随着改革开放和国家信息化建设步伐的加快,我国证券业信息化建设从无到有、从小到大、从单项业务到综合业务,从单一网点到全国联网已经逐步形成了证券业信息化的基本框架,取得了显著的社会效益和经济效益。
一、证券业信息化面临的风险
随着改革开放和国家信息化建设步伐的加快,我国证券业信息化建设从无到有、从小到大、从单项业务到综合业务,从单一网点到全国联网已经逐步形成了证券业信息化的基本框架,取得了显著的社会效益和经济效益。
信息化有力地促进了证券业务的发展和交易模式的转变。从柜台交易、电话委托、专线服务到网上交易,IT技术的发展不断驱动着变革,并伴随新技术的采用不断演进。目前,网上证券的行业占比平均值已经到达80%,而3G通信技术的正式商用还会提高这一百分比。手机证券由于在空间和私密性方面的优势,会借3G之力迅速扩大份额。中国银河证券电子商务部总经理王锦炎先生表示,“未来的营业部很可能发生重大的变化,不以提供交易场所为主要功能,而是一个理财咨询的服务场所、演示场所,网上的虚拟营业部、网上交易大厅可以实现除开户外所有目前的营业部业务,网上证券对券商的意义不是交易方式的改变,而是对业务模式的颠覆。”
同时我们也应该看到,信息化在推动证券业发展的同时,也给证券业自身带来了巨大的风险,主要表现在几个方面:
1、随着证券业信息化程度的提高,信息系统本身固有的风险在加大
证券业是高度依赖信息化开展业务的行业。由于国内经济的日益活跃,政策愈加开放,业务规模的不断扩大。伴随信息技术迅速发展,证券业高度采用新技术。信息系统所采用的IT技术与信息系统软硬件本身存在着大量的脆弱性,这些脆弱性被特定的威胁利用,就会产生风险,从而对证券业信息系统的机密性、完整性及可用性产生损害。信息化程度越高,风险就会越大。如:系统漏洞、硬件故障、意外灾祸都会造成证券业信息系统不能正常工作,从而造成重大问题。
2、网络交易的快速发展,对证券业信息安全问题提出了严峻挑战。
近年来,网上证券业、移动证券业、电子商务结算等,出现暴发性的增长,已成为目前国际范围内成长最为迅速的证券业业务品种,也是证券业争相追逐的利润增长点。中国的网上证券业用户从2006年的40%到2009年的80%,比较高的证券公司达到了90%以上,成为现在首要的委托方式。证券业业务系统要顺应开放和互连的趋势,其信息安全范畴已经突破了以业务系统物理隔离和协议隔离为基础的传统证券业信息安全,如何在公网环境下防止黑客、病毒的破坏,如何在危机四伏的Internet上保证交易系统的安全性,是证券业信息系统要面临的挑战。
3、随着对信息安全认识的加深,我们逐渐认识到:“人”的风险其实是最大的风险。
统计结果表明,在所有的信息安全事故中,只有20%-30%是由于黑客入侵或其他外部原因造成得,70%-80%是由于内部员工的疏忽或有意泄密造成的,证券业也是如此。站在较高的层次上来看信息和网络安全的全貌就会发现安全问题实际上都是人的问题。人的行为是信息安全保障最主要的方面。人,特别是证券业内部员工既可以是对信息系统的最大潜在威胁,也可以是最可靠的安全防线,单凭技术是无法实现从“最大威胁”到“最可靠防线”转变的。证券业内部完备的安全管理政策、安全教育计划与健全的企业安全文化建设才是降低“人”的安全风险的有效手段。以往的各种安全实践的最大缺陷就是忽略了对人的因素的考虑,在信息安全问题上,要以人为本,人的因素比信息安全技术和产品的因素更重要。
二、证券业信息化风险管理需要建立信息系统审计机制
风险管理是目前证券业的主旋律,证券业是通过承担风险来获得收益的金融机构,证券业承担的风险状况、以及内部对于风险的识别、衡量、监控和管理程序的完整性,直接影响到投资人的收益、券商的经营状况、进而影响到证券业盈利、对体系稳定的影响等。
证券业的信息安全风险是证券业风险管理不可忽略的重要组成部分,虽然各券商都有自己的信息安全主管部门,他们是信息安全的建设者、维护者,对信息安全有着丰富的现场经验与专业经验,但从有效控制风险的角度来看,单靠他们不足以向董事会或最高管理层保证信息安全的有效性,只有建立信息系统审计机制,由独立的或相对独立的信息系统审计师进行信息系统审计,出具审计报告,才能形成对信息系统安全的客观评价,原因有以下几个方面:
