证券公司的IT审计(PPT 47张)
合集下载
IT审计及COBIT体系 PPT
大家好
15
大家好
16
IT治理是一个综合术语,它包括信息系统,技术和 通讯,业务,法律相关事务,所有利益相关方,董 事会,高级管理层,流程所有人,IT供应商,用户 和审计师。IT治理有助于确保IT和企业目标保持一 致。
IT治理是组织中的一种制度安排,目的是为了提高 IT绩效、降低IT风险,有效地利用资源。
大家好
11
处理控制:对信息系统进行的内部数据处理活动的 控制措施,这些控制措施往往被写入计算机程序, 包括数据有效性检测、错误纠正控制。
输出控制:主要是保证交付给用户的数据是符合格 式要求的、可交付的,并以一致和安全的方式递交给 用户,包括输出错误处理、输出报告管理、报告接收 确认
大家好
12
内容安排
IT审计及COBIT模型
2013/12/28
DIB 中国领先内部控制和风险管理解决方案提供商
内容安排
1.IT审计介绍 2.IT治理介绍 3.COBIT概念 4.COBIT体系框架 5.Q&A
大家好
2
信息系统审计(ITA)是以企业或政府等组织的信息系统为 审计对象,通过现代的审计理论和IT管理理论,从信息资 产的安全性、数据的完整性以及系统的有效性和效率性等 方面出发,对其是否能够有效可靠的达到组织的战略目标 进行全面的监测和评估,并为改善和健全组织对信息系统 的控制提出详细的建议。
审计结束 大计家好算机信息系统审计流程6
信息系统调查是对被审计单位信息系统的管理体制、 总体架构、规划设计、管理水平等进行全面、深入地 了解,是进行信息系统审计的基础。
了解管理体制,从总体上把握被审计单位信息系统管 理的基本情况。
了解总体架构,完成对被审计单位有什么类型的信息 系统,每个系统有多少子系统,信息系统分布在哪些 部门,信息系统之间有什么关系的调查。
IT审计相关知识(ppt 62页)
PerformanTceecahnndicBaulsRineefsesr-DenricveenModel (TRM)
Performan•cSeerRveicferCenocmepMonoednetl (IPnRteMrfa)ces, Interoperability •Inputs, Ou•tpTuetcsh, nanodloOgiuetsc,oRmeecsommendations •Uniquely Tailored IT Performance Indicators
Audit Work Team
$ Manager: Responsible for the audit and quality control.
$ Senior/team leader: Responsible for the work papers.
$ Staff: Responsible for the performance of the audit.
$ Definition of Scope and Objectives. $ Analysis and understanding of standard procedures. $ Evaluation of system and internal controls. $ Audit Procedures and documentation of evidence. $ Analysis of facts encountered. $ Formation of opinion over the controls. $ Presentation of report and recommendations.
THE FEA REFERENCE MODEL FRAMEWORK
Performan•cSeerRveicferCenocmepMonoednetl (IPnRteMrfa)ces, Interoperability •Inputs, Ou•tpTuetcsh, nanodloOgiuetsc,oRmeecsommendations •Uniquely Tailored IT Performance Indicators
Audit Work Team
$ Manager: Responsible for the audit and quality control.
$ Senior/team leader: Responsible for the work papers.
$ Staff: Responsible for the performance of the audit.
$ Definition of Scope and Objectives. $ Analysis and understanding of standard procedures. $ Evaluation of system and internal controls. $ Audit Procedures and documentation of evidence. $ Analysis of facts encountered. $ Formation of opinion over the controls. $ Presentation of report and recommendations.
