证券公司的IT审计(PPT 47张)
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
建立有效的工作机制、制定IT风险管理策略和相关制度、内
部IT审计制度。
7
一、总体了解该公司信息技术治理、灾 难备份体系建立的情况
(一)了解信息技术治理情况
3. 重点关注信息技术的一般控制 通过访谈、调查等方法了解 数据中心和网络运行控制; 系统软件的购置、开发及维护控制、修改及维 护控制; 接触或访问权限控制; 应用系统的购置; 选择关键点进行检查。
10
一、总体了解该公司信息技术治理、灾 难备份体系建立的情况
(一)了解信息技术治理情况
3. 重点关注信息技术的一般控制
系统软件的购置、开发及维护控制、修改及维护控制 公司电脑部统一规划各分支机构的软件平台,所有分支机 构电脑系统软件的选购、开发、测试、安装均由公司电 脑部统一批准进行,任何分支机构不得试用、安装、运 行未经允许的电脑软件。(经测试杀毒软件各营业部不 一致、不统一,存在管理漏洞) 公司电脑部对应用软件系统的修改、升级、测试、发布实 施统一管理。
日期 服务器名 操作系统 用户名 批准人(总 经理) 修改人 监督人
13
一、总体了解该公司信息技术治理、灾 难备份体系建立的情况
(一)了解信息技术治理情况
3. 重点关注信息技术的一般控制
险管理的策略和相关制度、内部 IT 审计制度等等。
6
一、总体了解该公司信息技术治理、灾 难备份体系建立的情况
该公司2010年年度报告中就内部控制存在的问题 及改进措施披露如下:
公司组织相关人员认真学习了《证券期货经营机构信息技 术治理工作指引(试行)》,,成立了公司IT治理委员会。 在IT委员会的领导下,近期组织相关部门、人员在IT原则、 IT构架、IT基础设施、IT应用和IT投入5个方面制定相关制度、
5
一、总体了解该公司信息技术治理、灾 难备份体系建立的情况
该公司2010年年度报告中就内部控制存在的问题 及改进措施披露如下:
公司对《证券期货经营机构信息技术治理工作指引(试 行)》的工作尚待落实,包括未建立公司 IT 治理组织,未 在IT 原则、IT 架构、IT 基础设施、IT 应用和 IT 投入5 个方面制定相关制度并建立有效的工作机制,未制定 IT 风
该公司针对数据中心和网络控制制定了包括:帐户管理,
密码管理,病毒防范等制度等相应的规章制度,具体内容: 严格控制网络帐户的开设; 隐藏系统管理员帐户; 网络帐户权限设置; 网络帐户登录限制; 账户密码的设立; 账户密码的保管; 账户密码的更新; 杜绝病毒来源; 定期检测和清除病毒; 做好数据备份等规章制度。
12
一、总体了解该公司信息技术治理、灾 难备份体系建立的情况
(一)了解信息技术治理情况
3. 重点关注信息技术的一般控制
接触或访问权限控制 若数据差错严重,必须采取手工修改才能保障数据的一致 性,必须上报公司电脑部总经理和经纪业务部总经理,由 主管副总经理批准后方可调整,在调整过程中,必须在工 作日志中详细记录原因和具体的实施时间和步骤。
4
一、总体了解该公司信息技术治理、灾 难备份体系建立的情况
(1)对IT负责人访谈、调查的结果
航空证券: 航空证券对《证券期货经营机构信息技术治理工 作指引(试行)》及深圳证监局下发的《深圳辖区 证券公司信息技术治理工作指引(试行)》的情况 对于这两项文件,航空证券虽努力向其看齐但未 能完整有效地执行。航空证券IT治理部门在公司地 位较其应有地位低,推行这两项文件的难度大。
3
一、总体了解该公司信息技术治理、灾 难备份体系建立的情况
(1)对IT负责人访谈、调查的结果
—在国外,一些领头羊公司对于IT技术治理非 常重视,对于其人力以及财力的投 入非常到位,但 是非领头羊公司IT技术治理的投入有所欠缺,IT部 门在公司中的地位也较领头羊公司的低。 —我国,南方城市,以深圳为代表,对IT技术 治理人力财力投入情况较北方城市好,但是总体上 来看,我国对IT技术治理方面的投入非常欠缺。 例:航空证券
11
一、总体了解该公司信息技术治理、灾 难备份体系建立的情况
(一)了解信息技术治理情况
3. 重点关注信息技术的一般控制
接触或访问权限控制 公司电脑部对交易业务数Biblioteka Baidu实行专人管理。分支机构核心 交易数据库管理员的权限由分支机构电脑部负责人管理。 任何人无权擅自对交易系统中的交易业务数据进行修改。 为维护电脑系统历史数据的安全性和准确性,对因差错造 成的电脑数据出错的情况,原则上由分支机构在柜台系 统中,利用相关的功能模块,做反向的操作进行调整。
1 1
审计计划执行的程序
一、总体了解该公司信息技术治理、灾难备份体系建 立的情况 二、总体了解相关信息系统的控制并对其风险进行评 估
三、经纪业务循环
四、自营及资管业务循环 五、了解和评价内部控制的监督是否有效 六、了解和评价内部IT审计是否有效
七、证券公司集中交易系统的审计
2
一、总体了解该公司信息技术治理、灾 难备份体系建立的情况
(一)了解信息技术治理情况
1. 通过访谈、调查等方法了解该公司执行中国证券业协会和 中国期货业协会联合制定的《证券期货经营机构信息技术 治理工作指引(试行)》及深圳证监局下发的《深圳辖区 证券公司信息技术治理工作指引(试行)》的情况。 2. 取得该公司根据上述工作指引进行修订的公司信息技术治 理工作方案及制定的改进措施,总体了解该公司在“IT原 则和治理目标”、“IT治理组织和工作机制”、“IT架构 与IT基础设施”、“IT应用”、“IT投入”、“IT人力资 源”、“IT安全和风险控制”、“信息技术管理制度”、 “信息技术事故责任与追究”及“违规责任”等各个方面 的治理计划及安排,了解改进措施的落实情况。
8
一、总体了解该公司信息技术治理、灾 难备份体系建立的情况
(一)了解信息技术治理情况
3. 重点关注信息技术的一般控制
数据中心和网络运行控制;
首先大家知道:计算机和数据安全的具体问题来
自于数据处理和电子商务的增长。主要风险是黑
客、计算机病毒、电子窃听机密信息、计算机系
统故障、或自然灾害。
9
一、总体了解该公司信息技术治理、灾 难备份体系建立的情况