证券公司的IT审计

1、 证券公司的IT审计 1 审计计划执行的程序 一、总体了解该公司信息技术治理、灾难备份体系建一、总体了解该公司信息技术治理、灾难备份体系建 立的情况立的情况 二、总体了解相关信息系统的控制并对其风险进行评二、总体了解相关信息系统的控制并对其风险进行评 估估 三、经纪业务循环三、经纪业务循环 四、自营及资管业务循环四、自营及资管业务循环 五、了解和评价内部控制的监督是否有效五、了解和评价内部控制的监督是否有效 六、了解和评价内部六、了解和评价内部IT审计是否有效审计是否有效 七、证券公司集中交易系统的审计七、证券公司集中交易系统的审计 2 一、总体了解该公司信息技术治理、灾一、总体了解该公司信息

2、技术治理、灾 难备份体系建立的情况难备份体系建立的情况 （一）了解信息技术治理情况（一）了解信息技术治理情况 1. 通过访谈、调查等方法了解该公司执行中国证券业协会和通过访谈、调查等方法了解该公司执行中国证券业协会和 中国期货业协会联合制定的中国期货业协会联合制定的证券期货经营机构信息技术证券期货经营机构信息技术 治理工作指引（试行）治理工作指引（试行）及深圳证监局下发的及深圳证监局下发的深圳辖区深圳辖区 证券公司信息技术治理工作指引（试行）证券公司信息技术治理工作指引（试行）的情况。的情况。 2. 取得该公司根据上述工作指引进行修订的公司信息技术治取得该公司根据上述工作指引进行修订的公司信息

3、技术治 理工作方案及制定的改进措施，总体了解该公司在理工作方案及制定的改进措施，总体了解该公司在“IT原原 则和治理目标则和治理目标”、“IT治理组织和工作机制治理组织和工作机制”、“IT架构架构 与与IT基础设施基础设施”、“IT应用应用”、“IT投入投入”、“IT人力资人力资 源源”、“IT安全和风险控制安全和风险控制”、“信息技术管理制度信息技术管理制度”、 “信息技术事故责任与追究信息技术事故责任与追究”及及“违规责任违规责任”等各个方面等各个方面 的治理计划及安排，了解改进措施的落实情况。的治理计划及安排，了解改进措施的落实情况。 3 一、总体了解该公司信息技术治理、灾一、总体了解该

4、公司信息技术治理、灾 难备份体系建立的情况难备份体系建立的情况 （1 1）对）对ITIT负责人访谈、调查的结果负责人访谈、调查的结果 在国外，一些领头羊公司对于在国外，一些领头羊公司对于ITIT技术治理非技术治理非 常重视，对于其人力以及财力的投常重视，对于其人力以及财力的投 入非常到位，但入非常到位，但 是非领头羊公司是非领头羊公司ITIT技术治理的投入有所欠缺，技术治理的投入有所欠缺，ITIT部部 门在公司中的地位也较领头羊公司的低。门在公司中的地位也较领头羊公司的低。 我国，南方城市，以深圳为代表，对我国，南方城市，以深圳为代表，对ITIT技术技术 治理人力财力投入情况较北方城市好，但是

5、总体上治理人力财力投入情况较北方城市好，但是总体上 来看，我国对来看，我国对ITIT技术治理方面的投入非常欠缺。技术治理方面的投入非常欠缺。 例：航空证券例：航空证券 4 一、总体了解该公司信息技术治理、灾一、总体了解该公司信息技术治理、灾 难备份体系建立的情况难备份体系建立的情况 （1 1）对）对ITIT负责人访谈、调查的结果负责人访谈、调查的结果 航空证券：航空证券： 航空证券对航空证券对证券期货经营机构信息技术治理工证券期货经营机构信息技术治理工 作指引（试行）作指引（试行）及深圳证监局下发的及深圳证监局下发的深圳辖区深圳辖区 证券公司信息技术治理工作指引（试行）证券公司信息技术治理工作

6、指引（试行）的情况的情况 对于这两项文件，航空证券虽努力向其看齐但未对于这两项文件，航空证券虽努力向其看齐但未 能完整有效地执行。航空证券能完整有效地执行。航空证券ITIT治理部门在公司地治理部门在公司地 位较其应有地位低，推行这两项文件的难度大。位较其应有地位低，推行这两项文件的难度大。 5 6 一、总体了解该公司信息技术治理、灾一、总体了解该公司信息技术治理、灾 难备份体系建立的情况难备份体系建立的情况 该公司该公司20102010年年度报告中就内部控制存在的问题年年度报告中就内部控制存在的问题 及改进措施披露如下：及改进措施披露如下： 公司对公司对证券期货经营机构信息技术治理工作指引（试

7、证券期货经营机构信息技术治理工作指引（试 行）行）的工作尚待落实，包括未建立公司的工作尚待落实，包括未建立公司 IT IT 治理组织，未治理组织，未 在在IT IT 原则、原则、IT IT 架构、架构、IT IT 基础设施、基础设施、IT IT 应用和应用和 IT IT 投入投入5 5 个方面制定相关制度并建立有效的工作机制，未制定个方面制定相关制度并建立有效的工作机制，未制定 IT IT 风风 险管理的策略和相关制度、内部险管理的策略和相关制度、内部 IT IT 审计制度等等。审计制度等等。 7 一、总体了解该公司信息技术治理、灾一、总体了解该公司信息技术治理、灾 难备份体系建立的情况难备份

8、体系建立的情况 该公司该公司20102010年年度报告中就内部控制存在的问题年年度报告中就内部控制存在的问题 及改进措施披露如下：及改进措施披露如下： 公司组织相关人员认真学习了公司组织相关人员认真学习了证券期货经营机构信息技证券期货经营机构信息技 术治理工作指引（试行）术治理工作指引（试行），成立了公司，成立了公司ITIT治理委员会。治理委员会。 在在ITIT委员会的领导下，近期组织相关部门、人员在委员会的领导下，近期组织相关部门、人员在ITIT原则、原则、 ITIT构架、构架、ITIT基础设施、基础设施、ITIT应用和应用和ITIT投入投入5 5个方面制定相关制度、个方面制定相关制度、 建

