证券公司的IT审计.ppt

《证券公司的IT审计.ppt》由会员分享，可在线阅读，更多相关《证券公司的IT审计.ppt（45页珍藏版）》请在一课资料网上搜索。

1、 证券公司的IT审计 年报IT审计案例 审计计划执行的程序一、总体了解该公司信息技术治理、灾难备份体系建立的情况一、总体了解该公司信息技术治理、灾难备份体系建立的情况二、总体了解相关信息系统的控制并对其风险进行评估二、总体了解相关信息系统的控制并对其风险进行评估三、经纪业务循环三、经纪业务循环四、自营及资管业务循环四、自营及资管业务循环五、了解和评价内部控制的监督是否有效五、了解和评价内部控制的监督是否有效六、了解和评价内部六、了解和评价内部IT审计是否有效审计是否有效总体了解该公司信息技术治理、灾难备份体系建立的情况总体了解该公司信息技术治理、灾难备份体系建立的情况1、了解信息技术治理情况、

2、了解信息技术治理情况（1）通过访谈、调查等方法了解该公司执行中国证券业协会和中国期货业协会）通过访谈、调查等方法了解该公司执行中国证券业协会和中国期货业协会联合制定的联合制定的证券期货经营机构信息技术治理工作指引（试行）证券期货经营机构信息技术治理工作指引（试行）及深圳证监局及深圳证监局下发的下发的深圳辖区证券公司信息技术治理工作指引（试行）深圳辖区证券公司信息技术治理工作指引（试行）的情况。的情况。（2）取得该公司根据上述工作指引进行修订的公司信息技术治理工作方案及制）取得该公司根据上述工作指引进行修订的公司信息技术治理工作方案及制定的改进措施，总体了解该公司在定的改进措施，总体了解该公司在

3、“IT原则和治理目标原则和治理目标”、“IT治理组织和工作治理组织和工作机制机制”、“IT架构与架构与IT基础设施基础设施”、“IT应用应用”、“IT投入投入”、“IT人力资源人力资源”、“IT安全和风险控制安全和风险控制”、“信息技术管理制度信息技术管理制度”、“信息技术事故责任与追究信息技术事故责任与追究”及及“违规责任违规责任”等各个方面的治理计划及安排，了解改进措施的落实情况。等各个方面的治理计划及安排，了解改进措施的落实情况。总体了解该公司信息技术治理、灾难备份体系建立的情况总体了解该公司信息技术治理、灾难备份体系建立的情况对对IT负责人访谈、调查的结果负责人访谈、调查的结果 现状现

4、状 在国外，一些领头羊公司对于在国外，一些领头羊公司对于IT技术治理非常重视，对于其人力以及财力技术治理非常重视，对于其人力以及财力的投的投 入非常到位，但是非领头羊公司入非常到位，但是非领头羊公司IT技术治理的投入有所欠缺，技术治理的投入有所欠缺，IT部门在公部门在公司中的地位也较领头羊公司的低。司中的地位也较领头羊公司的低。我国，南方城市，以深圳为代表，对我国，南方城市，以深圳为代表，对IT技术治理人力财力投入情况较北方技术治理人力财力投入情况较北方城市好，但是总体上来看，我国对城市好，但是总体上来看，我国对IT技术治理方面的投入非常欠缺。技术治理方面的投入非常欠缺。航空证券对航空证券对证

5、券期货经营机构信息技术治理工作指引（试行）证券期货经营机构信息技术治理工作指引（试行）及深圳证监及深圳证监局下发的局下发的深圳辖区证券公司信息技术治理工作指引（试行）深圳辖区证券公司信息技术治理工作指引（试行）的情况的情况对于这两项文件，航空证券虽努力向其看齐但未能完整有效地执行。航空证券对于这两项文件，航空证券虽努力向其看齐但未能完整有效地执行。航空证券IT治理部门在公司地位较其应有地位低，推行这两项文件的难度大。治理部门在公司地位较其应有地位低，推行这两项文件的难度大。总体了解该公司信息技术治理、灾难备份体系建立的情况总体了解该公司信息技术治理、灾难备份体系建立的情况该公司该公司2008年

6、年度报告中就内部控制存在的问题及年年度报告中就内部控制存在的问题及改进措施披露如下：改进措施披露如下：公司对公司对证券期货经营机构信息技术治理工作指引（试行）证券期货经营机构信息技术治理工作指引（试行）的工作尚待落实，的工作尚待落实，包括未建立公司包括未建立公司 IT 治理组织，未在治理组织，未在IT 原则、原则、IT 架构、架构、IT 基础设施、基础设施、IT 应用和应用和 IT 投入投入5 个方面制定相关制度并建立有效的工作机制，未制定个方面制定相关制度并建立有效的工作机制，未制定 IT 风险管理的策风险管理的策略和相关制度、内部略和相关制度、内部 IT 审计制度等等。审计制度等等。公司组

