證券公司的IT審計(jì)

1、 證券公司的IT審計(jì) 1 審計(jì)計(jì)劃執(zhí)行的程序一、總體了解該公司信息技術(shù)治理、災(zāi)難備份體系建一、總體了解該公司信息技術(shù)治理、災(zāi)難備份體系建立的情況立的情況二、總體了解相關(guān)信息系統(tǒng)的控制并對(duì)其風(fēng)險(xiǎn)進(jìn)行評(píng)二、總體了解相關(guān)信息系統(tǒng)的控制并對(duì)其風(fēng)險(xiǎn)進(jìn)行評(píng)估估三、經(jīng)紀(jì)業(yè)務(wù)循環(huán)三、經(jīng)紀(jì)業(yè)務(wù)循環(huán)四、自營(yíng)及資管業(yè)務(wù)循環(huán)四、自營(yíng)及資管業(yè)務(wù)循環(huán)五、了解和評(píng)價(jià)內(nèi)部控制的監(jiān)督是否有效五、了解和評(píng)價(jià)內(nèi)部控制的監(jiān)督是否有效六、了解和評(píng)價(jià)內(nèi)部六、了解和評(píng)價(jià)內(nèi)部IT審計(jì)是否有效審計(jì)是否有效七、證券公司集中交易系統(tǒng)的審計(jì)七、證券公司集中交易系統(tǒng)的審計(jì)2一、總體了解該公司信息技術(shù)治理、災(zāi)一、總體了解該公司信息技術(shù)治理、災(zāi)難備份體系

2、建立的情況難備份體系建立的情況（一）了解信息技術(shù)治理情況（一）了解信息技術(shù)治理情況通過(guò)訪談、調(diào)查等方法了解該公司執(zhí)行中國(guó)證券業(yè)協(xié)會(huì)和通過(guò)訪談、調(diào)查等方法了解該公司執(zhí)行中國(guó)證券業(yè)協(xié)會(huì)和中國(guó)期貨業(yè)協(xié)會(huì)聯(lián)合制定的中國(guó)期貨業(yè)協(xié)會(huì)聯(lián)合制定的證券期貨經(jīng)營(yíng)機(jī)構(gòu)信息技術(shù)證券期貨經(jīng)營(yíng)機(jī)構(gòu)信息技術(shù)治理工作指引（試行）治理工作指引（試行）及深圳證監(jiān)局下發(fā)的及深圳證監(jiān)局下發(fā)的深圳轄區(qū)深圳轄區(qū)證券公司信息技術(shù)治理工作指引（試行）證券公司信息技術(shù)治理工作指引（試行）的情況。的情況。1. 取得該公司根據(jù)上述工作指引進(jìn)行修訂的公司信息技術(shù)治取得該公司根據(jù)上述工作指引進(jìn)行修訂的公司信息技術(shù)治理工作方案及制定的改進(jìn)措施，總體了解

3、該公司在理工作方案及制定的改進(jìn)措施，總體了解該公司在“IT原原則和治理目標(biāo)則和治理目標(biāo)”、“IT治理組織和工作機(jī)制治理組織和工作機(jī)制”、“IT架構(gòu)架構(gòu)與與IT基礎(chǔ)設(shè)施基礎(chǔ)設(shè)施”、“IT應(yīng)用應(yīng)用”、“IT投入投入”、“IT人力資人力資源源”、“IT安全和風(fēng)險(xiǎn)控制安全和風(fēng)險(xiǎn)控制”、“信息技術(shù)管理制度信息技術(shù)管理制度”、“信息技術(shù)事故責(zé)任與追究信息技術(shù)事故責(zé)任與追究”及及“違規(guī)責(zé)任違規(guī)責(zé)任”等各個(gè)方面等各個(gè)方面的治理計(jì)劃及安排，了解改進(jìn)措施的落實(shí)情況。的治理計(jì)劃及安排，了解改進(jìn)措施的落實(shí)情況。3一、總體了解該公司信息技術(shù)治理、災(zāi)一、總體了解該公司信息技術(shù)治理、災(zāi)難備份體系建立的情況難備份體系建立的情

4、況（1 1）對(duì)）對(duì)ITIT負(fù)責(zé)人訪談、調(diào)查的結(jié)果負(fù)責(zé)人訪談、調(diào)查的結(jié)果 在國(guó)外，一些領(lǐng)頭羊公司對(duì)于在國(guó)外，一些領(lǐng)頭羊公司對(duì)于ITIT技術(shù)治理非技術(shù)治理非常重視，對(duì)于其人力以及財(cái)力的投常重視，對(duì)于其人力以及財(cái)力的投 入非常到位，但入非常到位，但是非領(lǐng)頭羊公司是非領(lǐng)頭羊公司ITIT技術(shù)治理的投入有所欠缺，技術(shù)治理的投入有所欠缺，ITIT部部門(mén)在公司中的地位也較領(lǐng)頭羊公司的低。門(mén)在公司中的地位也較領(lǐng)頭羊公司的低。 我國(guó)，南方城市，以深圳為代表，對(duì)我國(guó)，南方城市，以深圳為代表，對(duì)ITIT技術(shù)技術(shù)治理人力財(cái)力投入情況較北方城市好，但是總體上治理人力財(cái)力投入情況較北方城市好，但是總體上來(lái)看，我國(guó)對(duì)來(lái)看，我

5、國(guó)對(duì)ITIT技術(shù)治理方面的投入非常欠缺。技術(shù)治理方面的投入非常欠缺。 例：航空證券例：航空證券4一、總體了解該公司信息技術(shù)治理、災(zāi)一、總體了解該公司信息技術(shù)治理、災(zāi)難備份體系建立的情況難備份體系建立的情況（1 1）對(duì)）對(duì)ITIT負(fù)責(zé)人訪談、調(diào)查的結(jié)果負(fù)責(zé)人訪談、調(diào)查的結(jié)果 航空證券：航空證券： 航空證券對(duì)航空證券對(duì)證券期貨經(jīng)營(yíng)機(jī)構(gòu)信息技術(shù)治理工證券期貨經(jīng)營(yíng)機(jī)構(gòu)信息技術(shù)治理工作指引（試行）作指引（試行）及深圳證監(jiān)局下發(fā)的及深圳證監(jiān)局下發(fā)的深圳轄區(qū)深圳轄區(qū)證券公司信息技術(shù)治理工作指引（試行）證券公司信息技術(shù)治理工作指引（試行）的情況的情況 對(duì)于這兩項(xiàng)文件，航空證券雖努力向其看齊但未對(duì)于這兩項(xiàng)文件，

6、航空證券雖努力向其看齊但未能完整有效地執(zhí)行。航空證券能完整有效地執(zhí)行。航空證券ITIT治理部門(mén)在公司地治理部門(mén)在公司地位較其應(yīng)有地位低，推行這兩項(xiàng)文件的難度大。位較其應(yīng)有地位低，推行這兩項(xiàng)文件的難度大。56一、總體了解該公司信息技術(shù)治理、災(zāi)一、總體了解該公司信息技術(shù)治理、災(zāi)難備份體系建立的情況難備份體系建立的情況 該公司該公司20102010年年度報(bào)告中就內(nèi)部控制存在的問(wèn)題年年度報(bào)告中就內(nèi)部控制存在的問(wèn)題及改進(jìn)措施披露如下：及改進(jìn)措施披露如下： 公司對(duì)公司對(duì)證券期貨經(jīng)營(yíng)機(jī)構(gòu)信息技術(shù)治理工作指引（試證券期貨經(jīng)營(yíng)機(jī)構(gòu)信息技術(shù)治理工作指引（試行）行）的工作尚待落實(shí)，包括未建立公司的工作尚待落實(shí)，包括

7、未建立公司 IT IT 治理組織，未治理組織，未在在IT IT 原則、原則、IT IT 架構(gòu)、架構(gòu)、IT IT 基礎(chǔ)設(shè)施、基礎(chǔ)設(shè)施、IT IT 應(yīng)用和應(yīng)用和 IT IT 投入投入5 5 個(gè)方面制定相關(guān)制度并建立有效的工作機(jī)制，未制定個(gè)方面制定相關(guān)制度并建立有效的工作機(jī)制，未制定 IT IT 風(fēng)風(fēng)險(xiǎn)管理的策略和相關(guān)制度、內(nèi)部險(xiǎn)管理的策略和相關(guān)制度、內(nèi)部 IT IT 審計(jì)制度等等。審計(jì)制度等等。7一、總體了解該公司信息技術(shù)治理、災(zāi)一、總體了解該公司信息技術(shù)治理、災(zāi)難備份體系建立的情況難備份體系建立的情況 該公司該公司20102010年年度報(bào)告中就內(nèi)部控制存在的問(wèn)題年年度報(bào)告中就內(nèi)部控制存在的問(wèn)題及

8、改進(jìn)措施披露如下：及改進(jìn)措施披露如下： 公司組織相關(guān)人員認(rèn)真學(xué)習(xí)了公司組織相關(guān)人員認(rèn)真學(xué)習(xí)了證券期貨經(jīng)營(yíng)機(jī)構(gòu)信息技證券期貨經(jīng)營(yíng)機(jī)構(gòu)信息技術(shù)治理工作指引（試行）術(shù)治理工作指引（試行），成立了公司，成立了公司ITIT治理委員會(huì)。治理委員會(huì)。在在ITIT委員會(huì)的領(lǐng)導(dǎo)下，近期組織相關(guān)部門(mén)、人員在委員會(huì)的領(lǐng)導(dǎo)下，近期組織相關(guān)部門(mén)、人員在ITIT原則、原則、ITIT構(gòu)架、構(gòu)架、ITIT基礎(chǔ)設(shè)施、基礎(chǔ)設(shè)施、ITIT應(yīng)用和應(yīng)用和ITIT投入投入5 5個(gè)方面制定相關(guān)制度、個(gè)方面制定相關(guān)制度、建立有效的工作機(jī)制、制定建立有效的工作機(jī)制、制定ITIT風(fēng)險(xiǎn)管理策略和相關(guān)制度、內(nèi)風(fēng)險(xiǎn)管理策略和相關(guān)制度、內(nèi)部部ITIT審