9、立有效的工作机制、制定建立有效的工作机制、制定ITIT风险管理策略和相关制度、内风险管理策略和相关制度、内 部部ITIT审计制度。审计制度。 8 一、总体了解该公司信息技术治理、灾一、总体了解该公司信息技术治理、灾 难备份体系建立的情况难备份体系建立的情况 （一）了解信息技术治理情况（一）了解信息技术治理情况 3.3. 重点关注信息技术的一般控制重点关注信息技术的一般控制 通过访谈、调查等方法了解通过访谈、调查等方法了解 数据中心和网络运行控制；数据中心和网络运行控制； 系统软件的购置、开发及维护控制、修改及维护系统软件的购置、开发及维护控制、修改及维护 控制；控制； 接触或访问权限控制；接触

10、或访问权限控制； 应用系统的购置；应用系统的购置； 选择关键点进行检查。选择关键点进行检查。 9 一、总体了解该公司信息技术治理、灾一、总体了解该公司信息技术治理、灾 难备份体系建立的情况难备份体系建立的情况 （一）了解信息技术治理情况（一）了解信息技术治理情况 3.3. 重点关注信息技术的一般控制重点关注信息技术的一般控制 数据中心和网络运行控制；数据中心和网络运行控制； 首先大家知道：计算机和数据安全的具体问题来首先大家知道：计算机和数据安全的具体问题来 自于数据处理和电子商务的增长。主要风险是黑客、自于数据处理和电子商务的增长。主要风险是黑客、 计算机病毒、电子窃听机密信息、计算机系统故

11、障、计算机病毒、电子窃听机密信息、计算机系统故障、 或自然灾害。或自然灾害。 10 一、总体了解该公司信息技术治理、灾一、总体了解该公司信息技术治理、灾 难备份体系建立的情况难备份体系建立的情况 u严格控制网络帐户的开设；严格控制网络帐户的开设； u隐藏系统管理员帐户；隐藏系统管理员帐户； u网络帐户权限设置；网络帐户权限设置； u网络帐户登录限制；网络帐户登录限制； u账户密码的设立；账户密码的设立； u账户密码的保管；账户密码的保管； u账户密码的更新；账户密码的更新； u杜绝病毒来源；杜绝病毒来源； u定期检测和清除病毒；定期检测和清除病毒； u做好数据备份等规章制度做好数据备份等规章制

12、度。 该公司针对数据中心和网络控制制定了包括：帐户管理，该公司针对数据中心和网络控制制定了包括：帐户管理， 密码管理，病毒防范等制度等相应的规章制度，具体内容：密码管理，病毒防范等制度等相应的规章制度，具体内容： 11 一、总体了解该公司信息技术治理、灾一、总体了解该公司信息技术治理、灾 难备份体系建立的情况难备份体系建立的情况 （一）了解信息技术治理情况（一）了解信息技术治理情况 3.3. 重点关注信息技术的一般控制重点关注信息技术的一般控制 系统软件的购置、开发及维护控制、修改及维护控制系统软件的购置、开发及维护控制、修改及维护控制 公司电脑部统一规划各分支机构的软件平台，所有分支机公司电

13、脑部统一规划各分支机构的软件平台，所有分支机 构电脑系统软件的选购、开发、测试、安装均由公司电脑部构电脑系统软件的选购、开发、测试、安装均由公司电脑部 统一批准进行，任何分支机构不得试用、安装、运行未经允统一批准进行，任何分支机构不得试用、安装、运行未经允 许的电脑软件。（经测试杀毒软件各营业部不一致、不统一，许的电脑软件。（经测试杀毒软件各营业部不一致、不统一， 存在管理漏洞）存在管理漏洞） 公司电脑部对应用软件系统的修改、升级、测试、发布实公司电脑部对应用软件系统的修改、升级、测试、发布实 施统一管理。施统一管理。 12 一、总体了解该公司信息技术治理、灾一、总体了解该公司信息技术治理、灾

14、 难备份体系建立的情况难备份体系建立的情况 （一）了解信息技术治理情况（一）了解信息技术治理情况 3.3. 重点关注信息技术的一般控制重点关注信息技术的一般控制 接触或访问权限控制接触或访问权限控制 公司电脑部对交易业务数据实行专人管理。分支机构核心公司电脑部对交易业务数据实行专人管理。分支机构核心 交易数据库管理员的权限由分支机构电脑部负责人管理。交易数据库管理员的权限由分支机构电脑部负责人管理。 任何人无权擅自对交易系统中的交易业务数据进行修改。任何人无权擅自对交易系统中的交易业务数据进行修改。 为维护电脑系统历史数据的安全性和准确性，对因差错造为维护电脑系统历史数据的安全性和准确性，对因

15、差错造 成的电脑数据出错的情况，原则上由分支机构在柜台系统中，成的电脑数据出错的情况，原则上由分支机构在柜台系统中， 利用相关的功能模块，做反向的操作进行调整。利用相关的功能模块，做反向的操作进行调整。 13 一、总体了解该公司信息技术治理、灾一、总体了解该公司信息技术治理、灾 难备份体系建立的情况难备份体系建立的情况 （一）了解信息技术治理情况（一）了解信息技术治理情况 3.3. 重点关注信息技术的一般控制重点关注信息技术的一般控制 接触或访问权限控制接触或访问权限控制 若数据差错严重，必须采取手工修改才能保障数据的一致若数据差错严重，必须采取手工修改才能保障数据的一致 性，必须上报公司电脑