7、织相关人员认真学习了公司组织相关人员认真学习了证券期货经营机构信息技术治理工作指引（试证券期货经营机构信息技术治理工作指引（试行）行），成立了公司，成立了公司IT治理委员会。在治理委员会。在IT委员会的领导下，近期组织相关部门、委员会的领导下，近期组织相关部门、人员在人员在IT原则、原则、IT构架、构架、IT基础设施、基础设施、IT应用和应用和IT投入投入5个方面制定相关制度、建个方面制定相关制度、建立有效的工作机制、制定立有效的工作机制、制定IT风险管理策略和相关制度、内部风险管理策略和相关制度、内部IT审计制度。审计制度。总体了解该公司信息技术治理、灾难备份体系建立的情况总体了解该公司信息

8、技术治理、灾难备份体系建立的情况1、了解信息技术治理情况、了解信息技术治理情况（3）重点关注信息技术的一般控制）重点关注信息技术的一般控制 通过访谈、调查等方法了解通过访谈、调查等方法了解数据中心和网络运行控制；数据中心和网络运行控制；系统软件的购置、开发及维护控制、修改及维护控制；系统软件的购置、开发及维护控制、修改及维护控制；接触或访问权限控制；接触或访问权限控制；应用系统的购置；应用系统的购置；选择关键点进行检查。选择关键点进行检查。总体了解该公司信息技术治理、灾难备份体系建立的情况总体了解该公司信息技术治理、灾难备份体系建立的情况1、了解信息技术治理情况、了解信息技术治理情况（3）重点

9、关注信息技术的一般控制）重点关注信息技术的一般控制 数据中心和网络运行控制；数据中心和网络运行控制；首先大家知道：计算机和数据安全的具体问题来自于数据处理和电子商务的增长。首先大家知道：计算机和数据安全的具体问题来自于数据处理和电子商务的增长。主要风险是黑客、计算机病毒、电子窃听机密信息、计算机系统故障、或自然灾主要风险是黑客、计算机病毒、电子窃听机密信息、计算机系统故障、或自然灾害。害。该公司针对数据中心和网络控制制定了包括：帐户管理，密码管理，病毒防范等该公司针对数据中心和网络控制制定了包括：帐户管理，密码管理，病毒防范等制度等相应的规章制度，具体内容：制度等相应的规章制度，具体内容：总体

10、了解该公司信息技术治理、灾难备份体系建立的情况总体了解该公司信息技术治理、灾难备份体系建立的情况u严格控制网络帐户的开设；严格控制网络帐户的开设；u隐藏系统管理员帐户；隐藏系统管理员帐户；u网络帐户权限设置；网络帐户权限设置；u网络帐户登录限制；网络帐户登录限制；u账户密码的设立；账户密码的设立；u账户密码的保管；账户密码的保管；u账户密码的更新；账户密码的更新；u杜绝病毒来源；杜绝病毒来源；u定期检测和清除病毒；定期检测和清除病毒；u做好数据备份等规章制度。做好数据备份等规章制度。总体了解该公司信息技术治理、灾难备份体系建立的情况总体了解该公司信息技术治理、灾难备份体系建立的情况1、了解信息

11、技术治理情况、了解信息技术治理情况（3）重点关注信息技术的一般控制）重点关注信息技术的一般控制系统软件的购置、开发及维护控制、修改及维护控制系统软件的购置、开发及维护控制、修改及维护控制公司电脑部统一规划各分支机构的软件平台，所有分支机构电脑系统软件的选购、公司电脑部统一规划各分支机构的软件平台，所有分支机构电脑系统软件的选购、开发、测试、安装均由公司电脑部统一批准进行，任何分支机构不得试用、安装、开发、测试、安装均由公司电脑部统一批准进行，任何分支机构不得试用、安装、运行未经允许的电脑软件。（经测试杀毒软件各营业部不一致、不统一，存在管运行未经允许的电脑软件。（经测试杀毒软件各营业部不一致、

12、不统一，存在管理漏洞）理漏洞）公司电脑部对应用软件系统的修改、升级、测试、发布实施统一管理。公司电脑部对应用软件系统的修改、升级、测试、发布实施统一管理。软件商提供的更新软件需由公司电脑部统一下发或同意确认后方可使用。软件商提供的更新软件需由公司电脑部统一下发或同意确认后方可使用。总体了解该公司信息技术治理、灾难备份体系建立的情况总体了解该公司信息技术治理、灾难备份体系建立的情况1、了解信息技术治理情况、了解信息技术治理情况（3）重点关注信息技术的一般控制）重点关注信息技术的一般控制接触或访问权限控制接触或访问权限控制公司电脑部对交易业务数据实行专人管理。分支机构核心交易数据库管理员的权公司电

