1、证券行业信息技术发展的分析
1.1证券行业信息技术发展情况
随着我国证券行业和市场的发展,证券公司信息技术应用已从最初的简单的电子化交易功能发展到包括交易、服务、管理、控制等各个环节,信息技术系统成为证券公司正常经营及业务发展不可或缺的重要资源。
中国证券市场虽然起步较晚,但创建初始就选择了一条信息化程度较高的道路。只用了几年的时间,在开户登记、无纸发行、委托、成交回报、清算交割、信息披露等环节就实现了全程电子化。经历十几年的发展,如今证券公司的信息化业务系统包含了集中交易、财务核算、法人清算、银企直联、客户服务、风险监控、自动化办公等多层次、多功能的运营平台,这些信息技术平台贯穿于证券公司整个业务及管理过程。
信息技术的应用在不断创新发展,证券电子商务的深度和广度不断扩展;硬件设备、软件系统技术要求不断提升,行业信息技术系统向专业化、集中式、外包型模式发展。
1.2证券公司信息技术系统风险
证券行业是一项资本密集、人才密集、信息化程度高的行业。在由信息技术平台支持的各类业务得到迅速发展同时,证券公司在运营与管理中对信息技术系统依赖程度不断加深。随之而来的相关风险日益引起人们的关注,企业管理者越来越深刻地认识到:诸如通信中断、设备故障、病毒入侵、数据破坏等信息系统风险,会给证券公司及带来巨大损失,信息技术系统的失败将使证券公司面临无法承受的致命危害,信息系统逐渐成为企业高风险区域。
2、证券公司信息技术系统审计的意义和作用
2.1信息技术系统审计
信息技术系统审计是指通过收集并评估证据,以判断一个信息技术系统的合规性、安全性、可靠性和有效性,通过向管理层提出报告和建议,促使信息系统改造完善。
合规性是指信息技术系统内部开发、运行管理、使用维护、灾备应急等是否符合有关法规、制度和标准。
安全性主要是指信息技术系统和相关设计的物理安全、逻辑安全、数据和信息安全等;
- 有效性指信息技术系统资源的优化配置及充分利用。
- 可靠性是指系统运行稳定、准确,易于维护。
信息技术系统实现安全性、实用性、系统化管理是证券公司技术管理的基本目标,随着证券证券公司业务创新及信息技术应用不断发展,也为证券公司技术管理提出了新的挑战。在此背景下,对信息技术系统的审计逐渐成为证券公司内部审计的一项重要内容。
2.2证券公司信息技术系统审计的必要性
信息技术与企业战略、管理、业务、安全已实现了融合。企业建立健全法人治理结构、加强内部控制,必须完善信息技术管理和控制机制。证券公司内控机制从客观上要求对信息技术系统进行监管、制衡与审计。
2.3证券公司信息技术系统审计的意义
在我国,证券公司信息技术系统审计亦刚刚起步,相关理论与实务还有待不断探讨和研究,但信息技术系统审计对证券公司而言,其在风险管理中的作用已逐渐得到行业监管机构及组织管理者的认同。信息技术系统审计已经成为保障证券公司规范经营、稳健发展、防范信息系统风险的重要环节,是提高证券公司风险控制能力的有效手段,信息技术系统审计对促进经营活动顺利开展,维持正常经济秩序具有重要的作用。中国证券业协会下发的《证券公司集中交易安全管理技术指引》中,对证券公司技术审计的工作作出了明确的规定:证券公司内部稽核部门应对集中交易系统及其安全管理进行合规性审核、技术审计及定期风险评估。
2.4证券公司信息技术系统审计作用
信息系统审计可以合理地检查信息系统中的错误和问题,鉴证信息系统运行及其处理、产生信息的真实性、完整性、可靠性。信息系统审计可以发现系统控制中的缺陷或漏洞及操作中的错误,为管理者提出建议,促进信息系统的完善,提高信息技术系统运行效能。审计的咨询功能,可以从独立、客观的角度为企业信息化建设和管理提供服务。
3、证券公司信息系统审计评价依据
近年来,对信息系统的审计已经被相当多证券公司所接受。审计中,审计评价依据是审计工作开展的关键。对证券公司信息系统审计的相关评价依据总结为以下几方面。
3.1相关法律法规
近年来证券行业法律法规不断健全与完善,这为信息系统审计提供了重要的权威性依据。相关的法律法规包括:《中华人民共和国证券法》、《证券公司管理办法》、《证券期货业信息安全保障管理暂行办法》、《证券公司内部控制指引》、《证券公司集中交易安全管理技术指引》等。