9、計(jì)制度。審計(jì)制度。8一、總體了解該公司信息技術(shù)治理、災(zāi)一、總體了解該公司信息技術(shù)治理、災(zāi)難備份體系建立的情況難備份體系建立的情況（一）了解信息技術(shù)治理情況（一）了解信息技術(shù)治理情況重點(diǎn)關(guān)注信息技術(shù)的一般控制重點(diǎn)關(guān)注信息技術(shù)的一般控制 通過(guò)訪談、調(diào)查等方法了解通過(guò)訪談、調(diào)查等方法了解 數(shù)據(jù)中心和網(wǎng)絡(luò)運(yùn)行控制；數(shù)據(jù)中心和網(wǎng)絡(luò)運(yùn)行控制； 系統(tǒng)軟件的購(gòu)置、開(kāi)發(fā)及維護(hù)控制、修改及維系統(tǒng)軟件的購(gòu)置、開(kāi)發(fā)及維護(hù)控制、修改及維護(hù)控制；護(hù)控制； 接觸或訪問(wèn)權(quán)限控制；接觸或訪問(wèn)權(quán)限控制； 應(yīng)用系統(tǒng)的購(gòu)置；應(yīng)用系統(tǒng)的購(gòu)置；3.3. 選擇關(guān)鍵點(diǎn)進(jìn)行檢查。選擇關(guān)鍵點(diǎn)進(jìn)行檢查。9一、總體了解該公司信息技術(shù)治理、災(zāi)一、總體

10、了解該公司信息技術(shù)治理、災(zāi)難備份體系建立的情況難備份體系建立的情況（一）了解信息技術(shù)治理情況（一）了解信息技術(shù)治理情況重點(diǎn)關(guān)注信息技術(shù)的一般控制重點(diǎn)關(guān)注信息技術(shù)的一般控制 數(shù)據(jù)中心和網(wǎng)絡(luò)運(yùn)行控制；數(shù)據(jù)中心和網(wǎng)絡(luò)運(yùn)行控制； 首先大家知道：計(jì)算機(jī)和數(shù)據(jù)安全的具體問(wèn)題來(lái)首先大家知道：計(jì)算機(jī)和數(shù)據(jù)安全的具體問(wèn)題來(lái)自于數(shù)據(jù)處理和電子商務(wù)的增長(zhǎng)。主要風(fēng)險(xiǎn)是黑自于數(shù)據(jù)處理和電子商務(wù)的增長(zhǎng)。主要風(fēng)險(xiǎn)是黑客、計(jì)算機(jī)病毒、電子竊聽(tīng)機(jī)密信息、計(jì)算機(jī)系客、計(jì)算機(jī)病毒、電子竊聽(tīng)機(jī)密信息、計(jì)算機(jī)系統(tǒng)故障、或自然災(zāi)害。統(tǒng)故障、或自然災(zāi)害。 10一、總體了解該公司信息技術(shù)治理、災(zāi)一、總體了解該公司信息技術(shù)治理、災(zāi)難備份體系建

11、立的情況難備份體系建立的情況u嚴(yán)格控制網(wǎng)絡(luò)帳戶的開(kāi)設(shè)；嚴(yán)格控制網(wǎng)絡(luò)帳戶的開(kāi)設(shè)； u隱藏系統(tǒng)管理員帳戶；隱藏系統(tǒng)管理員帳戶；u網(wǎng)絡(luò)帳戶權(quán)限設(shè)置；網(wǎng)絡(luò)帳戶權(quán)限設(shè)置；u網(wǎng)絡(luò)帳戶登錄限制；網(wǎng)絡(luò)帳戶登錄限制；u賬戶密碼的設(shè)立；賬戶密碼的設(shè)立；u賬戶密碼的保管；賬戶密碼的保管；u賬戶密碼的更新；賬戶密碼的更新；u杜絕病毒來(lái)源；杜絕病毒來(lái)源；u定期檢測(cè)和清除病毒；定期檢測(cè)和清除病毒；u做好數(shù)據(jù)備份等規(guī)章制度做好數(shù)據(jù)備份等規(guī)章制度。 該公司針對(duì)數(shù)據(jù)中心和網(wǎng)絡(luò)控制制定了包括：帳戶管理，該公司針對(duì)數(shù)據(jù)中心和網(wǎng)絡(luò)控制制定了包括：帳戶管理，密碼管理，病毒防范等制度等相應(yīng)的規(guī)章制度，具體內(nèi)容：密碼管理，病毒防范等制度等

12、相應(yīng)的規(guī)章制度，具體內(nèi)容：11一、總體了解該公司信息技術(shù)治理、災(zāi)一、總體了解該公司信息技術(shù)治理、災(zāi)難備份體系建立的情況難備份體系建立的情況（一）了解信息技術(shù)治理情況（一）了解信息技術(shù)治理情況重點(diǎn)關(guān)注信息技術(shù)的一般控制重點(diǎn)關(guān)注信息技術(shù)的一般控制系統(tǒng)軟件的購(gòu)置、開(kāi)發(fā)及維護(hù)控制、修改及維護(hù)控制系統(tǒng)軟件的購(gòu)置、開(kāi)發(fā)及維護(hù)控制、修改及維護(hù)控制 公司電腦部統(tǒng)一規(guī)劃各分支機(jī)構(gòu)的軟件平臺(tái)，所有分支機(jī)公司電腦部統(tǒng)一規(guī)劃各分支機(jī)構(gòu)的軟件平臺(tái)，所有分支機(jī)構(gòu)電腦系統(tǒng)軟件的選購(gòu)、開(kāi)發(fā)、測(cè)試、安裝均由公司電構(gòu)電腦系統(tǒng)軟件的選購(gòu)、開(kāi)發(fā)、測(cè)試、安裝均由公司電腦部統(tǒng)一批準(zhǔn)進(jìn)行，任何分支機(jī)構(gòu)不得試用、安裝、運(yùn)腦部統(tǒng)一批準(zhǔn)進(jìn)行，任

13、何分支機(jī)構(gòu)不得試用、安裝、運(yùn)行未經(jīng)允許的電腦軟件。（經(jīng)測(cè)試殺毒軟件各營(yíng)業(yè)部不行未經(jīng)允許的電腦軟件。（經(jīng)測(cè)試殺毒軟件各營(yíng)業(yè)部不一致、不統(tǒng)一，存在管理漏洞）一致、不統(tǒng)一，存在管理漏洞） 公司電腦部對(duì)應(yīng)用軟件系統(tǒng)的修改、升級(jí)、測(cè)試、發(fā)布實(shí)公司電腦部對(duì)應(yīng)用軟件系統(tǒng)的修改、升級(jí)、測(cè)試、發(fā)布實(shí)施統(tǒng)一管理。施統(tǒng)一管理。12一、總體了解該公司信息技術(shù)治理、災(zāi)一、總體了解該公司信息技術(shù)治理、災(zāi)難備份體系建立的情況難備份體系建立的情況（一）了解信息技術(shù)治理情況（一）了解信息技術(shù)治理情況重點(diǎn)關(guān)注信息技術(shù)的一般控制重點(diǎn)關(guān)注信息技術(shù)的一般控制接觸或訪問(wèn)權(quán)限控制接觸或訪問(wèn)權(quán)限控制 公司電腦部對(duì)交易業(yè)務(wù)數(shù)據(jù)實(shí)行專人管理。分

14、支機(jī)構(gòu)核心公司電腦部對(duì)交易業(yè)務(wù)數(shù)據(jù)實(shí)行專人管理。分支機(jī)構(gòu)核心交易數(shù)據(jù)庫(kù)管理員的權(quán)限由分支機(jī)構(gòu)電腦部負(fù)責(zé)人管理。交易數(shù)據(jù)庫(kù)管理員的權(quán)限由分支機(jī)構(gòu)電腦部負(fù)責(zé)人管理。 任何人無(wú)權(quán)擅自對(duì)交易系統(tǒng)中的交易業(yè)務(wù)數(shù)據(jù)進(jìn)行修改。任何人無(wú)權(quán)擅自對(duì)交易系統(tǒng)中的交易業(yè)務(wù)數(shù)據(jù)進(jìn)行修改。 為維護(hù)電腦系統(tǒng)歷史數(shù)據(jù)的安全性和準(zhǔn)確性，對(duì)因差錯(cuò)造為維護(hù)電腦系統(tǒng)歷史數(shù)據(jù)的安全性和準(zhǔn)確性，對(duì)因差錯(cuò)造成的電腦數(shù)據(jù)出錯(cuò)的情況，原則上由分支機(jī)構(gòu)在柜臺(tái)系成的電腦數(shù)據(jù)出錯(cuò)的情況，原則上由分支機(jī)構(gòu)在柜臺(tái)系統(tǒng)中，利用相關(guān)的功能模塊，做反向的操作進(jìn)行調(diào)整。統(tǒng)中，利用相關(guān)的功能模塊，做反向的操作進(jìn)行調(diào)整。13一、總體了解該公司信息技術(shù)治理、災(zāi)一、總

15、體了解該公司信息技術(shù)治理、災(zāi)難備份體系建立的情況難備份體系建立的情況（一）了解信息技術(shù)治理情況（一）了解信息技術(shù)治理情況重點(diǎn)關(guān)注信息技術(shù)的一般控制重點(diǎn)關(guān)注信息技術(shù)的一般控制3.3. 接觸或訪問(wèn)權(quán)限控制接觸或訪問(wèn)權(quán)限控制若數(shù)據(jù)差錯(cuò)嚴(yán)重，必須采取手工修改才能保障數(shù)據(jù)的一致若數(shù)據(jù)差錯(cuò)嚴(yán)重，必須采取手工修改才能保障數(shù)據(jù)的一致性，必須上報(bào)公司電腦部總經(jīng)理和經(jīng)紀(jì)業(yè)務(wù)部總經(jīng)理，由性，必須上報(bào)公司電腦部總經(jīng)理和經(jīng)紀(jì)業(yè)務(wù)部總經(jīng)理，由主管副總經(jīng)理批準(zhǔn)后方可調(diào)整，在調(diào)整過(guò)程中，必須在工主管副總經(jīng)理批準(zhǔn)后方可調(diào)整，在調(diào)整過(guò)程中，必須在工作日志中詳細(xì)記錄原因和具體的實(shí)施時(shí)間和步驟。作日志中詳細(xì)記錄原因和具體的實(shí)施時(shí)間和

16、步驟。 日期日期服務(wù)器名服務(wù)器名操作系統(tǒng)操作系統(tǒng)用戶名用戶名批準(zhǔn)人（總批準(zhǔn)人（總經(jīng)理）經(jīng)理）修改人修改人監(jiān)督人監(jiān)督人14一、總體了解該公司信息技術(shù)治理、災(zāi)一、總體了解該公司信息技術(shù)治理、災(zāi)難備份體系建立的情況難備份體系建立的情況（一）了解信息技術(shù)治理情況（一）了解信息技術(shù)治理情況重點(diǎn)關(guān)注信息技術(shù)的一般控制重點(diǎn)關(guān)注信息技術(shù)的一般控制接觸或訪問(wèn)權(quán)限控制接觸或訪問(wèn)權(quán)限控制 分支機(jī)構(gòu)電腦部須建立交易系統(tǒng)權(quán)限管理制度，并報(bào)公司分支機(jī)構(gòu)電腦部須建立交易系統(tǒng)權(quán)限管理制度，并報(bào)公司電腦部審定，嚴(yán)格按照業(yè)務(wù)要求對(duì)各類操作進(jìn)行權(quán)限的電腦部審定，嚴(yán)格按照業(yè)務(wù)要求對(duì)各類操作進(jìn)行權(quán)限的設(shè)置，同時(shí)建立用戶權(quán)限管理文檔，對(duì)

