《证券公司的IT审计素材ppt课件.ppt》由会员分享,可在线阅读,更多相关《证券公司的IT审计素材ppt课件.ppt(49页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、病原体侵入机体,消弱机体防御机能,破坏机体内环境的相对稳定性,且在一定部位生长繁殖,引起不同程度的病理生理过程 证券公司的IT审计 1病原体侵入机体,消弱机体防御机能,破坏机体内环境的相对稳定性,且在一定部位生长繁殖,引起不同程度的病理生理过程 审计计划执行的程序一、总体了解该公司信息技术治理、灾难备份体系建一、总体了解该公司信息技术治理、灾难备份体系建立的情况立的情况二、总体了解相关信息系统的控制并对其风险进行评二、总体了解相关信息系统的控制并对其风险进行评估估三、经纪业务循环三、经纪业务循环四、自营及资管业务循环四、自营及资管业务循环五、了解和评价内部控制的监督是否有效五、了解和评价内部控
2、制的监督是否有效六、了解和评价内部六、了解和评价内部IT审计是否有效审计是否有效七、证券公司集中交易系统的审计七、证券公司集中交易系统的审计2病原体侵入机体,消弱机体防御机能,破坏机体内环境的相对稳定性,且在一定部位生长繁殖,引起不同程度的病理生理过程一、总体了解该公司信息技术治理、灾一、总体了解该公司信息技术治理、灾难备份体系建立的情况难备份体系建立的情况(一)了解信息技术治理情况(一)了解信息技术治理情况1.通过访谈、调查等方法了解该公司执行中国证券业协会和通过访谈、调查等方法了解该公司执行中国证券业协会和中国期货业协会联合制定的中国期货业协会联合制定的证券期货经营机构信息技术证券期货经营
3、机构信息技术治理工作指引(试行)治理工作指引(试行)及深圳证监局下发的及深圳证监局下发的深圳辖区深圳辖区证券公司信息技术治理工作指引(试行)证券公司信息技术治理工作指引(试行)的情况。的情况。2.取得该公司根据上述工作指引进行修订的公司信息技术治取得该公司根据上述工作指引进行修订的公司信息技术治理工作方案及制定的改进措施,总体了解该公司在理工作方案及制定的改进措施,总体了解该公司在“IT原原则和治理目标则和治理目标”、“IT治理组织和工作机制治理组织和工作机制”、“IT架构架构与与IT基础设施基础设施”、“IT应用应用”、“IT投入投入”、“IT人力资人力资源源”、“IT安全和风险控制安全和风
4、险控制”、“信息技术管理制度信息技术管理制度”、“信息技术事故责任与追究信息技术事故责任与追究”及及“违规责任违规责任”等各个方面等各个方面的治理计划及安排,了解改进措施的落实情况。的治理计划及安排,了解改进措施的落实情况。3病原体侵入机体,消弱机体防御机能,破坏机体内环境的相对稳定性,且在一定部位生长繁殖,引起不同程度的病理生理过程一、总体了解该公司信息技术治理、灾一、总体了解该公司信息技术治理、灾难备份体系建立的情况难备份体系建立的情况(1 1)对)对ITIT负责人访谈、调查的结果负责人访谈、调查的结果 在国外,一些领头羊公司对于在国外,一些领头羊公司对于ITIT技术治理非技术治理非常重视
5、,对于其人力以及财力的投常重视,对于其人力以及财力的投 入非常到位,但入非常到位,但是非领头羊公司是非领头羊公司ITIT技术治理的投入有所欠缺,技术治理的投入有所欠缺,ITIT部部门在公司中的地位也较领头羊公司的低。门在公司中的地位也较领头羊公司的低。我国,南方城市,以深圳为代表,对我国,南方城市,以深圳为代表,对ITIT技术技术治理人力财力投入情况较北方城市好,但是总体上治理人力财力投入情况较北方城市好,但是总体上来看,我国对来看,我国对ITIT技术治理方面的投入非常欠缺。技术治理方面的投入非常欠缺。例:航空证券例:航空证券4病原体侵入机体,消弱机体防御机能,破坏机体内环境的相对稳定性,且在
6、一定部位生长繁殖,引起不同程度的病理生理过程一、总体了解该公司信息技术治理、灾一、总体了解该公司信息技术治理、灾难备份体系建立的情况难备份体系建立的情况(1 1)对)对ITIT负责人访谈、调查的结果负责人访谈、调查的结果 航空证券:航空证券:航空证券对航空证券对证券期货经营机构信息技术治理工证券期货经营机构信息技术治理工作指引(试行)作指引(试行)及深圳证监局下发的及深圳证监局下发的深圳辖区深圳辖区证券公司信息技术治理工作指引(试行)证券公司信息技术治理工作指引(试行)的情况的情况 对于这两项文件,航空证券虽努力向其看齐但未对于这两项文件,航空证券虽努力向其看齐但未能完整有效地执行。航空证券能