16、部总经理和经纪业务部总经理，由性，必须上报公司电脑部总经理和经纪业务部总经理，由 主管副总经理批准后方可调整，在调整过程中，必须在工主管副总经理批准后方可调整，在调整过程中，必须在工 作日志中详细记录原因和具体的实施时间和步骤。作日志中详细记录原因和具体的实施时间和步骤。 日期日期服务器名服务器名操作系统操作系统用户名用户名 批准人（总批准人（总 经理）经理）修改人修改人监督人监督人 14 一、总体了解该公司信息技术治理、灾一、总体了解该公司信息技术治理、灾 难备份体系建立的情况难备份体系建立的情况 （一）了解信息技术治理情况（一）了解信息技术治理情况 3.3. 重点关注信息技术的一般控制重点

17、关注信息技术的一般控制 接触或访问权限控制接触或访问权限控制 分支机构电脑部须建立交易系统权限管理制度，并报公司分支机构电脑部须建立交易系统权限管理制度，并报公司 电脑部审定，严格按照业务要求对各类操作进行权限的设置，电脑部审定，严格按照业务要求对各类操作进行权限的设置， 同时建立用户权限管理文档，对各类系统用户和应用程序用同时建立用户权限管理文档，对各类系统用户和应用程序用 户进行登记，并及时记录变动情况。户进行登记，并及时记录变动情况。 柜台交易系统的权限的设置和变动必须由相应的管理部门柜台交易系统的权限的设置和变动必须由相应的管理部门 出具详细的权限变动书面说明并经分支机构负责人批准后执

18、出具详细的权限变动书面说明并经分支机构负责人批准后执 行。行。 柜台交易系统中的系统权限由分支机构电脑部管理；应用柜台交易系统中的系统权限由分支机构电脑部管理；应用 权限由业务部门负责管理。权限由业务部门负责管理。 柜台人员转岗后，其相应的操作权限应立刻予以调整。柜台人员转岗后，其相应的操作权限应立刻予以调整。 15 一、总体了解该公司信息技术治理、灾一、总体了解该公司信息技术治理、灾 难备份体系建立的情况难备份体系建立的情况 （一）了解信息技术治理情况（一）了解信息技术治理情况 3.3. 重点关注信息技术的一般控制重点关注信息技术的一般控制 应用系统的购置应用系统的购置 公司电脑部统一规划和

19、购置。公司电脑部统一规划和购置。 公司电脑部统一规划和建设各分支机构的硬件平台和网络公司电脑部统一规划和建设各分支机构的硬件平台和网络 通讯系统，未经公司电脑部的许可，不得擅自调换在线硬件通讯系统，未经公司电脑部的许可，不得擅自调换在线硬件 设备或调整网络结构。设备或调整网络结构。 选择关键点进行检查（链接至选择关键点进行检查（链接至wordword版证券公司的版证券公司的ITIT审计审计 1 1）。）。 16 一、总体了解该公司信息技术治理、灾一、总体了解该公司信息技术治理、灾 难备份体系建立的情况难备份体系建立的情况 （二）了解灾难备份体系建立情况（二）了解灾难备份体系建立情况 通过访谈、

20、调查等方法了解该公司灾难备份体系的建设模式、灾难通过访谈、调查等方法了解该公司灾难备份体系的建设模式、灾难 备份体系的建立、灾难备份中心选址及供应商的选择。备份体系的建立、灾难备份中心选址及供应商的选择。 取得经深圳证监局审阅后的灾难备份体系的工作方案，具体了解实施灾取得经深圳证监局审阅后的灾难备份体系的工作方案，具体了解实施灾 难备份体系的组织架构、灾难备份的策略及目标、技术方案设计、拟投难备份体系的组织架构、灾难备份的策略及目标、技术方案设计、拟投 入的费用安排、选址工作安排、人员安排、建设进度表等内容。入的费用安排、选址工作安排、人员安排、建设进度表等内容。 航空证券建立了比较完善的灾难

21、备份体系，旨在防止公司交易中心航空证券建立了比较完善的灾难备份体系，旨在防止公司交易中心 的交易系统遭受人为破坏，病毒、黑客攻击，及网络故障或发生自然灾的交易系统遭受人为破坏，病毒、黑客攻击，及网络故障或发生自然灾 害，导致交易系统无法正常运行时，我们可以快速有效地切换到备份系害，导致交易系统无法正常运行时，我们可以快速有效地切换到备份系 统，保证公司各项业务安全、稳定、高效运行，特制订本预案。灾难备统，保证公司各项业务安全、稳定、高效运行，特制订本预案。灾难备 份中心选址上海。详细内容见灾难备份预案及应急演练记录复印件。份中心选址上海。详细内容见灾难备份预案及应急演练记录复印件。 上述信息技

22、术的一般控制检查底稿中第三项就是备份措施检查上述信息技术的一般控制检查底稿中第三项就是备份措施检查。 17 （一）（一）通过访谈、穿行测试等方式，了解该通过访谈、穿行测试等方式，了解该 公司与财务报告相关的信息系统（如柜台交公司与财务报告相关的信息系统（如柜台交 易系统、法人清算系统、实时监控系统、财易系统、法人清算系统、实时监控系统、财 务系统、资管系统、办公自动化系统等）：务系统、资管系统、办公自动化系统等）： （1 1）信息系统中对交易生成、记录、处理和报告的程序；）信息系统中对交易生成、记录、处理和报告的程序； 同时考虑将交易系统中的数据过入财务系统（总分类账和财同时考虑将交易系统中的