17、各類系統(tǒng)用戶和設(shè)置，同時(shí)建立用戶權(quán)限管理文檔，對(duì)各類系統(tǒng)用戶和應(yīng)用程序用戶進(jìn)行登記，并及時(shí)記錄變動(dòng)情況。應(yīng)用程序用戶進(jìn)行登記，并及時(shí)記錄變動(dòng)情況。 柜臺(tái)交易系統(tǒng)的權(quán)限的設(shè)置和變動(dòng)必須由相應(yīng)的管理部門(mén)柜臺(tái)交易系統(tǒng)的權(quán)限的設(shè)置和變動(dòng)必須由相應(yīng)的管理部門(mén)出具詳細(xì)的權(quán)限變動(dòng)書(shū)面說(shuō)明并經(jīng)分支機(jī)構(gòu)負(fù)責(zé)人批準(zhǔn)出具詳細(xì)的權(quán)限變動(dòng)書(shū)面說(shuō)明并經(jīng)分支機(jī)構(gòu)負(fù)責(zé)人批準(zhǔn)后執(zhí)行。后執(zhí)行。 柜臺(tái)交易系統(tǒng)中的系統(tǒng)權(quán)限由分支機(jī)構(gòu)電腦部管理；應(yīng)用柜臺(tái)交易系統(tǒng)中的系統(tǒng)權(quán)限由分支機(jī)構(gòu)電腦部管理；應(yīng)用權(quán)限由業(yè)務(wù)部門(mén)負(fù)責(zé)管理。權(quán)限由業(yè)務(wù)部門(mén)負(fù)責(zé)管理。 柜臺(tái)人員轉(zhuǎn)崗后，其相應(yīng)的操作權(quán)限應(yīng)立刻予以調(diào)整。柜臺(tái)人員轉(zhuǎn)崗后，其相應(yīng)的操作權(quán)限應(yīng)立刻予

18、以調(diào)整。15一、總體了解該公司信息技術(shù)治理、災(zāi)一、總體了解該公司信息技術(shù)治理、災(zāi)難備份體系建立的情況難備份體系建立的情況（一）了解信息技術(shù)治理情況（一）了解信息技術(shù)治理情況重點(diǎn)關(guān)注信息技術(shù)的一般控制重點(diǎn)關(guān)注信息技術(shù)的一般控制應(yīng)用系統(tǒng)的購(gòu)置應(yīng)用系統(tǒng)的購(gòu)置 公司電腦部統(tǒng)一規(guī)劃和購(gòu)置。公司電腦部統(tǒng)一規(guī)劃和購(gòu)置。 公司電腦部統(tǒng)一規(guī)劃和建設(shè)各分支機(jī)構(gòu)的硬件平臺(tái)和網(wǎng)絡(luò)公司電腦部統(tǒng)一規(guī)劃和建設(shè)各分支機(jī)構(gòu)的硬件平臺(tái)和網(wǎng)絡(luò)通訊系統(tǒng)，未經(jīng)公司電腦部的許可，不得擅自調(diào)換在線通訊系統(tǒng)，未經(jīng)公司電腦部的許可，不得擅自調(diào)換在線硬件設(shè)備或調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)。硬件設(shè)備或調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)。3.3. 選擇關(guān)鍵點(diǎn)進(jìn)行檢查（鏈接至選擇關(guān)鍵點(diǎn)進(jìn)

19、行檢查（鏈接至wordword版證券公司的版證券公司的ITIT審計(jì)審計(jì)1 1）。）。16一、總體了解該公司信息技術(shù)治理、災(zāi)一、總體了解該公司信息技術(shù)治理、災(zāi)難備份體系建立的情況難備份體系建立的情況（二）了解災(zāi)難備份體系建立情況（二）了解災(zāi)難備份體系建立情況 通過(guò)訪談、調(diào)查等方法了解該公司災(zāi)難備份體系的建設(shè)模式、災(zāi)難通過(guò)訪談、調(diào)查等方法了解該公司災(zāi)難備份體系的建設(shè)模式、災(zāi)難備份體系的建立、災(zāi)難備份中心選址及供應(yīng)商的選擇。備份體系的建立、災(zāi)難備份中心選址及供應(yīng)商的選擇。取得經(jīng)深圳證監(jiān)局審閱后的災(zāi)難備份體系的工作方案，具體了解實(shí)施災(zāi)取得經(jīng)深圳證監(jiān)局審閱后的災(zāi)難備份體系的工作方案，具體了解實(shí)施災(zāi)難備份

20、體系的組織架構(gòu)、災(zāi)難備份的策略及目標(biāo)、技術(shù)方案設(shè)計(jì)、擬投難備份體系的組織架構(gòu)、災(zāi)難備份的策略及目標(biāo)、技術(shù)方案設(shè)計(jì)、擬投入的費(fèi)用安排、選址工作安排、人員安排、建設(shè)進(jìn)度表等內(nèi)容。入的費(fèi)用安排、選址工作安排、人員安排、建設(shè)進(jìn)度表等內(nèi)容。 航空證券建立了比較完善的災(zāi)難備份體系，旨在防止公司交易中心航空證券建立了比較完善的災(zāi)難備份體系，旨在防止公司交易中心的交易系統(tǒng)遭受人為破壞，病毒、黑客攻擊，及網(wǎng)絡(luò)故障或發(fā)生自然災(zāi)的交易系統(tǒng)遭受人為破壞，病毒、黑客攻擊，及網(wǎng)絡(luò)故障或發(fā)生自然災(zāi)害，導(dǎo)致交易系統(tǒng)無(wú)法正常運(yùn)行時(shí)，我們可以快速有效地切換到備份系害，導(dǎo)致交易系統(tǒng)無(wú)法正常運(yùn)行時(shí)，我們可以快速有效地切換到備份系統(tǒng)，

21、保證公司各項(xiàng)業(yè)務(wù)安全、穩(wěn)定、高效運(yùn)行，特制訂本預(yù)案。災(zāi)難備統(tǒng)，保證公司各項(xiàng)業(yè)務(wù)安全、穩(wěn)定、高效運(yùn)行，特制訂本預(yù)案。災(zāi)難備份中心選址上海。詳細(xì)內(nèi)容見(jiàn)災(zāi)難備份預(yù)案及應(yīng)急演練記錄復(fù)印件。份中心選址上海。詳細(xì)內(nèi)容見(jiàn)災(zāi)難備份預(yù)案及應(yīng)急演練記錄復(fù)印件。 上述信息技術(shù)的一般控制檢查底稿中第三項(xiàng)就是備份措施檢查上述信息技術(shù)的一般控制檢查底稿中第三項(xiàng)就是備份措施檢查。17（一）（一）通過(guò)訪談、穿行測(cè)試等方式，了解該通過(guò)訪談、穿行測(cè)試等方式，了解該公司與財(cái)務(wù)報(bào)告相關(guān)的信息系統(tǒng)（如柜臺(tái)交公司與財(cái)務(wù)報(bào)告相關(guān)的信息系統(tǒng)（如柜臺(tái)交易系統(tǒng)、法人清算系統(tǒng)、實(shí)時(shí)監(jiān)控系統(tǒng)、財(cái)易系統(tǒng)、法人清算系統(tǒng)、實(shí)時(shí)監(jiān)控系統(tǒng)、財(cái)務(wù)系統(tǒng)、資管系統(tǒng)

22、、辦公自動(dòng)化系統(tǒng)等）：務(wù)系統(tǒng)、資管系統(tǒng)、辦公自動(dòng)化系統(tǒng)等）：（1 1）信息系統(tǒng)中對(duì)交易生成、記錄、處理和報(bào)告的程序；）信息系統(tǒng)中對(duì)交易生成、記錄、處理和報(bào)告的程序；同時(shí)考慮將交易系統(tǒng)中的數(shù)據(jù)過(guò)入財(cái)務(wù)系統(tǒng)（總分類賬和財(cái)同時(shí)考慮將交易系統(tǒng)中的數(shù)據(jù)過(guò)入財(cái)務(wù)系統(tǒng)（總分類賬和財(cái)務(wù)報(bào)告）的程序務(wù)報(bào)告）的程序（2 2）與交易生成、記錄、處理和報(bào)告有關(guān)的會(huì)計(jì)記錄、支）與交易生成、記錄、處理和報(bào)告有關(guān)的會(huì)計(jì)記錄、支持性信息和財(cái)務(wù)報(bào)表中的特定項(xiàng)目持性信息和財(cái)務(wù)報(bào)表中的特定項(xiàng)目經(jīng)了解該公司與財(cái)務(wù)報(bào)告相關(guān)的信息系統(tǒng)有新意系統(tǒng)（清經(jīng)了解該公司與財(cái)務(wù)報(bào)告相關(guān)的信息系統(tǒng)有新意系統(tǒng)（清算）、金正系統(tǒng)（柜臺(tái)）和用友算）、金正系

23、統(tǒng)（柜臺(tái)）和用友NCNC系統(tǒng)（財(cái)務(wù)系統(tǒng)）、風(fēng)險(xiǎn)系統(tǒng)（財(cái)務(wù)系統(tǒng)）、風(fēng)險(xiǎn)控制系統(tǒng)（金仕達(dá)），而辦公自動(dòng)化系統(tǒng)尚未啟用。詳見(jiàn)系控制系統(tǒng)（金仕達(dá)），而辦公自動(dòng)化系統(tǒng)尚未啟用。詳見(jiàn)系統(tǒng)結(jié)構(gòu)圖：統(tǒng)結(jié)構(gòu)圖：二、總體了解相關(guān)信息系統(tǒng)的控制并對(duì)二、總體了解相關(guān)信息系統(tǒng)的控制并對(duì)其風(fēng)險(xiǎn)進(jìn)行評(píng)估其風(fēng)險(xiǎn)進(jìn)行評(píng)估二、總體了解相關(guān)信息系統(tǒng)的控制并對(duì)二、總體了解相關(guān)信息系統(tǒng)的控制并對(duì)其風(fēng)險(xiǎn)進(jìn)行評(píng)估其風(fēng)險(xiǎn)進(jìn)行評(píng)估1819二、總體了解相關(guān)信息系統(tǒng)的控制并對(duì)二、總體了解相關(guān)信息系統(tǒng)的控制并對(duì)其風(fēng)險(xiǎn)進(jìn)行評(píng)估其風(fēng)險(xiǎn)進(jìn)行評(píng)估20二、總體了解相關(guān)信息系統(tǒng)的控制并對(duì)二、總體了解相關(guān)信息系統(tǒng)的控制并對(duì)其風(fēng)險(xiǎn)進(jìn)行評(píng)估其風(fēng)險(xiǎn)進(jìn)行評(píng)估 金正系統(tǒng)記

