金融服务行业

出版商带给你的合规周 在本出版物中： 内部审计师听到了创新，采用技术的呼吁现在需要网络安全证明来领导纽约的金融公司金融服务寻求更强大的网络保障 工作日：金融服务公司如何从数据囤积转向决策合作加强金融服务的风险管理 金融服务行业 由赞助的电子书出版物 2电子书 关于我们 由Wilmingtonplc出版的《合规周》是一项关于公司治理、风险和合规的信息服务，其特色是每周电子通讯、每月印刷杂志、专有数据库、行业领先活动以及各种互动功能和论坛。 合规周成立于2002年，已成为上市公司风险，合规和审计高管的首选资源；合规周现已覆盖60,000多名财务，法律，审计，风险和合规高管。http://www.complianceweek.com Workday是一家领先的财务和人力资源企业云应用程序提供商。Workday成立于2005年，提供财务管理、人力资本管理和分析应用程序 ，专为全球最大的公司、教育机构和政府机构设计。从中型企业到财富50强企业的组织都选择了Workday。 3 合规周出版物 在这本电子书中 技术4 现在需要网络安全证明领导力8 在纽约的金融公司 网络保障10 工作日：金融服务公司如何轮班16 从数据囤积到决策 18 4电子书 内部审计师听到了创新，采用技术的呼吁 最新的情报呼吁审计领导者接受他们的新常态-没有什么是正常的-并通过技术创新来面对它。塔米·怀特豪斯有更多。 F 或者内部审计领导者，新常态是期望没有什么是正常的。变革，特别是作为技术的结果，是 不可避免。 这就是基于每年的将军涌现的一系列新情报的事态- 内部审计师协会的审计管理会议。IIA的“职业脉搏”研究呼吁内部审计师改变其业务，以保持与利益相关者相关，并改善他们对不断发展的业务中断的反应。 5 合规周出版物 根据IIA对600多名首席审计执行官，董事和高级管理人员的调查，三分之二的人认为敏捷性和对变革的适应性对行业很重要，但不到一半的人认为他们的部门高度敏捷 。不到一半的人说他们已经完全或部分准备好预测和应对中断。 审计领导者看到了敏捷性的一些重大障碍，例如资源不足，组织复杂性以及高管管理方面对内部审计职能的“过于传统”的期望。然而，IIA副总裁JimPelletier表示，调查小组并没有在可能提高敏捷性的创新活动上给予特别重要的评价。 例如，只有13％的人强烈同意他们的内部审计职能迅速适应新技术或流程。只有32％的人强烈同意他们的特定部门挑战现状，只有36％的人强烈同意他们寻求新的方法来收集审计证据。“我们谈论了很多关于创新和敏捷性的话题，”Pelletier说。“这是一个内部的审计转型势在必行。人们对内部审计职能的期望越来越高，因此内部审计有机会在组织中发挥更重要的作用，以支持董事会。 ." 普华永道的年度“内部审计状况”研究呼吁内部审计师更加熟悉技术-了解它如何为实体产生风险以及内部审计师如何更好地利用它来识别和帮助减轻这些风险。该公司对2500多名审计专家和审计利益相关者的调查表明，这是一个很好的 number认识到新兴技术，这些技术将是未来运营的关键 ，但尚未采用。 例如，四分之一的人认为机器人技术将在未来三年对组织产生重大影响，但只有2%的内部审计职能部门使用机器人技术，20%的人计划在未来几年采用该技术。除了机器人技术，普华永道还确定了在不久的将来值得内部审计师更多关注的其他七类技术，包括无人机，三维打印，人工智能，区块链，虚拟现实，增强现实和物联网。 普华永道风险保证合伙人劳伦·梅西说，创新是当今大多数公司的现实，变革和创新的速度只会使当务之急更加复杂。这项研究确定了内部审计职能，这些职能在采用新技术的过程中最先进，也是利益相关者最重视的职能。 同时，CroweHorwath和内部审计基金会最近的调查重点是网络安全以及内部审计师跟上需求的程度。该报告将网络安全描述为当今企业面临的最重大风险之一。 