23、数据过入财务系统（总分类账和财 务报告）的程序务报告）的程序 （2 2）与交易生成、记录、处理和报告有关的会计记录、支）与交易生成、记录、处理和报告有关的会计记录、支 持性信息和财务报表中的特定项目持性信息和财务报表中的特定项目 经了解该公司与财务报告相关的信息系统有新意系统（清经了解该公司与财务报告相关的信息系统有新意系统（清 算）、金正系统（柜台）和用友算）、金正系统（柜台）和用友NCNC系统（财务系统）、风险系统（财务系统）、风险 控制系统（金仕达），而办公自动化系统尚未启用。详见系控制系统（金仕达），而办公自动化系统尚未启用。详见系 统结构图：统结构图： 二、总体了解相关信息系统的控制

24、并对二、总体了解相关信息系统的控制并对 其风险进行评估其风险进行评估 二、总体了解相关信息系统的控制并对二、总体了解相关信息系统的控制并对 其风险进行评估其风险进行评估 18 19 二、总体了解相关信息系统的控制并对二、总体了解相关信息系统的控制并对 其风险进行评估其风险进行评估 20 二、总体了解相关信息系统的控制并对二、总体了解相关信息系统的控制并对 其风险进行评估其风险进行评估 金正系统记录全天的柜台交易记录金正系统记录全天的柜台交易记录( (已查看金证交易系统已查看金证交易系统 的使用手册、记录及报告交易的流程的使用手册、记录及报告交易的流程) )，新意系统记录全，新意系统记录全 天清

25、算数据，财务人员根据上述系统的数据将相关信息天清算数据，财务人员根据上述系统的数据将相关信息 手工录入用友手工录入用友NCNC系统。系统。 为保证柜台数据、清算数据、财务数据完全一致，每日为保证柜台数据、清算数据、财务数据完全一致，每日 总部客户资产存管部、总部计划财务部及各营业部在交总部客户资产存管部、总部计划财务部及各营业部在交 易结束后核对相关数据保证交易生成、记录、处理和报易结束后核对相关数据保证交易生成、记录、处理和报 告的数据一致。告的数据一致。 21 二、总体了解相关信息系统的控制并对二、总体了解相关信息系统的控制并对 其风险进行评估其风险进行评估 与交易生成、记录、处理和报告有

26、关的会计记录、支持性信息和财与交易生成、记录、处理和报告有关的会计记录、支持性信息和财 务报表中的特定项目务报表中的特定项目 财务人员将金正系统和新意系统的信息打印出来，作为会计凭证的财务人员将金正系统和新意系统的信息打印出来，作为会计凭证的 附件以支持会计记录的内容。用友附件以支持会计记录的内容。用友NCNC系统自动将录入的信息过入总系统自动将录入的信息过入总 账、自动生成财务表表。账、自动生成财务表表。 风险控制系统涵盖经济、自营业务；指标全面，但对承销业务无监风险控制系统涵盖经济、自营业务；指标全面，但对承销业务无监 控。控。 公司拟利用技术手段实现监管机构对公司各项业务的风险监控（证公

27、司拟利用技术手段实现监管机构对公司各项业务的风险监控（证 监局的要求）。因证券公司风险控制指标动态监控系统指引监局的要求）。因证券公司风险控制指标动态监控系统指引20092009年年2 2 月颁布，公司尚未制定相应的风控制度，公司尚未做到每季度评估月颁布，公司尚未制定相应的风控制度，公司尚未做到每季度评估 一次动态监控系统的有效性一次动态监控系统的有效性 。 22 二、总体了解相关信息系统的控制并对二、总体了解相关信息系统的控制并对 其风险进行评估其风险进行评估 （二）了解信息技术对内部控制是否产生下（二）了解信息技术对内部控制是否产生下 述特定风险：述特定风险： （1 1）系统或程序未能正确

28、处理数据，或处理了不正确的数）系统或程序未能正确处理数据，或处理了不正确的数 据，据， 或两种情况同时并存；或两种情况同时并存； （2 2）在未得到授权情况下访问数据）在未得到授权情况下访问数据, ,可能导致数据可能导致数据 的毁损的毁损 或对数据不恰当的修改，包括记录未经授权或不存在的交易，或对数据不恰当的修改，包括记录未经授权或不存在的交易， 或不正确地记录了交易；或不正确地记录了交易； （3 3）信息技术人员可能获得超越其履行职责以外）信息技术人员可能获得超越其履行职责以外 的数据访的数据访 问权限，破坏了系统应有的职责分工；问权限，破坏了系统应有的职责分工； （4 4）未经授权改变主文

29、）未经授权改变主文 档的数据；档的数据； （5）未经授权改变系统或程序；）未经授权改变系统或程序； （6）未能对系统或程序作出必要的修改；）未能对系统或程序作出必要的修改； （7）不恰当的人为干预；）不恰当的人为干预； （8）数据丢失的风险或不能访问所需要的数据。）数据丢失的风险或不能访问所需要的数据。 23 二、总体了解相关信息系统的控制并对二、总体了解相关信息系统的控制并对 其风险进行评估其风险进行评估 （二）了解信息技术对内部控制是否产生下（二）了解信息技术对内部控制是否产生下 述特定风险：述特定风险： 从我们了解到该公司信息技术的基本情况、以前年度该从我们了解到该公司信息技术的基本情况

30、、以前年度该 公司发生过的违规、违纪事实和我们对信息技术系统控制的公司发生过的违规、违纪事实和我们对信息技术系统控制的 经验判断，上述控制风险均有可能存在。经验判断，上述控制风险均有可能存在。 如：处理了不正确的数据，利率设置错误、返佣比率设如：处理了不正确的数据，利率设置错误、返佣比率设 置错误均可能导致不正确的数据处理。置错误均可能导致不正确的数据处理。 历史上该公司个别营业部在柜台交易系统的设置方面存历史上该公司个别营业部在柜台交易系统的设置方面存 在内部查询与外部查询的区别，分别以内部查询和外部查询在内部查询与外部查询的区别，分别以内部查询和外部查询 检查客户保证金，在检查客户保证金，