24、錄全天的柜臺(tái)交易記錄金正系統(tǒng)記錄全天的柜臺(tái)交易記錄( (已查看金證交易系統(tǒng)已查看金證交易系統(tǒng)的使用手冊(cè)、記錄及報(bào)告交易的流程的使用手冊(cè)、記錄及報(bào)告交易的流程) )，新意系統(tǒng)記錄全，新意系統(tǒng)記錄全天清算數(shù)據(jù)，財(cái)務(wù)人員根據(jù)上述系統(tǒng)的數(shù)據(jù)將相關(guān)信息天清算數(shù)據(jù)，財(cái)務(wù)人員根據(jù)上述系統(tǒng)的數(shù)據(jù)將相關(guān)信息手工錄入用友手工錄入用友NCNC系統(tǒng)。系統(tǒng)。 為保證柜臺(tái)數(shù)據(jù)、清算數(shù)據(jù)、財(cái)務(wù)數(shù)據(jù)完全一致，每日為保證柜臺(tái)數(shù)據(jù)、清算數(shù)據(jù)、財(cái)務(wù)數(shù)據(jù)完全一致，每日總部客戶資產(chǎn)存管部、總部計(jì)劃財(cái)務(wù)部及各營(yíng)業(yè)部在交總部客戶資產(chǎn)存管部、總部計(jì)劃財(cái)務(wù)部及各營(yíng)業(yè)部在交易結(jié)束后核對(duì)相關(guān)數(shù)據(jù)保證交易生成、記錄、處理和報(bào)易結(jié)束后核對(duì)相關(guān)數(shù)據(jù)保證

25、交易生成、記錄、處理和報(bào)告的數(shù)據(jù)一致。告的數(shù)據(jù)一致。21二、總體了解相關(guān)信息系統(tǒng)的控制并對(duì)二、總體了解相關(guān)信息系統(tǒng)的控制并對(duì)其風(fēng)險(xiǎn)進(jìn)行評(píng)估其風(fēng)險(xiǎn)進(jìn)行評(píng)估 與交易生成、記錄、處理和報(bào)告有關(guān)的會(huì)計(jì)記錄、支持性信息和財(cái)與交易生成、記錄、處理和報(bào)告有關(guān)的會(huì)計(jì)記錄、支持性信息和財(cái)務(wù)報(bào)表中的特定項(xiàng)目務(wù)報(bào)表中的特定項(xiàng)目 財(cái)務(wù)人員將金正系統(tǒng)和新意系統(tǒng)的信息打印出來(lái)，作為會(huì)計(jì)憑證的財(cái)務(wù)人員將金正系統(tǒng)和新意系統(tǒng)的信息打印出來(lái)，作為會(huì)計(jì)憑證的附件以支持會(huì)計(jì)記錄的內(nèi)容。用友附件以支持會(huì)計(jì)記錄的內(nèi)容。用友NCNC系統(tǒng)自動(dòng)將錄入的信息過(guò)入總系統(tǒng)自動(dòng)將錄入的信息過(guò)入總賬、自動(dòng)生成財(cái)務(wù)表表。賬、自動(dòng)生成財(cái)務(wù)表表。 風(fēng)險(xiǎn)控制系

26、統(tǒng)涵蓋經(jīng)濟(jì)、自營(yíng)業(yè)務(wù)；指標(biāo)全面，但對(duì)承銷業(yè)務(wù)無(wú)監(jiān)風(fēng)險(xiǎn)控制系統(tǒng)涵蓋經(jīng)濟(jì)、自營(yíng)業(yè)務(wù)；指標(biāo)全面，但對(duì)承銷業(yè)務(wù)無(wú)監(jiān)控?？?。 公司擬利用技術(shù)手段實(shí)現(xiàn)監(jiān)管機(jī)構(gòu)對(duì)公司各項(xiàng)業(yè)務(wù)的風(fēng)險(xiǎn)監(jiān)控（證公司擬利用技術(shù)手段實(shí)現(xiàn)監(jiān)管機(jī)構(gòu)對(duì)公司各項(xiàng)業(yè)務(wù)的風(fēng)險(xiǎn)監(jiān)控（證監(jiān)局的要求）。因證券公司風(fēng)險(xiǎn)控制指標(biāo)動(dòng)態(tài)監(jiān)控系統(tǒng)指引監(jiān)局的要求）。因證券公司風(fēng)險(xiǎn)控制指標(biāo)動(dòng)態(tài)監(jiān)控系統(tǒng)指引20092009年年2 2月頒布，公司尚未制定相應(yīng)的風(fēng)控制度，公司尚未做到每季度評(píng)估月頒布，公司尚未制定相應(yīng)的風(fēng)控制度，公司尚未做到每季度評(píng)估一次動(dòng)態(tài)監(jiān)控系統(tǒng)的有效性一次動(dòng)態(tài)監(jiān)控系統(tǒng)的有效性 。22二、總體了解相關(guān)信息系統(tǒng)的控制并對(duì)二、總體了解相關(guān)信息系統(tǒng)的控制并

27、對(duì)其風(fēng)險(xiǎn)進(jìn)行評(píng)估其風(fēng)險(xiǎn)進(jìn)行評(píng)估（二）了解信息技術(shù)對(duì)內(nèi)部控制是否產(chǎn)生下（二）了解信息技術(shù)對(duì)內(nèi)部控制是否產(chǎn)生下述特定風(fēng)險(xiǎn)：述特定風(fēng)險(xiǎn)：（1 1）系統(tǒng)或程序未能正確處理數(shù)據(jù)，或處理了不正確的數(shù)）系統(tǒng)或程序未能正確處理數(shù)據(jù)，或處理了不正確的數(shù)據(jù)，據(jù)， 或兩種情況同時(shí)并存；或兩種情況同時(shí)并存；（2 2）在未得到授權(quán)情況下訪問(wèn)數(shù)據(jù)）在未得到授權(quán)情況下訪問(wèn)數(shù)據(jù), ,可能導(dǎo)致數(shù)據(jù)可能導(dǎo)致數(shù)據(jù) 的毀損的毀損或?qū)?shù)據(jù)不恰當(dāng)?shù)男薷?，包括記錄未?jīng)授權(quán)或不存在的交易，或?qū)?shù)據(jù)不恰當(dāng)?shù)男薷模ㄓ涗浳唇?jīng)授權(quán)或不存在的交易，或不正確地記錄了交易；或不正確地記錄了交易；（3 3）信息技術(shù)人員可能獲得超越其履行職責(zé)以外）信息技

28、術(shù)人員可能獲得超越其履行職責(zé)以外 的數(shù)據(jù)訪的數(shù)據(jù)訪問(wèn)權(quán)限，破壞了系統(tǒng)應(yīng)有的職責(zé)分工；問(wèn)權(quán)限，破壞了系統(tǒng)應(yīng)有的職責(zé)分工；（4 4）未經(jīng)授權(quán)改變主文）未經(jīng)授權(quán)改變主文 檔的數(shù)據(jù)；檔的數(shù)據(jù)；（5）未經(jīng)授權(quán)改變系統(tǒng)或程序；）未經(jīng)授權(quán)改變系統(tǒng)或程序；（6）未能對(duì)系統(tǒng)或程序作出必要的修改；）未能對(duì)系統(tǒng)或程序作出必要的修改；（7）不恰當(dāng)?shù)娜藶楦深A(yù)；）不恰當(dāng)?shù)娜藶楦深A(yù)；（8）數(shù)據(jù)丟失的風(fēng)險(xiǎn)或不能訪問(wèn)所需要的數(shù)據(jù)。）數(shù)據(jù)丟失的風(fēng)險(xiǎn)或不能訪問(wèn)所需要的數(shù)據(jù)。23二、總體了解相關(guān)信息系統(tǒng)的控制并對(duì)二、總體了解相關(guān)信息系統(tǒng)的控制并對(duì)其風(fēng)險(xiǎn)進(jìn)行評(píng)估其風(fēng)險(xiǎn)進(jìn)行評(píng)估（二）了解信息技術(shù)對(duì)內(nèi)部控制是否產(chǎn)生下（二）了解信息技術(shù)對(duì)內(nèi)

29、部控制是否產(chǎn)生下述特定風(fēng)險(xiǎn)：述特定風(fēng)險(xiǎn)： 從我們了解到該公司信息技術(shù)的基本情況、以前年度該從我們了解到該公司信息技術(shù)的基本情況、以前年度該公司發(fā)生過(guò)的違規(guī)、違紀(jì)事實(shí)和我們對(duì)信息技術(shù)系統(tǒng)控制的公司發(fā)生過(guò)的違規(guī)、違紀(jì)事實(shí)和我們對(duì)信息技術(shù)系統(tǒng)控制的經(jīng)驗(yàn)判斷，上述控制風(fēng)險(xiǎn)均有可能存在。經(jīng)驗(yàn)判斷，上述控制風(fēng)險(xiǎn)均有可能存在。 如：處理了不正確的數(shù)據(jù)，利率設(shè)置錯(cuò)誤、返傭比率設(shè)如：處理了不正確的數(shù)據(jù)，利率設(shè)置錯(cuò)誤、返傭比率設(shè)置錯(cuò)誤均可能導(dǎo)致不正確的數(shù)據(jù)處理。置錯(cuò)誤均可能導(dǎo)致不正確的數(shù)據(jù)處理。 歷史上該公司個(gè)別營(yíng)業(yè)部在柜臺(tái)交易系統(tǒng)的設(shè)置方面存歷史上該公司個(gè)別營(yíng)業(yè)部在柜臺(tái)交易系統(tǒng)的設(shè)置方面存在內(nèi)部查詢與外部查詢的

30、區(qū)別，分別以內(nèi)部查詢和外部查詢?cè)趦?nèi)部查詢與外部查詢的區(qū)別，分別以內(nèi)部查詢和外部查詢檢查客戶保證金，在檢查客戶保證金，在“流水摘要流水摘要”方面顯示不同的信息，若方面顯示不同的信息，若不授予稽核人員以內(nèi)部查詢權(quán)限，則不能查詢出真實(shí)的業(yè)務(wù)不授予稽核人員以內(nèi)部查詢權(quán)限，則不能查詢出真實(shí)的業(yè)務(wù)信息。信息。24二、總體了解相關(guān)信息系統(tǒng)的控制并對(duì)二、總體了解相關(guān)信息系統(tǒng)的控制并對(duì)其風(fēng)險(xiǎn)進(jìn)行評(píng)估其風(fēng)險(xiǎn)進(jìn)行評(píng)估（二）了解信息技術(shù)對(duì)內(nèi)部控制是否產(chǎn)生下（二）了解信息技術(shù)對(duì)內(nèi)部控制是否產(chǎn)生下述特定風(fēng)險(xiǎn)：述特定風(fēng)險(xiǎn)： 歷史上各營(yíng)業(yè)部的超級(jí)柜員均掌握在電腦部經(jīng)理的手中，由電腦部經(jīng)理給各歷史上各營(yíng)業(yè)部的超級(jí)柜員均掌握在電