THE FEA REFERENCE MODEL FRAMEWORK
证券公司的IT审计(PPT 47页)
3
一、总体了解该公司信息技术治理、灾 难备份体系建立的情况
(1)对IT负责人访谈、调查的结果
—在国外,一些领头羊公司对于IT技术治理非 常重视,对于其人力以及财力的投 入非常到位,但 是非领头羊公司IT技术治理的投入有所欠缺,IT部 门在公司中的地位也较领头羊公司的低。
—我国,南方城市,以深圳为代表,对IT技术 治理人力财力投入情况较北方城市好,但是总体上 来看,我国对IT技术治理方面的投入非常欠缺。
7
一、总体了解该公司信息技术治理、灾 难备份体系建立的情况
(一)了解信息技术治理情况
3. 重点关注信息技术的一般控制 通过访谈、调查等方法了解
➢ 数据中心和网络运行控制; ➢ 系统软件的购置、开发及维护控制、修改及维
护控制; ➢ 接触或访问权限控制; ➢ 应用系统的购置; ➢ 选择关键点进行检查。
例:航空证券
4
一、总体了解该公司信息技术治理、灾 难备份体系建立的情况
(1)对IT负责人访谈、调查的结果
航空证券: 航空证券对《证券期货经营机构信息技术治理工 作指引(试行)》及深圳证监局下发的《深圳辖区 证券公司信息技术治理工作指引(试行)》的情况 对于这两项文件,航空证券虽努力向其看齐但未 能完整有效地执行。航空证券IT治理部门在公司地 位较其应有地位低,推行这两项文件的难度大。
17
二、总体了解相关信息系统的控制并对 其风险进行评估
18
二、总体了解相关信息系统的控制并对 其风险进行评估
19
二、总体了解相关信息系统的控制并对 其风险进行评估
➢ 金正系统记录全天的柜台交易记录(已查看金证交易系统 的使用手册、记录及报告交易的流程),新意系统记录全 天清算数据,财务人员根据上述系统的数据将相关信息 手工录入用友NC系统。
一、总体了解该公司信息技术治理、灾 难备份体系建立的情况
(1)对IT负责人访谈、调查的结果
—在国外,一些领头羊公司对于IT技术治理非 常重视,对于其人力以及财力的投 入非常到位,但 是非领头羊公司IT技术治理的投入有所欠缺,IT部 门在公司中的地位也较领头羊公司的低。
—我国,南方城市,以深圳为代表,对IT技术 治理人力财力投入情况较北方城市好,但是总体上 来看,我国对IT技术治理方面的投入非常欠缺。
7
一、总体了解该公司信息技术治理、灾 难备份体系建立的情况
(一)了解信息技术治理情况
3. 重点关注信息技术的一般控制 通过访谈、调查等方法了解
➢ 数据中心和网络运行控制; ➢ 系统软件的购置、开发及维护控制、修改及维
护控制; ➢ 接触或访问权限控制; ➢ 应用系统的购置; ➢ 选择关键点进行检查。
例:航空证券
4
一、总体了解该公司信息技术治理、灾 难备份体系建立的情况
(1)对IT负责人访谈、调查的结果
航空证券: 航空证券对《证券期货经营机构信息技术治理工 作指引(试行)》及深圳证监局下发的《深圳辖区 证券公司信息技术治理工作指引(试行)》的情况 对于这两项文件,航空证券虽努力向其看齐但未 能完整有效地执行。航空证券IT治理部门在公司地 位较其应有地位低,推行这两项文件的难度大。
17
二、总体了解相关信息系统的控制并对 其风险进行评估
18
二、总体了解相关信息系统的控制并对 其风险进行评估
19
二、总体了解相关信息系统的控制并对 其风险进行评估
➢ 金正系统记录全天的柜台交易记录(已查看金证交易系统 的使用手册、记录及报告交易的流程),新意系统记录全 天清算数据,财务人员根据上述系统的数据将相关信息 手工录入用友NC系统。
IT审计要点(ppt 54页)
8
COBIT 模型: IT 域 (续)
获取与实施 (AI) ► 目标:
▪ 识别、制定或获取、实施并整合IT方案 ▪ 现有系统的变更与维护 ► 范围: ▪ 新项目提供的解决方案是否满足业务需求提供? ▪ 新项目是否能在预算范围内及时提供? ▪ 新项目实施后是否能正常工作? ▪ 变更是否能够不影响当前的业务运营?
提供与支持 (DS) ► 目标:
▪ 所请求服务的实际提供结果, 包括服务提供过程 ▪ 安全、连续性、数据和运营设施管理 ▪ 对用户的服务支持 ► 范围: ▪ IT服务提供是否与业务优先级相匹配? ▪ IT成本是否最优? ▪ 员工是否能安全有效的使用IT系统? ▪ 是否能保障机密性、完整性和可用性?