13、脑部对交易业务数据实行专人管理。分支机构核心交易数据库管理员的权限由分支机构电脑部负责人管理。限由分支机构电脑部负责人管理。任何人无权擅自对交易系统中的交易业务数据进行修改。任何人无权擅自对交易系统中的交易业务数据进行修改。为维护电脑系统历史数据的安全性和准确性，对因差错造成的电脑数据出错的情为维护电脑系统历史数据的安全性和准确性，对因差错造成的电脑数据出错的情况，原则上由分支机构在柜台系统中，利用相关的功能模块，做反向的操作进行况，原则上由分支机构在柜台系统中，利用相关的功能模块，做反向的操作进行调整。调整。1、了解信息技术治理情况、了解信息技术治理情况（3）重点关注信息技术的一般控制）重点

14、关注信息技术的一般控制 接触或访问权限控制接触或访问权限控制若数据差错严重，必须采取手工修改才能保障数据的一致性，必须上报公司电脑若数据差错严重，必须采取手工修改才能保障数据的一致性，必须上报公司电脑部总经理和经纪业务部总经理，由主管副总经理批准后方可调整，在调整过程中部总经理和经纪业务部总经理，由主管副总经理批准后方可调整，在调整过程中，必须在工作日志中详细记录原因和具体的实施时间和步骤。，必须在工作日志中详细记录原因和具体的实施时间和步骤。修改电脑数据登记表修改电脑数据登记表日期日期服务器名服务器名操作系统操作系统用户名用户名批准人（总批准人（总经理）经理）修改人修改人监督人监督人总体了解

15、该公司信息技术治理、灾难备份体系建立的情况总体了解该公司信息技术治理、灾难备份体系建立的情况1、了解信息技术治理情况、了解信息技术治理情况（3）重点关注信息技术的一般控制）重点关注信息技术的一般控制接触或访问权限控制接触或访问权限控制分支机构电脑部须建立交易系统权限管理制度，并报公司电脑部审定，严格按照分支机构电脑部须建立交易系统权限管理制度，并报公司电脑部审定，严格按照业务要求对各类操作进行权限的设置，同时建立用户权限管理文档，对各类系统业务要求对各类操作进行权限的设置，同时建立用户权限管理文档，对各类系统用户和应用程序用户进行登记，并及时记录变动情况。用户和应用程序用户进行登记，并及时记录

16、变动情况。柜台交易系统的权限的设置和变动必须由相应的管理部门出具详细的权限变动书柜台交易系统的权限的设置和变动必须由相应的管理部门出具详细的权限变动书面说明并经分支机构负责人批准后执行。面说明并经分支机构负责人批准后执行。柜台交易系统中的系统权限由分支机构电脑部管理；应用权限由业务部门负责管柜台交易系统中的系统权限由分支机构电脑部管理；应用权限由业务部门负责管理。理。柜台人员转岗后，其相应的操作权限应立刻予以调整。柜台人员转岗后，其相应的操作权限应立刻予以调整。总体了解该公司信息技术治理、灾难备份体系建立的情况总体了解该公司信息技术治理、灾难备份体系建立的情况1、了解信息技术治理情况、了解信息

17、技术治理情况（3）重点关注信息技术的一般控制）重点关注信息技术的一般控制应用系统的购置应用系统的购置公司电脑部统一规划和购置。公司电脑部统一规划和购置。公司电脑部统一规划和建设各分支机构的硬件平台和网络通讯系统，未经公司电公司电脑部统一规划和建设各分支机构的硬件平台和网络通讯系统，未经公司电脑部的许可，不得擅自调换在线硬件设备或调整网络结构。脑部的许可，不得擅自调换在线硬件设备或调整网络结构。选择关键点进行检查（链接至选择关键点进行检查（链接至word版证券公司的版证券公司的IT审计审计1）。）。总体了解该公司信息技术治理、灾难备份体系建立的情况总体了解该公司信息技术治理、灾难备份体系建立的情

18、况2、了解灾难备份体系建立情况、了解灾难备份体系建立情况通过访谈、调查等方法了解该公司灾难备份体系的建设模式、灾难备份体系的建通过访谈、调查等方法了解该公司灾难备份体系的建设模式、灾难备份体系的建立、灾难备份中心选址及供应商的选择。立、灾难备份中心选址及供应商的选择。取得经深圳证监局审阅后的灾难备份体系的工作方案，具体了解实施灾难备份体取得经深圳证监局审阅后的灾难备份体系的工作方案，具体了解实施灾难备份体系的组织架构、灾难备份的策略及目标、技术方案设计、拟投入的费用安排、选系的组织架构、灾难备份的策略及目标、技术方案设计、拟投入的费用安排、选址工作安排、人员安排、建设进度表等内容。址工作安排、

19、人员安排、建设进度表等内容。航空证券建立了比较完善的灾难备份体系，旨在防止公司交易中心的交易系统遭航空证券建立了比较完善的灾难备份体系，旨在防止公司交易中心的交易系统遭受人为破坏，病毒、黑客攻击，及网络故障或发生自然灾害，导致交易系统无法受人为破坏，病毒、黑客攻击，及网络故障或发生自然灾害，导致交易系统无法正常运行时，我们可以快速有效地切换到备份系统，保证公司各项业务安全、稳正常运行时，我们可以快速有效地切换到备份系统，保证公司各项业务安全、稳定、高效运行，特制订本预案。灾难备份中心选址上海。详细内容见灾难备份预定、高效运行，特制订本预案。灾难备份中心选址上海。详细内容见灾难备份预案及应急演练

