原创《中小证券公司信息系统审计问题和》:本论文为免费优秀的关于证券公司论文范文资料,可用于相关论文写作参考。
证券公司的业务开展和管理离不开信息系统,信息系统在证券公司经纪业务、自营投资业务、融资融券业务、客户资产管理业务以及业务清算、财务核算、风险监控、合规管理等业务活动与经营管理中广泛应用,已经成为为证券公司经营管理提供关键服务的核心资源.证券公司在获得信息技术带来的效率和收益的同时,也面临着更为严峻的风险,这种风险逐渐引起行业监管部门与公司管理者的高度重视.而现代内部审计的理念协助企业防范风险,作为企业内部控制组成的内部审计部门,如何有效的开展IT审计,通过审计促进证券公司管理IT风险、实现信息系统的安全运行和公司其他目标,是我们必须思考的问题.
一、证券公司开展信息系统内部审计面临的问题和难点
(一)中小券商IT审计环境有待改善.
《证券期货经营机构信息技术治理工作指引》要求“证券公司应建立内部IT 审计制度,至少每两年进行一次IT 审计”,但一些中小券商的IT内部审计业务开展还不够深入.首先表现为公司高层对IT内部审计认识不足、信心不足:一是对内部审计的认识依然停留在传统的财务审计领域;二是认为内部审计难以胜任,信息系统专业性强而内部审计根本不具备专业能力.其次,作为被审部门的信息技术部门因其专业性强的特点,从未接受过内部审计,因此,工作上存在抵触情绪.再次,内审部门的人员也有畏难情绪,一旦IT审计不到位,必将加大审计风险.上述情况导致其内部审计很难在该领域有效开展.
(二)信息系统审计资源限制.
IT审计人员与审计技术工具是影响信息系统审计的两个重要资源因素.内部审计准则第28号要求,IT审计人员应当通晓IT技术并掌握内控、管理和审计技能.而实际工作中,在企业具有多年IT从业经验又具备审计技能的复合型人才较为缺乏.2002年中国大陆引入注册信息系统审计师(CISA)考试培训以来,截止目前获得CISA资格的人也仅1000余人,专业人才资源的缺乏制约了券商有效开展专业的信息技术审计.
审计技术工具是影响IT审计系统质量与效果的另一个关键因素.鉴于IT审计技术性和专业性极强的特点,内部审计部门配备访问控制分析软件、系统配置分析软件、测试数据生成器、固件监测器等技术工具往往又受制于企业的财务预算限制和公司对信息技术的安排.
(三)信息系统审计标准缺乏.
COSO-ERM框架提出企业的风险管理应建立在一系列指标或标杆基础上实施事项识别、风险评估与应对.证监会2011年12月以行业标准(JR/T 0060-2010)形式颁发的《证券期货业信息系统安全等级保护基本要求》也对证券公司设置了五个等级的安全保护能力标准,券商应根据业务发展和风险控制能力制定适合本企业的风险控制等级标准.但实际工作中,还存在券商并未建立IT控制基准或基准建立没有涵盖所有系统的现象,这就造成了IT审计中缺乏标准和依据.
(四)信息系统风险的识别与评估的体系尚未建立.
在证券公司日常业务中出现的服务器宕机、通信中断、网络病毒等方方面面的风险事件,会给证券公司带来巨大损失.很多情况下,证券公司对IT风险的管理仍然停留在风险发生之后的分析与补救,没有形成一套对潜在风险开展系统化的识别与评估的方法,定期的风险识别评估机制的缺乏、审计环境基础薄弱成为开展风险导向型信息系统审计所面临的一个难点.
二、证券公司开展信息系统审计的对策
中国内部审计协会2009年1月1日正式发布施行的《内部审计具体准则第28号——信息系统审计》也标志着国内在内部审计领域开展的IT审计走向成熟,准则的颁布对证券公司信息系统内部审计工作具有重要的指导意义.针对证券公司信息系统审计所面临的问题和难点,本文从以下方面探讨其解决方案.
(一) 促进内部审计环境的不断改善.
内部审计效能发挥的关键取决于公司高层对内部审计的态度,为营造良好的内部审计环境应从以下三个方面入手:
1.加强内部审计准则和风险导向审计理念的宣传.证券公司高层对现代内部审计在企业全面风险管理(包括IT治理)中作用正确认识,才能使内部审计能够从公司高层获得信心支持、立项支持与财务支持,IT审计才能有效地开展.
2.内部审计应该树立主动服务意识与沟通意识.开展IT审计不只是对IT系统的检查和问题的揭示,更应该是协助公司高层,帮助信息技术部门把控IT风险,防范证券业务风险.因此沟通技巧也是有效开展IT审计的重要影响因素.内部审计部门在沟通方面,应积极主动与公司高层加强沟通以获取支持,与IT管理部门平等、协作取得IT部门的理解、配合,目的在于维护IT系统的安全运行.
3.内部审计人员不断加强信息系统学习.IT审计人员应该积极掌握和熟悉内部审计业务,具备必要的信息技术及信息系统审计的专业知识,克服畏难情绪,知难而进,树立“有为才有位”的观念.
(二) 建立并实施内部审计发展规划,化解IT资源稀缺的矛盾.
证券公司应该结合行业的发展、业务的开展和管理的需要,重新定位内部审计,建立内部审计发展规划,将审计资源稀缺问题纳入到证券公司的整体发展规划之中.
1.内部审计部门应该结合业务的发展,配备适当的IT审计人员.通过内部培养、外部引进相结合的方式发展IT审计人员,鼓励审计人员取得注册信息系统审计师职业资格,通过人员选聘、培训、技术设施配备等措施化解IT审计资源不足的矛盾.在审计部门暂时不具备IT审计能力的情况下,内部审计部门可以聘用外部专家或内审业务外包的形式开展IT审计,通过审计成果,提高内部审计的履职效能.
2.证券公司应结合业务发展和审计的需要给予必要的支持,在系统权限、专业审计工具引入、财务预算分配等方面放宽限制,确保IT审计质量和审计效果.
(三) 推动证券公司建立明确的IT控制标准.
建立并应用明确的IT控制标准作为审计依据可以提高审计的质量与效果.鉴于证券监管机构已推出《证券期货业信息系统安全等级保护基本要求(试行)》等行业规范,在物理安全、网络安全、主机系统安全、应用安全和数据安全等技术上的五个层面以及安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面已做了明确的要求,IT审计人员应在审计过程中推动公司建立适合公司自身的IT控制标准.
证券公司论文参考资料:
结论:中小证券公司信息系统审计问题和为关于本文可作为相关专业证券公司论文写作研究的大学硕士与本科毕业论文十大证券公司排名2017论文开题报告范文和职称论文参考文献资料。