1、“运动员不能同时兼任裁判员”
证券业信息安全的特殊性,要求对信息系统安全的评估要客观、公正,证券业信息安全管理人员是内部相关工作人员,自我评价不具备说服力,这就要求独立或相对独立的第三方出具信息安全评估报告。
2、信息安全是一个系统工程
证券业信息安全要求对信息系统的各个环节进行统一的综合考虑、规划和构架,并要时时兼顾组织内外不断发生的变化,任何环节上的安全缺陷都会对系统构成威胁。证券业信息安全人员往往只考虑企业当时的需要,去制定控制措施和引入某些技术产品,都难免存在挂一漏万、顾此失彼的问题,使得信息安全这只“木桶”出现若干“短木块”,从而无法提高安全水平。因此由独立的第三方遵循国内外相关信息安全标准与最佳实践过程,考虑到组织对信息安全的各个层面的实际需求,进行经常性风险评估,提出改进意见,引入恰当控制,使企业可以有效地、动态地建立合理的安全管理体系,从而保证组织赖以生存的信息资产的安全性、完整性和可用性。
3、信息审计体系的健全和独立是有效的信息安全风险管理的基础
信息系统审计师能审计控制信息系统风险,并不是因为信息系统审计师比证券业安全管理人员拥有更多的知识与能力,而是独立的信息审计体系这种“制度”在起作用,用“制度”来保证安全比用“人”和“技术”来保证安全更可靠。
4、随着对金融监管力度的加大,对证券业实施IT治理的要求提出,证券业信息系统的审计己是当务之急。
加强证券业IT治理,实施信息系统审计,有利于防范、规避、控制和化解证券业的运行风险,促进证券业规范、有序、高效、稳健运作,提高证券业的资产营运质量和运作效率。证券业信息系统是证券业业务运营的基础平台,安全的信息系统才能保障证券业的健康发展,信息系统的风险状况是重要的信息披露内容之一。独立的信息系统审计是检查、管理证券业信息安全风险,披露证券业信息的重要制度举措。
信息系统审计是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。由于信息技术在经营、管理领域的广泛运用,信息系统审计已经贯穿在各种审计之中,成为审计全过程的一部分。
信息系统审计工作可以分为两大类:一种是组织自行完成的内部审计,内部审计的主要目的是检查组织各部门对安全保障制度的遵守情况,要保证内部审计师在他们能自由地和客观地进行工作时是独立的。独立性可使内部审计师提出公正的和不偏不倚的判断意见。信息系统审计执行主管应该对审计委员会、董事会或其他治理机构报告业务工作,向机构的首席执行官报告行政工作。另一种是由会计师事务所或专业技术服务提供商完成的外部审计。外部审计通常是因为上市、并购、年终检查或其它法规的要求而进行,一般都很正规,也非常深入。进行信息审计的受托方应当独立于委托方,以保证信息系统审计的客观性与公正性。
信息系统审计作为新兴的职业和学科体系,近年来逐渐升温,信息系统审计师(CISA)正以每年40%—50%的速度增加,也显示了信息系统审计的发展需求。美国等先进国家很早就开展由独立资格的第三方进行的信息系统审计,建立了完善的信息审计制度。从国内信息化建设的现状及对信息安全的实际需要来看,我国企业也开始接受信息系统审计理论。
中国人民银行业科技司司长陈静指出:“…信息安全越来越成为金融业信息化建设与管理中需要密切关注的问题。企业对信息安全的重视程度和资金投入,将逐渐从单一的产品和技术向整体解决方案过渡,同时从封闭式的设计、实施与管理,不断与完善的、具有适当资质的、独立的第三方审计相结合,这是未来发展的一个趋势。”
三、证券业信息系统审计的内容与价值
对证券业信息系统进行审计的内容主要集中在以下几个方面:
1、证券业信息系统的管理、规划与组织——评价证券业信息系统的管理、计划与组织方面的策略、政策、标准、程序和相关实务。
2、证券业信息系统技术基础设施与操作实务——评价证券业在技术基础设施与操作实务的管理和实施方面的有效性及效率,以确保其充分支持证券业的商业目标。
3、证券业信息资产的保护——对逻辑、环境与信息技术基础设施的安全性进行评价,确保其能支持证券业保护信息资产的需要, 防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。
