基于COBIT视角的证券公司信息系统审计研究——以T证券信息系统审计为例

本文针对 T 证券公司信息系统存在的问题，本文对 T 证券公司以及其他证券企业提出如下建议：（1）提升 IT 治理水平。证券公司要在信息系统风险管理、资源优化、效益实现方面得到加强；（2）完善 IT 管理制度、流程。在制度流程的制定中要注意完备性，有效性以及合规性。使 IT 管理有规可依；（3）加强 IT 合规管理。合规作为证券公司生存的基础，要注重公司合规文化的建设，合规制度的建设，以及做好监督；（4）加强 IT 安全管理。IT 安全作为信息系统能够连续、可靠、正常的运行的基石，要做好规则建设，以及投入相应的人力物力资源，使之与证券公司的信息化水平匹配；（5）强化 IT 监督。IT 监督要做到全方位全流程覆盖，以及责任的落实和问题的后续跟进；

1 引言

1.1 研究背景
随着信息技术的突飞猛进，证券行业的信息化程度不断提高，其已经成为最依赖信息系统运行其关键业务的行业之一。这些信息系统的应用提高了证券公司处理各项业务的效率，也给证券公司的客户带来了便捷，在证券公司的发展中占据着极为关键的位置。应对证券公司运营过程中错综复杂的业务模式，适应外部市场激烈的竞争形势，安全高效的使用信息化技术显得尤为重要。因此，信息系统己经成为证券公司支撑其业务运转、实现其业务目标的关键保障，同时也成为其在客户服务以及业务创新方面的一项核心竞争力。目前，证券公司在各种业务处理中，已经基本实现了信息系统的全面覆盖。在信息系统建设方面，国内证券公司已经拥有了包括核心交易系统、法人清算系统、风险监控系统、融资融券系统、资产管理系统、转融通系统、个股期权系统等信息系统。在 2018 年，我国证券业信息化投资约为 104.6 亿元。可以说证券业的发展已经离不开各种各样的信息系统，并且随着信息技术的不断发展与升级，其对信息系统的依赖程度将越来越高。
但信息系统的应用也是一把双刃剑，信息系统在给证券公司带来各种各样的竞争优势和经济效益的同时，也带来了各种各样与信息系统有关的风险。如果信息系统发生各类技术故障或数据泄露，就会给企业造成非常严重的损失。因信息系统故障引起的事件时常见诸报端，成为大家关注的焦点，如 2013 年 8 月 16 日光大证券在 180ETF 上的下单错误、2015 年 5 月 29 日招商证券集中交易系统于当日上午 10 点 05 分全部中断，影响交易时间超过 30 分钟，对其客户财产交易以及金融行业稳定运行都有很大影响。类似例子还有很多，由于证券公司业务的特殊性，一旦出现信息系统故障或数据泄露，由此造成经济损失和社会影响难以估量，其危害性也就更大。
因此，为了更有效地控制证券公司的信息系统发生故障和数据泄露风险，我们有必要对其进行信息系统审计，因为其可以精确的反映出证券公司的信息系统能否平稳安全的运行。根据审计过程中所发现的相关问题，提出相应的优化方案，保证公司信息的可靠性、内部基本设施安全性、内部控制相关制度的规范性，从而降低风险。为了更有效的对证券公司进行审计，需要一个审计标准作为信息系统审计的依据和准绳，目前国际上最受认可的信息系统审计标准是信息系统审计与控制协会(ISACA)公布的 COBIT(Control Objectives for Information and relatedTechnology)框架，其将企业 IT 目标和业务目标紧密的结合，目前该标准也是国际上公认的最先进、最权威的安全与信息技术管理和控制标准。所以本文将采用这个标准作为证券公司信息系统审计的标准。
................................

1.2 研究思路与研究方法
（1） 研究思路
首先，对相关文献进行回顾并阐述理论基础。通过对以往研究进行阅读和分析发现，目前的研究主要针对信息系统审计规范与审计方法，较少有具体针对证券公司信息系统审计项目的案例研究。其次，以 T 证券公司信息系统审计项目作为案例研究对象，通过结合 COBIT 框架来进行案例分析，得出在证券公司信息系统审计中需要重点关注的问题。最后，针对审计过程中发现的问题，提出相应的对策，从而帮助证券公司识别出潜在的信息系统风险，并有效控制信息系统发生故障和数据泄露的可能性，确保证券公司信息系统安全平稳的运行。
（2） 研究方法
文献研究法。通过对与本文研究课题相关文献的梳理，形成本文基础的分析思路，并在总结前人研究的基础上发现可继续深入研究的方向。
案例研究法。选取案例企业，在 COBIT 的视角下，研究以 T 证券公司为代表的证券公司在信息系统治理和管理方面存在的问题，最后就证券企业如何改进信息系统治理和管理提出建议。

.......................

