证 券公司的IT审计素材.pptVIP

* 二、总体了解相关信息系统的控制并对其风险进行评估 （二）了解信息技术对内部控制是否产生下述特定风险： 历史上各营业部的超级柜员均掌握在电脑部经理的手中，由电脑部经理给各位柜员授予权限，对电脑部经理的权限缺乏有效的制约，如龙华营业部电脑部经理以手中掌握的超级柜员从后台进入数据库，更改了数据，以达到掩盖其挪用客户保证金的目的。历史上发生的巴林银行案件： 1763年，弗朗西斯·巴林爵士在伦敦创建了巴林银行，它是世界首家“商业银行”，既为客户提供资金和有关建议，自己也做买卖。里森于1992年在新加坡任期货交易员时，巴林银行原本有一人帐号为“99905”的“错误帐号”，专门处理交易过程中因疏忽所造成的错误。这原是一个金融体系运作过程中正常的错误帐户。1992年夏天，伦敦总部全面负责清算工作的哥顿·鲍塞给里森打了一个电话，要求里森另设立一个“错误帐户”，记录较小的错误，并自行在新加坡处理，以免麻烦伦敦的工作，于是里森马上找来了负责办公室清算的利塞尔，向她咨询是否可以另立一个档案，很快，利塞尔就在电脑里键入了一些命令，问他需要什么帐号，在中国文化里“8”是一个非常吉利的数字，因此里森以此作为他的吉祥数字，由于帐号必须是五位数，这样帐号为“88888”的“错误帐户”便诞生了。 ? * 二、总体了解相关信息系统的控制并对其风险进行评估 ? （二）了解信息技术对内部控制是否产生下述特定风险： 历史上发生的巴林银行案件： 几周之后，伦敦总部又打来电话，总部配置了新的电脑，要求新加坡分行还是按老规矩行事，所有的错误记录仍由“99905”帐户直接向伦敦报告。“88888”错误帐户刚刚建立就被搁置不用了，但它却成为一个真正的“错误帐户”存于电脑之中。而且总部这时已经注意到新加坡分行出现的错误很多，但里森都巧妙地搪塞而过。“88888”这个被人忽略的帐户，提供了里森日后制造假帐的机会，如果当时取消这一帐户，则巴林的历史可能会重写了。 * 二、总体了解相关信息系统的控制并对其风险进行评估 法国兴业银行的案件： 法国兴业银行2008年1月27日公布了该行对交易员柯维尔造成49亿欧元损失的异常违规交易的调查结果。柯维尔从2000年起开始在该集团任职，起初五年在包括监督部门的多个中间部门工作过，因此他对于银行内部整个交易的流程和风控都有很充分的了解。从2005年开始，他在套汇部门做交易员。 法兴称，为了防范风险，银行为套汇交易设置了多处风险控制机制，来监控运营、金融工具投资组合市场价格变动等风险。柯维尔的异常违规交易是千方百计规避了这些风控。比如，他对投资组合B做出了虚构的卖出操作，以造成买进投资组合A已被抵消的假象。这些虚构的操作均被计入在法兴的系统中，因此初期蒙蔽了公司的监控。这使得该交易员得以掩盖与银行正常交易毫无关联的巨大投机仓位A。 法兴表示，为了避免那些虚构仓位不被银行方面即时监控，柯维尔通过在后台流程控制方面的多年经验成功地避开了银行的所有风控设置。第一，他通过设计虚构的特征来降低被风控部门发现的机会。首先，选择一些不要求现金流动或者保证金的操作，以避免对于即时确认的要求；第二，从操作部门盗用了IT密码来对他的交易行为进行删除；第三，伪造文件来进行虚构操作；第四，确保每一次虚构操作使用的金融工具都不同于前一笔删除的操作。 * 二、总体了解相关信息系统的控制并对其风险进行评估 （三）评估信息系统的控制缺陷、信息系统生成数据的质量，评估重大错报风险，及其对财务报告的影响 公司尚未结合本单位的实际情况，制定落实《证券期货经营机构信息技术治理工作指引（试行）》的工作方案，包括未建立公司 IT 治理组织，未在IT 原则、IT 架构、IT 基础设施、IT 应用和 IT 投入5 个方面制定相关制度并建立有效的工作机制，未制定 IT 风险管理的策略和相关制度、内部 IT 审计制度等等。 风险控制系统覆盖范围不全面，风险控制指标动态监控制度尚不完善，公司尚未做到每季度评估一次动态监控系统的有效性 。 自营账户中存在财务与交易系统中数据不一致情况； 交易系统中记录客户证券余额与证券交易所余额不一致的情况。 上述信息系统的控制缺陷和信息系统生成数据的质量问题可能会影响财务报告的真实性、准确性和完整性。 三、经纪业务循环 * 通过访谈、穿行测试等方式，了解柜台交易系统、法人清算系统、实时监控系统等，评估相关系统的控制缺陷及生成数据的质量 从底层数据库中导出客户资金余额、客户证券余额，与财务系统、法人清算系统、实时监控系统、登记公司函证或对账数据核对 检索交易量、资金余额、证券市值居前的账户；检索资金余额为负、股份余额为负、资产总额为负的账户；检索存在特殊操作记录（如红冲蓝补、资金内转、强制现金取