您当前的位置:首页 > 企业新闻

浅析IT内审在证券风险防范中的作用【资讯】

2019-02-22 01:10:59

摘要:随着集中交易的全面普及,经纪业务的风险转化为技术风险,技术系统对公司交易、经营变得空前重要。由此,催生了两个前所未有的概念,即系统灾备和IT内审。

关键词:马光悌

2000年后,随着集中交易的全面普及,经纪业务的风险转化为技术风险,技术系统对公司交易、经营变得空前重要。由此,催生了两个前所未有的概念,即系统灾备和IT内审。目的在于,从看得见的系统和无形的制度两个不同的角度上,保证技术乃至交易手段的正常运转。本文将论及后者,即证券公司的IT内审。

分清内容和要求

随着证券公司集中交易系统的建设完成,证券行业的证券业务系统、办公系统、财务系统等全部依赖信息系统平台的支撑,信息系统的安全性、有效性、合理性对于公司的生存与发展变得至关重要。IT内审,就是公司审计人员收集并评估证据,以判断一个计算机信息系统的合规性、安全性、可靠性和有效性。其中合规性主要是指计算机信息系统和相关设计的物理安全、逻辑安全以及相关数据文件和信息的安全。可靠性是指系统运行稳定、易于维护,和处理系统的及时、准确和完整。有效性是关于人力、财力和计算机软硬件系统的充分利用。合规性就是指计算机信息系统内部开发或者系统运行管理和使用维护等是否符合有关法规、规章、和规范。

IT内审的依据

证券公司应建立一套完整的内部评审体系。

IT内审评估体系可另设,也可先在稽核部门增设此功能。甚至可以每年通过外聘的审计事务所对公司信息系统进行审计。

此体系应该隔断与信息部门的建设、立项等事项的一切人事联系,更不可有外部人员兼职于其中。它将独立地以定期或不定期审计的方式运作,以便发现问题的苗头,及时提出预警。

证券信息系统建设必须进行项目立项申请,在立项申请前必须出具项目的可行性报告,并组织相关部门及行业专家对项目进行评估后,才开始进行项目建设,并根据公司采购招标流程进行信息系统设备的采购。

证券信息系统运行的内审,在集中交易后更显出积极意义。集中交易使证券公司所有的营业部到交易所的交易成为“华山一条路”,而“墨菲定理”揭示出,这样的架构肯定存在出问题的必然性。那么,抓住这种必然性的规律,将损失减到最小,就是对系统运行内审的重大任务。

如何看待IT内审成本

显而易见,IT内审的成本会增加IT的总投入。这个成本在完全没有事故隐患的情况下会被看作是一种浪费,但“完全没有事故隐患”是不存在的,特别对“天量”级别交易量下的证券集中交易而言。据悉,美国空军一架战机设计中,安全弹射系统占20%的费用,而且将严重地降低其空中格斗性能,但设计者坚持认为,这部分投入从整体看是合理的。这种概念有助于我们正确看待IT内审的成本。

当然,降低成本永远是经营管理者关注的问题。实施IT内部审计,公司降低信息系统风险、提高信息系统效率是其收益,内部审计人员的薪酬等是其成本,只有当收益大于成本时,建立内部审计才是经济的。对于规模相对较大的企业,建立完善的内部审计体系无疑是理性的,对于中小企业而言,可以将IT审计外包给会计与审计服务中介。[page]

IT内审审什么

对于证券公司的IT内审,更加侧重对系统安全性、可靠性的审计。企业首先要确定一个审计的对象。这个审计的对象就是包括总部及下属各营业部使用的计算机系统、网络系统,还有信息技术基础设施和环境。

审计工作主要包括计算机信息系统开发审计、内部控制功能审计、系统运行管理审计、计算机基础设施管理审计、科技综合管理审计等几方面。开发审计主要包括系统开发计划和立项的管理、可行性分析、开发组织管理、开发过程控制、委托开发的管理、系统需求、系统分析、系统设计、数据迁移、系统试运行等方面的审计。对系统运行管理的审计主要是包括有关制度的建设、岗位设置和人员管理、系统运行的环境、系统软硬件的管理、网络和通信的管理、口令的管理、数据输入和输出的管理、病毒防范的管理、防灾和应急的管理、系统维护升级和废止的管理。对于系统内部功能的审计主要包括系统访问控制、权限控制、系统安全策略和系统功能的设置、数据输入输出控制、数据传输控制、数据库控制、日志文件控制、数据备份和恢复的控制等功能。

对计算机基础设施的管理审计主要包括计算机机房管理、网络管理和个人办公计算机管理。对于计算机机房管理的审计主要是机房的门禁系统、空调系统、防灾系统的管理情况,还有机房管理制度的建立健全情况,相关设备的维护情况。对网络管理的审计主要包括网络整体结构设计合理性、网络安全防护能力、持续稳定运行能力、网络管理、网络维护、网络制度和措施的建立健全和执行情况。对于个人办公用计算机的管理和审计主要是系统的配置、维护和适用。

对科技综合管理情况的审计主要包括对计划的管理、对资金的管理、对设备的管理、对外包服务的管理、还有计算机安全的管理。

开展计算机系统内部审计工作,除了要运用审计的一般性方法和手段以外,还要根据审计工具的特殊性,结合实际情况,在审计的各个阶段探索并运用一系列特有的技术方法和手段。审前准备充分运用问卷、调查、走访等方法,了解和掌握准备要审计的信息系统的有关基本情况,主要包括业务的内容和流程、有关制度的要求、系统的基本功能、系统基本控制的主要机制、系统运行的总体情况以及存在的主要问题。

在开展上述工作的基础上,还要通过绘制流程图等方法,对审计系统的固有风险进行初步分析,并对其内部控制机制进行一个初步的评估,以确定审计的重点。然后拟定详细、具体可操作的审计实施方案,明确审计内容和重点。

信息中心是信息系统建设和运行维护的主体,对内审工作的顺利进行与否起着关键的作用。信息中心在IT内审中可以根据财务部门或其他相关部门的需要,提供审计过程中的相关审计资料和数据。由于信息中心对信息系统的实际情况最为了解,最能提出信息系统整个流程中的风险点,IT内审人员可以从信息部门选拔,但他们必须任职于内审部门方可开展工作。

当前,证券市场交易量的持续攀升考验着各式各样的交易系统,给证券信息技术带来最直接的需求都是同样的“扩容、扩容、再扩容”,以应付投资者越来越高的要求。扩容的进程扰乱了本来有序进行的证券信息系统建设,为了让火车顺利前进,有人要修轮子有人要换轮子,目的都是相同的。置身于这股潮流之中,更需要我们有冷静的头脑,在与技术系统、硬件软件" 纠缠不清的忙碌中,如何慎重思考IT制度的重要性,从而将IT内部审计真正推上它应有的位置。

责编:qwenf

申请资质

河湖整治工程专业承包资质代办

城市道路照明资质

推荐阅读
图文聚焦