摘要
本文件讨论了印度尼西亚信息技术审计的合规性监督,特别是在银行和非银行金融机构。根据印尼金融服务管理局(OJK)和印尼央行(BI)的规定,金融机构必须定期进行 IT 审计,以确保信息系统的安全性。监管机构通过定期检查和临时抽查进行监督,并对不合规行为实施行政处罚。相关法规涵盖IT 风险管理、内部审计以及审计师独立性等要求。这些合规措施的实施旨在增强金融行业的网络安全性,提高信息系统的可靠性。
在印度尼西亚,业务与银行产品和金融机构直接相关的企业将受到金融服务监管局(OJK)作为监管机构的监督。企业在其业务流程中使用的技术和信息系统也引起了监管机构的关注。这种关注体现在监管机构发布的相关法规中。
一些法规要求对信息系统中技术的应用进行信息技术审计(IT审计)。IT审计由管理层独立组织进行,监管机构负责对IT审计的合规性进行监督。通常,像OJK或印度尼西亚银行(BI)这样的监管机构并没有固定的或定期的时间表来监督公司执行信息技术(TI)审计的情况。
定期检查通常取决于监管机构的内部政策,并可能由多种因素触发,如违规报告、公司重大变化或安全事件等。然而,监管机构可以根据需要或在出现重大风险迹象时,进行特别检查或合规性测试。
以下是与监督信息技术审计(IT审计)合规性相关的一些法规:
- 印度尼西亚银行条例第23/6/PBI/2021号《支付服务提供商》
主题:支付服务提供商(“PJP”)是指包括提供支付交易便利服务的银行或非银行机构。
- 信息系统的安全性和可靠性:
第44条:规定PJP必在使用支付系统时应遵守信息系统安全标准的一般原则。
- 定期IT审计:
第71条:规定PJP必须每年至少进行一次由独立IT审计师执行的IT审计。
- 印度尼西亚银行的监督:
第231条:授权印度尼西亚银行进行定期检查和/或不定期检查,以确保银行遵守适用的法规,包括信息系统方面。
- 金融服务监管局条例第4/POJK.03/2022号《非银行金融机构使用信息技术的风险管理实施》
主题:非银行金融机构(“LJKNB”)是指在保险、养老金、融资机构和其他金融服务领域开展业务的机构。
- 信息系统的安全性和可靠性:
第3条:规定LJKNB实施有效的风险管理,包括识别、衡量、控制和监控信息技术使用风险的适当程序,以及内部控制。
- 定期IT审计:
第19条和第20条:规定LJKNB必须定期进行内部审计,覆盖信息技术实施和使用的各个方面,并且必须定期审查与IT使用有关的内部审计职能。
- OJK的监督:
第34条:OJK可以对违反本POJK规定的LJKNB实施行政处罚。
- 金融服务监管局条例第11/POJK.03/2022号《商业银行的信息技术管理》
主题:所有商业银行,包括总部位于国外的银行分支机构,并且还包括伊斯兰商业银行和伊斯兰业务单元。
- 信息系统的安全性和可靠性:
第21条:银行必须保持网络安全性,并具有足够能力的保持网络安全信息系统。
- 定期IT审计:
第54条和第55条:要求银行根据需求、优先级以及信息技术管理风险分析的结果,进行内部审计,至少每年进行一次,并且必须每三年至少一次审查信息技术管理中的内部审计职能,并使用独立的外部服务。OJK的监督:
第9、14、20、27、33、42、46、51、56、62-64、66条:OJK可以对违反本POJK规定的银行实施行政处罚。