调查发现，78％的内部审计师对组织的信息安全计划具有可见性，该计划将在一到三年内进行，三分之二是正式信息安全指导委员会的一部分。但是，超过一半的内部审计团队没有足够的 “作为人类，我们倾向于依赖现状，但人们需要变得不舒服。我们必须创新，发现问题并解决问题。” BrianChristensen，Protiviti执行副总裁 6电子书 获取信息安全评估结果和事件相关信息。 结果还表明，这可能源于组织中缺乏与信息安全和信息技术职能的联系。数据显示，内部审计师与合规和风险管理办公室的关系更强，但与信息安全或IT员工的工作关系却不那么多。 CroweHorwath的负责人，白皮书的合著者ChrisWiliso表示，调查结果还表明，内部审计职能在帮助组织建立旨在防止网络入侵的控制措施方面取得了长足的进步，但在侦探控制方面取得的进展较少。“作为内部审计专业人员，我们需要关注这三个方面，”他说。“它们都在组织的整体网络安全状况中发挥着重要作用。." 威尔金森说，内部审计团队一直在提高内部应对网络风险的能力。但是，寻找内部审计人才，尤其是在技术领域，一直是首席审计执行官面临的挑战。他说，数据表明 ，审计领导者可以在内部利用人才的一种方式是与IT和信息安全职能部门进行关系建设。他说：“建立更多的合作关系对这一过程至关重要。” 数据分析是另一个技术热点，在今年的内部审计研究中也引起了极大的关注。Protiviti最新的年度研究表明，内部审计在采用先进的分析技术方面取得了一些进展，但总体成熟度水平被认为较低。该公司表示，其结果表明，许多审计功能可能将分析工具用作“点解决方案”，而不是作为更广泛的倡议的一部分，以在整个审计过程中利用该技术。 Protiviti执行副总裁BrianChristensen表示，他亲眼看到内部审计师需要推进这项技术 曲线。在凤凰城地区，他是自己附近自动驾驶汽车的见证人，在最近一次涉及无人驾驶汽车的行人死亡事件之后，这种风险变得足够明显。“这就是正在发生的事情 ，”他说。“这就是变化的步伐。” 克里斯滕森说，审计师正面临越来越大的压力，要求他们向董事会和执行管理层提供可行的见解，这表明需要更快的审计结果，甚至是连续的审计。他说：“高层的结果表明我们的行动不够快。”“内部审计职能的变化速度无法满足人们的期望。这是挑衅性的。” 克里斯滕森承认，寻找和利用人才仍然是一个很大的障碍，这使得审计领导者高度重视。他说：“这是挑战我们职业的行动的呼吁。”“作为人类，我们倾向于依赖现状，但人们需要变得不舒服。我们必须创新，发现问题并解决问题。” 格兰特·桑顿和内部审计基金会的一本新书更深入地解决了数据分析的挑战。这个标题承诺提供一个路线图，帮助内部审计师提高他们的分析能力，探索如何利用技术来应对风险和控制。 GratThorto的董事、本书的合著者MeredithMrphy说，这个特别的调查发现，超过90%的内部审计师同意数据分 析的价值，但实际上利用分析的比例不到40%。因此，本书强调了内部编辑如何在内部建立案例，以增加组织的吸收 ，无论审计领导者可能面临什么障碍或障碍。 “推动分析成功的最关键的因素是人，”墨菲说。“数据拥有洞察力，但确保数据产生价值的是人。”这本书告诉审计主管，他们应该了解利害关系并制定前进的道路。■ 审计中的分析改变了游戏规则 Protiviti要求受访者在其“内部审计能力和需求调查”中对其内部审计部门从利用数据分析作为审计过程的一部分获得的价值水平进行1 到10的评分(10个价值水平很高，1个价值水平很小或没有价值)。 2018年8大审计计划重点： » » » » » » » » 欺诈风险管理 网络安全风险/威胁 供应商/第三方风险管理企业风险管理 新收入确认标准 敏捷风险和合规性审计企业文化 云计算 来源：Protiviti 7 合规周出版物 8电子书 现在需要领导的网络安全证明在纽约的金融公司 在纽约制定的严格的新网络安全法规要求董事会成员和高级官员不仅要谈论话题 。