7、完整有效地执行。航空证券ITIT治理部门在公司地治理部门在公司地位较其应有地位低,推行这两项文件的难度大。位较其应有地位低,推行这两项文件的难度大。5病原体侵入机体,消弱机体防御机能,破坏机体内环境的相对稳定性,且在一定部位生长繁殖,引起不同程度的病理生理过程一、总体了解该公司信息技术治理、灾一、总体了解该公司信息技术治理、灾难备份体系建立的情况难备份体系建立的情况 该公司该公司20102010年年度报告中就内部控制存在的问题及年年度报告中就内部控制存在的问题及改进措施披露如下:改进措施披露如下:公司对公司对证券期货经营机构信息技术治理工作指引(试行)证券期货经营机构信息技术治理工作指引(试行
8、)的工作尚待落实,包括未建立公司的工作尚待落实,包括未建立公司 IT IT 治理组织,未在治理组织,未在IT IT 原则、原则、IT IT 架构、架构、IT IT 基础设施、基础设施、IT IT 应用和应用和 IT IT 投入投入5 5 个方面个方面制定相关制度并建立有效的工作机制,未制定制定相关制度并建立有效的工作机制,未制定 IT IT 风险管理风险管理的策略和相关制度、内部的策略和相关制度、内部 IT IT 审计制度等等。审计制度等等。6病原体侵入机体,消弱机体防御机能,破坏机体内环境的相对稳定性,且在一定部位生长繁殖,引起不同程度的病理生理过程一、总体了解该公司信息技术治理、灾一、总体
9、了解该公司信息技术治理、灾难备份体系建立的情况难备份体系建立的情况 该公司该公司20102010年年度报告中就内部控制存在的问题及年年度报告中就内部控制存在的问题及改进措施披露如下:改进措施披露如下:公司组织相关人员认真学习了公司组织相关人员认真学习了证券期货经营机构信息技术证券期货经营机构信息技术治理工作指引(试行)治理工作指引(试行),成立了公司,成立了公司ITIT治理委员会。在治理委员会。在ITIT委员会的领导下,近期组织相关部门、人员在委员会的领导下,近期组织相关部门、人员在ITIT原则、原则、ITIT构架、构架、ITIT基础设施、基础设施、ITIT应用和应用和ITIT投入投入5 5个
10、方面制定相关制度、个方面制定相关制度、建立有效的工作机制、制定建立有效的工作机制、制定ITIT风险管理策略和相关制度、内风险管理策略和相关制度、内部部ITIT审计制度。审计制度。7病原体侵入机体,消弱机体防御机能,破坏机体内环境的相对稳定性,且在一定部位生长繁殖,引起不同程度的病理生理过程一、总体了解该公司信息技术治理、灾一、总体了解该公司信息技术治理、灾难备份体系建立的情况难备份体系建立的情况(一)了解信息技术治理情况(一)了解信息技术治理情况3.3.重点关注信息技术的一般控制重点关注信息技术的一般控制 通过访谈、调查等方法了解通过访谈、调查等方法了解数据中心和网络运行控制;数据中心和网络运
11、行控制;系统软件的购置、开发及维护控制、修改及维护系统软件的购置、开发及维护控制、修改及维护控制;控制;接触或访问权限控制;接触或访问权限控制;应用系统的购置;应用系统的购置;选择关键点进行检查。选择关键点进行检查。8病原体侵入机体,消弱机体防御机能,破坏机体内环境的相对稳定性,且在一定部位生长繁殖,引起不同程度的病理生理过程一、总体了解该公司信息技术治理、灾一、总体了解该公司信息技术治理、灾难备份体系建立的情况难备份体系建立的情况(一)了解信息技术治理情况(一)了解信息技术治理情况3.3.重点关注信息技术的一般控制重点关注信息技术的一般控制 数据中心和网络运行控制;数据中心和网络运行控制;首
12、先大家知道:计算机和数据安全的具体问题来首先大家知道:计算机和数据安全的具体问题来自于数据处理和电子商务的增长。主要风险是黑自于数据处理和电子商务的增长。主要风险是黑客、计算机病毒、电子窃听机密信息、计算机系客、计算机病毒、电子窃听机密信息、计算机系统故障、或自然灾害。统故障、或自然灾害。9病原体侵入机体,消弱机体防御机能,破坏机体内环境的相对稳定性,且在一定部位生长繁殖,引起不同程度的病理生理过程一、总体了解该公司信息技术治理、灾一、总体了解该公司信息技术治理、灾难备份体系建立的情况难备份体系建立的情况u严格控制网络帐户的开设;严格控制网络帐户的开设;u隐藏系统管理员帐户;隐藏系统管理员帐户