31、腦部經(jīng)理的手中，由電腦部經(jīng)理給各位柜員授予權(quán)限，對(duì)電腦部經(jīng)理的權(quán)限缺乏有效的制約，如龍華營(yíng)業(yè)部電腦部經(jīng)位柜員授予權(quán)限，對(duì)電腦部經(jīng)理的權(quán)限缺乏有效的制約，如龍華營(yíng)業(yè)部電腦部經(jīng)理以手中掌握的超級(jí)柜員從后臺(tái)進(jìn)入數(shù)據(jù)庫(kù)，更改了數(shù)據(jù)，以達(dá)到掩蓋其挪用客理以手中掌握的超級(jí)柜員從后臺(tái)進(jìn)入數(shù)據(jù)庫(kù)，更改了數(shù)據(jù)，以達(dá)到掩蓋其挪用客戶保證金的目的。歷史上發(fā)生的戶保證金的目的。歷史上發(fā)生的巴林銀行案件：巴林銀行案件： 17631763年，弗朗西斯年，弗朗西斯巴林爵士在倫敦創(chuàng)建了巴林銀行，它是世界首家巴林爵士在倫敦創(chuàng)建了巴林銀行，它是世界首家“商商業(yè)銀行業(yè)銀行”，既為客戶提供資金和有關(guān)建議，自己也做買賣。里森于，既為客

32、戶提供資金和有關(guān)建議，自己也做買賣。里森于19921992年在新加年在新加坡任期貨交易員時(shí)，巴林銀行原本有一人帳號(hào)為坡任期貨交易員時(shí)，巴林銀行原本有一人帳號(hào)為“99905”“99905”的的“錯(cuò)誤帳號(hào)錯(cuò)誤帳號(hào)”，專，專門(mén)處理交易過(guò)程中因疏忽所造成的錯(cuò)誤。這原是一個(gè)金融體系運(yùn)作過(guò)程中正常的門(mén)處理交易過(guò)程中因疏忽所造成的錯(cuò)誤。這原是一個(gè)金融體系運(yùn)作過(guò)程中正常的錯(cuò)誤帳戶。錯(cuò)誤帳戶。19921992年夏天，倫敦總部全面負(fù)責(zé)清算工作的哥頓年夏天，倫敦總部全面負(fù)責(zé)清算工作的哥頓鮑塞給里森打了一鮑塞給里森打了一個(gè)電話，要求里森另設(shè)立一個(gè)個(gè)電話，要求里森另設(shè)立一個(gè)“錯(cuò)誤帳戶錯(cuò)誤帳戶”，記錄較小的錯(cuò)誤，并自行在

33、新加坡，記錄較小的錯(cuò)誤，并自行在新加坡處理，以免麻煩倫敦的工作，于是里森馬上找來(lái)了負(fù)責(zé)辦公室清算的利塞爾，向處理，以免麻煩倫敦的工作，于是里森馬上找來(lái)了負(fù)責(zé)辦公室清算的利塞爾，向她咨詢是否可以另立一個(gè)檔案，很快，利塞爾就在電腦里鍵入了一些命令，問(wèn)他她咨詢是否可以另立一個(gè)檔案，很快，利塞爾就在電腦里鍵入了一些命令，問(wèn)他需要什么帳號(hào)，在中國(guó)文化里需要什么帳號(hào)，在中國(guó)文化里“8”“8”是一個(gè)非常吉利的數(shù)字，因此里森以此作為是一個(gè)非常吉利的數(shù)字，因此里森以此作為他的吉祥數(shù)字，由于帳號(hào)必須是五位數(shù)，這樣帳號(hào)為他的吉祥數(shù)字，由于帳號(hào)必須是五位數(shù)，這樣帳號(hào)為“88888”“88888”的的“錯(cuò)誤帳戶錯(cuò)誤帳戶

34、”便誕生了。便誕生了。 25二、總體了解相關(guān)信息系統(tǒng)的控制并對(duì)二、總體了解相關(guān)信息系統(tǒng)的控制并對(duì)其風(fēng)險(xiǎn)進(jìn)行評(píng)估其風(fēng)險(xiǎn)進(jìn)行評(píng)估 （二）了解信息技術(shù)對(duì)內(nèi)部控制是否產(chǎn)生下（二）了解信息技術(shù)對(duì)內(nèi)部控制是否產(chǎn)生下述特定風(fēng)險(xiǎn)：述特定風(fēng)險(xiǎn)：歷史上發(fā)生的歷史上發(fā)生的巴林銀行案件：巴林銀行案件： 幾周之后，倫敦總部又打來(lái)電話，總部配置了新的電腦，要求新加坡幾周之后，倫敦總部又打來(lái)電話，總部配置了新的電腦，要求新加坡分行還是按老規(guī)矩行事，所有的錯(cuò)誤記錄仍由分行還是按老規(guī)矩行事，所有的錯(cuò)誤記錄仍由“99905”“99905”帳戶直接向倫敦帳戶直接向倫敦報(bào)告。報(bào)告。“88888”“88888”錯(cuò)誤帳戶剛剛建立就被擱置

35、不用了，但它卻成為一個(gè)真錯(cuò)誤帳戶剛剛建立就被擱置不用了，但它卻成為一個(gè)真正的正的“錯(cuò)誤帳戶錯(cuò)誤帳戶”存于電腦之中。而且總部這時(shí)已經(jīng)注意到新加坡分行存于電腦之中。而且總部這時(shí)已經(jīng)注意到新加坡分行出現(xiàn)的錯(cuò)誤很多，但里森都巧妙地搪塞而過(guò)。出現(xiàn)的錯(cuò)誤很多，但里森都巧妙地搪塞而過(guò)?！?8888”“88888”這個(gè)被人忽略的這個(gè)被人忽略的帳戶，提供了里森日后制造假帳的機(jī)會(huì)，如果當(dāng)時(shí)取消這一帳戶，則巴帳戶，提供了里森日后制造假帳的機(jī)會(huì)，如果當(dāng)時(shí)取消這一帳戶，則巴林的歷史可能會(huì)重寫(xiě)了。林的歷史可能會(huì)重寫(xiě)了。 26二、總體了解相關(guān)信息系統(tǒng)的控制并對(duì)二、總體了解相關(guān)信息系統(tǒng)的控制并對(duì)其風(fēng)險(xiǎn)進(jìn)行評(píng)估其風(fēng)險(xiǎn)進(jìn)行評(píng)估法

36、國(guó)興業(yè)銀行的案件：法國(guó)興業(yè)銀行的案件： 法國(guó)興業(yè)銀行法國(guó)興業(yè)銀行20082008年年1 1月月2727日公布了該行對(duì)交易員柯維爾造成日公布了該行對(duì)交易員柯維爾造成4949億歐元損失億歐元損失的異常違規(guī)交易的調(diào)查結(jié)果?？戮S爾從的異常違規(guī)交易的調(diào)查結(jié)果?？戮S爾從20002000年起開(kāi)始在該集團(tuán)任職，起初五年年起開(kāi)始在該集團(tuán)任職，起初五年在包括監(jiān)督部門(mén)的多個(gè)中間部門(mén)工作過(guò)，因此他對(duì)于銀行內(nèi)部整個(gè)交易的流程在包括監(jiān)督部門(mén)的多個(gè)中間部門(mén)工作過(guò)，因此他對(duì)于銀行內(nèi)部整個(gè)交易的流程和風(fēng)控都有很充分的了解。從和風(fēng)控都有很充分的了解。從20052005年開(kāi)始，他在套匯部門(mén)做交易員。年開(kāi)始，他在套匯部門(mén)做交易員。

37、法興稱，為了防范風(fēng)險(xiǎn)，銀行為套匯交易設(shè)置了多處風(fēng)險(xiǎn)控制機(jī)制，來(lái)監(jiān)法興稱，為了防范風(fēng)險(xiǎn)，銀行為套匯交易設(shè)置了多處風(fēng)險(xiǎn)控制機(jī)制，來(lái)監(jiān)控運(yùn)營(yíng)、金融工具投資組合市場(chǎng)價(jià)格變動(dòng)等風(fēng)險(xiǎn)?？戮S爾的異常違規(guī)交易是千控運(yùn)營(yíng)、金融工具投資組合市場(chǎng)價(jià)格變動(dòng)等風(fēng)險(xiǎn)?？戮S爾的異常違規(guī)交易是千方百計(jì)規(guī)避了這些風(fēng)控。比如，他對(duì)投資組合方百計(jì)規(guī)避了這些風(fēng)控。比如，他對(duì)投資組合B B做出了虛構(gòu)的賣出操作，以造成做出了虛構(gòu)的賣出操作，以造成買進(jìn)投資組合買進(jìn)投資組合A A已被抵消的假象。這些虛構(gòu)的操作均被計(jì)入在法興的系統(tǒng)中，因已被抵消的假象。這些虛構(gòu)的操作均被計(jì)入在法興的系統(tǒng)中，因此初期蒙蔽了公司的監(jiān)控。這使得該交易員得以掩蓋與銀行

38、正常交易毫無(wú)關(guān)聯(lián)此初期蒙蔽了公司的監(jiān)控。這使得該交易員得以掩蓋與銀行正常交易毫無(wú)關(guān)聯(lián)的巨大投機(jī)倉(cāng)位的巨大投機(jī)倉(cāng)位A A。 法興表示，為了避免那些虛構(gòu)倉(cāng)位不被銀行方面即時(shí)監(jiān)控，柯維爾通過(guò)在法興表示，為了避免那些虛構(gòu)倉(cāng)位不被銀行方面即時(shí)監(jiān)控，柯維爾通過(guò)在后臺(tái)流程控制方面的多年經(jīng)驗(yàn)成功地避開(kāi)了銀行的所有風(fēng)控設(shè)置。第一，他通后臺(tái)流程控制方面的多年經(jīng)驗(yàn)成功地避開(kāi)了銀行的所有風(fēng)控設(shè)置。第一，他通過(guò)設(shè)計(jì)虛構(gòu)的特征來(lái)降低被風(fēng)控部門(mén)發(fā)現(xiàn)的機(jī)會(huì)。首先，選擇一些不要求現(xiàn)金過(guò)設(shè)計(jì)虛構(gòu)的特征來(lái)降低被風(fēng)控部門(mén)發(fā)現(xiàn)的機(jī)會(huì)。首先，選擇一些不要求現(xiàn)金流動(dòng)或者保證金的操作，以避免對(duì)于即時(shí)確認(rèn)的要求；第二，從操作部門(mén)盜用流動(dòng)或者保

