信息风险管理服务

我们的服务主要针对客户的业务流程、网络与处理环境，以及信息在机构内外传递所涉及的风险。本所的专业人员能够针对客户在管理信息技术（IT）方面所涉及的风险提供建议，并协助他们设计及实施适当的监控和安全措施。

风险管理服务包括：

电子审核服务

– 网誉认证

– 系统认证

虽然不少互联网公司目前在经营上遇到重重因难，但信息技术和数字通讯方式的出现，却持续改变着企业的经营方式。我们的电子审核服务能帮助客户充分把握技术发展所带来的好处，让客户藉此提高工作效率，抓住每一个新契机。

调查显示，互联网用户 — 包括一般顾客和商业机构 — 都较乐于在得到第三方核证的网站上进行交易。网誉认证服务可让获得认证的客户在其万维网上出示认证印章，为网页访客提供下列信心基础：

· 交易是按已披露的操作模式执行；

· 企业已设立监控措施以维持交易的完整性；及

· 企业所收集到的客户私人信息不会被滥用。

上述措施可维持客户的信心，进而才能充分发挥企业网站的潜能。

另外，本所还拥有丰富的专业知识和资源，可以为一些未能达到网誉认证要求的系统提供建议和落实解决方案，协助客户取得认证。

信息系统管治

网誉认证是一个为电子商务提供认证的专用印章，旨在为开展网上业务的互联网用户建立信心的基础。网誉认证由美国执业会计师公会、加拿大特许会计师公会和全球知名的数字证书和加密服务供应商 — Verisign携手开发，并得到全球其他会计专业团体广泛采用，包括：英国、荷兰和法国。提供网誉认证服务的专业会计机构都必须完成有关的专业培训。香港我们已获授权提供网誉认证服务。

业务系统监控

电子商务把企业的数据和业务流程放置于「橱窗」当中展示。根据我们的经验，企业只须把项目成本的5% 用于监控方面，便可大幅度地减低项目超出原定范围的风险。在过去五年，全球化的浪潮汹涌澎湃，很多企业使用了不同的IT系统支持业务流程。另外，业务精简和外判亦导致传统的业务监控模式濒临瓦解。

电子商务和互联网的不断普及对IT的应用范围产生了巨大影响，这导致企业更加难以掌握和解决内部系统方面的问题，也无法有效实施高效和自动化的监控措施和流程。虽然电子技术、业务流程和工作方法的发展一日千里，但企业仍沿用着传统的IT基础设施和系统，在此情形下，企业在维持高效和适当的监控措施方面所面对的挑战将更形严峻。

业务系统的监控包括审核、风险管理、监控和支持企业业务流程的任何IT系统的安全工作。

效益

完善的业务监控分析可以为企业带来下列裨益：

· 协助制订有效的监控措施，从而节省营运成本和减低纠正错误所需的费用；

· 减低因监控不善而导致企业价值受损的风险；

· 制定措施以尽量提高集成系统投资项目的效益；及

· 确保企业设立所需的系统和业务流程，以充分把握电子商务所带来的机遇。

我们的专业人员擅于采用各种全球公认的工作方法和工具，并对各个主要系统的解决方案 (包括SAP、JDEdwards 、Oracle和PeopleSoft) ，特别是它们的监控和安全方面的特征了如指掌，能够在协助客户审阅和实施监控解决方案的过程中，提供有的放矢和具体务实的建议。我们能够在客户构建电子商务模式和制定「业务扩展」方案的过程中提供协助，使客户能够摆脱传统监控模式所带来的制肘，并制订适当的监控措施以便客户能充分享受新科技所带来的好处。

电子商务服务

互联网技术可助企业提高业务效率、创造价值、发挥竞争优势，并最终改善盈利状况。电子商贸的商机无处不在，企业除了可以透过互联网技术来优化采购、生产和销售等基本工序外，还可藉此改善人力资源管理、研究与开发、市场营销和售后服务等各项工作。

我们信息风险管理部的电子商贸服务可以协助客户把这些商机有序地组织起来，并透过与信息安全、业务持续经营管理和项目风险管理等其他部门的人员紧密合作，协助客户制订一个可靠的电子商贸营商环境。