13、;u网络帐户权限设置;网络帐户权限设置;u网络帐户登录限制;网络帐户登录限制;u账户密码的设立;账户密码的设立;u账户密码的保管;账户密码的保管;u账户密码的更新;账户密码的更新;u杜绝病毒来源;杜绝病毒来源;u定期检测和清除病毒;定期检测和清除病毒;u做好数据备份等规章制度做好数据备份等规章制度。该公司针对数据中心和网络控制制定了包括:帐户管理,该公司针对数据中心和网络控制制定了包括:帐户管理,密码管理,病毒防范等制度等相应的规章制度,具体内容:密码管理,病毒防范等制度等相应的规章制度,具体内容:10病原体侵入机体,消弱机体防御机能,破坏机体内环境的相对稳定性,且在一定部位生长繁殖,引起不同
14、程度的病理生理过程一、总体了解该公司信息技术治理、灾一、总体了解该公司信息技术治理、灾难备份体系建立的情况难备份体系建立的情况(一)了解信息技术治理情况(一)了解信息技术治理情况3.3.重点关注信息技术的一般控制重点关注信息技术的一般控制系统软件的购置、开发及维护控制、修改及维护控制系统软件的购置、开发及维护控制、修改及维护控制 公司电脑部统一规划各分支机构的软件平台,所有分支机公司电脑部统一规划各分支机构的软件平台,所有分支机构电脑系统软件的选购、开发、测试、安装均由公司电构电脑系统软件的选购、开发、测试、安装均由公司电脑部统一批准进行,任何分支机构不得试用、安装、运脑部统一批准进行,任何分
15、支机构不得试用、安装、运行未经允许的电脑软件。(经测试杀毒软件各营业部不行未经允许的电脑软件。(经测试杀毒软件各营业部不一致、不统一,存在管理漏洞)一致、不统一,存在管理漏洞)公司电脑部对应用软件系统的修改、升级、测试、发布实公司电脑部对应用软件系统的修改、升级、测试、发布实施统一管理。施统一管理。11病原体侵入机体,消弱机体防御机能,破坏机体内环境的相对稳定性,且在一定部位生长繁殖,引起不同程度的病理生理过程一、总体了解该公司信息技术治理、灾一、总体了解该公司信息技术治理、灾难备份体系建立的情况难备份体系建立的情况(一)了解信息技术治理情况(一)了解信息技术治理情况3.3.重点关注信息技术的
16、一般控制重点关注信息技术的一般控制接触或访问权限控制接触或访问权限控制 公司电脑部对交易业务数据实行专人管理。分支机构核心公司电脑部对交易业务数据实行专人管理。分支机构核心交易数据库管理员的权限由分支机构电脑部负责人管理。交易数据库管理员的权限由分支机构电脑部负责人管理。任何人无权擅自对交易系统中的交易业务数据进行修改。任何人无权擅自对交易系统中的交易业务数据进行修改。为维护电脑系统历史数据的安全性和准确性,对因差错造为维护电脑系统历史数据的安全性和准确性,对因差错造成的电脑数据出错的情况,原则上由分支机构在柜台系成的电脑数据出错的情况,原则上由分支机构在柜台系统中,利用相关的功能模块,做反向
17、的操作进行调整。统中,利用相关的功能模块,做反向的操作进行调整。12病原体侵入机体,消弱机体防御机能,破坏机体内环境的相对稳定性,且在一定部位生长繁殖,引起不同程度的病理生理过程一、总体了解该公司信息技术治理、灾一、总体了解该公司信息技术治理、灾难备份体系建立的情况难备份体系建立的情况(一)了解信息技术治理情况(一)了解信息技术治理情况3.3.重点关注信息技术的一般控制重点关注信息技术的一般控制接触或访问权限控制接触或访问权限控制若数据差错严重,必须采取手工修改才能保障数据的一致若数据差错严重,必须采取手工修改才能保障数据的一致性,必须上报公司电脑部总经理和经纪业务部总经理,由性,必须上报公司
18、电脑部总经理和经纪业务部总经理,由主管副总经理批准后方可调整,在调整过程中,必须在工主管副总经理批准后方可调整,在调整过程中,必须在工作日志中详细记录原因和具体的实施时间和步骤。作日志中详细记录原因和具体的实施时间和步骤。日期日期服务器名服务器名操作系统操作系统用户名用户名批准人(总批准人(总经理)经理)修改人修改人监督人监督人13病原体侵入机体,消弱机体防御机能,破坏机体内环境的相对稳定性,且在一定部位生长繁殖,引起不同程度的病理生理过程一、总体了解该公司信息技术治理、灾一、总体了解该公司信息技术治理、灾难备份体系建立的情况难备份体系建立的情况(一)了解信息技术治理情况(一)了解信息技术治理
19、情况3.3.重点关注信息技术的一般控制重点关注信息技术的一般控制接触或访问权限控制接触或访问权限控制 分支机构电脑部须建立交易系统权限管理制度,并报公司分支机构电脑部须建立交易系统权限管理制度,并报公司电脑部审定,严格按照业务要求对各类操作进行权限的电脑部审定,严格按照业务要求对各类操作进行权限的设置,同时建立用户权限管理文档,对各类系统用户和设置,同时建立用户权限管理文档,对各类系统用户和应用程序用户进行登记,并及时记录变动情况。应用程序用户进行登记,并及时记录变动情况。柜台交易系统的权限的设置和变动必须由相应的管理部门柜台交易系统的权限的设置和变动必须由相应的管理部门出具详细的权限变动书面