20、记录复印件。案及应急演练记录复印件。上述信息技术的一般控制检查底稿中第三项就是备份措施检查。上述信息技术的一般控制检查底稿中第三项就是备份措施检查。总体了解相关信息系统的控制并对其风险进行评估总体了解相关信息系统的控制并对其风险进行评估1、通过访谈、穿行测试等方式，了解该公司与财务报告相、通过访谈、穿行测试等方式，了解该公司与财务报告相关的信息系统（如柜台交易系统、法人清算系统、实时监控关的信息系统（如柜台交易系统、法人清算系统、实时监控系统、财务系统、资管系统、办公自动化系统等）：系统、财务系统、资管系统、办公自动化系统等）：（1）信息系统中对交易生成、记录、处理和报告的程序；同时考虑将交易

21、系统）信息系统中对交易生成、记录、处理和报告的程序；同时考虑将交易系统中的数据过入财务系统（总分类账和财务报告）的程序中的数据过入财务系统（总分类账和财务报告）的程序（2）与交易生成、记录、处理和报告有关的会计记录、支持性信息和财务报表）与交易生成、记录、处理和报告有关的会计记录、支持性信息和财务报表中的特定项目中的特定项目经了解该公司与财务报告相关的信息系统有新意系统（清算）、金正系统（柜台）经了解该公司与财务报告相关的信息系统有新意系统（清算）、金正系统（柜台）和用友和用友NC系统（财务系统）、风险控制系统（金仕达），而办公自动化系统尚系统（财务系统）、风险控制系统（金仕达），而办公自动化

22、系统尚未启用。详见系统结构图：未启用。详见系统结构图：总体了解相关信息系统的控制并对其风险进行评估总体了解相关信息系统的控制并对其风险进行评估总体了解相关信息系统的控制并对其风险进行评估总体了解相关信息系统的控制并对其风险进行评估总体了解相关信息系统的控制并对其风险进行评估总体了解相关信息系统的控制并对其风险进行评估金正系统记录全天的柜台交易记录金正系统记录全天的柜台交易记录(已查看金证交易系统的使用手册、记录及报告交易的流已查看金证交易系统的使用手册、记录及报告交易的流程程)，新意系统记录全天清算数据，财务人员根据上述系统的数据将相关信息手工录入用友，新意系统记录全天清算数据，财务人员根据上

23、述系统的数据将相关信息手工录入用友NC系统。系统。为保证柜台数据、清算数据、财务数据完全一致，每日总部客户资产存管部、总部计划财为保证柜台数据、清算数据、财务数据完全一致，每日总部客户资产存管部、总部计划财务部及各营业部在交易结束后核对相关数据保证交易生成、记录、处理和报告的数据一致。务部及各营业部在交易结束后核对相关数据保证交易生成、记录、处理和报告的数据一致。与交易生成、记录、处理和报告有关的会计记录、支持性信息和财务报表中的特定项目与交易生成、记录、处理和报告有关的会计记录、支持性信息和财务报表中的特定项目财务人员将金正系统和新意系统的信息打印出来，作为会计凭证的附件以支持会计记录的财务

24、人员将金正系统和新意系统的信息打印出来，作为会计凭证的附件以支持会计记录的内容。用友内容。用友NC系统自动将录入的信息过入总账、自动生成财务表表。系统自动将录入的信息过入总账、自动生成财务表表。风险控制系统涵盖经济、自营业务；指标全面，但对承销业务无监控。风险控制系统涵盖经济、自营业务；指标全面，但对承销业务无监控。公司拟利用技术手段实现监管机构对公司各项业务的风险监控（证监局的要求）。因证券公司拟利用技术手段实现监管机构对公司各项业务的风险监控（证监局的要求）。因证券公司风险控制指标动态监控系统指引公司风险控制指标动态监控系统指引2009年年2月颁布，公司尚未制定相应的风控制度，公月颁布，公

25、司尚未制定相应的风控制度，公司尚未做到每季度评估一次动态监控系统的有效性司尚未做到每季度评估一次动态监控系统的有效性。总体了解相关信息系统的控制并对其风险进行评估总体了解相关信息系统的控制并对其风险进行评估2、了解信息技术对内部控制是否产生下述特定风险：、了解信息技术对内部控制是否产生下述特定风险：（1）系统或程序未能正确处理数据，或处理了不正确的数据，）系统或程序未能正确处理数据，或处理了不正确的数据，或两种情况同时或两种情况同时并存；并存；（2）在未得到授权情况下访问数据）在未得到授权情况下访问数据,可能导致数据可能导致数据 的毁损或对数据不恰当的修的毁损或对数据不恰当的修改，包括记录未经