3.2行业规范
《证券公司信息技术管理规范》(JR/T
0023—2004)是2005年3月25日由中国人民银行和中国证监会颁布实施的证券公司信息系统管理行业标准,规范了证券公司信息技术管理行为,同时也为证券公司信息技术系统内部审计实施提供了依据。
3.3相关国际标准
在对证券公司信息技术系统审计中,还可借鉴目前国际通用的信息技术系统控制管理框架及审计标准,如COBIT(Control
Objectives for Information and related
Technology),它是信息技术系统审计与控制协会在1996年公布的,国际上公认的关于信息技术管理和控制的权威性标准,在实践应用中可以对我们的工作起指导性作用。
3.4证券公司相关规章制度
证券公司信息系统相关制度、规定、业务操作流程等相关管理要求也可构成信息技术系统审计的评价依据。
4、证券公司信息技术系统审计的对象、范围与内容
4.1审计对象
证券公司信息技术系统审计对象包括总部及下属各营业部和分支机构等所使用的计算机系统、网络系统、信息技术基础设施和环境等方面。
4.2审计的范围与内容
证券公司信息技术系统审计的范围与内容包括:信息技术管理制度;信息技术管理的组织架构;信息技术系统技术人员、项目和安全管理;机房和设备管理;网络通信、软件和数据;信息技术系统运行管理、技术事故的防范与处理等。在证券公司信息技术系统管理中,为了达到信息技术系统合规、安全、可靠、有效等要求,仅依靠技术手段是不够的,应做到管理与技术并重,因此制度审计是信息系统审计的关键。审计中对信息技术系统相关制度规范、操作流程、岗位手册等的建立、修订与落实情况进行核查,从而评价证券公司信息技术系统内部控制制度完善性、有效性、实时性、可操作性以及制度对信息技术系统安全运行的保障作用。在信息技术管理部门的组织架构与人员管理审计方面,重点关注证券公司信息技术部门的岗位设置、岗位职责、人员分工、制约机制。例如,岗位隔离机制包括:技术开发与运营管理之间的相互隔离;开发与操作隔离;前台业务操作、中台业务管理及后台业务支持之间的隔离。信息技术人员任职要专岗专责,不得由业务人员兼任,也不得兼任业务职务。对信息技术项目审计时,从项目可行性研究与评估、项目立项、项目招标以及项目竣工验收、项目决算等环节进行检查与评价。对新建项目从设计、开发、测试环节的实施流程、管理措施和责任划分以及对系统前瞻性功能的设计、开发建立的内部审批与监控机制进行核查与风险评价。在这里我们需要关注,在信息技术的应用中,不应过分追求技术的先进性,而应把先进性和实用性有机地结合起来。信息技术的发展日新月异,技术更新换代的频率非常快,新技术的应用面临着技术是否稳定、操作的复杂程度和成本的高低等一系列的风险,如果盲目追求新技术,则有可能面临技术风险的威胁。证券公司应注重采用成熟的先进技术,在确保信息技术系统性能和安全的前提下,遵循高效益、低成本、易操作的原则。
信息技术系统运行管理及风险控制方面的审计内容有:机房和设备管理;网络通信、软件和数据;信息技术系统运行管理、技术事故的防范与处理等。检查与评价中心机房的监控与管理情况,包括:中心机房保安监控系统、环境与设备监控系统的配置运行情况、中心机房供电、空调、消防、门禁等重要环境保障系统的管理。对证券公司交易核心网络管理情况审计时关注:网络结构与网络设备的安全性;网络管理制度与管理策略;病毒防范措施;核心交易网络与其他如办公网、互联网的隔离措施等。通信系统的审计是信息技术系统审计重要内容之一,证券公司通信网络涵盖局域网、广域网、VPN、互联网等,审计中需要关注的关键通信系统有:中心机房及灾备中心与交易所、登记公司的通信保障;中心机房及灾备中心与分支机构的通信保障;网上交易系统接入互联网等。对生产中系统运行情况的审计,关注软件系统升级变更、系统参数变更操作过程中的实施流程、管理措施及责任划分。审计中关注信息技术系统中用户帐户、权限、口令管理;数据备份、存放与恢复措施;数据管理中是否建立防篡改与防窃取机制;重要设备的运行及审计日志。
检查信息技术系统硬件设备采购、登记、使用、维护、报废的管理情况;生产相关设备使用中所采取的预防性维护措施。评价信息技术系统在各业务部门应用与管理情况;信息技术部门与公司其他业务部门之间业务配合及信息沟通反馈情况。核查信息技术系统的应急措施、灾难恢复与事故处理计划;灾难备份中心的安全距离、业务处理能力、通信、供电、安全等保障措施;检查评价应急措施中应急预案和应急计划制定与演练;技术故障的应急预案,安全事故的通报与问责机制建立情况。
5、证券公司信息技术系统审计实务
5.1对审计人员的要求
信息技术系统审计涉及内容很广、专业化程度高,工作实施中对审计人员提出了更高的要求,信息系统审计师既需要通晓信息技术系统的软件、硬件、开发、运营、维护、管理和安全,又应熟悉经营管理的核心要义,审计人员应能够利用规范和先进的审计技术,对信息技术系统的安全性、稳定性和有效性进行审计、检查、评价和建议。
5.2审计方式
信息技术系统审计可以采用由内审部门独立进行或聘请专家参与内部审计、外聘具有资质的专业机构等方式开展。通过借助外部机构和专家的力量,既可以提高审计工作的质量,符合客观性要求,同时也可以促进内部审计部门不断掌握和提高对信息系统审计工作的能力。
5.3审计工作实务
开展信息技术系统审计工作,除了要运用审计的一般性方法和手段外,还要根据审计工具的特殊性,结合实际情况,在审计的各个阶段探索并运用一系列特有的技术方法和手段。在审前调研阶段,可采用问卷、调查、走访等方法,了解和掌握被审计信息技术系统的有关基本情况,主要包括:信息系统管理有关的法规、标准及制度要求、业务的内容和流程、系统的基本功能、系统控制机制、系统运行的总体情况以及存在的主要问题等。在充分调研的基础上,可以通过绘制业务控制流程图等方法,对审计对象的固有风险进行初步分析,对其内部控制机制进行初步的评估,以确定审计的重点。然后拟定详细、具体可操作的审计实施方案,明确审计内容和重点,编制检查清单(check
list)进一步列明需要下一部审计的重点领域和重点内容及审计中注意的内部控制问题等。在信息系统审计实施阶段,可根据审计不同的项目采取不同的审计方式,如可通过实地观察的方式来检查计算机房管理的安全性及有关防火、防盗、防静电等措施。通过审查工作记录和系统运行日志的方式判断系统运行维护的相关工作是否符合制度要求。通过问讯及查看员工值班记录的方来判断相关职责分离是否落实。对网络安全的审计中,可以根据信息技术部门提供的网络拓扑结构图分析网络结构的安全性,同时可以通过实地测试的方式检查网络节点图纸的一致性判断网络管理的可靠性。对信息系统文档管理工作中,审计人员可通过早期介入系统和应用的开发过程来督促信息系统相关文档的留存与管理。对在灾难恢复应急计划的审计中,可以检查灾难恢复计划文档及演练工作记录或通过穿行跟踪来确定现有的灾难恢复计划是实用的、经过测试的和最新的。通过实地测试来确定在系统日常操作人员不能正常到岗的情况下是否具有足够可用的技术后备确保系统的正常运行。对于在信息系统审计中发现的问题与控制弱点,审计人员应当向管理层揭示因此而暴露的风险,并且向组织推荐与组织业务和风险因素相适应的控制系统。审计人员应提出相应改进建议并对改进落实情况进行持续跟踪。
随着证券业务的不断创新以及为之提供保障的信息技术的不断发展,信息技术系统审计的内容和方式也将不断变化,信息技术系统审计人员需要了解信息技术系统软硬件环境、运行与安全等,同时还应当对各种具体业务环节熟悉掌握。因此,一方面,有必要在日常工作中加强与信息技术部门的沟通,另一方面,重视加强对信息技术系统审计人员的培训,使之能够及时有效的掌握相关技术与业务发展状况,并在信息技术系统的构建、运行、升级、测试、维护等各个环节开展事前、事中、事后的全过程审计,不断提高审计工作的技术水平与工作效率。通过信息系统审计将开启内部审计新的工作领域并对组织提供更多的有价值的服务。
加载中…
喜欢