31、在“流水摘要流水摘要”方面显示不同的信息，若方面显示不同的信息，若 不授予稽核人员以内部查询权限，则不能查询出真实的业务不授予稽核人员以内部查询权限，则不能查询出真实的业务 信息。信息。 24 二、总体了解相关信息系统的控制并对二、总体了解相关信息系统的控制并对 其风险进行评估其风险进行评估 （二）了解信息技术对内部控制是否产生下（二）了解信息技术对内部控制是否产生下 述特定风险：述特定风险： 历史上各营业部的超级柜员均掌握在电脑部经理的手中，由电脑部经理给各历史上各营业部的超级柜员均掌握在电脑部经理的手中，由电脑部经理给各 位柜员授予权限，对电脑部经理的权限缺乏有效的制约，如龙华营业部电脑部

32、经位柜员授予权限，对电脑部经理的权限缺乏有效的制约，如龙华营业部电脑部经 理以手中掌握的超级柜员从后台进入数据库，更改了数据，以达到掩盖其挪用客理以手中掌握的超级柜员从后台进入数据库，更改了数据，以达到掩盖其挪用客 户保证金的目的。历史上发生的户保证金的目的。历史上发生的巴林银行案件：巴林银行案件： 17631763年，弗朗西斯年，弗朗西斯巴林爵士在伦敦创建了巴林银行，它是世界首家巴林爵士在伦敦创建了巴林银行，它是世界首家“商商 业银行业银行”，既为客户提供资金和有关建议，自己也做买卖。里森于，既为客户提供资金和有关建议，自己也做买卖。里森于19921992年在新加年在新加 坡任期货交易员时，

33、巴林银行原本有一人帐号为坡任期货交易员时，巴林银行原本有一人帐号为“99905”“99905”的的“错误帐号错误帐号”，专，专 门处理交易过程中因疏忽所造成的错误。这原是一个金融体系运作过程中正常的门处理交易过程中因疏忽所造成的错误。这原是一个金融体系运作过程中正常的 错误帐户。错误帐户。19921992年夏天，伦敦总部全面负责清算工作的哥顿年夏天，伦敦总部全面负责清算工作的哥顿鲍塞给里森打了一鲍塞给里森打了一 个电话，要求里森另设立一个个电话，要求里森另设立一个“错误帐户错误帐户”，记录较小的错误，并自行在新加坡，记录较小的错误，并自行在新加坡 处理，以免麻烦伦敦的工作，于是里森马上找来了负

34、责办公室清算的利塞尔，向处理，以免麻烦伦敦的工作，于是里森马上找来了负责办公室清算的利塞尔，向 她咨询是否可以另立一个档案，很快，利塞尔就在电脑里键入了一些命令，问他她咨询是否可以另立一个档案，很快，利塞尔就在电脑里键入了一些命令，问他 需要什么帐号，在中国文化里需要什么帐号，在中国文化里“8”“8”是一个非常吉利的数字，因此里森以此作为是一个非常吉利的数字，因此里森以此作为 他的吉祥数字，由于帐号必须是五位数，这样帐号为他的吉祥数字，由于帐号必须是五位数，这样帐号为“88888”“88888”的的“错误帐户错误帐户” 便诞生了。便诞生了。 25 二、总体了解相关信息系统的控制并对二、总体了解

35、相关信息系统的控制并对 其风险进行评估其风险进行评估 （二）了解信息技术对内部控制是否产生下（二）了解信息技术对内部控制是否产生下 述特定风险：述特定风险： 历史上发生的历史上发生的巴林银行案件：巴林银行案件： 几周之后，伦敦总部又打来电话，总部配置了新的电脑，要求新加坡几周之后，伦敦总部又打来电话，总部配置了新的电脑，要求新加坡 分行还是按老规矩行事，所有的错误记录仍由分行还是按老规矩行事，所有的错误记录仍由“99905”“99905”帐户直接向伦敦帐户直接向伦敦 报告。报告。“88888”“88888”错误帐户刚刚建立就被搁置不用了，但它却成为一个真错误帐户刚刚建立就被搁置不用了，但它却成

36、为一个真 正的正的“错误帐户错误帐户”存于电脑之中。而且总部这时已经注意到新加坡分行存于电脑之中。而且总部这时已经注意到新加坡分行 出现的错误很多，但里森都巧妙地搪塞而过。出现的错误很多，但里森都巧妙地搪塞而过。“88888”“88888”这个被人忽略的这个被人忽略的 帐户，提供了里森日后制造假帐的机会，如果当时取消这一帐户，则巴帐户，提供了里森日后制造假帐的机会，如果当时取消这一帐户，则巴 林的历史可能会重写了。林的历史可能会重写了。 26 二、总体了解相关信息系统的控制并对二、总体了解相关信息系统的控制并对 其风险进行评估其风险进行评估 法国兴业银行的案件：法国兴业银行的案件： 法国兴业银

37、行法国兴业银行20082008年年1 1月月2727日公布了该行对交易员柯维尔造成日公布了该行对交易员柯维尔造成4949亿欧元损失亿欧元损失 的异常违规交易的调查结果。柯维尔从的异常违规交易的调查结果。柯维尔从20002000年起开始在该集团任职，起初五年年起开始在该集团任职，起初五年 在包括监督部门的多个中间部门工作过，因此他对于银行内部整个交易的流程在包括监督部门的多个中间部门工作过，因此他对于银行内部整个交易的流程 和风控都有很充分的了解。从和风控都有很充分的了解。从20052005年开始，他在套汇部门做交易员。年开始，他在套汇部门做交易员。 法兴称，为了防范风险，银行为套汇交易设置了多

