证券公司信息系统风险导向型审计的策略分析

　中国内部审计协会2009年1月1日正式发布施行的《内部审计具体准则第28号—信息系统审计》对证券公司信息系统内部审计工作具有重要的指导意义。本文以风险导向型审计的角度，从证券公司信息系统审计实施的问题与难点入手、探讨具体准则在证券信息系统审计过程中的实践应用。
　　一、以准则框架进行信息系统风险分类识别
　　（一）组织层面的IT风险
　　证券公司组织层面IT风险主要表现为以下方面：
　　1.缺乏明确的IT战略目标、IT目标与公司整体战略及业务目标不匹配造成的风险。
　　治理组织架构、授权机制、制度体系不健全对IT安全运行管理造成的风险。
　　部门人力资源管理（资质、培训、保密要求等）、岗位设置与职责分工控制不力造成的风险。
　　与业务之间的联系框架与工作机制运行不畅造成信息沟通、协作配合不良风险。
　　（二）一般层面的IT风险
　　证券公司一般层面的IT风险是指与IT网络、操作系统、数据库、应用系统及IT技术设施等IT基础环境相关的风险，主要表现为以下方面：
　　1.信息安全管理政策、物理与逻辑访问控制、用户身份认证，职责分离等控制缺失或不当造成的风险。
　　2.由于IT系统变更、参数设置授权与审批，变更测试与移植等控制缺失或不当所造成的风险。
　　3.因IT系统开发和采购授权审批，开发、测试与生产环境的隔离，系统测试、审核、移植等工作环节控制缺失或不健全所造成的风险。
　　4.由信息技术资产管理、系统容量管理、系统物理环境控制，系统和数据备份及恢复管理，问题管理和系统的日常运行管理等操作所产生的风险。
　　（三）业务流程层面IT风险
　　证券公司业务流程层面的IT风险来自于信息系统对业务数据输入、处理、输出的处理过程，主要表现为以下方面：
　　1.由于IT系统的数据输入授权、数据完整性与正确性检查以及系统间数据传输等控制缺失或不健全所造成的风险，如关键业务系统用户与权限管理风险（交易系统、清算系统、财务系统等）、重要业务操作授权、检查与复核风险。
　　2.由于IT系统对数据处理过程中的控制缺失或不健全所造成的风险。
　　3.对IT系统输出信息控制缺失或不健全所造成的风险，如信息存储、传输的安全保密风险。
　　二、风险评估
　　通过风险识别，可以将企业IT风险的全貌进行分类展开并列示，风险评估过程是针对所列示的风险进行量化与排序的过程。如前文所述，我们通常将IT复杂性、控制水平以及可能造成的财务损害3个方面作为评价打分构成项目，并把这种方法称为“综合矩阵法”。
　　需要注意的是，IT风险评估是一个持续的过程，伴随业务流程的不断变化、技术的不断进步、威胁随着新弱点的出现不断产生、监管要求不断更新以及审计方法不断改进等因素的影响，证券公司IT风险评估的技术与方法还需在实践中不断总结、探索与改进。
　　三、审计计划
　　国际内部审计师协会（IIA）外部质量评审报告指出，建立一项适当的IT审计计划成为内部审计活动中最重要的环节。不适当的IT审计计划将影响整体审计工作的效果与质量。
　　在制订时IT审计计划应该遵循“覆盖最大的风险和可以为组织增加最大价值的领域”原则。审计人员应在风险评估的基础上制订能够实现审计目标的审计计划。
　　审计计划内容要素包括：审计范围与目标、审计所涵盖具体内容、审计适用的法规及审计准则、审计的方法与程序、审计的资源配置等方面。
　　在制订信息系统审计计划时，还需要注意以下问题：第一，审计资源预算对审计计划具有重要的影响，审计项目负责人要根据人员配置、时间安排、需要重点开展的检查与评价活动，合理匹配审计资源。其次，IT系统作为审计对象时，审计计划中应涵盖对每一风险层面的审查。如：在“ABC公司网上交易系统专项审计”与“ABC公司财务系统专项审计”两个项目中均应对相关信息技术的组织层面、一般层面及业务流程层面的风险进行评估与检查。
　　四、检查测试
　　实施证券公司信息系统审计的检查与测试过程可以分为一般性检查、符合性测试与实质性测试3个阶段。
　　其中符合性测试是对已有的关键控制要点的实际作用进行测试，而实质性测试是对系统处理生成的财务信息、业务信息等处理结果的合法性、真实性、准确性进行直接检查或分析性复核。例如：证券营业部岗位隔离控制中要求交易系统管理员不得具有业务操作的职能。审计中对这种控制措施是否存在和有效执行的检查过程，为符合性测试。经测试，营业部并没有按照要求设置系统管理员权限，说明这种控制实际为无效，存在风险隐患，所以需要进一步在系统交易记录中检查系统管理员是否实施了违反规定的业务操作，这种检查系统业务数据的过程则属于实质性测试。
　　根据上例可以看出，对系统进行符合性测试的重点是在对内部控制初步评价的基础上得出的，在进行实质性测试之前，应当先对这些控制点进行符合性测试，并根据测试结果判断风险等级，确定实质性测试的要点与范围。也就是说，在符合性测试中认为控制失效的领域，风险更高，审计中应加大实质性测试的样本数量与审计检查的力度，这也是基于风险导向型审计程序的实际应用。
　　在对信息系统检查与测试工程中，审计人员除了运用询问访谈、问卷调查、现场观察、审阅文件、分析性复核等传统审计方法外，还经常会用到绘制控制流程图、穿行测试、并行模拟、渗透性检测、嵌入式审计模块等技术。
　　运用穿行测试将预先设计的测试数据输入系统，并将系统输出与预期的结果进行对比，检查系统处理过程是否正确。而并行模拟是对实际业务的系统处理结果进行重新计算，以验证系统计算准确性。例如为了验证证券公司财务核算系统中的自营投资证券成本价计算结果，我们从投资交易系统导出中的证券交易流水，用EXECL表格进行并行模拟计算，并与财务核算系统结果进行比对。与穿行测试相比，并行模拟不会对生产系统产生任何影响。
　　信息系统审计人员应当在对相关审计程序充分理解的基础上，采用适宜方法开展检查与测试工作。审计人员对有些审计方法与工具的配置和使用时，除了考虑成本效益性之外，还应特别关注对生产安全的考虑，证券公司IT管理层一般情况下不允许审计工具对生产系统的直接访问。因此， 在证券公司信息系统审计中执行穿行测试、渗透性检测等操作时，应与IT管理层充分讨论并得到授权。
　　测试与检查的过程中，审计人员需要根据实际情况进行持续的风险评估，并对评估发现的重要剩余风险开展进一步的检查与测试。
　　五、沟通与报告
　　信息系统审计具有专业性、复杂性及IT与业务的关联性等特征，为了提高审计质量与效果，有效沟通在其中发挥着重要的作用。沟通的作用主要表现在3个方面：首先，内部审计部门与董事会与管理层之间公开和详细的沟通有助于改善公司IT审计效果；其次，内部审计将被审计部门作为“客户”，双方通过充分的沟通增进对审计发现问题理解与认同，为被审计部门有效改进IT薄弱环节提供帮助；第三，审计组人员的内部沟通是协调审计工作、达成审计目标的关键。
　　审计报告是审计工作的最后产品，也是发挥审计效能，体现审计价值的重要工具。在审计实施结束后，审计人员应以充分、可靠及相关的审计证据为依据形成审计结论与建议，出具有建设性的审计报告。
　　六、后续跟踪
　　信息系统审计后续跟踪是检查被审计部门对审计发现问题及审计建议的处理与改进的情况，一般情况下，证券公司审计部门通过后续审计以滚动覆盖式方式对前次审计发现问题跟踪检查，促进控制有效运行与改进。但是，后续审计周期过长的问题必然影响审计效果与促进改进的作用。为此，还需要审计部门对发现的问题及改进状况进行持续风险评估，关注后续跟踪周期时效，防止风险扩散。
　　（作者单位：西部证券股份有限公司）