20、说明并经分支机构负责人批准出具详细的权限变动书面说明并经分支机构负责人批准后执行。后执行。柜台交易系统中的系统权限由分支机构电脑部管理;应用柜台交易系统中的系统权限由分支机构电脑部管理;应用权限由业务部门负责管理。权限由业务部门负责管理。柜台人员转岗后,其相应的操作权限应立刻予以调整。柜台人员转岗后,其相应的操作权限应立刻予以调整。14病原体侵入机体,消弱机体防御机能,破坏机体内环境的相对稳定性,且在一定部位生长繁殖,引起不同程度的病理生理过程一、总体了解该公司信息技术治理、灾一、总体了解该公司信息技术治理、灾难备份体系建立的情况难备份体系建立的情况(一)了解信息技术治理情况(一)了解信息技术
21、治理情况3.3.重点关注信息技术的一般控制重点关注信息技术的一般控制应用系统的购置应用系统的购置 公司电脑部统一规划和购置。公司电脑部统一规划和购置。公司电脑部统一规划和建设各分支机构的硬件平台和网络公司电脑部统一规划和建设各分支机构的硬件平台和网络通讯系统,未经公司电脑部的许可,不得擅自调换在线通讯系统,未经公司电脑部的许可,不得擅自调换在线硬件设备或调整网络结构。硬件设备或调整网络结构。选择关键点进行检查(链接至选择关键点进行检查(链接至wordword版证券公司的版证券公司的ITIT审计审计1 1)。)。15病原体侵入机体,消弱机体防御机能,破坏机体内环境的相对稳定性,且在一定部位生长繁
22、殖,引起不同程度的病理生理过程一、总体了解该公司信息技术治理、灾一、总体了解该公司信息技术治理、灾难备份体系建立的情况难备份体系建立的情况(二)了解灾难备份体系建立情况(二)了解灾难备份体系建立情况 通过访谈、调查等方法了解该公司灾难备份体系的建设模式、灾难通过访谈、调查等方法了解该公司灾难备份体系的建设模式、灾难备份体系的建立、灾难备份中心选址及供应商的选择。备份体系的建立、灾难备份中心选址及供应商的选择。取得经深圳证监局审阅后的灾难备份体系的工作方案,具体了解实施灾取得经深圳证监局审阅后的灾难备份体系的工作方案,具体了解实施灾难备份体系的组织架构、灾难备份的策略及目标、技术方案设计、拟投难
23、备份体系的组织架构、灾难备份的策略及目标、技术方案设计、拟投入的费用安排、选址工作安排、人员安排、建设进度表等内容。入的费用安排、选址工作安排、人员安排、建设进度表等内容。航空证券建立了比较完善的灾难备份体系,旨在防止公司交易中心航空证券建立了比较完善的灾难备份体系,旨在防止公司交易中心的交易系统遭受人为破坏,病毒、黑客攻击,及网络故障或发生自然灾的交易系统遭受人为破坏,病毒、黑客攻击,及网络故障或发生自然灾害,导致交易系统无法正常运行时,我们可以快速有效地切换到备份系害,导致交易系统无法正常运行时,我们可以快速有效地切换到备份系统,保证公司各项业务安全、稳定、高效运行,特制订本预案。灾难备统
24、,保证公司各项业务安全、稳定、高效运行,特制订本预案。灾难备份中心选址上海。详细内容见灾难备份预案及应急演练记录复印件。份中心选址上海。详细内容见灾难备份预案及应急演练记录复印件。上述信息技术的一般控制检查底稿中第三项就是备份措施检查上述信息技术的一般控制检查底稿中第三项就是备份措施检查。16病原体侵入机体,消弱机体防御机能,破坏机体内环境的相对稳定性,且在一定部位生长繁殖,引起不同程度的病理生理过程(一)(一)通过访谈、穿行测试等方式,了解该通过访谈、穿行测试等方式,了解该公司与财务报告相关的信息系统(如柜台交公司与财务报告相关的信息系统(如柜台交易系统、法人清算系统、实时监控系统、财易系统
25、、法人清算系统、实时监控系统、财务系统、资管系统、办公自动化系统等):务系统、资管系统、办公自动化系统等):(1 1)信息系统中对交易生成、记录、处理和报告的程序;)信息系统中对交易生成、记录、处理和报告的程序;同时考虑将交易系统中的数据过入财务系统(总分类账和财同时考虑将交易系统中的数据过入财务系统(总分类账和财务报告)的程序务报告)的程序(2 2)与交易生成、记录、处理和报告有关的会计记录、支)与交易生成、记录、处理和报告有关的会计记录、支持性信息和财务报表中的特定项目持性信息和财务报表中的特定项目经了解该公司与财务报告相关的信息系统有新意系统(清算)经了解该公司与财务报告相关的信息系统有
