证券公司的IT审计

证券公司的IT审计年报IT审计案例审计计划执行的程序一、总体了解该公司信息技术治理、灾难备份体系建立的情况二、总体了解相关信息系统的控制并对其风险进行评估三、经纪业务循环四、自营及资管业务循环五、了解和评价内部控制的监督是否有效六、了解和评价内部IT审计是否有效总体了解该公司信息技术治理、灾难备份体系建立的情况1、了解信息技术治理情况（1）通过访谈、调查等方法了解该公司执行中国证券业协会和中国期货业协会联合制定的《证券期货经营机构信息技术治理工作指引（试行）》及深圳证监局下发的《深圳辖区证券公司信息技术治理工作指引（试行）》的情况。（2）取得该公司根据上述工作指引进行修订的公司信息技术治理工作方案及制定的改进措施，总体了解该公司在“IT原则和治理目标”、“IT治理组织和工作机制”、“IT架构与IT基础设施”、“IT应用”、“IT投入”、“IT人力资源”、“IT安全和风险控制”、“信息技术管理制度”、“信息技术事故责任与追究”及“违规责任”等各个方面的治理计划及安排，了解改进措施的落实情况。总体了解该公司信息技术治理、灾难备份体系建立的情况对IT负责人访谈、调查的结果现状—在国外，一些领头羊公司对于IT技术治理非常重视，对于其人力以及财力的投入非常到位，但是非领头羊公司IT技术治理的投入有所欠缺，IT部门在公司中的地位也较领头羊公司的低。—我国，南方城市，以深圳为代表，对IT技术治理人力财力投入情况较北方城市好，但是总体上来看，我国对IT技术治理方面的投入非常欠缺。航空证券对《证券期货经营机构信息技术治理工作指引（试行）》及深圳证监局下发的《深圳辖区证券公司信息技术治理工作指引（试行）》的情况对于这两项文件，航空证券虽努力向其看齐但未能完整有效地执行。航空证券IT治理部门在公司地位较其应有地位低，推行这两项文件的难度大。总体了解该公司信息技术治理、灾难备份体系建立的情况该公司2008年年度报告中就内部控制存在的问题及改进措施披露如下：公司对《证券期货经营机构信息技术治理工作指引（试行）》的工作尚待落实，包括未建立公司IT治理组织，未在IT原则、IT架构、IT基础设施、IT应用和IT投入5个方面制定相关制度并建立有效的工作机制，未制定IT风险管理的策略和相关制度、内部IT审计制度等等。公司组织相关人员认真学习了《证券期货经营机构信息技术治理工作指引（试行）》，，成立了公司IT治理委员会。在IT委员会的领导下，近期组织相关部门、人员在IT原则、IT构架、IT基础设施、IT应用和IT投入5个方面制定相关制度、建立有效的工作机制、制定IT风险管理策略和相关制度、内部IT审计制度。总体了解该公司信息技术治理、灾难备份体系建立的情况1、了解信息技术治理情况（3）重点关注信息技术的一般控制通过访谈、调查等方法了解数据中心和网络运行控制；系统软件的购置、开发及维护控制、修改及维护控制；接触或访问权限控制；应用系统的购置；选择关键点进行检查。总体了解该公司信息技术治理、灾难备份体系建立的情况1、了解信息技术治理情况（3）重点关注信息技术的一般控制数据中心和网络运行控制；首先大家知道：计算机和数据安全的具体问题来自于数据处理和电子商务的增长。主要风险是黑客、计算机病毒、电子窃听机密信息、计算机系统故障、或自然灾害。该公司针对数据中心和网络控制制定了包括：帐户管理，密码管理，病毒防范等制度等相应的规章制度，具体内容：总体了解该公司信息技术治理、灾难备份体系建立的情况严格控制网络帐户的开设；隐藏系统管理员帐户；网络帐户权限设置；网络帐户登录限制；账户密码的设立；账户密码的保管；账户密码的更新；杜绝病毒来源；定期检测和清除病毒；做好数据备份等规章制度。总体了解该公司信息技术治理、灾难备份体系建立的情况1、了解信息技术治理情况（3）重点关注信息技术的一般控制系统软件的购置、开发及维护控制、修改及维护控制公司电脑部统一规划各分支机构的软件平台，所有分支机构电脑系统软件的选购、开发、测试、安装均由公司电脑部统一批准进行，任何分支机构不得试用、安装、运行未经允许的电脑软件。