26、授权或不存在的交易，或不正确地记录了交易；改，包括记录未经授权或不存在的交易，或不正确地记录了交易；（3）信息技术人员可能获得超越其履行职责以外）信息技术人员可能获得超越其履行职责以外 的数据访问权限，破坏了系统的数据访问权限，破坏了系统应有的职责分工；应有的职责分工；（4）未经授权改变主文）未经授权改变主文 档的数据；档的数据；总体了解相关信息系统的控制并对其风险进行评估总体了解相关信息系统的控制并对其风险进行评估2、了解信息技术对内部控制是否产生下述特定风险：、了解信息技术对内部控制是否产生下述特定风险：（5）未经授权改变系统或程序；）未经授权改变系统或程序；（6）未能对系统或程序作出必要

27、的修改；）未能对系统或程序作出必要的修改；（7）不恰当的人为干预；）不恰当的人为干预；（8）数据丢失的风险或不能访问所需要的数据。）数据丢失的风险或不能访问所需要的数据。从我们了解到该公司信息技术的基本情况、以前年度该公司发生过的违规、违纪事实和我从我们了解到该公司信息技术的基本情况、以前年度该公司发生过的违规、违纪事实和我们对信息技术系统控制的经验判断，上述控制风险均有可能存在。们对信息技术系统控制的经验判断，上述控制风险均有可能存在。如：处理了不正确的数据，利率设置错误、返佣比率设置错误均可能导致不正确的数据处如：处理了不正确的数据，利率设置错误、返佣比率设置错误均可能导致不正确的数据处理

28、。理。历史上该公司个别营业部在柜台交易系统的设置方面存在内部查询与外部查询的区别，分历史上该公司个别营业部在柜台交易系统的设置方面存在内部查询与外部查询的区别，分别以内部查询和外部查询检查客户保证金，在别以内部查询和外部查询检查客户保证金，在“流水摘要流水摘要”方面显示不同的信息，若不授方面显示不同的信息，若不授予稽核人员以内部查询权限，则不能查询出真实的业务信息。予稽核人员以内部查询权限，则不能查询出真实的业务信息。总体了解相关信息系统的控制并对其风险进行评估总体了解相关信息系统的控制并对其风险进行评估2、了解信息技术对内部控制是否产生下述特定风险：、了解信息技术对内部控制是否产生下述特定风

29、险：历史上各营业部的超级柜员均掌握在电脑部经理的手中，由电脑部经理给各位柜员授予权历史上各营业部的超级柜员均掌握在电脑部经理的手中，由电脑部经理给各位柜员授予权限，对电脑部经理的权限缺乏有效的制约，如龙华营业部电脑部经理以手中掌握的超级柜限，对电脑部经理的权限缺乏有效的制约，如龙华营业部电脑部经理以手中掌握的超级柜员从后台进入数据库，更改了数据，以达到掩盖其挪用客户保证金的目的。员从后台进入数据库，更改了数据，以达到掩盖其挪用客户保证金的目的。历史上发生的巴林银行案件：历史上发生的巴林银行案件：1763年，弗朗西斯年，弗朗西斯巴林爵士在伦敦创建了巴林银行，它是世界首家巴林爵士在伦敦创建了巴林银

30、行，它是世界首家“商业银行商业银行”，既为客户提供资金和有关建议，自己也做买卖。既为客户提供资金和有关建议，自己也做买卖。里森于里森于1992年在新加坡任期货交易员时，巴林银行原本有一人帐号为年在新加坡任期货交易员时，巴林银行原本有一人帐号为“99905”的的“错误帐号错误帐号”，专门处理交易过程中因疏忽所造成的错误。这原是一个金融体系运，专门处理交易过程中因疏忽所造成的错误。这原是一个金融体系运作过程中正常的错误帐户。作过程中正常的错误帐户。1992年夏天，伦敦总部全面负责清算工作的哥顿年夏天，伦敦总部全面负责清算工作的哥顿鲍鲍塞给里森打了一个电话，要求里森另设立一个塞给里森打了一个电话，要

31、求里森另设立一个“错误帐户错误帐户”，记录较小的错误，并，记录较小的错误，并自行在新加坡处理，以免麻烦伦敦的工作，于是里森马上找来了负责办公室清算自行在新加坡处理，以免麻烦伦敦的工作，于是里森马上找来了负责办公室清算的利塞尔，向她咨询是否可以另立一个档案，很快，利塞尔就在电脑里键入了一的利塞尔，向她咨询是否可以另立一个档案，很快，利塞尔就在电脑里键入了一些命令，问他需要什么帐号，在中国文化里些命令，问他需要什么帐号，在中国文化里“8”是一个非常吉利的数字，因此里是一个非常吉利的数字，因此里森以此作为他的吉祥数字，由于帐号必须是五位数，这样帐号为森以此作为他的吉祥数字，由于帐号必须是五位数，这样