38、处风险控制机制，来监法兴称，为了防范风险，银行为套汇交易设置了多处风险控制机制，来监 控运营、金融工具投资组合市场价格变动等风险。柯维尔的异常违规交易是千控运营、金融工具投资组合市场价格变动等风险。柯维尔的异常违规交易是千 方百计规避了这些风控。比如，他对投资组合方百计规避了这些风控。比如，他对投资组合B B做出了虚构的卖出操作，以造成做出了虚构的卖出操作，以造成 买进投资组合买进投资组合A A已被抵消的假象。这些虚构的操作均被计入在法兴的系统中，因已被抵消的假象。这些虚构的操作均被计入在法兴的系统中，因 此初期蒙蔽了公司的监控。这使得该交易员得以掩盖与银行正常交易毫无关联此初期蒙蔽了公司的监

39、控。这使得该交易员得以掩盖与银行正常交易毫无关联 的巨大投机仓位的巨大投机仓位A A。 法兴表示，为了避免那些虚构仓位不被银行方面即时监控，柯维尔通过在法兴表示，为了避免那些虚构仓位不被银行方面即时监控，柯维尔通过在 后台流程控制方面的多年经验成功地避开了银行的所有风控设置。第一，他通后台流程控制方面的多年经验成功地避开了银行的所有风控设置。第一，他通 过设计虚构的特征来降低被风控部门发现的机会。首先，选择一些不要求现金过设计虚构的特征来降低被风控部门发现的机会。首先，选择一些不要求现金 流动或者保证金的操作，以避免对于即时确认的要求；第二，从操作部门盗用流动或者保证金的操作，以避免对于即时确

40、认的要求；第二，从操作部门盗用 了了ITIT密码来对他的交易行为进行删除；第三，伪造文件来进行虚构操作；第四，密码来对他的交易行为进行删除；第三，伪造文件来进行虚构操作；第四， 确保每一次虚构操作使用的金融工具都不同于前一笔删除的操作。确保每一次虚构操作使用的金融工具都不同于前一笔删除的操作。 27 二、总体了解相关信息系统的控制并对二、总体了解相关信息系统的控制并对 其风险进行评估其风险进行评估 （三）评估信息系统的控制缺陷、信息系统（三）评估信息系统的控制缺陷、信息系统 生成数据的质量，评估重大错报风险，及其生成数据的质量，评估重大错报风险，及其 对财务报告的影响对财务报告的影响 公司尚未

41、结合本单位的实际情况，制定落实公司尚未结合本单位的实际情况，制定落实证券期货经营机构信证券期货经营机构信 息技术治理工作指引（试行）息技术治理工作指引（试行）的工作方案，包括未建立公司的工作方案，包括未建立公司 IT IT 治理治理 组织，未在组织，未在IT IT 原则、原则、IT IT 架构、架构、IT IT 基础设施、基础设施、IT IT 应用和应用和 IT IT 投入投入5 5 个个 方面制定相关制度并建立有效的工作机制，未制定方面制定相关制度并建立有效的工作机制，未制定 IT IT 风险管理的策略风险管理的策略 和相关制度、内部和相关制度、内部 IT IT 审计制度等等。审计制度等等。

42、 风险控制系统覆盖范围不全面，风险控制指标动态监控制度尚不完风险控制系统覆盖范围不全面，风险控制指标动态监控制度尚不完 善，公司尚未做到每季度评估一次动态监控系统的有效性善，公司尚未做到每季度评估一次动态监控系统的有效性 。 自营账户中存在财务与交易系统中数据不一致情况；自营账户中存在财务与交易系统中数据不一致情况； 交易系统中记录客户证券余额与证券交易所余额不一致的情况。交易系统中记录客户证券余额与证券交易所余额不一致的情况。 上述信息系统的控制缺陷和信息系统生成数据的质量问题可能会影上述信息系统的控制缺陷和信息系统生成数据的质量问题可能会影 响财务报告的真实性、准确性和完整性。响财务报告的

43、真实性、准确性和完整性。 三、经纪业务循环三、经纪业务循环 28 通过访谈、穿行测试等方式，了解柜台交易系统、法人清通过访谈、穿行测试等方式，了解柜台交易系统、法人清 算系统、实时监控系统等，评估相关系统的控制缺陷及生算系统、实时监控系统等，评估相关系统的控制缺陷及生 成数据的质量成数据的质量 从底层数据库中导出客户资金余额、客户证券余额，与财从底层数据库中导出客户资金余额、客户证券余额，与财 务系统、法人清算系统、实时监控系统、登记公司函证或务系统、法人清算系统、实时监控系统、登记公司函证或 对账数据核对对账数据核对 检索交易量、资金余额、证券市值居前的账户；检索资金检索交易量、资金余额、证

44、券市值居前的账户；检索资金 余额为负、股份余额为负、资产总额为负的账户；检索存余额为负、股份余额为负、资产总额为负的账户；检索存 在特殊操作记录（如红冲蓝补、资金内转、强制现金取出、在特殊操作记录（如红冲蓝补、资金内转、强制现金取出、 资金调整、股份调整、证券代码迁移等）的账户，并对上资金调整、股份调整、证券代码迁移等）的账户，并对上 述账户进行调查分析。述账户进行调查分析。 至于如何从底层数据库中导出所需数据和如何检索所需至于如何从底层数据库中导出所需数据和如何检索所需 信息我在后面证券公司集中交易系统的审计讲解中会说到。信息我在后面证券公司集中交易系统的审计讲解中会说到。 四、自营及资管业

45、务循环四、自营及资管业务循环 29 从自营及资管系统中导出自营及资管账户清单、从自营及资管系统中导出自营及资管账户清单、 资金余额、证券余额，与财务系统、法人清算资金余额、证券余额，与财务系统、法人清算 系统、实时监控系统、登记公司函证或对账数系统、实时监控系统、登记公司函证或对账数 据核对据核对 导出当年自营及资管的交易流水，筛选大额交导出当年自营及资管的交易流水，筛选大额交 易等，提交财务审计人员对交易重新计算或运易等，提交财务审计人员对交易重新计算或运 用分析性程序，判断入帐金额的准确性。用分析性程序，判断入帐金额的准确性。 至于如何从底层数据库中导出所需数据和如何至于如何从底层数据库中