（经测试杀毒软件各营业部不一致、不统一，存在管理漏洞）公司电脑部对应用软件系统的修改、升级、测试、发布实施统一管理。软件商提供的更新软件需由公司电脑部统一下发或同意确认后方可使用。总体了解该公司信息技术治理、灾难备份体系建立的情况1、了解信息技术治理情况（3）重点关注信息技术的一般控制接触或访问权限控制公司电脑部对交易业务数据实行专人管理。分支机构核心交易数据库管理员的权限由分支机构电脑部负责人管理。任何人无权擅自对交易系统中的交易业务数据进行修改。为维护电脑系统历史数据的安全性和准确性，对因差错造成的电脑数据出错的情况，原则上由分支机构在柜台系统中，利用相关的功能模块，做反向的操作进行调整。1、了解信息技术治理情况（3）重点关注信息技术的一般控制接触或访问权限控制若数据差错严重，必须采取手工修改才能保障数据的一致性，必须上报公司电脑部总经理和经纪业务部总经理，由主管副总经理批准后方可调整，在调整过程中，必须在工作日志中详细记录原因和具体的实施时间和步骤。修改电脑数据登记表日期服务器名操作系统用户名批准人（总经理）修改人监督人总体了解该公司信息技术治理、灾难备份体系建立的情况1、了解信息技术治理情况（3）重点关注信息技术的一般控制接触或访问权限控制分支机构电脑部须建立交易系统权限管理制度，并报公司电脑部审定，严格按照业务要求对各类操作进行权限的设置，同时建立用户权限管理文档，对各类系统用户和应用程序用户进行登记，并及时记录变动情况。柜台交易系统的权限的设置和变动必须由相应的管理部门出具详细的权限变动书面说明并经分支机构负责人批准后执行。柜台交易系统中的系统权限由分支机构电脑部管理；应用权限由业务部门负责管理。柜台人员转岗后，其相应的操作权限应立刻予以调整。总体了解该公司信息技术治理、灾难备份体系建立的情况1、了解信息技术治理情况（3）重点关注信息技术的一般控制应用系统的购置公司电脑部统一规划和购置。公司电脑部统一规划和建设各分支机构的硬件平台和网络通讯系统，未经公司电脑部的许可，不得擅自调换在线硬件设备或调整网络结构。选择关键点进行检查（链接至word版证券公司的IT审计1）。总体了解该公司信息技术治理、灾难备份体系建立的情况2、了解灾难备份体系建立情况通过访谈、调查等方法了解该公司灾难备份体系的建设模式、灾难备份体系的建立、灾难备份中心选址及供应商的选择。取得经深圳证监局审阅后的灾难备份体系的工作方案，具体了解实施灾难备份体系的组织架构、灾难备份的策略及目标、技术方案设计、拟投入的费用安排、选址工作安排、人员安排、建设进度表等内容。航空证券建立了比较完善的灾难备份体系，旨在防止公司交易中心的交易系统遭受人为破坏，病毒、黑客攻击，及网络故障或发生自然灾害，导致交易系统无法正常运行时，我们可以快速有效地切换到备份系统，保证公司各项业务安全、稳定、高效运行，特制订本预案。灾难备份中心选址上海。详细内容见灾难备份预案及应急演练记录复印件。上述信息技术的一般控制检查底稿中第三项就是备份措施检查。总体了解相关信息系统的控制并对其风险进行评估1、通过访谈、穿行测试等方式，了解该公司与财务报告相关的信息系统（如柜台交易系统、法人清算系统、实时监控系统、财务系统、资管系统、办公自动化系统等）：（1）信息系统中对交易生成、记录、处理和报告的程序；同时考虑将交易系统中的数据过入财务系统（总分类账和财务报告）的程序（2）与交易生成、记录、处理和报告有关的会计记录、支持性信息和财务报表中的特定项目经了解该公司与财务报告相关的信息系统有新意系统（清算）、金正系统（柜台）和用友NC系统（财务系统）、风险控制系统（金仕达），而办公自动化系统尚未启用。