32、帐号为“88888”的的“错错误帐户误帐户”便诞生了。便诞生了。几周之后，伦敦总部又打来电话，总部配置了新的电脑，要求新加坡分行还是几周之后，伦敦总部又打来电话，总部配置了新的电脑，要求新加坡分行还是按老规矩行事，所有的错误记录仍由按老规矩行事，所有的错误记录仍由“99905”帐户直接向伦敦报告。帐户直接向伦敦报告。“88888”错错误帐户刚刚建立就被搁置不用了，但它却成为一个真正的误帐户刚刚建立就被搁置不用了，但它却成为一个真正的“错误帐户错误帐户”存于电脑之存于电脑之中。而且总部这时已经注意到新加坡分行出现的错误很多，但里森都巧妙地搪塞中。而且总部这时已经注意到新加坡分行出现的错误很多，但

33、里森都巧妙地搪塞而过。而过。“88888”这个被人忽略的帐户，提供了里森日后制造假帐的机会，如果当这个被人忽略的帐户，提供了里森日后制造假帐的机会，如果当时取消这一帐户，则巴林的历史可能会重写了。时取消这一帐户，则巴林的历史可能会重写了。总体了解相关信息系统的控制并对其风险进行评估总体了解相关信息系统的控制并对其风险进行评估2、了解信息技术对内部控制是否产生下述特定风险：、了解信息技术对内部控制是否产生下述特定风险：法国兴业银行的案件：法国兴业银行的案件：法国兴业银行法国兴业银行2008年年1月月27日公布了该行对交易员柯维尔造成日公布了该行对交易员柯维尔造成49亿欧元损失的异常违规交亿欧元损

34、失的异常违规交易的调查结果。柯维尔从易的调查结果。柯维尔从2000年起开始在该集团任职，起初五年在包括监督部门的多个中年起开始在该集团任职，起初五年在包括监督部门的多个中间部门工作过，因此他对于银行内部整个交易的流程和风控都有很充分的了解。从间部门工作过，因此他对于银行内部整个交易的流程和风控都有很充分的了解。从2005年年开始，他在套汇部门做交易员。开始，他在套汇部门做交易员。法兴称，为了防范风险，银行为套汇交易设置了多处风险控制机制，来监控运营、金融工法兴称，为了防范风险，银行为套汇交易设置了多处风险控制机制，来监控运营、金融工具投资组合市场价格变动等风险。柯维尔的异常违规交易是千方百计规

35、避了这些风控。比具投资组合市场价格变动等风险。柯维尔的异常违规交易是千方百计规避了这些风控。比如，他对投资组合如，他对投资组合B做出了虚构的卖出操作，以造成买进投资组合做出了虚构的卖出操作，以造成买进投资组合A已被抵消的假象。这已被抵消的假象。这些虚构的操作均被计入在法兴的系统中，因此初期蒙蔽了公司的监控。这使得该交易员得些虚构的操作均被计入在法兴的系统中，因此初期蒙蔽了公司的监控。这使得该交易员得以掩盖与银行正常交易毫无关联的巨大投机仓位以掩盖与银行正常交易毫无关联的巨大投机仓位A。法兴表示，为了避免那些虚构仓位不被银行方面即时监控，柯维尔通过在后台流程控制方法兴表示，为了避免那些虚构仓位不

36、被银行方面即时监控，柯维尔通过在后台流程控制方面的多年经验成功地避开了银行的所有风控设置。第一，他通过设计虚构的特征来降低被面的多年经验成功地避开了银行的所有风控设置。第一，他通过设计虚构的特征来降低被风控部门发现的机会。首先，选择一些不要求现金流动或者保证金的操作，以避免对于即风控部门发现的机会。首先，选择一些不要求现金流动或者保证金的操作，以避免对于即时确认的要求；第二，从操作部门盗用了时确认的要求；第二，从操作部门盗用了IT密码来对他的交易行为进行删除；第三，伪造密码来对他的交易行为进行删除；第三，伪造文件来进行虚构操作；第四，确保每一次虚构操作使用的金融工具都不同于前一笔删除的文件来进

37、行虚构操作；第四，确保每一次虚构操作使用的金融工具都不同于前一笔删除的操作。操作。总体了解相关信息系统的控制并对其风险进行评估总体了解相关信息系统的控制并对其风险进行评估3、评估信息系统的控制缺陷、信息系统生成数据的质量，、评估信息系统的控制缺陷、信息系统生成数据的质量，评估重大错报风险，及其对财务报告的影响评估重大错报风险，及其对财务报告的影响公司尚未结合本单位的实际情况，制定落实公司尚未结合本单位的实际情况，制定落实证券期货经营机构信息技术治理工证券期货经营机构信息技术治理工作指引（试行）作指引（试行）的工作方案，包括未建立公司的工作方案，包括未建立公司 IT 治理组织，未在治理组织，未在