46、导出所需数据和如何 检索所需信息我在后面证券公司集中交易系统的审检索所需信息我在后面证券公司集中交易系统的审 计讲解中会说到。计讲解中会说到。 五、了解和评价内部控制的监督是否有效五、了解和评价内部控制的监督是否有效 30 了解该公司与了解该公司与ITIT相关的内部控制的监督活动，并了解如相关的内部控制的监督活动，并了解如 何采取纠正措施。何采取纠正措施。 了解该公司了解该公司ITIT相关控制的持续监督活动和专门的评价活相关控制的持续监督活动和专门的评价活 动。动。 公司电脑部将不定期地对分支机构运行情况进行检查，公司电脑部将不定期地对分支机构运行情况进行检查， 并提出整改意见交由分支机构实施

47、。并提出整改意见交由分支机构实施。 公司电脑部定期对信息系统进行自查和整改，有针对性公司电脑部定期对信息系统进行自查和整改，有针对性 的进行应急演练，发现问题及时纠正。根据业务需要和系统的进行应急演练，发现问题及时纠正。根据业务需要和系统 使用情况，不定期的对信息系统进行维护和升级，并有留痕使用情况，不定期的对信息系统进行维护和升级，并有留痕 备案。备案。0808年，对网上交易系统进行扩容、北京营业部机房实年，对网上交易系统进行扩容、北京营业部机房实 施系统改造、龙华营业部增配发电机、上海营业部更换了施系统改造、龙华营业部增配发电机、上海营业部更换了 upsups系统和二级交换机，这些都切实防

48、范隐患发生。系统和二级交换机，这些都切实防范隐患发生。 2008 2008年年1010月份在上海召开了一次电脑部的全年总结会议月份在上海召开了一次电脑部的全年总结会议 及明年的计划和建议。及明年的计划和建议。 六、了解和评价内部六、了解和评价内部ITIT审计是否有效审计是否有效 31 审计人员的专业素质能否满足审计需要审计人员的专业素质能否满足审计需要 审计频率和覆盖面是否适当审计频率和覆盖面是否适当 审计意见能否得到及时纠正。审计意见能否得到及时纠正。 航空证券尚未建立航空证券尚未建立ITIT审计制度，但制定了内审审计制度，但制定了内审 计划，计划于计划，计划于20092009年执行，截至年

49、执行，截至2009-3-142009-3-14尚未执尚未执 行。行。 （一）证券公司计算机信息系统与集中交易系统（一）证券公司计算机信息系统与集中交易系统 （二）集中交易系统中涉及的审计目标与制订方法（二）集中交易系统中涉及的审计目标与制订方法 （三）计算机辅助审计的程序（三）计算机辅助审计的程序 （四）其他重大事项考虑（四）其他重大事项考虑 32 七、证券公司集中交易系统的审计七、证券公司集中交易系统的审计 33 七、证券公司集中交易系统的审计七、证券公司集中交易系统的审计 （一）证券公司计算机信息系统与集中交易（一）证券公司计算机信息系统与集中交易 系统系统 证券公司应用的计算机信息系统包

50、括：计算机硬件系统、证券公司应用的计算机信息系统包括：计算机硬件系统、 通讯系统以及信息管理系统。信心管理系统主要包括：集中通讯系统以及信息管理系统。信心管理系统主要包括：集中 交易系统（未实现集中交易系统的或称交易系统（未实现集中交易系统的或称“柜台交易系统柜台交易系统”）、）、 法人交易系统、实时监控系统、自营业务系统、资产管理系法人交易系统、实时监控系统、自营业务系统、资产管理系 统、网上交易系统、会计核算系统、统、网上交易系统、会计核算系统、CRMCRM系统、系统、OAOA系统等等。系统等等。 上述系统间数据流及关系大致如下图所示。上述系统间数据流及关系大致如下图所示。 34 七、证券

51、公司集中交易系统的审计七、证券公司集中交易系统的审计 七、证券公司集中交易系统的审计七、证券公司集中交易系统的审计 35 （一）证券公司计算机信息系统与集中交易（一）证券公司计算机信息系统与集中交易 系统系统 由图可知，集中交易系统是证券公司计算机信息系统的核心，会计由图可知，集中交易系统是证券公司计算机信息系统的核心，会计 核算所需的信息大多从它获取。集中交易系统是证券公司为了将基于营核算所需的信息大多从它获取。集中交易系统是证券公司为了将基于营 业部分散的交易系统提升为基于公司整体的企业级综合经纪业务平台，业部分散的交易系统提升为基于公司整体的企业级综合经纪业务平台， 达到整合企业资源、信

52、息充分共享，提高企业核心竞争力的目的而以证达到整合企业资源、信息充分共享，提高企业核心竞争力的目的而以证 券公司作为一个整体，实现业务集中管理、集中财务、集中清算、集中券公司作为一个整体，实现业务集中管理、集中财务、集中清算、集中 交易、统一服务、统一营销、统一监管，建立集中处理的业务平台。根交易、统一服务、统一营销、统一监管，建立集中处理的业务平台。根 据券商规模大小，集中交易系统所采用的数据库类型各有不同，目前集据券商规模大小，集中交易系统所采用的数据库类型各有不同，目前集 中交易系统、主要采用的数据库类型有中交易系统、主要采用的数据库类型有ORACLEORACLE，IBMDB2IBMDB

