您当前位置:会计论文网 >> 最新论文 >> 会计审计论文 >> 浏览文章谈信息系统证券公司信息系统风险导向型审计实务论文格式字体

谈信息系统证券公司信息系统风险导向型审计实务论文格式字体

中国内部审计协会2009年1月1日正式发布施行的《内部审计具体准则第28号—信息系统审计》对证券公司信息系统内部审计工作具有重要的指导意义。本文以风险导向型审计的角度,从证券公司信息系统审计实施的问题与难点入手、探讨具体准则在证券信息系统审计过程中的实践应用。

  一、以准则框架进行信息系统风险分类识别

  (一)组织层面的IT风险

  证券公司组织层面IT风险主要表现为以下方面:

  1.缺乏明确的IT战略目标、IT目标与公司整体战略及业务目标不匹配造成的风险。

  2.IT治理组织架构、授权机制、制度体系不健全对IT安全运行管理造成的风险。

  3.IT部门人力资源管理(资质、培训、保密要求等)、岗位设置与职责分工控制不力造成的风险。

  4.IT与业务之间的联系框架与工作机制运行不畅造成信息沟通、协作配合不良风险。会计论文目录

  (二)一般层面的IT风险

  证券公司一般层面的IT风险是指与IT网络、操作系统、数据库、应用系统及IT技术设施等IT基础环境相关的风险,主要表现为以下方面:

  1.信息安全管理政策、物理与逻辑访问控制、用户身份认证,职责分离等控制缺失或不当造成的风险。

  2.由于IT系统变更、参数设置授权与审批,变更测试与移植等控制缺失或不当所造成的风险。

  3.因IT系统开发和采购授权审批,开发、测试与生产环境的隔离,系统测试、审核、移植等工作环节控制缺失或不健全所造成的风险。

  4.由信息技术资产管理、系统容量管理、系统物理环境控制,系统和数据备份及恢复管理,问题管理和系统的日常运

源于:论文标准格式http://www.328tibet.cn

行管理等操作所产生的风险。

  (三)业务流程层面IT风险

  证券公司业务流程层面的IT风险来自于信息系统对业务数据输入、处理、输出的处理过程,主要表现为以下方面:

  1.由于IT系统的数据输入授权、数据完整性与正确性检查以及系统间数据传输等控制缺失或不健全所造成的风险,如关键业务系统用户与权限管理风险(交易系统、清算系统、财务系统等)、重要业务操作授权、检查与复核风险。

  2.由于IT系统对数据处理过程中的控制缺失或不健全所造成的风险。

  3.对IT系统输出信息控制缺失或不健全所造成的风险,如信息存储、传输的安全保密风险。会计毕业设计开题报告

  二、风险评估

  通过风险识别,可以将企业IT风险的全貌进行分类展开并列示,风险评估过程是针对所列示的风险进行量化与排序的过程。如前文所述,我们通常将IT复杂性、控制水平以及可能造成的财务损害3个方面作为评价打分构成项目,并把这种方法称为“综合矩阵法”。

  需要注意的是,IT风险评估是一个持续的过程,伴随业务流程的不断变化、技术的不断进步、威胁随着新弱点的出现不断产生、监管要求不断更新以及审计方法不断改进等因素的影响,证券公司IT风险评估的技术与方法还需在实践中不断总结、探索与改进。会计专业本科毕业论文

  三、审计计划

  国际内部审计师协会(IIA)外部质量评审报告指出,建立一项适当的IT审计计划成为内部审计活动中最重要的环节。不适当的IT审计计划将影响整体审计工作的效果与质量。

  在制订时IT审计计划应该遵循“覆盖最大的风险和可以为组织增加最大价值的领域”原则。审计人员应在风险评估的基础上制订能够实现审计目标的审计计划。

  审计计划内容要素包括:审计范围与目标、审计所涵盖具体内容、审计适用的法规及审计准则、审计的方法与程序、审计的资源配置等方面。

  在制订信息系统审计计划时,还需要注意以下问题:第一,审计资源预算对审计计划具有重要的影响,审计项目负责人要根据人员配置、时间安排、需要重点开展的检查与评价活动,合理匹配审计资源。其次,IT系统作为审计对象时,审计计划中应涵盖对每一风险层面的审查。如:在“ABC公司网上交易系统专项审计”与“ABC公司财务系统专项审计”两个项目中均应对相关信息技术的组织层面、一般层面及业务流程层面的风险进行评估与检查。

  四、检查测试

  实施证券公司信息系统审计的检查与测试过程可以分为一般性检查、符合性测试与实质性测试3个阶段。

  其中符合性测试是对已有的关键控制要点的实际作用进行测试,而实质性测试是对系统处理生成的财务信息、业务信息等处理结果的合法性、真实性、准确性进行直接检查或分析性复核。例如:证券营业部岗位隔离控制中要求交易系统管理员不得具有业务操作的职能。审计中对这种控制措施是否存在和有效执行的检查过程,为符合性测试。经测试,营业部并没有按照要求设置系统管理员权限,说明这种控制实际为无效,存在风险隐患,所以需要进一步在系统交易记录中检查系统管理员是否实施了违反规定的业务操作,

内容回顾-中国内部审计协会2009年1月1日正式发布施行的《内部审计具体准则第28号—信息系统审计》对证券公司信息系统内部审计工作具有重要的指导意义。本文以风险导向型审计的角度,从证券公司信息系统审计实施的问题与难点入手《谈信息系统证券公司信息系统风险导向型审计实务论文格式字体》由会计论文网整理提供,转载请保留地址:http://www.328tibet.cn/26595.html
继续阅读:探究信息化建设以运用促进展加快审计信息化建设怎样写论文