38、IT 原则、原则、IT 架构、架构、IT 基础设施、基础设施、IT 应用和应用和 IT 投入投入5 个方面制定相关制度并建立有效的工作个方面制定相关制度并建立有效的工作机制，未制定机制，未制定 IT 风险管理的策略和相关制度、内部风险管理的策略和相关制度、内部 IT 审计制度等等。审计制度等等。风险控制系统覆盖范围不全面，风险控制指标动态监控制度尚不完善，公司尚未风险控制系统覆盖范围不全面，风险控制指标动态监控制度尚不完善，公司尚未做到每季度评估一次动态监控系统的有效性做到每季度评估一次动态监控系统的有效性。自营账户中存在财务与交易系统中数据不一致情况；自营账户中存在财务与交易系统中数据不一致

39、情况；交易系统中记录客户证券余额与证券交易所余额不一致的情况。交易系统中记录客户证券余额与证券交易所余额不一致的情况。上述信息系统的控制缺陷和信息系统生成数据的质量问题可能会影响财务报告的上述信息系统的控制缺陷和信息系统生成数据的质量问题可能会影响财务报告的真实性、准确性和完整性。真实性、准确性和完整性。经纪业务循环经纪业务循环1、通过访谈、穿行测试等方式，了解柜台交易系统、法人清算系统、实时监控、通过访谈、穿行测试等方式，了解柜台交易系统、法人清算系统、实时监控系统等，评估相关系统的控制缺陷及生成数据的质量系统等，评估相关系统的控制缺陷及生成数据的质量2、从底层数据库中导出客户资金余额、客户

40、证券余额，与财务系统、法人清算、从底层数据库中导出客户资金余额、客户证券余额，与财务系统、法人清算系统、实时监控系统、登记公司函证或对账数据核对系统、实时监控系统、登记公司函证或对账数据核对3、检索交易量、资金余额、证券市值居前的账户；检索资金余额为负、股份余、检索交易量、资金余额、证券市值居前的账户；检索资金余额为负、股份余额为负、资产总额为负的账户；检索存在特殊操作记录（如红冲蓝补、资金内转、额为负、资产总额为负的账户；检索存在特殊操作记录（如红冲蓝补、资金内转、强制现金取出、资金调整、股份调整、证券代码迁移等）的账户，并对上述账户强制现金取出、资金调整、股份调整、证券代码迁移等）的账户，

41、并对上述账户进行调查分析。进行调查分析。至于如何从底层数据库中导出所需数据和如何检索所需信息我在后面证券公司集至于如何从底层数据库中导出所需数据和如何检索所需信息我在后面证券公司集中交易系统的审计讲解中会说到。中交易系统的审计讲解中会说到。具体执行分析和执行结果的底稿见附件具体执行分析和执行结果的底稿见附件1自营及资管业务循环自营及资管业务循环1、从自营及资管系统中导出自营及资管账户清单、资金余额、证券余额，与财、从自营及资管系统中导出自营及资管账户清单、资金余额、证券余额，与财务系统、法人清算系统、实时监控系统、登记公司函证或对账数据核对务系统、法人清算系统、实时监控系统、登记公司函证或对账

42、数据核对2、导出当年自营及资管的交易流水，筛选大额交易等，提交财务审计人员对交、导出当年自营及资管的交易流水，筛选大额交易等，提交财务审计人员对交易重新计算或运用分析性程序，判断入帐金额的准确性。易重新计算或运用分析性程序，判断入帐金额的准确性。至于如何从底层数据库中导出所需数据和如何检索所需信息我在后面证券公司集至于如何从底层数据库中导出所需数据和如何检索所需信息我在后面证券公司集中交易系统的审计讲解中会说到。中交易系统的审计讲解中会说到。具体执行分析和执行结果的底稿见附件具体执行分析和执行结果的底稿见附件1了解和评价内部控制的监督是否有效了解和评价内部控制的监督是否有效1、了解该公司与、了

43、解该公司与IT相关的内部控制的监督活动，并了解如何采取纠正措施。相关的内部控制的监督活动，并了解如何采取纠正措施。2、了解该公司、了解该公司IT相关控制的持续监督活动和专门的评价活动。相关控制的持续监督活动和专门的评价活动。公司电脑部将不定期地对分支机构运行情况进行检查，并提出整改意见交由分支公司电脑部将不定期地对分支机构运行情况进行检查，并提出整改意见交由分支机构实施。机构实施。公司电脑部定期对信息系统进行自查和整改，有针对性的进行应急演练，发现问公司电脑部定期对信息系统进行自查和整改，有针对性的进行应急演练，发现问题及时纠正。根据业务需要和系统使用情况，不定期的对信息系统进行维护和升题及时

44、纠正。根据业务需要和系统使用情况，不定期的对信息系统进行维护和升级，并有留痕备案。级，并有留痕备案。08年，对网上交易系统进行扩容、北京营业部机房实施系年，对网上交易系统进行扩容、北京营业部机房实施系统改造、龙华营业部增配发电机、上海营业部更换了统改造、龙华营业部增配发电机、上海营业部更换了ups系统和二级交换机，这系统和二级交换机，这些都切实防范隐患发生。些都切实防范隐患发生。2008年年10月份在上海召开了一次电脑部的全年总结会议及明年的计划和建议。月份在上海召开了一次电脑部的全年总结会议及明年的计划和建议。了解和评价内部了解和评价内部IT审计是否有效审计是否有效1、审计人员的专业素质能否