IT服务
业务战略
IT资源
信息标准
IT流程
2
COBIT框架
作为一个IT的控制和治理框架, COBIT关注于以下两个关键点: ► 提供所需要的信息以支持业务目标和需求 ► 根据IT流程所管理的IT相关资源及应用对信息进行处理
IT流程 业务需求
信息标准
有效性 效率 保密性 完整性 可用性 合规性 可靠性
控制方法
新项目
?
组织
9
COBIT模型: IT域 (续)
计划 与组织
IT 流程
获取 与实施
提供 与支持
监控 与评价
获取与实施
AI1 识别自动解决方案 AI2 获取与维护应用软件 AI3 获取与维护技术架构 AI4 保障运营与使用 AI5 获取IT资源 AI6 变更管理 AI7 变更及方案的部署和授权
10
COBIT模型: IT域 (续)
计划 与组织
IT 流程
获取 与实施
提供 与支持
COBIT 模型: IT 域 (续)
获取与实施 (AI) ► 目标:
▪ 识别、制定或获取、实施并整合IT方案 ▪ 现有系统的变更与维护 ► 范围: ▪ 新项目提供的解决方案是否满足业务需求提供? ▪ 新项目是否能在预算范围内及时提供? ▪ 新项目实施后是否能正常工作? ▪ 变更是否能够不影响当前的业务运营?
提供与支持 (DS) ► 目标:
▪ 所请求服务的实际提供结果, 包括服务提供过程 ▪ 安全、连续性、数据和运营设施管理 ▪ 对用户的服务支持 ► 范围: ▪ IT服务提供是否与业务优先级相匹配? ▪ IT成本是否最优? ▪ 员工是否能安全有效的使用IT系统? ▪ 是否能保障机密性、完整性和可用性?
IT服务
业务战略
IT资源
信息标准
IT流程
2
COBIT框架
作为一个IT的控制和治理框架, COBIT关注于以下两个关键点: ► 提供所需要的信息以支持业务目标和需求 ► 根据IT流程所管理的IT相关资源及应用对信息进行处理
IT流程 业务需求
信息标准
有效性 效率 保密性 完整性 可用性 合规性 可靠性
控制方法
新项目
?
组织
9
COBIT模型: IT域 (续)
计划 与组织
IT 流程
获取 与实施
提供 与支持
监控 与评价
获取与实施
AI1 识别自动解决方案 AI2 获取与维护应用软件 AI3 获取与维护技术架构 AI4 保障运营与使用 AI5 获取IT资源 AI6 变更管理 AI7 变更及方案的部署和授权
10
COBIT模型: IT域 (续)
计划 与组织
IT 流程
获取 与实施
提供 与支持
IT审计要点(ppt 54页)
COSO
做什么
ISO 17799
COBIT
ITIL
ISO 9000
怎么做
覆盖范围 4
COBIT适用于何处?
驱动 企业治理 IT治理 最佳实践标准 流程和步骤
绩效: 业务目标
平衡计分卡
合规性: Basel II, Sarbanes-
Oxley Act, etc.