乔·蒙特还有更多。 O 全国最全面的网络安全合规制度之一正在纽约成为明确的焦点。 从2月15日开始，交错的合规截止日期开始影响金融服务公司，包括一些世界上最大的银行。首先：合规认证文件和执行/董事证明。涵盖的实体是 要求提交一份合规声明，并在上一个日历年通过最近启动的纽约金融服务部网络安全门户网站以电子方式提交。 金融服务总监MariaVullo还宣布，DFS现在将在所有考试中纳入网络安全，并在“第一天信件”中添加与网络安全有关的问题。 9 合规周出版物 该部门开始对金融服务公司进行审查，“包括对银行和保险公司进行安全，稳健和市场行为的审查”。 “DFS合规性认证是所有DFS受监管实体的网络安全计划的关键治理支柱，”Vllo在一份声明中说。“DFS的法规要求每个实体对计划的成就，缺陷以及对监管标准的总体遵守情况进行年度审查和评估，DFS网络安全门户将允许对这些认证进行安全可靠的报告。DFS的目标是防止网络安全攻击，因此，我们现在将在所有DFS检查中包括网络安全，以确保我们的受监管实体实施适当的网络安全治理。." 纽约的第一个国家网络安全法规于2017年3月1日生效 ，最后期限停滞不前。该机构的法规将强加一系列新的安全 ，人员，认证和报告要求。 这些规则将要求由NYDFS监督的银行，保险公司和其他金融服务机构建立网络安全计划。公司还将采用书面的网络安全政策；指定一名首席信息安全官，负责实施、监督和执行其新的计划和政策；并制定政策和程序，以确保信息系统和非公共信息的安全，并由第三方访问或持有。 Eachcoveredentitywillberequiredtoimplementandmaintainawrittencyber-securitypolicydetail-ingpoliciesandproceduresfortheprotectionofinformationsystemsandthenon-publicinformationstoredonthosesystems.Ataminimum,theymustaddress: »信息安全； »访问控制和身份管理； »业务连续性和灾难恢复计划； »系统和网络监控； »物理安全和环境控制； »客户数据隐私; »供应商和第三方服务提供商管理； »风险评估；以及 »事件响应。 至少每年制定一项网络安全政策，必须由公司董事会审查，并由一名高级官员批准。 每个涉及的实体的CISO必须至少每两年编写一份报告，该报告应提交给董事会或同等的管理机构，并应要求提供给总监。 本报告必须评估公司信息系统的保密性，完整性和可用性；详细说明网络安全政策和程序的例外情况；识别网络风险；评估网络安全计划的有效性；提出纠正任何已发现的不足之处的步骤；并包括在报告期内所有重大网络安全事件的摘要。 网络安全计划应该包括至少每年一次的信息系统渗透测试和每季度的漏洞评估。该计划必须包括跟踪和维护数据的审计跟踪系统，并允许对所有金融交易进行完整，准确的重建，以及检测和响应网络安全事件所需的会计。 公司还必须实施书面政策和程序，以确保信息系统和非公开数据的安全性，这些数据可由与他们做生意的第三方访问或持有。在年度基础上，每家公司将被要求向NYDFS总监提供一份书面状态证明他们符合所有要求。识别与其网络安全相关的任何迫在眉睫的重大风险。 10电子书 纽约网络安全法规的关键日期 2018年2月15日：承保实体必须在此日期或之前根据23NYCRR500.17（b）提交第一份认证。 2018年3月1日：一年过渡期结束。受保实体必须符合23 NYCRR第500部分第500.04(b)、500.05、500.09、 500.12和500.14(b)节的要求。 2018年9月3日：18个月过渡期结束。涵盖的实体必须符合 第500.06、500.08、500.13、500.14(a)和50