4、灾难恢复与业务持续计划——这些计划是在发生灾难时,能够使证券业持续进行业务,对这种计划的建立和维护流程需要进行评价。
6、证券业业务流程评价与风险管理——评估证券业业务系统与处理流程,确保根据证券业的业务目标对相应风险实施管理。
7、与安全相关的人力资源管理与企业文化——评估与安全相关的人力资源管理政策、程序、实务以及“信息安全、人人有责”的企业文化。
实施证券业信息系统审计对证券业的风险管理具有以下价值:
1、鉴证价值
信息系统审计的鉴证价值是指通过审计,合理地保证被审计单位信息系统及其处理、产生的信息的真实性、完整性与可靠性,政策遵循的一贯性。在开放的市场经济条件下,证券业输出的信息资料对证券业的存在与发展及其业务经营活动非常重要,对一些利益相关者如监管者、中间业务的合作者、企业投资商、个人投资者、股东而言也是非常重要。信息系统审计师以其独立的身份,对证券业的信息系统及其输出的信息进行审计,查出各种错误与舞弊,是合理地保证被审计证券业信息系统及其处理、产生的信息的真实性、完整性与可靠性,政策遵循的一贯性的重要环节,是维护正常经济秩序必不可少的重要手段。
2、促进价值
信息系统审计师在完成审计后,出具审计证明,即审计报告,以证明被审计证券业信息系统的真实、完整、可靠。审计师的证明可以增强人们对证券业信息系统的信任程度。随着证券业监管力度的加大和网络技术发展,证券业商业信息的在线和实时披露都是不可扭转的必然趋势。信息系统审计师能够以在线、实时的信息为基础提供鉴证,对使用信息的所有相关者而言是具有巨大价值的,客观公正的审计信息披露可以吸引更多的投资者,这样会给被审计单位带来更多的资金、更多的业务及合作伙伴,这对即将上市的国有商业证券业具有重要意义。
另一方面,信息系统审计在审计过程中发现的控制缺陷或漏洞,可以通过审计报告、管理建议书等形式报告给委托人或被审计单位管理当局,并提出解决问题的建议,从而促进被审计单位提高管理水平,提高经济效益。信息系统审计的一个出发点在于从外部对被审计单位的信息系统进行全面的审视,可以发现从内部看不到的问题。信息系统审计师提供的外部审视的价值既表现在用新的思维方式、新的观点去观察证券业业务,分析其存在的问题及原因,也表现在以科学的态度和创新精神,去设计解决问题的方案。
3、咨询价值
证券业对信息化的高投入必然带来信息化建设的高风险,信息系统审计师可凭借其专业知识和实践经验,受托或主动服务于被审计单位的管理者或其业务人员,以其相对于厂商与产品的独立性,在企业信息化过程中帮助企业建立健全内部控制制度,进行系统诊断咨询,根据企业需要确定信息化的目标和内容,客观中立地选择客户合适的信息系统解决方案,帮助企业调整现有的管理架构和流程或修改软件产品使其更好地服务于管理的需要,从而降低证券业在信息化建设过程中的风险。
四、证券业信息系统审计的依据
证券业信息系统安全审计的依据一般是采用国际公认的信息安全标准与我国法律、法规、标准相结合的办法。证券业可以采用ISO27001作为内部安全框架的实施与审计标准,采用COBIT作为内部详细控制的实施与审计标准,同时要保证证券业信息系统符合我国的有关法律与行业主管部门制订的与信息安全相关的法律、法规。
1、COBIT
目前国际上通用的信息系统审计的标准是信息系统审计与控制协会在1996年公布的COBIT(Control Objectives for Information and related Technology),这是一个在国际上公认的最先进、最权威的安全与信息技术管理和控制的标准,目前已经更新至第三版。它在商业风险、控制需要和技术问题之间架起了一座桥梁,以满足管理的多方面需要。该标准体系已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效地管理与信息相关的风险。
COBIT将IT 过程、IT资源及信息与企业的策略和目标联系起来,形成一个三维的体系结构。其中,IT准则集中反映了企业的战略目标,主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性; IT资源主要包括以人、应用系统、技术、设施及数据在内的信息相关的资源,这是IT治理过程的主要对象;IT过程则是在IT准则的指导下,对信息及相关资源进行规划与处理,从信息技术的规划与组织、采集与实施、交付与支持、监控等四个方面确定了34个信息技术处理过程,每个处理过程还包括更加详细的控制目标和审计方针对IT处理过程进行评估。
