证券公司的IT审计要点.pptVIP

证券公司集中交易系统的审计 一、证券公司计算机信息系统与集中交易系统 证券公司应用的计算机信息系统包括：计算机硬件系统、通讯系统以及信息管 理系统。信心管理系统主要包括：集中交易系统（未实现集中交易系统的或称 “柜台交易系统”）、法人交易系统、实时监控系统、自营业务系统、资产管 理系统、网上交易系统、会计核算系统、 CRM 系统、 OA 系统等等。上述系统间 数据流及关系大致如下图所示。 总体了解相关信息系统的控制并对其风险进行评估 证券公司集中交易系统的审计 一、证券公司计算机信息系统与集中交易系统 由图可知，集中交易系统是证券公司计算机信息系统的核心，会计核算所需的 信息大多从它获取。集中交易系统是证券公司为了将基于营业部分散的交易系 统提升为基于公司整体的企业级综合经纪业务平台，达到整合企业资源、信息 充分共享，提高企业核心竞争力的目的而以证券公司作为一个整体，实现业务 集中管理、集中财务、集中清算、集中交易、统一服务、统一营销、统一监管， 建立集中处理的业务平台。根据券商规模大小，集中交易系统所采用的数据库 类型各有不同，目前集中交易系统、主要采用的数据库类型有 ORACLE ， IBMDB2 ， SQL-Server,Sybase 等。 证券公司的 IT 审计 年报 IT 审计案例 审计计划执行的程序 一、总体了解该公司信息技术治理、灾难备份体系建立的情况 二、总体了解相关信息系统的控制并对其风险进行评估 三、经纪业务循环 四、自营及资管业务循环 五、了解和评价内部控制的监督是否有效 六、了解和评价内部 IT 审计是否有效 总体了解该公司信息技术治理、灾难备份体系建立的情况 1 、了解信息技术治理情况 （ 1 ）通过访谈、调查等方法了解该公司执行中国证券业协会和中国期货业协会 联合制定的《证券期货经营机构信息技术治理工作指引（试行）》及深圳证监 局下发的《深圳辖区证券公司信息技术治理工作指引（试行）》的情况。 （ 2 ）取得该公司根据上述工作指引进行修订的公司信息技术治理工作方案及制 定的改进措施，总体了解该公司在“ IT 原则和治理目标”、“ IT 治理组织和工作 机制”、“ IT 架构与 IT 基础设施”、“ IT 应用”、“ IT 投入”、“ IT 人力资源”、 “ IT 安全和风险控制”、“信息技术管理制度”、“信息技术事故责任与追究” 及“违规责任”等各个方面的治理计划及安排，了解改进措施的落实情况。 总体了解该公司信息技术治理、灾难备份体系建立的情况 对 IT 负责人访谈、调查的结果 ? 现状 — 在国外，一些领头羊公司对于 IT 技术治理非常重视，对于其人力以及财力 的投 入非常到位，但是非领头羊公司 IT 技术治理的投入有所欠缺， IT 部门在公 司中的地位也较领头羊公司的低。 — 我国，南方城市，以深圳为代表，对 IT 技术治理人力财力投入情况较北方 城市好，但是总体上来看，我国对 IT 技术治理方面的投入非常欠缺。 ? 航空证券对《证券期货经营机构信息技术治理工作指引（试行）》及深圳证监 局下发的《深圳辖区证券公司信息技术治理工作指引（试行）》的情况 对于这两项文件，航空证券虽努力向其看齐但未能完整有效地执行。航空证券 IT 治理部门在公司地位较其应有地位低，推行这两项文件的难度大。 总体了解该公司信息技术治理、灾难备份体系建立的情况 该公司 2008 年年度报告中就内部控制存在的问题及 改进措施披露如下： ? 公司对《证券期货经营机构信息技术治理工作指引（试行）》的工作尚待落实， 包括未建立公司 IT 治理组织，未在 IT 原则、 IT 架构、 IT 基础设施、 IT 应用和 IT 投入 5 个方面制定相关制度并建立有效的工作机制，未制定 IT 风险管理的策 略和相关制度、内部 IT 审计制度等等。 ? 公司组织相关人员认真学习了《证券期货经营机构信息技术治理工作指引（试 行）》，，成立了公司 IT 治理委员会。在 IT 委员会的领导下，近期组织相关部门、 人员在 IT 原则、 IT 构架、 IT 基础设施、 IT 应用和 IT 投入 5 个方面制定相关制度、 建立有效的工作机制、制定 IT 风险管理策略和相关制度、内部 IT 审计制度。 总体了解该公司信息技术治理、灾难备份体系建立的情况 1 、了解信息技术治理情况 （ 3 ）重点关注信息技术的一般控制 通过访谈、调查等方法了解 ? 数据中心和网络运行控制； ? 系统软件的购置、开发及维护控制、修改及维护控制； ? 接触或访问权限控制； ? 应用系统的购置； ? 选择关键点进行检查。 总体了解该公司信息技术治理、灾难备份体系建立的情况 1 、了解信息技术治理情况 （ 3 ）重点关注信息技术的一般控制 ? 数据中心和网络运行控制