COSO
ISO 9001:2000COBIT业务优先级
11
COBIT模型: IT域 (续)
提供与支持
DS1 服务级别定义与管理 DS2 第三方服务管理 DS3 性能和能力管理 DS4 连续服务保障 DS5 系统安全保障 DS6 成本识别与分配 DS7 用户教育与培训 DS8 服务台和突发事件管理 DS9 配置管理 DS10 问题管理 DS11 数据管理 DS12 物理环境管理 DS13 运营管理
业务目标和治理目标
C OBIT 框架
信息
效率 有效性
合规性 可靠性
监控和评估
完整性
可用性 保密性
IT资源
计划和组织
PO1 制定IT战略计划 PO2 确定信息架构. PO3 确定技术方向. PO4 定义IT流程、组织和关系. PO5 IT投资管理. PO6 沟通管理目标和方向 PO7 IT人力资源管理 PO8 质量管理 PO9 IT风险评估和管理. PO10 项目管理
业务战略
IT资源
信息标准
IT流程
2
COBIT框架
作为一个IT的控制和治理框架, COBIT关注于以下两个关键点: ► 提供所需要的信息以支持业务目标和需求 ► 根据IT流程所管理的IT相关资源及应用对信息进行处理
IT流程 业务需求
IT审计培训PPT课件
© 2001 安达信公司 。 所有内容版权属於公司所有 。
20
可管理性
可管理性涉及以下几个领域:
– 信息技术战略规划 – 信息技术安全政策 – 组织架构管理 – 系统开发和维护 – 系统事故报告
© 2001 安达信公司 。 所有内容版权属於公司所有 。
21
可管理性
- 信息技术战略规划
© 2001 安达信公司 。 所有内容版权属於公司所有 。
4
网络层
© 2001 安达信公司 。 所有内容版权属於公司所有 。
5
网络
• 局域网 (LAN) : 计算机之间的地理位置十分接近 (即在同一栋楼内)。
• 广域网 (WAN) : 计算机间距离较远,并由电话线、无线电波和专线连接。
© 2001 安达信公司 。 所有内容版权属於公司所有 。
6
网络组件
• 数据库管理系统 (“DBMS”) 协助组织、控制和使用应用程序所需数据 的系统软件
• 常用数据库产品举例
– IBM DB2 – Oracle Database – Microsoft SQL Server – Sybase – Informix
© 2001 安达信公司 。 所有内容版权属於公司所有 。
基本要求
• 该政策必须是:
– 可执行、可实施的 – 简明易懂的 – 良好地平衡生产和保护二者间的关系 – 经常更新,跟上企业的变化
© 2001 安达信公司 。 所有内容版权属於公司所有 。
8
硬件平台
• 不同类型的硬件 – 大型机 (OS/390) – 小型机 (AS/400, RS/6000) – 微机 (PC, Macintosh)
• 计算机组成部件 – 内存 – 海量存储器 – 输入设备 – 输出设备 – 中央处理器
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
5
一、总体了解该公司信息技术治理、灾 难备份体系建立的情况
该公司2010年年度报告中就内部控制存在的问题 及改进措施披露如下:
公司对《证券期货经营机构信息技术治理工作指引(试 行)》的工作尚待落实,包括未建立公司 IT 治理组织,未 在IT 原则、IT 架构、IT 基础设施、IT 应用和 IT 投入5 个方面制定相关制度并建立有效的工作机制,未制定 IT 风
8
一、总体了解该公司信息技术治理、灾 难备份体系建立的情况
(一)了解信息技术治理情况
3. 重点关注信息技术的一般控制
数据中心和网络运行控制;
首先大家知道:计算机和数据安全的具体问题来
自于数据处理和电子商务的增长。主要风险是黑
客、计算机病毒、电子窃听机密信息、计算机系
统故障、或自然灾害。
9
一、总体了解该公司信息技术治理、灾 难备份体系建立的情况
10
一、总体了解该公司信息技术治理、灾 难备份体系建立的情况
(一)了解信息技术治理情况
3. 重点关注信息技术的一般控制
系统软件的购置、开发及维护控制、修改及维护控制 公司电脑部统一规划各分支机构的软件平台,所有分支机 构电脑系统软件的选购、开发、测试、安装均由公司电 脑部统一批准进行,任何分支机构不得试用、安装、运 行未经允许的电脑软件。(经测试杀毒软件各营业部不 一致、不统一,存在管理漏洞) 公司电脑部对应用软件系统的修改、升级、测试、发布实 施统一管理。
11