39、證金的操作，以避免對(duì)于即時(shí)確認(rèn)的要求；第二，從操作部門(mén)盜用了了ITIT密碼來(lái)對(duì)他的交易行為進(jìn)行刪除；第三，偽造文件來(lái)進(jìn)行虛構(gòu)操作；第四，密碼來(lái)對(duì)他的交易行為進(jìn)行刪除；第三，偽造文件來(lái)進(jìn)行虛構(gòu)操作；第四，確保每一次虛構(gòu)操作使用的金融工具都不同于前一筆刪除的操作。確保每一次虛構(gòu)操作使用的金融工具都不同于前一筆刪除的操作。27二、總體了解相關(guān)信息系統(tǒng)的控制并對(duì)二、總體了解相關(guān)信息系統(tǒng)的控制并對(duì)其風(fēng)險(xiǎn)進(jìn)行評(píng)估其風(fēng)險(xiǎn)進(jìn)行評(píng)估（三）評(píng)估信息系統(tǒng)的控制缺陷、信息系統(tǒng)（三）評(píng)估信息系統(tǒng)的控制缺陷、信息系統(tǒng)生成數(shù)據(jù)的質(zhì)量，評(píng)估重大錯(cuò)報(bào)風(fēng)險(xiǎn)，及生成數(shù)據(jù)的質(zhì)量，評(píng)估重大錯(cuò)報(bào)風(fēng)險(xiǎn)，及其對(duì)財(cái)務(wù)報(bào)告的影響其對(duì)財(cái)務(wù)報(bào)告的影

40、響 公司尚未結(jié)合本單位的實(shí)際情況，制定落實(shí)公司尚未結(jié)合本單位的實(shí)際情況，制定落實(shí)證券期貨經(jīng)營(yíng)機(jī)構(gòu)信證券期貨經(jīng)營(yíng)機(jī)構(gòu)信息技術(shù)治理工作指引（試行）息技術(shù)治理工作指引（試行）的工作方案，包括未建立公司的工作方案，包括未建立公司 IT IT 治理組織，未在治理組織，未在IT IT 原則、原則、IT IT 架構(gòu)、架構(gòu)、IT IT 基礎(chǔ)設(shè)施、基礎(chǔ)設(shè)施、IT IT 應(yīng)用和應(yīng)用和 IT IT 投入投入5 5 個(gè)方面制定相關(guān)制度并建立有效的工作機(jī)制，未制定個(gè)方面制定相關(guān)制度并建立有效的工作機(jī)制，未制定 IT IT 風(fēng)風(fēng)險(xiǎn)管理的策略和相關(guān)制度、內(nèi)部險(xiǎn)管理的策略和相關(guān)制度、內(nèi)部 IT IT 審計(jì)制度等等。審計(jì)制度等

41、等。 風(fēng)險(xiǎn)控制系統(tǒng)覆蓋范圍不全面，風(fēng)險(xiǎn)控制指標(biāo)動(dòng)態(tài)監(jiān)控制度尚不完風(fēng)險(xiǎn)控制系統(tǒng)覆蓋范圍不全面，風(fēng)險(xiǎn)控制指標(biāo)動(dòng)態(tài)監(jiān)控制度尚不完善，公司尚未做到每季度評(píng)估一次動(dòng)態(tài)監(jiān)控系統(tǒng)的有效性善，公司尚未做到每季度評(píng)估一次動(dòng)態(tài)監(jiān)控系統(tǒng)的有效性 。 自營(yíng)賬戶中存在財(cái)務(wù)與交易系統(tǒng)中數(shù)據(jù)不一致情況；自營(yíng)賬戶中存在財(cái)務(wù)與交易系統(tǒng)中數(shù)據(jù)不一致情況； 交易系統(tǒng)中記錄客戶證券余額與證券交易所余額不一致的情況。交易系統(tǒng)中記錄客戶證券余額與證券交易所余額不一致的情況。 上述信息系統(tǒng)的控制缺陷和信息系統(tǒng)生成數(shù)據(jù)的質(zhì)量問(wèn)題可能會(huì)影上述信息系統(tǒng)的控制缺陷和信息系統(tǒng)生成數(shù)據(jù)的質(zhì)量問(wèn)題可能會(huì)影響財(cái)務(wù)報(bào)告的真實(shí)性、準(zhǔn)確性和完整性。響財(cái)務(wù)報(bào)告的

42、真實(shí)性、準(zhǔn)確性和完整性。三、經(jīng)紀(jì)業(yè)務(wù)循環(huán)三、經(jīng)紀(jì)業(yè)務(wù)循環(huán)28 通過(guò)訪談、穿行測(cè)試等方式，了解柜臺(tái)交易系統(tǒng)、法人清通過(guò)訪談、穿行測(cè)試等方式，了解柜臺(tái)交易系統(tǒng)、法人清算系統(tǒng)、實(shí)時(shí)監(jiān)控系統(tǒng)等，評(píng)估相關(guān)系統(tǒng)的控制缺陷及生算系統(tǒng)、實(shí)時(shí)監(jiān)控系統(tǒng)等，評(píng)估相關(guān)系統(tǒng)的控制缺陷及生成數(shù)據(jù)的質(zhì)量成數(shù)據(jù)的質(zhì)量 從底層數(shù)據(jù)庫(kù)中導(dǎo)出客戶資金余額、客戶證券余額，與財(cái)從底層數(shù)據(jù)庫(kù)中導(dǎo)出客戶資金余額、客戶證券余額，與財(cái)務(wù)系統(tǒng)、法人清算系統(tǒng)、實(shí)時(shí)監(jiān)控系統(tǒng)、登記公司函證或務(wù)系統(tǒng)、法人清算系統(tǒng)、實(shí)時(shí)監(jiān)控系統(tǒng)、登記公司函證或?qū)~數(shù)據(jù)核對(duì)對(duì)賬數(shù)據(jù)核對(duì) 檢索交易量、資金余額、證券市值居前的賬戶；檢索資金檢索交易量、資金余額、證券市值居前的

43、賬戶；檢索資金余額為負(fù)、股份余額為負(fù)、資產(chǎn)總額為負(fù)的賬戶；檢索存余額為負(fù)、股份余額為負(fù)、資產(chǎn)總額為負(fù)的賬戶；檢索存在特殊操作記錄（如紅沖藍(lán)補(bǔ)、資金內(nèi)轉(zhuǎn)、強(qiáng)制現(xiàn)金取出、在特殊操作記錄（如紅沖藍(lán)補(bǔ)、資金內(nèi)轉(zhuǎn)、強(qiáng)制現(xiàn)金取出、資金調(diào)整、股份調(diào)整、證券代碼遷移等）的賬戶，并對(duì)上資金調(diào)整、股份調(diào)整、證券代碼遷移等）的賬戶，并對(duì)上述賬戶進(jìn)行調(diào)查分析。述賬戶進(jìn)行調(diào)查分析。 至于如何從底層數(shù)據(jù)庫(kù)中導(dǎo)出所需數(shù)據(jù)和如何檢索所需至于如何從底層數(shù)據(jù)庫(kù)中導(dǎo)出所需數(shù)據(jù)和如何檢索所需信息我在后面證券公司集中交易系統(tǒng)的審計(jì)講解中會(huì)說(shuō)到。信息我在后面證券公司集中交易系統(tǒng)的審計(jì)講解中會(huì)說(shuō)到。四、自營(yíng)及資管業(yè)務(wù)循環(huán)四、自營(yíng)及資管業(yè)務(wù)

44、循環(huán)29 從自營(yíng)及資管系統(tǒng)中導(dǎo)出自營(yíng)及資管賬戶清單、從自營(yíng)及資管系統(tǒng)中導(dǎo)出自營(yíng)及資管賬戶清單、資金余額、證券余額，與財(cái)務(wù)系統(tǒng)、法人清算資金余額、證券余額，與財(cái)務(wù)系統(tǒng)、法人清算系統(tǒng)、實(shí)時(shí)監(jiān)控系統(tǒng)、登記公司函證或?qū)~數(shù)系統(tǒng)、實(shí)時(shí)監(jiān)控系統(tǒng)、登記公司函證或?qū)~數(shù)據(jù)核對(duì)據(jù)核對(duì) 導(dǎo)出當(dāng)年自營(yíng)及資管的交易流水，篩選大額交導(dǎo)出當(dāng)年自營(yíng)及資管的交易流水，篩選大額交易等，提交財(cái)務(wù)審計(jì)人員對(duì)交易重新計(jì)算或運(yùn)易等，提交財(cái)務(wù)審計(jì)人員對(duì)交易重新計(jì)算或運(yùn)用分析性程序，判斷入帳金額的準(zhǔn)確性。用分析性程序，判斷入帳金額的準(zhǔn)確性。 至于如何從底層數(shù)據(jù)庫(kù)中導(dǎo)出所需數(shù)據(jù)和如何至于如何從底層數(shù)據(jù)庫(kù)中導(dǎo)出所需數(shù)據(jù)和如何檢索所需信息我在后

45、面證券公司集中交易系統(tǒng)檢索所需信息我在后面證券公司集中交易系統(tǒng)的審計(jì)講解中會(huì)說(shuō)到。的審計(jì)講解中會(huì)說(shuō)到。五、了解和評(píng)價(jià)內(nèi)部控制的監(jiān)督是否有效五、了解和評(píng)價(jià)內(nèi)部控制的監(jiān)督是否有效30 了解該公司與了解該公司與ITIT相關(guān)的內(nèi)部控制的監(jiān)督活動(dòng)，并了解如相關(guān)的內(nèi)部控制的監(jiān)督活動(dòng)，并了解如何采取糾正措施。何采取糾正措施。了解該公司了解該公司ITIT相關(guān)控制的持續(xù)監(jiān)督活動(dòng)和專門(mén)的評(píng)價(jià)活相關(guān)控制的持續(xù)監(jiān)督活動(dòng)和專門(mén)的評(píng)價(jià)活動(dòng)。動(dòng)。 公司電腦部將不定期地對(duì)分支機(jī)構(gòu)運(yùn)行情況進(jìn)行檢查，公司電腦部將不定期地對(duì)分支機(jī)構(gòu)運(yùn)行情況進(jìn)行檢查，并提出整改意見(jiàn)交由分支機(jī)構(gòu)實(shí)施。并提出整改意見(jiàn)交由分支機(jī)構(gòu)實(shí)施。 公司電腦部定期對(duì)

46、信息系統(tǒng)進(jìn)行自查和整改，有針對(duì)性公司電腦部定期對(duì)信息系統(tǒng)進(jìn)行自查和整改，有針對(duì)性的進(jìn)行應(yīng)急演練，發(fā)現(xiàn)問(wèn)題及時(shí)糾正。根據(jù)業(yè)務(wù)需要和的進(jìn)行應(yīng)急演練，發(fā)現(xiàn)問(wèn)題及時(shí)糾正。根據(jù)業(yè)務(wù)需要和系統(tǒng)使用情況，不定期的對(duì)信息系統(tǒng)進(jìn)行維護(hù)和升級(jí)，系統(tǒng)使用情況，不定期的對(duì)信息系統(tǒng)進(jìn)行維護(hù)和升級(jí)，并有留痕備案。并有留痕備案。0808年，對(duì)網(wǎng)上交易系統(tǒng)進(jìn)行擴(kuò)容、北京年，對(duì)網(wǎng)上交易系統(tǒng)進(jìn)行擴(kuò)容、北京營(yíng)業(yè)部機(jī)房實(shí)施系統(tǒng)改造、龍華營(yíng)業(yè)部增配發(fā)電機(jī)、上營(yíng)業(yè)部機(jī)房實(shí)施系統(tǒng)改造、龍華營(yíng)業(yè)部增配發(fā)電機(jī)、上海營(yíng)業(yè)部更換了海營(yíng)業(yè)部更換了upsups系統(tǒng)和二級(jí)交換機(jī)，這些都切實(shí)防范系統(tǒng)和二級(jí)交換機(jī)，這些都切實(shí)防范隱患發(fā)生。隱患發(fā)生。 200

47、8 2008年年1010月份在上海召開(kāi)了一次電腦部的全年總結(jié)會(huì)議月份在上海召開(kāi)了一次電腦部的全年總結(jié)會(huì)議及明年的計(jì)劃和建議。及明年的計(jì)劃和建議。六、了解和評(píng)價(jià)內(nèi)部六、了解和評(píng)價(jià)內(nèi)部ITIT審計(jì)是否有效審計(jì)是否有效31 審計(jì)人員的專業(yè)素質(zhì)能否滿足審計(jì)需要審計(jì)人員的專業(yè)素質(zhì)能否滿足審計(jì)需要 審計(jì)頻率和覆蓋面是否適當(dāng)審計(jì)頻率和覆蓋面是否適當(dāng) 審計(jì)意見(jiàn)能否得到及時(shí)糾正。審計(jì)意見(jiàn)能否得到及時(shí)糾正。 航空證券尚未建立航空證券尚未建立ITIT審計(jì)制度，但制定了內(nèi)審審計(jì)制度，但制定了內(nèi)審計(jì)劃，計(jì)劃于計(jì)劃，計(jì)劃于20092009年執(zhí)行，截至年執(zhí)行，截至2009-3-142009-3-14尚未尚未執(zhí)行。執(zhí)行。（一

48、）證券公司計(jì)算機(jī)信息系統(tǒng)與集中交易系統(tǒng)（一）證券公司計(jì)算機(jī)信息系統(tǒng)與集中交易系統(tǒng)（二）集中交易系統(tǒng)中涉及的審計(jì)目標(biāo)與制訂方法（二）集中交易系統(tǒng)中涉及的審計(jì)目標(biāo)與制訂方法（三）計(jì)算機(jī)輔助審計(jì)的程序（三）計(jì)算機(jī)輔助審計(jì)的程序（四）其他重大事項(xiàng)考慮（四）其他重大事項(xiàng)考慮32七、證券公司集中交易系統(tǒng)的審計(jì)七、證券公司集中交易系統(tǒng)的審計(jì)33七、證券公司集中交易系統(tǒng)的審計(jì)七、證券公司集中交易系統(tǒng)的審計(jì)（一）證券公司計(jì)算機(jī)信息系統(tǒng)與集中交易（一）證券公司計(jì)算機(jī)信息系統(tǒng)與集中交易系統(tǒng)系統(tǒng) 證券公司應(yīng)用的計(jì)算機(jī)信息系統(tǒng)包括：計(jì)算機(jī)硬件系統(tǒng)、證券公司應(yīng)用的計(jì)算機(jī)信息系統(tǒng)包括：計(jì)算機(jī)硬件系統(tǒng)、通訊系統(tǒng)以及信息管理系

49、統(tǒng)。信心管理系統(tǒng)主要包括：集中通訊系統(tǒng)以及信息管理系統(tǒng)。信心管理系統(tǒng)主要包括：集中交易系統(tǒng)（未實(shí)現(xiàn)集中交易系統(tǒng)的或稱交易系統(tǒng)（未實(shí)現(xiàn)集中交易系統(tǒng)的或稱“柜臺(tái)交易系統(tǒng)柜臺(tái)交易系統(tǒng)”）、）、法人交易系統(tǒng)、實(shí)時(shí)監(jiān)控系統(tǒng)、自營(yíng)業(yè)務(wù)系統(tǒng)、資產(chǎn)管理系法人交易系統(tǒng)、實(shí)時(shí)監(jiān)控系統(tǒng)、自營(yíng)業(yè)務(wù)系統(tǒng)、資產(chǎn)管理系統(tǒng)、網(wǎng)上交易系統(tǒng)、會(huì)計(jì)核算系統(tǒng)、統(tǒng)、網(wǎng)上交易系統(tǒng)、會(huì)計(jì)核算系統(tǒng)、CRMCRM系統(tǒng)、系統(tǒng)、OAOA系統(tǒng)等等。系統(tǒng)等等。上述系統(tǒng)間數(shù)據(jù)流及關(guān)系大致如下圖所示。上述系統(tǒng)間數(shù)據(jù)流及關(guān)系大致如下圖所示。34七、證券公司集中交易系統(tǒng)的審計(jì)七、證券公司集中交易系統(tǒng)的審計(jì)七、證券公司集中交易系統(tǒng)的審計(jì)七、證券公司集中交易系統(tǒng)

50、的審計(jì)35（一）證券公司計(jì)算機(jī)信息系統(tǒng)與集中交易（一）證券公司計(jì)算機(jī)信息系統(tǒng)與集中交易系統(tǒng)系統(tǒng) 由圖可知，集中交易系統(tǒng)是證券公司計(jì)算機(jī)信息系統(tǒng)的核心，會(huì)計(jì)由圖可知，集中交易系統(tǒng)是證券公司計(jì)算機(jī)信息系統(tǒng)的核心，會(huì)計(jì)核算所需的信息大多從它獲取。集中交易系統(tǒng)是證券公司為了將基于營(yíng)核算所需的信息大多從它獲取。集中交易系統(tǒng)是證券公司為了將基于營(yíng)業(yè)部分散的交易系統(tǒng)提升為基于公司整體的企業(yè)級(jí)綜合經(jīng)紀(jì)業(yè)務(wù)平臺(tái)，業(yè)部分散的交易系統(tǒng)提升為基于公司整體的企業(yè)級(jí)綜合經(jīng)紀(jì)業(yè)務(wù)平臺(tái)，達(dá)到整合企業(yè)資源、信息充分共享，提高企業(yè)核心競(jìng)爭(zhēng)力的目的而以證達(dá)到整合企業(yè)資源、信息充分共享，提高企業(yè)核心競(jìng)爭(zhēng)力的目的而以證券公司作為一個(gè)整

51、體，實(shí)現(xiàn)業(yè)務(wù)集中管理、集中財(cái)務(wù)、集中清算、集中券公司作為一個(gè)整體，實(shí)現(xiàn)業(yè)務(wù)集中管理、集中財(cái)務(wù)、集中清算、集中交易、統(tǒng)一服務(wù)、統(tǒng)一營(yíng)銷、統(tǒng)一監(jiān)管，建立集中處理的業(yè)務(wù)平臺(tái)。根交易、統(tǒng)一服務(wù)、統(tǒng)一營(yíng)銷、統(tǒng)一監(jiān)管，建立集中處理的業(yè)務(wù)平臺(tái)。根據(jù)券商規(guī)模大小，集中交易系統(tǒng)所采用的數(shù)據(jù)庫(kù)類型各有不同，目前集據(jù)券商規(guī)模大小，集中交易系統(tǒng)所采用的數(shù)據(jù)庫(kù)類型各有不同，目前集中交易系統(tǒng)、主要采用的數(shù)據(jù)庫(kù)類型有中交易系統(tǒng)、主要采用的數(shù)據(jù)庫(kù)類型有ORACLEORACLE，IBMDB2IBMDB2，SQL-SQL-Server,SybaseServer,Sybase等。等。36七、證券公司集中交易系統(tǒng)的審計(jì)七、證券公司集

52、中交易系統(tǒng)的審計(jì)（一）證券公司計(jì)算機(jī)信息系統(tǒng)與集中交易（一）證券公司計(jì)算機(jī)信息系統(tǒng)與集中交易系統(tǒng)系統(tǒng) 證券公司集中交易數(shù)據(jù)庫(kù)由交易（或稱當(dāng)前數(shù)據(jù)庫(kù)）和歷史數(shù)據(jù)庫(kù)構(gòu)成。證券公司集中交易數(shù)據(jù)庫(kù)由交易（或稱當(dāng)前數(shù)據(jù)庫(kù)）和歷史數(shù)據(jù)庫(kù)構(gòu)成。兩者的主要區(qū)別在于，交易數(shù)據(jù)庫(kù)當(dāng)中只存放有最近一段時(shí)間的交易流水兩者的主要區(qū)別在于，交易數(shù)據(jù)庫(kù)當(dāng)中只存放有最近一段時(shí)間的交易流水（具體時(shí)間長(zhǎng)度視數(shù)據(jù)庫(kù)而定，無(wú)定植）和余額數(shù)據(jù)資料，而歷史數(shù)據(jù)庫(kù)中，（具體時(shí)間長(zhǎng)度視數(shù)據(jù)庫(kù)而定，無(wú)定植）和余額數(shù)據(jù)資料，而歷史數(shù)據(jù)庫(kù)中，則存有更長(zhǎng)時(shí)間的流水?dāng)?shù)據(jù)資料和余額數(shù)據(jù)，以滿足更長(zhǎng)時(shí)間段的查詢要求，則存有更長(zhǎng)時(shí)間的流水?dāng)?shù)據(jù)資料和余額數(shù)據(jù)

53、，以滿足更長(zhǎng)時(shí)間段的查詢要求，也可以視其交易數(shù)據(jù)庫(kù)的備份。之所以這樣構(gòu)建，主要是由于證券公司的業(yè)也可以視其交易數(shù)據(jù)庫(kù)的備份。之所以這樣構(gòu)建，主要是由于證券公司的業(yè)務(wù)量大，為提升系統(tǒng)的運(yùn)行速度和運(yùn)行效率而設(shè)備了兩個(gè)數(shù)據(jù)庫(kù)。這里值得務(wù)量大，為提升系統(tǒng)的運(yùn)行速度和運(yùn)行效率而設(shè)備了兩個(gè)數(shù)據(jù)庫(kù)。這里值得一提的是，由于交易數(shù)據(jù)是在每個(gè)交易日都不斷遞增的，因此數(shù)據(jù)庫(kù)中所有一提的是，由于交易數(shù)據(jù)是在每個(gè)交易日都不斷遞增的，因此數(shù)據(jù)庫(kù)中所有的余額信息保留的都是當(dāng)前時(shí)點(diǎn)的余額。也就是說(shuō)，如果審計(jì)人員在審計(jì)基的余額信息保留的都是當(dāng)前時(shí)點(diǎn)的余額。也就是說(shuō)，如果審計(jì)人員在審計(jì)基準(zhǔn)日后想獲取基準(zhǔn)日的數(shù)據(jù)庫(kù)余額信息，只能從

