中小证券公司信息系统审计的问题与对策
开篇:润墨网以专业的文秘视角,为您筛选了一篇中小证券公司信息系统审计的问题与对策范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
证券公司的业务开展和管理离不开信息系统,信息系统在证券公司经纪业务、自营投资业务、融资融券业务、客户资产管理业务以及业务清算、财务核算、风险监控、合规管理等业务活动与经营管理中广泛应用,已经成为为证券公司经营管理提供关键服务的核心资源。证券公司在获得信息技术带来的效率和收益的同时,也面临着更为严峻的风险,这种风险逐渐引起行业监管部门与公司管理者的高度重视。而现代内部审计的理念协助企业防范风险,作为企业内部控制组成的内部审计部门,如何有效的开展IT审计,通过审计促进证券公司管理IT风险、实现信息系统的安全运行和公司其他目标,是我们必须思考的问题。
一、证券公司开展信息系统内部审计面临的问题和难点
(一)中小券商IT审计环境有待改善。
《证券期货经营机构信息技术治理工作指引》要求“证券公司应建立内部IT 审计制度,至少每两年进行一次IT 审计”,但一些中小券商的IT内部审计业务开展还不够深入。首先表现为公司高层对IT内部审计认识不足、信心不足:一是对内部审计的认识依然停留在传统的财务审计领域;二是认为内部审计难以胜任,信息系统专业性强而内部审计根本不具备专业能力。其次,作为被审部门的信息技术部门因其专业性强的特点,从未接受过内部审计,因此,工作上存在抵触情绪。再次,内审部门的人员也有畏难情绪,一旦IT审计不到位,必将加大审计风险。上述情况导致其内部审计很难在该领域有效开展。
(二)信息系统审计资源限制。
IT审计人员与审计技术工具是影响信息系统审计的两个重要资源因素。内部审计准则第28号要求,IT审计人员应当通晓IT技术并掌握内控、管理和审计技能。而实际工作中,在企业具有多年IT从业经验又具备审计技能的复合型人才较为缺乏。2002年中国大陆引入注册信息系统审计师(CISA)考试培训以来,截止目前获得CISA资格的人也仅1000余人,专业人才资源的缺乏制约了券商有效开展专业的信息技术审计。
审计技术工具是影响IT审计系统质量与效果的另一个关键因素。鉴于IT审计技术性和专业性极强的特点,内部审计部门配备访问控制分析软件、系统配置分析软件、测试数据生成器、固件监测器等技术工具往往又受制于企业的财务预算限制和公司对信息技术的安排。
(三)信息系统审计标准缺乏。
COSO-ERM框架提出企业的风险管理应建立在一系列指标或标杆基础上实施事项识别、风险评估与应对。证监会2011年12月以行业标准(JR/T 0060-2010)形式颁发的《证券期货业信息系统安全等级保护基本要求》也对证券公司设置了五个等级的安全保护能力标准,券商应根据业务发展和风险控制能力制定适合本企业的风险控制等级标准。但实际工作中,还存在券商并未建立IT控制基准或基准建立没有涵盖所有系统的现象,这就造成了IT审计中缺乏标准和依据。
(四)信息系统风险的识别与评估的体系尚未建立。
在证券公司日常业务中出现的服务器宕机、通信中断、网络病毒等方方面面的风险事件,会给证券公司带来巨大损失。很多情况下,证券公司对IT风险的管理仍然停留在风险发生之后的分析与补救,没有形成一套对潜在风险开展系统化的识别与评估的方法,定期的风险识别评估机制的缺乏、审计环境基础薄弱成为开展风险导向型信息系统审计所面临的一个难点。
二、证券公司开展信息系统审计的对策
中国内部审计协会2009年1月1日正式施行的《内部审计具体准则第28号——信息系统审计》也标志着国内在内部审计领域开展的IT审计走向成熟,准则的颁布对证券公司信息系统内部审计工作具有重要的指导意义。针对证券公司信息系统审计所面临的问题和难点,本文从以下方面探讨其解决方案。
(一) 促进内部审计环境的不断改善。
内部审计效能发挥的关键取决于公司高层对内部审计的态度,为营造良好的内部审计环境应从以下三个方面入手:
1.加强内部审计准则和风险导向审计理念的宣传。证券公司高层对现代内部审计在企业全面风险管理(包括IT治理)中作用正确认识,才能使内部审计能够从公司高层获得信心支持、立项支持与财务支持,IT审计才能有效地开展。
2.内部审计应该树立主动服务意识与沟通意识。开展IT审计不只是对IT系统的检查和问题的揭示,更应该是协助公司高层,帮助信息技术部门把控IT风险,防范证券业务风险。因此沟通技巧也是有效开展IT审计的重要影响因素。内部审计部门在沟通方面,应积极主动与公司高层加强沟通以获取支持,与IT管理部门平等、协作取得IT部门的理解、配合,目的在于维护IT系统的安全运行。
3.内部审计人员不断加强信息系统学习。IT审计人员应该积极掌握和熟悉内部审计业务,具备必要的信息技术及信息系统审计的专业知识,克服畏难情绪,知难而进,树立“有为才有位”的观念。
(二) 建立并实施内部审计发展规划,化解IT资源稀缺的矛盾。
证券公司应该结合行业的发展、业务的开展和管理的需要,重新定位内部审计,建立内部审计发展规划,将审计资源稀缺问题纳入到证券公司的整体发展规划之中。