2、ISO27001
信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分:BS7799-1,信息安全管理实施规则;BS7799-2,信息安全管理体系规范。
第一部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。
五、证券业信息系统审计的过程
对信息系统的审计过程是一项遵循逻辑顺序,结构严密的活动,其过程如下:
1、审计合同
审计合同明确本次审计中审计师的职责,需要得到的授权,审计委托人应尽的义务。职责包括:审计范围,审计目标,审计独立性,委托人的特殊要求;需要得到的授权包括: 访问权限,访问范围,对审计合同的认定;委托人应尽的义务包括:指定审计报告的接受者,委托人的权力,对审计质量的评审,预定的完成时间,审计预算与相关费用。
2、确定审计主题范围
在这一阶段,审计师要确定信息系统审计的主题范围,根据不同的要求,可以是以下几个方面:
(1)COBIT、ISO17799规定的相关审计主题
(2)国家法律、法规――如:《中华人民共和国国家安全法》、《中华人民共和国计算机信息安全保护条例》、《中华人民共和国商用密码管理条例》等
(3)中国证监会规定――如:《网上证券委托暂行管理办法》等
(4)被审计证券业相关政策与程序
(5)以上标准以外的证券业信息安全扩展审计内容
3、审计目标
(1)为达到控制信息安全的目标,要对委托方提供合理的保证
(2)证明组织存在信息安全控制弱点,并指出这种弱点所产生的风险
(3)建议对信息安全存在的弱点采取控制措施
(4)使委托方管理人员了解组织当前组织信息安全的状况
4、制定审计计划。在此阶段主要做以下工作:
(1)了解组织的业务、系统、环境等;
(2)识别信息资产并评估风险;
(3)检查是否存在足够的控制来补偿这些风险,确定审计的地点与设施;
(4)确定审计需要的技术能力及审计资源;
(5)确定审计所需信息的来源,例如功能流程图、政策、标准、以前年度
的审计工作底稿等均是审计信息的来源;
(6)了解并评价以前年度的审计发现,判断其是否仍是现在审计的重点。
审计日程安排、人员配备、阶段性审计文档、所需审计设备
5、实施审计。在这一阶段,审计师主要:
(1)收集资料;
(2)确定审计或测试的方式(符合性测试还是实质性测试);
(3)列出需要访谈的人员名单;
(4)查阅有关部门的政策、标准及准则,以供审计使用。
(5)利用审计方法,对所有控制进行测试和评价。
6、评估测试结果。
利用COBIT或ISO27001的方法评估测试结果,这是利用COBIT和ISO27001进行评估的示例:
(图中红色区为高风险区)
ISO27001评估安全风险RADAR图(示例)
(图中红色区为高风险区)
7、与管理者沟通。
向管理者汇报初步的审计结果,与管理者进行沟通,取得一致意见,对有疑问的问题,要寻求进一步的审计证据。
8、撰写审计报告。
审计师的审计过程记录在审计工作底稿中。审计工作底稿记录了审计师所采用的审计方法、审计范围、审计准则,所完成的审计步骤,它提供了审计师的工作轨迹及工作表现。有以下几个内容:
(1)审计报告的目的与内容
(2)审计报告接受者
(3)审计类型与审计内容
(4)审计目标声明
(5)审计范围、审计特征、日期安排
(6)审计的约束条件
(7)重要的审计发现
(8)审计结论
(9)有关建议、意见
总之,在证券业系统开展信息系统审计工作,是证券业控制风险的重要手段之一,在新的形势下,证券业要健康发展,就要积极迎接挑战、应对不断出现的新风险,防患于未然,才能抓住网络经济时代给证券业带来的新机遇, 迎来证券业的新发展。
5、证券业业务应用系统开发、获得、实施与维护——对证券业业务应用系统的开发、获得、实施与维护方面所采用的方法和流程进行评价,以确保其满足证券业的业务目标。
京ICP备06004481号 Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved