证 券公司的IT审计.pptVIP

* 二、总体了解相关信息系统的控制并对其风险进行评估 ? （二）了解信息技术对内部控制是否产生下述特定风险： 历史上发生的巴林银行案件： 几周之后，伦敦总部又打来电话，总部配置了新的电脑，要求新加坡分行还是按老规矩行事，所有的错误记录仍由“99905”帐户直接向伦敦报告。“88888”错误帐户刚刚建立就被搁置不用了，但它却成为一个真正的“错误帐户”存于电脑之中。而且总部这时已经注意到新加坡分行出现的错误很多，但里森都巧妙地搪塞而过。“88888”这个被人忽略的帐户，提供了里森日后制造假帐的机会，如果当时取消这一帐户，则巴林的历史可能会重写了。 * 二、总体了解相关信息系统的控制并对其风险进行评估 法国兴业银行的案件： 法国兴业银行2008年1月27日公布了该行对交易员柯维尔造成49亿欧元损失的异常违规交易的调查结果。柯维尔从2000年起开始在该集团任职，起初五年在包括监督部门的多个中间部门工作过，因此他对于银行内部整个交易的流程和风控都有很充分的了解。从2005年开始，他在套汇部门做交易员。 法兴称，为了防范风险，银行为套汇交易设置了多处风险控制机制，来监控运营、金融工具投资组合市场价格变动等风险。柯维尔的异常违规交易是千方百计规避了这些风控。比如，他对投资组合B做出了虚构的卖出操作，以造成买进投资组合A已被抵消的假象。这些虚构的操作均被计入在法兴的系统中，因此初期蒙蔽了公司的监控。这使得该交易员得以掩盖与银行正常交易毫无关联的巨大投机仓位A。 法兴表示，为了避免那些虚构仓位不被银行方面即时监控，柯维尔通过在后台流程控制方面的多年经验成功地避开了银行的所有风控设置。第一，他通过设计虚构的特征来降低被风控部门发现的机会。首先，选择一些不要求现金流动或者保证金的操作，以避免对于即时确认的要求；第二，从操作部门盗用了IT密码来对他的交易行为进行删除；第三，伪造文件来进行虚构操作；第四，确保每一次虚构操作使用的金融工具都不同于前一笔删除的操作。 * 二、总体了解相关信息系统的控制并对其风险进行评估 （三）评估信息系统的控制缺陷、信息系统生成数据的质量，评估重大错报风险，及其对财务报告的影响 公司尚未结合本单位的实际情况，制定落实《证券期货经营机构信息技术治理工作指引（试行）》的工作方案，包括未建立公司 IT 治理组织，未在IT 原则、IT 架构、IT 基础设施、IT 应用和 IT 投入5 个方面制定相关制度并建立有效的工作机制，未制定 IT 风险管理的策略和相关制度、内部 IT 审计制度等等。 风险控制系统覆盖范围不全面，风险控制指标动态监控制度尚不完善，公司尚未做到每季度评估一次动态监控系统的有效性 。 自营账户中存在财务与交易系统中数据不一致情况； 交易系统中记录客户证券余额与证券交易所余额不一致的情况。 上述信息系统的控制缺陷和信息系统生成数据的质量问题可能会影响财务报告的真实性、准确性和完整性。 三、经纪业务循环 * 通过访谈、穿行测试等方式，了解柜台交易系统、法人清算系统、实时监控系统等，评估相关系统的控制缺陷及生成数据的质量 从底层数据库中导出客户资金余额、客户证券余额，与财务系统、法人清算系统、实时监控系统、登记公司函证或对账数据核对 检索交易量、资金余额、证券市值居前的账户；检索资金余额为负、股份余额为负、资产总额为负的账户；检索存在特殊操作记录（如红冲蓝补、资金内转、强制现金取出、资金调整、股份调整、证券代码迁移等）的账户，并对上述账户进行调查分析。 至于如何从底层数据库中导出所需数据和如何检索所需信息我在后面证券公司集中交易系统的审计讲解中会说到。 四、自营及资管业务循环 * 从自营及资管系统中导出自营及资管账户清单、资金余额、证券余额，与财务系统、法人清算系统、实时监控系统、登记公司函证或对账数据核对 导出当年自营及资管的交易流水，筛选大额交易等，提交财务审计人员对交易重新计算或运用分析性程序，判断入帐金额的准确性。 至于如何从底层数据库中导出所需数据和如何检索所需信息我在后面证券公司集中交易系统的审计讲解中会说到。 五、了解和评价内部控制的监督是否有效 * 了解该公司与IT相关的内部控制的监督活动，并了解如何采取纠正措施。了解该公司IT相关控制的持续监督活动和专门的评价活动。 公司电脑部将不定期地对分支机构运行情况进行检查，并提出整改意见交由分支机构实施。 公司电脑部定期对信息系统进行自查和整改，有针对性的进行应急演练，发现问题及时纠正。根据业务需要和系统使用情况，不定期的对信息系统进行维护和升级，并有留痕备案。08年，对网上交易系统进行扩容、北京营业部机房实施系统改造、龙华营业部增配发电机、上海营业部更换了u