53、2，SQL-SQL- Server,SybaseServer,Sybase等。等。 36 七、证券公司集中交易系统的审计七、证券公司集中交易系统的审计 （一）证券公司计算机信息系统与集中交易（一）证券公司计算机信息系统与集中交易 系统系统 证券公司集中交易数据库由交易（或称当前数据库）和历史数据库构成。证券公司集中交易数据库由交易（或称当前数据库）和历史数据库构成。 两者的主要区别在于，交易数据库当中只存放有最近一段时间的交易流水两者的主要区别在于，交易数据库当中只存放有最近一段时间的交易流水 （具体时间长度视数据库而定，无定植）和余额数据资料，而历史数据库中，（具体时间长度视数据库而定，无定

54、植）和余额数据资料，而历史数据库中， 则存有更长时间的流水数据资料和余额数据，以满足更长时间段的查询要求，则存有更长时间的流水数据资料和余额数据，以满足更长时间段的查询要求， 也可以视其交易数据库的备份。之所以这样构建，主要是由于证券公司的业也可以视其交易数据库的备份。之所以这样构建，主要是由于证券公司的业 务量大，为提升系统的运行速度和运行效率而设备了两个数据库。这里值得务量大，为提升系统的运行速度和运行效率而设备了两个数据库。这里值得 一提的是，由于交易数据是在每个交易日都不断递增的，因此数据库中所有一提的是，由于交易数据是在每个交易日都不断递增的，因此数据库中所有 的余额信息保留的都是当

55、前时点的余额。也就是说，如果审计人员在审计基的余额信息保留的都是当前时点的余额。也就是说，如果审计人员在审计基 准日后想获取基准日的数据库余额信息，只能从备份数据中获取。准日后想获取基准日的数据库余额信息，只能从备份数据中获取。 37 七、证券公司集中交易系统的审计七、证券公司集中交易系统的审计 ( (二二) )集中交易系统中涉及的审计目标与制订方集中交易系统中涉及的审计目标与制订方 法法 针对集中交易系统的审计的服务对象是财务审计，因此，审计对象及审针对集中交易系统的审计的服务对象是财务审计，因此，审计对象及审 计目标的设定必须围绕如何确定财务报表的公允性来展开。针对不同的券商，计目标的设定

56、必须围绕如何确定财务报表的公允性来展开。针对不同的券商， 不同的业务类型，审计人员应该设定不同不同的业务类型，审计人员应该设定不同 的审计目标。如针对经纪业务，的审计目标。如针对经纪业务， 审计人员需要确定代理买卖证券款科目的余额，那么在集中交易系统当中，审计人员需要确定代理买卖证券款科目的余额，那么在集中交易系统当中， 就应获取客户保证金的余额信息以证实和财务帐面的一直性；对于自营业务，就应获取客户保证金的余额信息以证实和财务帐面的一直性；对于自营业务， 审计人员需要确定自营资金的余额、自营证券的数量、自营证券的交易流水，审计人员需要确定自营资金的余额、自营证券的数量、自营证券的交易流水，

57、针对这些目的，审计人员就该获取信息系统中自营帐户的余额信息以及交易针对这些目的，审计人员就该获取信息系统中自营帐户的余额信息以及交易 流水和财务帐面进行对比，以核实财务帐面的真实性。总之，针对集中交易流水和财务帐面进行对比，以核实财务帐面的真实性。总之，针对集中交易 系统的审计目标应根据财务审计目标予以确定，辅助审计程序应针对被审证系统的审计目标应根据财务审计目标予以确定，辅助审计程序应针对被审证 券公司的业务特点展开。主要归纳为券公司的业务特点展开。主要归纳为 以下几个方面：以下几个方面： （1 1）核实财务帐面数据与集中交易系统数据的一致性，确保财务帐面数据）核实财务帐面数据与集中交易系统

58、数据的一致性，确保财务帐面数据 的真实性；的真实性； （2 2）核对集中交易系统数据与其他外部数据的一致性；）核对集中交易系统数据与其他外部数据的一致性； （3 3）查验是否存在违规业务。）查验是否存在违规业务。 38 七、证券公司集中交易系统的审计七、证券公司集中交易系统的审计 （二）集中交易系统中涉及的审计目标与制订方法（二）集中交易系统中涉及的审计目标与制订方法 制订集中交易系统的审计方法主要有控制测试和应用计算机辅助制订两制订集中交易系统的审计方法主要有控制测试和应用计算机辅助制订两 种。种。 控制测试主要包括以下内容：控制测试主要包括以下内容： 1.1.了解内部控制。审计人员应该了解

59、证券公司与计算机信息处理有关的了解内部控制。审计人员应该了解证券公司与计算机信息处理有关的 控制活动，包括信息技术的一般控制和应用控制。一般控制是指与多个控制活动，包括信息技术的一般控制和应用控制。一般控制是指与多个 应用系统有关的政策和程序，有助于保证系统持续性恰当运行，支持应用系统有关的政策和程序，有助于保证系统持续性恰当运行，支持 应用控制作用的有效发挥，通常包括：数据和网络运行控制、系统软件应用控制作用的有效发挥，通常包括：数据和网络运行控制、系统软件 的购置、修改及维护控制、接触与访问权限控制、开发与维护控制等。的购置、修改及维护控制、接触与访问权限控制、开发与维护控制等。 应用控制

60、是指主要在业务流程运行的人工或自动化程序，与用于生成、应用控制是指主要在业务流程运行的人工或自动化程序，与用于生成、 记录、处理、报告交易或其他财务数据的程序相关的控制，主要包括：记录、处理、报告交易或其他财务数据的程序相关的控制，主要包括： 输入控制、数据处理控制和输出控制。证券公司较多的应用了自动化的输入控制、数据处理控制和输出控制。证券公司较多的应用了自动化的 应用控制，审计人员在确认信息技术处理过程的一贯性后，可以利用该应用控制，审计人员在确认信息技术处理过程的一贯性后，可以利用该 项控制得到执行和信息技术一般控制运行有效性的审计证据，作为支持项控制得到执行和信息技术一般控制运行有效性