详见系统结构图：总体了解相关信息系统的控制并对其风险进行评估总体了解相关信息系统的控制并对其风险进行评估总体了解相关信息系统的控制并对其风险进行评估金正系统记录全天的柜台交易记录(已查看金证交易系统的使用手册、记录及报告交易的流程)，新意系统记录全天清算数据，财务人员根据上述系统的数据将相关信息手工录入用友NC系统。为保证柜台数据、清算数据、财务数据完全一致，每日总部客户资产存管部、总部计划财务部及各营业部在交易结束后核对相关数据保证交易生成、记录、处理和报告的数据一致。与交易生成、记录、处理和报告有关的会计记录、支持性信息和财务报表中的特定项目财务人员将金正系统和新意系统的信息打印出来，作为会计凭证的附件以支持会计记录的内容。用友NC系统自动将录入的信息过入总账、自动生成财务表表。风险控制系统涵盖经济、自营业务；指标全面，但对承销业务无监控。公司拟利用技术手段实现监管机构对公司各项业务的风险监控（证监局的要求）。因证券公司风险控制指标动态监控系统指引2009年2月颁布，公司尚未制定相应的风控制度，公司尚未做到每季度评估一次动态监控系统的有效性。总体了解相关信息系统的控制并对其风险进行评估2、了解信息技术对内部控制是否产生下述特定风险：（1）系统或程序未能正确处理数据，或处理了不正确的数据，或两种情况同时并存；（2）在未得到授权情况下访问数据,可能导致数据的毁损或对数据不恰当的修改，包括记录未经授权或不存在的交易，或不正确地记录了交易；（3）信息技术人员可能获得超越其履行职责以外的数据访问权限，破坏了系统应有的职责分工；（4）未经授权改变主文档的数据；总体了解相关信息系统的控制并对其风险进行评估2、了解信息技术对内部控制是否产生下述特定风险：（5）未经授权改变系统或程序；（6）未能对系统或程序作出必要的修改；（7）不恰当的人为干预；（8）数据丢失的风险或不能访问所需要的数据。从我们了解到该公司信息技术的基本情况、以前年度该公司发生过的违规、违纪事实和我们对信息技术系统控制的经验判断，上述控制风险均有可能存在。如：处理了不正确的数据，利率设置错误、返佣比率设置错误均可能导致不正确的数据处理。历史上该公司个别营业部在柜台交易系统的设置方面存在内部查询与外部查询的区别，分别以内部查询和外部查询检查客户保证金，在“流水摘要”方面显示不同的信息，若不授予稽核人员以内部查询权限，则不能查询出真实的业务信息。总体了解相关信息系统的控制并对其风险进行评估2、了解信息技术对内部控制是否产生下述特定风险：历史上各营业部的超级柜员均掌握在电脑部经理的手中，由电脑部经理给各位柜员授予权限，对电脑部经理的权限缺乏有效的制约，如龙华营业部电脑部经理以手中掌握的超级柜员从后台进入数据库，更改了数据，以达到掩盖其挪用客户保证金的目的。历史上发生的巴林银行案件：1763年，弗朗西斯·巴林爵士在伦敦创建了巴林银行，它是世界首家“商业银行”，既为客户提供资金和有关建议，自己也做买卖。里森于1992年在新加坡任期货交易员时，巴林银行原本有一人帐号为“99905”的“错误帐号”，专门处理交易过程中因疏忽所造成的错误。这原是一个金融体系运作过程中正常的错误帐户。1992年夏天，伦敦总部全面负责清算工作的哥顿·鲍塞给里森打了一个电话，要求里森另设立一个“错误帐户”，记录较小的错误，并自行在新加坡处理，以免麻烦伦敦的工作，于是里森马上找来了负责办公室清算的利塞尔，向她咨询是否可以另立一个档案，很快，利塞尔就在电脑里键入了一些命令，问他需要什么帐号，在中国文化里“8”是一个非常吉利的数字，因此里森以此作为他的吉祥数字，由于帐号必须是五位数，这样帐号为“88888”的“错误帐户”便诞生了。几周之后，伦敦总部又打来电话，总部配置了新的电脑，要求新加坡分行还是按老规矩行事，所有的错误记录仍由“99905”帐户直接向伦敦报告。“88888”错误帐户刚刚建立就被搁置不用了，但它却成为一个真正的“错误帐户”存于电脑之中。而且总部这时已经注意到新加坡分行出现的错误很多，但里森都巧妙地搪塞而过。“88888”这个被人忽略的帐户，提供了里森日后制造假帐的机会，如果当时取消这一