一、总体了解该公司信息技术治理、灾 难备份体系建立的情况
(一)了解信息技术治理情况
3. 重点关注信息技术的一般控制
接触或访问权限控制 公司电脑部对交易业务数据实行专人管理。分支机构核心 交易数据库管理员的权限由分支机构电脑部负责人管理。 任何人无权擅自对交易系统中的交易业务数据进行修改。 为维护电脑系统历史数据的安全性和准确性,对因差错造 成的电脑数据出错的情况,原则上由分支机构在柜台系 统中,利用相关的功能模块,做反向的操作进行调整。
建立有效的工作机制、制定IT风险管理策略和相关制度、内
部IT审计制度。
7
一、总体了解该公司信息技术治理、灾 难备份体系建立的情况
(一)了解信息技术治理情况
3. 重点关注信息技术的一般控制 通过访谈、调查等方法了解 数据中心和网络运行控制; 系统软件的购置、开发及维护控制、修改及维 护控制; 接触或访问权限控制; 应用系统的购置; 选择关键点进行检查。
3
一、总体了解该公司信息技术治理、灾 难备份体系建立的情况
(1)对IT负责人访谈、调查的结果
—在国外,一些领头羊公司对于IT技术治理非 常重视,对于其人力以及财力的投 入非常到位,但 是非领头羊公司IT技术治理的投入有所欠缺,IT部 门在公司中的地位也较领头羊公司的低。 —我国,南方城市,以深圳为代表,对IT技术 治理人力财力投入情况较北方城市好,但是总体上 来看,我国对IT技术治理方面的投入非常欠缺。 例:航空证券
1 1
审计计划执行的程序
一、总体了解该公司信息技术治理、灾难备份体系建 立的情况 二、总体了解相关信息系统的控制并对其风险进行评 估
三、经纪业务循环
四、自营及资管业务循环 五、了解和评价内部控制的监督是否有效 六、了解和评价内部IT审计是否有效
七、证券公司集中交易系统的审计
2
一、总体了解该公司信息技术治理、灾 难备份体系建立的情况
12
一、总体了解该公司信息技术治理、灾 难备份体系建立的情况
(一)了解信息技术治理情况
3. 重点关注信息技术的一般控制
接触或访问权限控制 若数据差错严重,必须采取手工修改才能保障数据的一致 性,必须上报公司电脑部总经理和经纪业务部总经理,由 主管副总经理批准后方可调整,在调整过程中,必须在工 作日志中详细记录原因和具体的实施时间和步骤。
(一)了解信息技术治理情况
1. 通过访谈、调查等方法了解该公司执行中国证券业协会和 中国期货业协会联合制定的《证券期货经营机构信息技术 治理工作指引(试行)》及深圳证监局下发的《深圳辖区 证券公司信息技术治理工作指引(试行)》的情况。 2. 取得该公司根据上述工作指引进行修订的公司信息技术治 理工作方案及制定的改进措施,总体了解该公司在“IT原 则和治理目标”、“IT治理组织和工作机制”、“IT架构 与IT基础设施”、“IT应用”、“IT投入”、“IT人力资 源”、“IT安全和风险控制”、“信息技术管理制度”、 “信息技术事故责任与追究”及“违规责任”等各个方面 的治理计划及安排,了解改进措施的落实情况。
险管理的策略和相关制度、内部 IT 审计制度等等。
6
一、总体了解该公司信息技术治理、灾 难备份体系建立的情况
该公司2010年年度报告中就内部控制存在的问题 及改进措施披露如下:
公司组织相关人员认真学习了《证券期货经营机构信息技 术治理工作指引(试行)》,,成立了公司IT治理委员会。 在IT委员会的领导下,近期组织相关部门、人员在IT原则、 IT构架、IT基础设施、IT应用和IT投入5个方面制定相关制度、
4一、Βιβλιοθήκη 体了解该公司信息技术治理、灾 难备份体系建立的情况
(1)对IT负责人访谈、调查的结果
航空证券: 航空证券对《证券期货经营机构信息技术治理工 作指引(试行)》及深圳证监局下发的《深圳辖区 证券公司信息技术治理工作指引(试行)》的情况 对于这两项文件,航空证券虽努力向其看齐但未 能完整有效地执行。航空证券IT治理部门在公司地 位较其应有地位低,推行这两项文件的难度大。
日期 服务器名 操作系统 用户名 批准人(总 经理) 修改人 监督人
13
一、总体了解该公司信息技术治理、灾 难备份体系建立的情况
(一)了解信息技术治理情况
3. 重点关注信息技术的一般控制
该公司针对数据中心和网络控制制定了包括:帐户管理,
密码管理,病毒防范等制度等相应的规章制度,具体内容: 严格控制网络帐户的开设; 隐藏系统管理员帐户; 网络帐户权限设置; 网络帐户登录限制; 账户密码的设立; 账户密码的保管; 账户密码的更新; 杜绝病毒来源; 定期检测和清除病毒; 做好数据备份等规章制度。