54、備份數(shù)據(jù)中獲取。準(zhǔn)日后想獲取基準(zhǔn)日的數(shù)據(jù)庫(kù)余額信息，只能從備份數(shù)據(jù)中獲取。37七、證券公司集中交易系統(tǒng)的審計(jì)七、證券公司集中交易系統(tǒng)的審計(jì)( (二二) )集中交易系統(tǒng)中涉及的審計(jì)目標(biāo)與制訂方集中交易系統(tǒng)中涉及的審計(jì)目標(biāo)與制訂方法法 針對(duì)集中交易系統(tǒng)的審計(jì)的服務(wù)對(duì)象是財(cái)務(wù)審計(jì)，因此，審計(jì)對(duì)象及審針對(duì)集中交易系統(tǒng)的審計(jì)的服務(wù)對(duì)象是財(cái)務(wù)審計(jì)，因此，審計(jì)對(duì)象及審計(jì)目標(biāo)的設(shè)定必須圍繞如何確定財(cái)務(wù)報(bào)表的公允性來(lái)展開(kāi)。針對(duì)不同的券商，計(jì)目標(biāo)的設(shè)定必須圍繞如何確定財(cái)務(wù)報(bào)表的公允性來(lái)展開(kāi)。針對(duì)不同的券商，不同的業(yè)務(wù)類型，審計(jì)人員應(yīng)該設(shè)定不同不同的業(yè)務(wù)類型，審計(jì)人員應(yīng)該設(shè)定不同 的審計(jì)目標(biāo)。如針對(duì)經(jīng)紀(jì)業(yè)務(wù)，的審計(jì)

55、目標(biāo)。如針對(duì)經(jīng)紀(jì)業(yè)務(wù)，審計(jì)人員需要確定代理買賣證券款科目的余額，那么在集中交易系統(tǒng)當(dāng)中，審計(jì)人員需要確定代理買賣證券款科目的余額，那么在集中交易系統(tǒng)當(dāng)中，就應(yīng)獲取客戶保證金的余額信息以證實(shí)和財(cái)務(wù)帳面的一直性；對(duì)于自營(yíng)業(yè)務(wù)，就應(yīng)獲取客戶保證金的余額信息以證實(shí)和財(cái)務(wù)帳面的一直性；對(duì)于自營(yíng)業(yè)務(wù)，審計(jì)人員需要確定自營(yíng)資金的余額、自營(yíng)證券的數(shù)量、自營(yíng)證券的交易流水，審計(jì)人員需要確定自營(yíng)資金的余額、自營(yíng)證券的數(shù)量、自營(yíng)證券的交易流水，針對(duì)這些目的，審計(jì)人員就該獲取信息系統(tǒng)中自營(yíng)帳戶的余額信息以及交易針對(duì)這些目的，審計(jì)人員就該獲取信息系統(tǒng)中自營(yíng)帳戶的余額信息以及交易流水和財(cái)務(wù)帳面進(jìn)行對(duì)比，以核實(shí)財(cái)務(wù)帳面的真

56、實(shí)性。總之，針對(duì)集中交易流水和財(cái)務(wù)帳面進(jìn)行對(duì)比，以核實(shí)財(cái)務(wù)帳面的真實(shí)性。總之，針對(duì)集中交易系統(tǒng)的審計(jì)目標(biāo)應(yīng)根據(jù)財(cái)務(wù)審計(jì)目標(biāo)予以確定，輔助審計(jì)程序應(yīng)針對(duì)被審證系統(tǒng)的審計(jì)目標(biāo)應(yīng)根據(jù)財(cái)務(wù)審計(jì)目標(biāo)予以確定，輔助審計(jì)程序應(yīng)針對(duì)被審證券公司的業(yè)務(wù)特點(diǎn)展開(kāi)。主要?dú)w納為券公司的業(yè)務(wù)特點(diǎn)展開(kāi)。主要?dú)w納為 以下幾個(gè)方面：以下幾個(gè)方面：（1 1）核實(shí)財(cái)務(wù)帳面數(shù)據(jù)與集中交易系統(tǒng)數(shù)據(jù)的一致性，確保財(cái)務(wù)帳面數(shù)據(jù)）核實(shí)財(cái)務(wù)帳面數(shù)據(jù)與集中交易系統(tǒng)數(shù)據(jù)的一致性，確保財(cái)務(wù)帳面數(shù)據(jù)的真實(shí)性；的真實(shí)性；（2 2）核對(duì)集中交易系統(tǒng)數(shù)據(jù)與其他外部數(shù)據(jù)的一致性；）核對(duì)集中交易系統(tǒng)數(shù)據(jù)與其他外部數(shù)據(jù)的一致性；（3 3）查驗(yàn)是否存在違規(guī)業(yè)務(wù)。

57、）查驗(yàn)是否存在違規(guī)業(yè)務(wù)。38七、證券公司集中交易系統(tǒng)的審計(jì)七、證券公司集中交易系統(tǒng)的審計(jì)（二）集中交易系統(tǒng)中涉及的審計(jì)目標(biāo)與制訂方法（二）集中交易系統(tǒng)中涉及的審計(jì)目標(biāo)與制訂方法制訂集中交易系統(tǒng)的審計(jì)方法主要有控制測(cè)試和應(yīng)用計(jì)算機(jī)輔助制訂兩制訂集中交易系統(tǒng)的審計(jì)方法主要有控制測(cè)試和應(yīng)用計(jì)算機(jī)輔助制訂兩種。種?？刂茰y(cè)試主要包括以下內(nèi)容：控制測(cè)試主要包括以下內(nèi)容：1.1.了解內(nèi)部控制。審計(jì)人員應(yīng)該了解證券公司與計(jì)算機(jī)信息處理有關(guān)的了解內(nèi)部控制。審計(jì)人員應(yīng)該了解證券公司與計(jì)算機(jī)信息處理有關(guān)的控制活動(dòng)，包括信息技術(shù)的一般控制和應(yīng)用控制。一般控制是指與多個(gè)控制活動(dòng)，包括信息技術(shù)的一般控制和應(yīng)用控制。一般控

58、制是指與多個(gè)應(yīng)用系統(tǒng)有關(guān)的政策和程序，有助于保證系統(tǒng)持續(xù)性恰當(dāng)運(yùn)行，支持應(yīng)用系統(tǒng)有關(guān)的政策和程序，有助于保證系統(tǒng)持續(xù)性恰當(dāng)運(yùn)行，支持 應(yīng)用控制作用的有效發(fā)揮，通常包括：數(shù)據(jù)和網(wǎng)絡(luò)運(yùn)行控制、系統(tǒng)軟件應(yīng)用控制作用的有效發(fā)揮，通常包括：數(shù)據(jù)和網(wǎng)絡(luò)運(yùn)行控制、系統(tǒng)軟件的購(gòu)置、修改及維護(hù)控制、接觸與訪問(wèn)權(quán)限控制、開(kāi)發(fā)與維護(hù)控制等。的購(gòu)置、修改及維護(hù)控制、接觸與訪問(wèn)權(quán)限控制、開(kāi)發(fā)與維護(hù)控制等。應(yīng)用控制是指主要在業(yè)務(wù)流程運(yùn)行的人工或自動(dòng)化程序，與用于生成、應(yīng)用控制是指主要在業(yè)務(wù)流程運(yùn)行的人工或自動(dòng)化程序，與用于生成、記錄、處理、報(bào)告交易或其他財(cái)務(wù)數(shù)據(jù)的程序相關(guān)的控制，主要包括：記錄、處理、報(bào)告交易或其他財(cái)務(wù)數(shù)

59、據(jù)的程序相關(guān)的控制，主要包括：輸入控制、數(shù)據(jù)處理控制和輸出控制。證券公司較多的應(yīng)用了自動(dòng)化的輸入控制、數(shù)據(jù)處理控制和輸出控制。證券公司較多的應(yīng)用了自動(dòng)化的應(yīng)用控制，審計(jì)人員在確認(rèn)信息技術(shù)處理過(guò)程的一貫性后，可以利用該應(yīng)用控制，審計(jì)人員在確認(rèn)信息技術(shù)處理過(guò)程的一貫性后，可以利用該項(xiàng)控制得到執(zhí)行和信息技術(shù)一般控制運(yùn)行有效性的審計(jì)證據(jù)，作為支持項(xiàng)控制得到執(zhí)行和信息技術(shù)一般控制運(yùn)行有效性的審計(jì)證據(jù)，作為支持該項(xiàng)控制在審計(jì)期間內(nèi)運(yùn)行有效性的重要審計(jì)證據(jù)。該項(xiàng)控制在審計(jì)期間內(nèi)運(yùn)行有效性的重要審計(jì)證據(jù)。39( (二二) )集中交易系統(tǒng)中涉及的審計(jì)目標(biāo)與制訂方集中交易系統(tǒng)中涉及的審計(jì)目標(biāo)與制訂方法法 制訂集中

60、交易系統(tǒng)的方法主要有控制測(cè)試和應(yīng)用計(jì)算機(jī)輔助制訂兩制訂集中交易系統(tǒng)的方法主要有控制測(cè)試和應(yīng)用計(jì)算機(jī)輔助制訂兩種。種。2.2.運(yùn)用觀察、詢問(wèn)、檢查、穿行測(cè)試或重新執(zhí)行等審計(jì)方法。在運(yùn)用這運(yùn)用觀察、詢問(wèn)、檢查、穿行測(cè)試或重新執(zhí)行等審計(jì)方法。在運(yùn)用這些審計(jì)方法時(shí)，需重點(diǎn)關(guān)注數(shù)據(jù)訪問(wèn)的授權(quán)及訪問(wèn)記錄、系統(tǒng)修改和維些審計(jì)方法時(shí)，需重點(diǎn)關(guān)注數(shù)據(jù)訪問(wèn)的授權(quán)及訪問(wèn)記錄、系統(tǒng)修改和維護(hù)的記錄、系統(tǒng)或程序正常處理數(shù)據(jù)的能力等，這些控制點(diǎn)將直接影響護(hù)的記錄、系統(tǒng)或程序正常處理數(shù)據(jù)的能力等，這些控制點(diǎn)將直接影響到到 審計(jì)人員獲取數(shù)據(jù)的真實(shí)性與完整性。審計(jì)人員獲取數(shù)據(jù)的真實(shí)性與完整性。七、證券公司集中交易系統(tǒng)的審計(jì)七、