26、新意系统(清算)、金正系统(柜台)和用友、金正系统(柜台)和用友NCNC系统(财务系统)、风险控制系统(财务系统)、风险控制系统(金仕达),而办公自动化系统尚未启用。详见系统结系统(金仕达),而办公自动化系统尚未启用。详见系统结构图:构图:二、总体了解相关信息系统的控制并对二、总体了解相关信息系统的控制并对其风险进行评估其风险进行评估17病原体侵入机体,消弱机体防御机能,破坏机体内环境的相对稳定性,且在一定部位生长繁殖,引起不同程度的病理生理过程二、总体了解相关信息系统的控制并对二、总体了解相关信息系统的控制并对其风险进行评估其风险进行评估18病原体侵入机体,消弱机体防御机能,破坏机体内环境的
27、相对稳定性,且在一定部位生长繁殖,引起不同程度的病理生理过程二、总体了解相关信息系统的控制并对二、总体了解相关信息系统的控制并对其风险进行评估其风险进行评估19病原体侵入机体,消弱机体防御机能,破坏机体内环境的相对稳定性,且在一定部位生长繁殖,引起不同程度的病理生理过程二、总体了解相关信息系统的控制并对二、总体了解相关信息系统的控制并对其风险进行评估其风险进行评估金正系统记录全天的柜台交易记录金正系统记录全天的柜台交易记录(已查看金证交易系统已查看金证交易系统的使用手册、记录及报告交易的流程的使用手册、记录及报告交易的流程),新意系统记录全,新意系统记录全天清算数据,财务人员根据上述系统的数据
28、将相关信息手天清算数据,财务人员根据上述系统的数据将相关信息手工录入用友工录入用友NC系统。系统。为保证柜台数据、清算数据、财务数据完全一致,每日总为保证柜台数据、清算数据、财务数据完全一致,每日总部客户资产存管部、总部计划财务部及各营业部在交易结部客户资产存管部、总部计划财务部及各营业部在交易结束后核对相关数据保证交易生成、记录、处理和报告的数束后核对相关数据保证交易生成、记录、处理和报告的数据一致。据一致。20病原体侵入机体,消弱机体防御机能,破坏机体内环境的相对稳定性,且在一定部位生长繁殖,引起不同程度的病理生理过程二、总体了解相关信息系统的控制并对二、总体了解相关信息系统的控制并对其风
29、险进行评估其风险进行评估与交易生成、记录、处理和报告有关的会计记录、支持性信息和财务与交易生成、记录、处理和报告有关的会计记录、支持性信息和财务报表中的特定项目报表中的特定项目财务人员将金正系统和新意系统的信息打印出来,作为会计凭证的附财务人员将金正系统和新意系统的信息打印出来,作为会计凭证的附件以支持会计记录的内容。用友件以支持会计记录的内容。用友NCNC系统自动将录入的信息过入总账、系统自动将录入的信息过入总账、自动生成财务表表。自动生成财务表表。风险控制系统涵盖经济、自营业务;指标全面,但对承销业务无监控。风险控制系统涵盖经济、自营业务;指标全面,但对承销业务无监控。公司拟利用技术手段实
30、现监管机构对公司各项业务的风险监控(证监公司拟利用技术手段实现监管机构对公司各项业务的风险监控(证监局的要求)。因证券公司风险控制指标动态监控系统指引局的要求)。因证券公司风险控制指标动态监控系统指引20092009年年2 2月月颁布,公司尚未制定相应的风控制度,公司尚未做到每季度评估一次颁布,公司尚未制定相应的风控制度,公司尚未做到每季度评估一次动态监控系统的有效性动态监控系统的有效性 。21病原体侵入机体,消弱机体防御机能,破坏机体内环境的相对稳定性,且在一定部位生长繁殖,引起不同程度的病理生理过程二、总体了解相关信息系统的控制并对二、总体了解相关信息系统的控制并对其风险进行评估其风险进行
31、评估(二)了解信息技术对内部控制是否产生下(二)了解信息技术对内部控制是否产生下述特定风险:述特定风险:(1 1)系统或程序未能正确处理数据,或处理了不正确的数)系统或程序未能正确处理数据,或处理了不正确的数据,据,或两种情况同时并存;或两种情况同时并存;(2 2)在未得到授权情况下访问数据)在未得到授权情况下访问数据,可能导致数据可能导致数据 的毁损的毁损或对数据不恰当的修改,包括记录未经授权或不存在的交易,或对数据不恰当的修改,包括记录未经授权或不存在的交易,或不正确地记录了交易;或不正确地记录了交易;(3 3)信息技术人员可能获得超越其履行职责以外)信息技术人员可能获得超越其履行职责以外