45、满足审计需要、审计人员的专业素质能否满足审计需要2、审计频率和覆盖面是否适当、审计频率和覆盖面是否适当3、审计意见能否得到及时纠正。、审计意见能否得到及时纠正。航空证券尚未建立航空证券尚未建立IT审计制度，但制定了内审计划，计划于审计制度，但制定了内审计划，计划于2009年执行，截至年执行，截至2009-3-14尚未执行。尚未执行。证券公司集中交易系统的审计证券公司集中交易系统的审计一、证券公司计算机信息系统与集中交易系统一、证券公司计算机信息系统与集中交易系统二、集中交易系统中涉及的审计目标与制订方法二、集中交易系统中涉及的审计目标与制订方法三、计算机辅助审计的程序三、计算机辅助审计的程序四

46、、其他重大事项考虑四、其他重大事项考虑证券公司集中交易系统的审计一、证券公司计算机信息系统与集中交易系统一、证券公司计算机信息系统与集中交易系统证券公司应用的计算机信息系统包括：计算机硬件系统、通讯系统以及信息管理证券公司应用的计算机信息系统包括：计算机硬件系统、通讯系统以及信息管理系统。信心管理系统主要包括：集中交易系统（未实现集中交易系统的或称系统。信心管理系统主要包括：集中交易系统（未实现集中交易系统的或称“柜柜台交易系统台交易系统”）、法人交易系统、实时监控系统、自营业务系统、资产管理系统、）、法人交易系统、实时监控系统、自营业务系统、资产管理系统、网上交易系统、会计核算系统、网上交易

47、系统、会计核算系统、CRM系统、系统、OA系统等等。上述系统间数据流及系统等等。上述系统间数据流及关系大致如下图所示。关系大致如下图所示。总体了解相关信息系统的控制并对其风险进行评估总体了解相关信息系统的控制并对其风险进行评估证券公司集中交易系统的审计一、证券公司计算机信息系统与集中交易系统一、证券公司计算机信息系统与集中交易系统由图可知，集中交易系统是证券公司计算机信息系统的核心，会计核算所需的信由图可知，集中交易系统是证券公司计算机信息系统的核心，会计核算所需的信息大多从它获取。集中交易系统是证券公司为了将基于营业部分散的交易系统提息大多从它获取。集中交易系统是证券公司为了将基于营业部分散

48、的交易系统提升为基于公司整体的企业级综合经纪业务平台，达到整合企业资源、信息充分共升为基于公司整体的企业级综合经纪业务平台，达到整合企业资源、信息充分共享，提高企业核心竞争力的目的而以证券公司作为一个整体，实现业务集中管理、享，提高企业核心竞争力的目的而以证券公司作为一个整体，实现业务集中管理、集中财务、集中清算、集中交易、统一服务、统一营销、统一监管，建立集中处集中财务、集中清算、集中交易、统一服务、统一营销、统一监管，建立集中处理的业务平台。根据券商规模大小，集中交易系统所采用的数据库类型各有不同，理的业务平台。根据券商规模大小，集中交易系统所采用的数据库类型各有不同，目前集中交易系统、主

49、要采用的数据库类型有目前集中交易系统、主要采用的数据库类型有ORACLE，IBMDB2，SQL-Server,Sybase等。等。证券公司集中交易系统的审计一、证券公司计算机信息系统与集中交易系统一、证券公司计算机信息系统与集中交易系统证券公司集中交易数据库由交易（或称当前数据库）和历史数据库构成。两者的证券公司集中交易数据库由交易（或称当前数据库）和历史数据库构成。两者的主要区别在于，交易数据库当中只存放有最近一段时间的交易流水（具体时间长主要区别在于，交易数据库当中只存放有最近一段时间的交易流水（具体时间长度视数据库而定，无定植）和余额数据资料，而历史数据库中，则存有更长时间度视数据库而定

50、，无定植）和余额数据资料，而历史数据库中，则存有更长时间的流水数据资料和余额数据，以满足更长时间段的查询要求，也可以视其交易数的流水数据资料和余额数据，以满足更长时间段的查询要求，也可以视其交易数据库的备份。之所以这样构建，主要是由于证券公司的业务量大，为提升系统的据库的备份。之所以这样构建，主要是由于证券公司的业务量大，为提升系统的运行速度和运行效率而设备了两个数据库。这里值得一提的是，由于交易数据是运行速度和运行效率而设备了两个数据库。这里值得一提的是，由于交易数据是在每个交易日都不断递增的，因此数据库中所有的余额信息保留的都是当前时点在每个交易日都不断递增的，因此数据库中所有的余额信息保