1.内部审计部门应该结合业务的发展,配备适当的IT审计人员。通过内部培养、外部引进相结合的方式发展IT审计人员,鼓励审计人员取得注册信息系统审计师职业资格,通过人员选聘、培训、技术设施配备等措施化解IT审计资源不足的矛盾。在审计部门暂时不具备IT审计能力的情况下,内部审计部门可以聘用外部专家或内审业务外包的形式开展IT审计,通过审计成果,提高内部审计的履职效能。
2.证券公司应结合业务发展和审计的需要给予必要的支持,在系统权限、专业审计工具引入、财务预算分配等方面放宽限制,确保IT审计质量和审计效果。
(三) 推动证券公司建立明确的IT控制标准。
建立并应用明确的IT控制标准作为审计依据可以提高审计的质量与效果。鉴于证券监管机构已推出《证券期货业信息系统安全等级保护基本要求(试行)》等行业规范,在物理安全、网络安全、主机系统安全、应用安全和数据安全等技术上的五个层面以及安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面已做了明确的要求,IT审计人员应在审计过程中推动公司建立适合公司自身的IT控制标准。
在企业尚未建立全面、明确的IT控制标准情况下,审计人员应当根据实际情况,结合企业战略、目标、风险偏好及成本效益等因素,采用国际通用标准与成熟实践(如COSO、COBIT、ISO27001等)作为审计的依据,同时推动IT治理层对这些标准的认可和采用。
(四) 积极探索IT审计方式,促进IT治理不断完善。
内部审计部门应结合本公司的实际,在IT审计开展初期,审计部门应加强内部审计准则和证券行业的IT监管要求的宣传,使公司从董事会、经营层到业务部充分了解IT控制规范,认识IT治理、防范IT风险的重要性。审计部门通过选派审计人员深入IT业务部门蹲点学习,开展系统的IT调研和IT自查活动等,帮助IT部门发现问题,共同探讨解决方案,提出富有成效的建议。通过转变IT审计方式与成果运用,引领、促进IT控制标准的建立,IT自我评价标准机制、IT监测机制的改进,促进IT治理的不断完善,从而为IT内部审计的有效开展创造良好的环境条件,以达到相互促进,共同发展的目的。
(五) 建立完善的信息系统审计策略。
1.建立系统化的审计实施流程。实施信息系统审计的首要任务是找出证券公司所面临的各类信息系统风险,对所有的信息系统风险进行系统地分类与识别。内部审计部门对风险的识别和评估有别于IT部门的定期风险自查式识别、评估,它是建立在IT风险评估基础上的再评估,审计中不仅关注对识别风险的控制恰当与否,还要从第三方角度发现未识别和未控制的风险,评价风险识别机制,这也正是IT审计的核心所在。
2.建立系统化的风险识别标准。我们在进行风险识别过程中,采用中国内审协会《内部审计具体准则第28号——信息系统审计》,它对信息技术风险的分类进行了规定,将各类IT风险归类为组织层面的IT风险、一般性控制层面的IT风险及业务流程层面的IT风险3个层面。
其中,组织层面风险是指IT治理、控制环境与组织框架等方面的风险;一般性控制层面的风险主要指IT基础设施与运行风险;业务流程层面风险指应用系统在业务数据输入、处理与输出过程中所产生的风险。各层面风险既有独立特征,又相互关联。
我们在对IT风险识别过程中,可以借鉴国际通用的IT风险控制的分类方法,如COSO框架的5项要素(内部环境、风险评估、控制活动、信息与沟通、监控)或是COBIT框架的4个领域(计划与组织、获取与实施、提供与支持、监控与评价)。尤其是通过将现行内部审计具体准则与COBIT相结合的方式,可以更加系统与清晰地对IT风险进行有效识别。
3.设计并运用适当的风险评估模型。风险评估过程是对已经识别的证券公司IT风险进行风险度、重要度的测量与排序。风险评估的技术与方法有很多种类,不同的风险评估方法也有不同的优势与缺陷。我们根据证券公司IT风险特点设计了“综合矩阵”评估方法,即主要针对信息系统的技术复杂性、控制水平以及可能造成的财务损害等因素在规定的范围(如根据风险高低取值10-0分)内以定性与定量相结合方式进行风险评分,并对累计分值排序,决定审计的优先级。
4.采用实用恰当的IT审计方法。在信息系统审计中,为了达到审计目的,必须收集大量存储于计算机的数据,并借助于计算机对这些数据进行分析,以得出结论。这个过程通常要运用到一些计算机辅助审计技术方法。我们以连续在线审计为例,常用的审计方法包括嵌入式审计模型(SCARF/EAM)、整体测试法(ITF)、快照、持续性与间歇性模拟(CIS)、审计钩等。目前,多数ERP软件包、操作系统和网络管理软件都提供了连续监控与连续审计工具的采样器,针对这些环境,如果适当地配置、应用相关规则、设置参数与公式,投入审计后可以获得预期的例外交易清单。我们以SCARF/EAM实现过程为例。SCARF/EAM方法是信息系统审计师在认为重要的控制点上嵌入审计模块对系统中的事务进行连续的监控,将收集的信息写入一个特殊的审计文件——SCARF主文件,可以较深入检测系统的安全性能,提高审计发现能力。
(作者单位:西部证券股份有限公司)