32、 的数据访的数据访问权限,破坏了系统应有的职责分工;问权限,破坏了系统应有的职责分工;(4 4)未经授权改变主文)未经授权改变主文 档的数据;档的数据;(5)未经授权改变系统或程序;)未经授权改变系统或程序;(6)未能对系统或程序作出必要的修改;)未能对系统或程序作出必要的修改;(7)不恰当的人为干预;)不恰当的人为干预;(8)数据丢失的风险或不能访问所需要的数据。)数据丢失的风险或不能访问所需要的数据。22病原体侵入机体,消弱机体防御机能,破坏机体内环境的相对稳定性,且在一定部位生长繁殖,引起不同程度的病理生理过程二、总体了解相关信息系统的控制并对二、总体了解相关信息系统的控制并对其风险进行
33、评估其风险进行评估(二)了解信息技术对内部控制是否产生下(二)了解信息技术对内部控制是否产生下述特定风险:述特定风险:从我们了解到该公司信息技术的基本情况、以前年度该从我们了解到该公司信息技术的基本情况、以前年度该公司发生过的违规、违纪事实和我们对信息技术系统控制的公司发生过的违规、违纪事实和我们对信息技术系统控制的经验判断,上述控制风险均有可能存在。经验判断,上述控制风险均有可能存在。如:处理了不正确的数据,利率设置错误、返佣比率设如:处理了不正确的数据,利率设置错误、返佣比率设置错误均可能导致不正确的数据处理。置错误均可能导致不正确的数据处理。历史上该公司个别营业部在柜台交易系统的设置方面
34、存历史上该公司个别营业部在柜台交易系统的设置方面存在内部查询与外部查询的区别,分别以内部查询和外部查询在内部查询与外部查询的区别,分别以内部查询和外部查询检查客户保证金,在检查客户保证金,在“流水摘要流水摘要”方面显示不同的信息,若方面显示不同的信息,若不授予稽核人员以内部查询权限,则不能查询出真实的业务不授予稽核人员以内部查询权限,则不能查询出真实的业务信息。信息。23病原体侵入机体,消弱机体防御机能,破坏机体内环境的相对稳定性,且在一定部位生长繁殖,引起不同程度的病理生理过程二、总体了解相关信息系统的控制并对二、总体了解相关信息系统的控制并对其风险进行评估其风险进行评估(二)了解信息技术对
35、内部控制是否产生下(二)了解信息技术对内部控制是否产生下述特定风险:述特定风险:历史上各营业部的超级柜员均掌握在电脑部经理的手中,由电脑部经理给各历史上各营业部的超级柜员均掌握在电脑部经理的手中,由电脑部经理给各位柜员授予权限,对电脑部经理的权限缺乏有效的制约,如龙华营业部电脑部经位柜员授予权限,对电脑部经理的权限缺乏有效的制约,如龙华营业部电脑部经理以手中掌握的超级柜员从后台进入数据库,更改了数据,以达到掩盖其挪用客理以手中掌握的超级柜员从后台进入数据库,更改了数据,以达到掩盖其挪用客户保证金的目的。历史上发生的户保证金的目的。历史上发生的巴林银行案件:巴林银行案件:17631763年,弗朗
36、西斯年,弗朗西斯巴林爵士在伦敦创建了巴林银行,它是世界首家巴林爵士在伦敦创建了巴林银行,它是世界首家“商业商业银行银行”,既为客户提供资金和有关建议,自己也做买卖。里森于,既为客户提供资金和有关建议,自己也做买卖。里森于19921992年在新加坡年在新加坡任期货交易员时,巴林银行原本有一人帐号为任期货交易员时,巴林银行原本有一人帐号为“99905”“99905”的的“错误帐号错误帐号”,专门处,专门处理交易过程中因疏忽所造成的错误。这原是一个金融体系运作过程中正常的错误理交易过程中因疏忽所造成的错误。这原是一个金融体系运作过程中正常的错误帐户。帐户。19921992年夏天,伦敦总部全面负责清算
37、工作的哥顿年夏天,伦敦总部全面负责清算工作的哥顿鲍塞给里森打了一个电鲍塞给里森打了一个电话,要求里森另设立一个话,要求里森另设立一个“错误帐户错误帐户”,记录较小的错误,并自行在新加坡处理,记录较小的错误,并自行在新加坡处理,以免麻烦伦敦的工作,于是里森马上找来了负责办公室清算的利塞尔,向她咨询以免麻烦伦敦的工作,于是里森马上找来了负责办公室清算的利塞尔,向她咨询是否可以另立一个档案,很快,利塞尔就在电脑里键入了一些命令,问他需要什是否可以另立一个档案,很快,利塞尔就在电脑里键入了一些命令,问他需要什么帐号,在中国文化里么帐号,在中国文化里“8”“8”是一个非常吉利的数字,因此里森以此作为他的
38、吉祥是一个非常吉利的数字,因此里森以此作为他的吉祥数字,由于帐号必须是五位数,这样帐号为数字,由于帐号必须是五位数,这样帐号为“88888”“88888”的的“错误帐户错误帐户”便诞生了。便诞生了。24病原体侵入机体,消弱机体防御机能,破坏机体内环境的相对稳定性,且在一定部位生长繁殖,引起不同程度的病理生理过程二、总体了解相关信息系统的控制并对二、总体了解相关信息系统的控制并对其风险进行评估其风险进行评估 (二)了解信息技术对内部控制是否产生下(二)了解信息技术对内部控制是否产生下述特定风险:述特定风险:历史上发生的历史上发生的巴林银行案件:巴林银行案件:几周之后,伦敦总部又打来电话,总部配置
39、了新的电脑,要求新加坡几周之后,伦敦总部又打来电话,总部配置了新的电脑,要求新加坡分行还是按老规矩行事,所有的错误记录仍由分行还是按老规矩行事,所有的错误记录仍由“99905”“99905”帐户直接向伦敦帐户直接向伦敦报告。报告。“88888”“88888”错误帐户刚刚建立就被搁置不用了,但它却成为一个真错误帐户刚刚建立就被搁置不用了,但它却成为一个真正的正的“错误帐户错误帐户”存于电脑之中。而且总部这时已经注意到新加坡分行存于电脑之中。而且总部这时已经注意到新加坡分行出现的错误很多,但里森都巧妙地搪塞而过。出现的错误很多,但里森都巧妙地搪塞而过。“88888”“88888”这个被人忽略的这个
40、被人忽略的帐户,提供了里森日后制造假帐的机会,如果当时取消这一帐户,则巴帐户,提供了里森日后制造假帐的机会,如果当时取消这一帐户,则巴林的历史可能会重写了。林的历史可能会重写了。25病原体侵入机体,消弱机体防御机能,破坏机体内环境的相对稳定性,且在一定部位生长繁殖,引起不同程度的病理生理过程二、总体了解相关信息系统的控制并对二、总体了解相关信息系统的控制并对其风险进行评估其风险进行评估法国兴业银行的案件:法国兴业银行的案件:法国兴业银行法国兴业银行20082008年年1 1月月2727日公布了该行对交易员柯维尔造成日公布了该行对交易员柯维尔造成4949亿欧元损失亿欧元损失的异常违规交易的调查结
41、果。柯维尔从的异常违规交易的调查结果。柯维尔从20002000年起开始在该集团任职,起初五年年起开始在该集团任职,起初五年在包括监督部门的多个中间部门工作过,因此他对于银行内部整个交易的流程在包括监督部门的多个中间部门工作过,因此他对于银行内部整个交易的流程和风控都有很充分的了解。从和风控都有很充分的了解。从20052005年开始,他在套汇部门做交易员。年开始,他在套汇部门做交易员。法兴称,为了防范风险,银行为套汇交易设置了多处风险控制机制,来监法兴称,为了防范风险,银行为套汇交易设置了多处风险控制机制,来监控运营、金融工具投资组合市场价格变动等风险。柯维尔的异常违规交易是千控运营、金融工具投
42、资组合市场价格变动等风险。柯维尔的异常违规交易是千方百计规避了这些风控。比如,他对投资组合方百计规避了这些风控。比如,他对投资组合B B做出了虚构的卖出操作,以造成做出了虚构的卖出操作,以造成买进投资组合买进投资组合A A已被抵消的假象。这些虚构的操作均被计入在法兴的系统中,因已被抵消的假象。这些虚构的操作均被计入在法兴的系统中,因此初期蒙蔽了公司的监控。这使得该交易员得以掩盖与银行正常交易毫无关联此初期蒙蔽了公司的监控。这使得该交易员得以掩盖与银行正常交易毫无关联的巨大投机仓位的巨大投机仓位A A。法兴表示,为了避免那些虚构仓位不被银行方面即时监控,柯维尔通过在法兴表示,为了避免那些虚构仓位
43、不被银行方面即时监控,柯维尔通过在后台流程控制方面的多年经验成功地避开了银行的所有风控设置。第一,他通后台流程控制方面的多年经验成功地避开了银行的所有风控设置。第一,他通过设计虚构的特征来降低被风控部门发现的机会。首先,选择一些不要求现金过设计虚构的特征来降低被风控部门发现的机会。首先,选择一些不要求现金流动或者保证金的操作,以避免对于即时确认的要求;第二,从操作部门盗用流动或者保证金的操作,以避免对于即时确认的要求;第二,从操作部门盗用了了ITIT密码来对他的交易行为进行删除;第三,伪造文件来进行虚构操作;第四,密码来对他的交易行为进行删除;第三,伪造文件来进行虚构操作;第四,确保每一次虚构
44、操作使用的金融工具都不同于前一笔删除的操作。确保每一次虚构操作使用的金融工具都不同于前一笔删除的操作。26病原体侵入机体,消弱机体防御机能,破坏机体内环境的相对稳定性,且在一定部位生长繁殖,引起不同程度的病理生理过程二、总体了解相关信息系统的控制并对二、总体了解相关信息系统的控制并对其风险进行评估其风险进行评估(三)评估信息系统的控制缺陷、信息系统(三)评估信息系统的控制缺陷、信息系统生成数据的质量,评估重大错报风险,及生成数据的质量,评估重大错报风险,及其对财务报告的影响其对财务报告的影响 公司尚未结合本单位的实际情况,制定落实公司尚未结合本单位的实际情况,制定落实证券期货经营机构信证券期货
45、经营机构信息技术治理工作指引(试行)息技术治理工作指引(试行)的工作方案,包括未建立公司的工作方案,包括未建立公司 IT IT 治治理组织,未在理组织,未在IT IT 原则、原则、IT IT 架构、架构、IT IT 基础设施、基础设施、IT IT 应用和应用和 IT IT 投入投入5 5 个方面制定相关制度并建立有效的工作机制,未制定个方面制定相关制度并建立有效的工作机制,未制定 IT IT 风险管理风险管理的策略和相关制度、内部的策略和相关制度、内部 IT IT 审计制度等等。审计制度等等。风险控制系统覆盖范围不全面,风险控制指标动态监控制度尚不完善,风险控制系统覆盖范围不全面,风险控制指标
46、动态监控制度尚不完善,公司尚未做到每季度评估一次动态监控系统的有效性公司尚未做到每季度评估一次动态监控系统的有效性 。自营账户中存在财务与交易系统中数据不一致情况;自营账户中存在财务与交易系统中数据不一致情况;交易系统中记录客户证券余额与证券交易所余额不一致的情况。交易系统中记录客户证券余额与证券交易所余额不一致的情况。上述信息系统的控制缺陷和信息系统生成数据的质量问题可能会影上述信息系统的控制缺陷和信息系统生成数据的质量问题可能会影响财务报告的真实性、准确性和完整性。响财务报告的真实性、准确性和完整性。27病原体侵入机体,消弱机体防御机能,破坏机体内环境的相对稳定性,且在一定部位生长繁殖,引
47、起不同程度的病理生理过程三、经纪业务循环三、经纪业务循环通过访谈、穿行测试等方式,了解柜台交易系统、法人清通过访谈、穿行测试等方式,了解柜台交易系统、法人清算系统、实时监控系统等,评估相关系统的控制缺陷及生算系统、实时监控系统等,评估相关系统的控制缺陷及生成数据的质量成数据的质量从底层数据库中导出客户资金余额、客户证券余额,与财从底层数据库中导出客户资金余额、客户证券余额,与财务系统、法人清算系统、实时监控系统、登记公司函证或务系统、法人清算系统、实时监控系统、登记公司函证或对账数据核对对账数据核对检索交易量、资金余额、证券市值居前的账户;检索资金检索交易量、资金余额、证券市值居前的账户;检索
48、资金余额为负、股份余额为负、资产总额为负的账户;检索存余额为负、股份余额为负、资产总额为负的账户;检索存在特殊操作记录(如红冲蓝补、资金内转、强制现金取出、在特殊操作记录(如红冲蓝补、资金内转、强制现金取出、资金调整、股份调整、证券代码迁移等)的账户,并对上资金调整、股份调整、证券代码迁移等)的账户,并对上述账户进行调查分析。述账户进行调查分析。至于如何从底层数据库中导出所需数据和如何检索所需至于如何从底层数据库中导出所需数据和如何检索所需信息我在后面证券公司集中交易系统的审计讲解中会说到。信息我在后面证券公司集中交易系统的审计讲解中会说到。28病原体侵入机体,消弱机体防御机能,破坏机体内环境
49、的相对稳定性,且在一定部位生长繁殖,引起不同程度的病理生理过程四、自营及资管业务循环四、自营及资管业务循环从自营及资管系统中导出自营及资管账户清单、从自营及资管系统中导出自营及资管账户清单、资金余额、证券余额,与财务系统、法人清算资金余额、证券余额,与财务系统、法人清算系统、实时监控系统、登记公司函证或对账数系统、实时监控系统、登记公司函证或对账数据核对据核对导出当年自营及资管的交易流水,筛选大额交导出当年自营及资管的交易流水,筛选大额交易等,提交财务审计人员对交易重新计算或运易等,提交财务审计人员对交易重新计算或运用分析性程序,判断入帐金额的准确性。用分析性程序,判断入帐金额的准确性。至于如
50、何从底层数据库中导出所需数据和如何至于如何从底层数据库中导出所需数据和如何检索所需信息我在后面证券公司集中交易系统检索所需信息我在后面证券公司集中交易系统的审计讲解中会说到。的审计讲解中会说到。29病原体侵入机体,消弱机体防御机能,破坏机体内环境的相对稳定性,且在一定部位生长繁殖,引起不同程度的病理生理过程五、了解和评价内部控制的监督是否有效五、了解和评价内部控制的监督是否有效了解该公司与了解该公司与ITIT相关的内部控制的监督活动,并了解如何相关的内部控制的监督活动,并了解如何采取纠正措施。采取纠正措施。了解该公司了解该公司ITIT相关控制的持续监督活动和专门的评价活动。相关控制的持续监督活