我们的服务范围包括：

· 协助客户制订电子商贸策略，从而实现各项短期目标和调整较长期的策略；

· 减低因控制措施失灵而导致企业价值受损的风险；

· 协助客户评估目前的实力，并制订适合未来发展需要的风险管理制度，其中包括技术和作业流程架构以及风险管理机制；

· 协助客户管理互联网环境中潜在的技术、组织架构和营运风险，并迎接来自电子商贸的挑战。

项目风险管理

科技发展一日千里，在科技巨轮的推动下，企业的经营环境也经历着日新月异的变化。企业必须把握科技发展带来的机遇才能使业务更上一层楼，并从中求得生存和致胜之道。举例来说，企业可通过发展新的营销渠道、改善客户信息或精简主要业务流程来达到这一个目的。然而，这些项目涉及的风险既不容易理解，又难以控制；企业甚至可能因此而承担项目失败或费用大幅超越原定范围的沉重代价。

我们的项目风险管理服务旨在协助客户把握良机，推出恰当的项目措施，以节省开支和时间，确保项目顺利开展。我们的服务重点是项目审阅、项目管理、商业软件的挑选，以及协助客户提高数据的完整性。

我们提供的服务包括：

· 客观评估项目管理监控措施的有效性，向高级管理层及/或外部机构 (例如监管机构) 提供保证；

· 提供积极的建议以改善流程和监控措施，消减项目风险、尽量提高项目达成目标的机会，并把业务成本减到最低，当中包括因形象受损、产生挫败感、员工士气低落和浪费时间等无法量化的成本；

· 提供资源协助客户管理项目，减低项目对日常业务的影响；及

· 独立、客观地协助中型企业挑选商业软件。

提高边际收益业务

尽量找机会去了解、优化和管理好业务风险，是企业提高边际收益和利润最具成本效益的方法之一。成功的企业往往能够即时找出流程层面所潜在的问题并作出监察，从而避免让它们继续恶化扩散。

企业可透过不同方法增加利润、改善现金流量和提高流程效率，其中包括把重点放在尽量提高收费流程的效率、优化基础设施的风险和资本投资、把网络成本和最终用户收入连系起来并进行调节以提高利润、尽量减低网络成本和优化网络设施的配置，以及从不同角度评估产品和服务的盈利能力。

我们可提供的协助

本所向以独立公允和经验丰富著称，可向客户提出优化业务流程和提高边际收益的专业建议。本所提供的提高边际收益的服务旨在帮助客户解决上述种种问题，并可协助企业实施成效显著、持续的提高边际收益方案。

本服务可帮助通信业经营商增加收入、管理成本、提高利润，并深入掌握和优化各种业务风险。本服务重点在于处理不同业务单位之间的收入和成本问题，其中涉及对一些处理、提供、送递和就客户服务进行计费的业务关键流程、系统和工作单位进行有效的整合。

效益

我们可以高效和积极进取的工作方法为客户提供服务，并为客户带来远远超出本服务费用的效益，其中主要包括可量化的工作成果、深入了解主要的收入流程风险和应设立的风险管理程序、改善业务流程、获取相关管理信息、改善现金流量，并最终提高客户满意度和留存率。

凭着我们的专业能力、知识和经验，我们可以协助客户实施成效卓著的提高边际收益方案。

信息安全服务

我们的服务范围主要包括：

评估 – 透过风险分析评估信息安全情况，其中包括：资产识别、威胁与影响分析、薄弱环节识别、监控措施评估和差距分析，以找出未能妥善控制的风险范畴。

设计 – 设计企业安全架构，以消除评估阶段所发现的差距。

实施 – 实施安全解决方案和整合业务解决方案。

监察 – 监察事件，衡量主要安全绩效，并定期进行审核以确保安全解决方案能维持有效。

我们知道，技术只是任何安全解决方案的其中一环。有效的解决方案仍有赖于人员和流程方面的配合，才可以确保它们协调地运作和发挥真正效用。

我们可提供的主要服务包括：

· 互联网危机评估

「企业内部网络与互联网连接有何风险？」

· 互联网安全分析

包括上述各项服务，并对危机与监控之间的差距进行深入分析。

· 制定互联网安全政策

「企业应如何制定或改善互联网安全政策？」

· 万维网风险管理基准评比

「万维网业务的风险与控制措施应如何取得平衡？

与竞争对手相比，我们在这方面做得怎么样？」

· 互联网渗透测试

「黑客能入侵企业的哪些系统？」

· 互联网安全控制审阅

「我们是否已设置了基本的监控措施？」