显得尤为重要。LPS法规（PLPS）2019 年第5号等法规强调了准确报告SCV数据和数据处理系统完整性的重要性。 IT审查的作用 有效的IT审查对于实现这些目标至关重要。IT审查在确保银行业遵守LPS法规，特别是 SCV数据报告方面起着至关重要的作用。通过严格审查和评估操作，IT审查员可验证SCV数据的准确性、保密性和可靠性。这种合规性不仅能维护法律标准，还能降低与不准确性相关的风险。 此外，IT审查对于维护数据完整性和保密性至关重要。由于SCV数据的敏感性，其包括客户信息和财务细节，因此审查要评估数据整个周期的保密措施。IT审查还能确保从收集到报告的数据完整性，与LPS目标保持一致。此外，IT审查还通过审查IT基础设施、系统稳健性和安全性来增强运营韧性。这种方法最大限度地降低了风险，提高了合规性，并营造了一个符合LPS法规的安全环境。 通过严格的评估和验证，IT审查提高了SCV数据的合规性、保密性、完整性和可用性。最终提高运营韧性，并为银行制定有效的风险缓解策略做出贡献。印度尼西亚西南部CISA持有人的经验证明了IT审查的有效性。