2 文献回顾

2.1 信息系统审计含义
对于信息系统审计的定义，有很多不同的观点。其中，日本通产省 1985 年认为，信息系统审计是由独立于审计对象的信息系统审计师站在客观的立场上，对以计算机为核心的信息系统进行综合的检查、评价，向有关人员提出问题与劝告，追求系统的有效利用与故障排除，使系统更加健全。在 1996 年，日本通产省对 IT审计准则进行了修订，提出信息系统审计是为了信息系统的安全、可靠与有效，由独立于审计对象的 IT 审计师，以第三方的客观立场对以计算机为核心的信息系统进行综合的检查和评价，向 IT 审计对象的最高领导提出问题与建议的一连串的活动。美国信息系统审计协会的 Ron Weber （1999）将信息系统审计定义为，“收集并评估证据，以判断一个计算机系统（信息系统）是否有效做到保护资产、维护数据完整、完成组织目标，同时最经济地使用资源”。这也是流传最为广泛的定义。我国信息系统审计发展相对较晚，张金城与黄作明（2009）将其定义为“信息系统审计是一个通过收集和评价审计证据，对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程”。在我国审计署信息系统审计指南和内部审计协会的信息系统审计准则提出了，信息系统审计是通过检查和评价被审计单位信息系统的各类目标是否达成，揭示信息系统存在的问题，提出完善信息系统控制的审计意见和建议，促进被审计单位信息系统实现组织目标。本文所基于也是这个定义。
............................

2.2 信息系统审计框架
就信息系统审计框架研究而言，因为 COBIT 作为目前国际上公认的最先进、最权威的安全与信息技术管理和控制的标准（陈婉玲与袁若宾，2006；王会金和刘国城，2009；张文秀，2012），所以大多数学者都认为应选用 COBIT 作为信息系统审计框架。其中，陈婉玲与袁若宾（2006）指出，COBIT 不仅可帮助审计师确定每一 IT 流程的具体审计目标，而且其还能为审计师执行审计程序提供参考。Tuttle，Vandervelde(2007)通过分析 12 名 IT 审计人员 IT 过程重要程度的评价，并对 COBIT 所反映的 IT 过程的风险程度进行计算。通过构建模型证实 COBIT 在内部控制和信息系统审计方面确实有效。此外，COBIT 也提供了“关键目标指标”与“关键绩效指标”两种指标体系，可以为审计人员评价被审信息系统的营运效率与盈利绩效提供评价依据（王会金，2012）。Ruben Pereira (2018)则比较了 ITIL、COBIT 和 CMMI-SVC 三个框架在交通保险公司信息系统内部控制及审计工作中的使用情况，指出 COBIT 框架仍是现阶段信息系统内部控制和审计方面最全面和最有效的框架。故本文采用 COBIT 框架对 T 证券公司进行审计。

.............................

3 理论基础 ........................................... 8
3.1 委托代理理论 ............................... 8
3.2 COBIT 框架 ................................. 8
4 案例概况 ...................................... 11
4.1 证券公司信息系统发展现状 ........................... 11
4.1.1 证券公司信息化情况 ........................... 11
4.1.2 证券行业信息系统规范发展 ...................... 14
5 T 证券公司信息系统审计 ............................. 22
5.1 审计实施 ..................................... 22
5.2 关键过程域及层级分析 ................................... 22

6 证券公司信息系统改进建议

6.1 提升 IT 治理水平
IT 治理旨在通过平衡信息技术风险、资源和效益，使 IT 价值最大化，从而实现公司目标。通过上面的分析可以得出，T 证券公司在风险管理、资源优化、效益实现方面还有待加强。
如前所述，信息技术不正确的运用，对公司带来的负面影响难以估量，因此，信息技术风险管理的重要性不言而喻。对于证券公司来说，信息技术风险中最重要的便是信息安全风险、供应商风险、数据安全风险、业务连续性风险以及信息技术合规风险。企业建立 IT 风险治理体系（包括风险管理目标、管理范围、管理原则、风险偏好和风险文化等）和 IT 风险评估体系（包括风险识别、风险评估、风险应对和风险报告等）。此外，还应加强信息技术风险隐患排查与治理。公司制定网络与信息安全事件应急预案，定期开展评估与演练，不断丰富事件应急场景，完善应急预案。
其次，确保有适当的能力来执行战略计划并提供充足、适当、有效的资源。资源优化可确保企业提供经济高效的综合 IT 基础设施，根据业务需求引入新技术，以及更新或替换过时的系统。除了硬件和软件之外，它还重视人员的重要性，因此，它很注重提供培训、提高保留率以及确保关键 IT 人员的能力。数据和信息是一项重要的资源，利用数据和信息来获取最佳价值是资源优化的另一个关键要素。
...........................

7 结论与不足

7.1 研究结论
随着信息技术的突飞猛进，各种信息系统在各个行业的应用程度不断增加，而证券行业主动适应信息技术创新驱动发展的要求，持续推动信息系统的开发和应用。这些信息系统的使用提高了证券公司处理各项业务的效率，并在证券公司的发展中占据着显著的位置。但如果不能利用好信息系统或控制出现漏洞，就会给企业带来非常严重的损失。同时，信息系统审计便能精准反映出证券公司的信息系统运营是否能够安全高效的运行，全面、系统地梳理出信息系统治理和管理中出现的突出问题。
本文立足于 COBIT2019 框架，通过对 T 证券公司信息系统审计结果的分析，得出其在信息系统治理和管理方面主要存在以下问题：（1）IT 治理能力薄弱。T证券公司存在的主要问题是制度缺失、缺少完整风险治理体系。（2）IT 管理制度流程不够完善。缺乏对设备上线，系统监控，变更管理相应的流程制度。（3）风险评估工具不够完善。缺乏风险评估体系和风险应对策略。（4）IT 监督不到位。T证券公司很多业务流程没有复核机制。
针对 T 证券公司信息系统存在的问题，本文对 T 证券公司以及其他证券企业提出如下建议：（1）提升 IT 治理水平。证券公司要在信息系统风险管理、资源优化、效益实现方面得到加强；（2）完善 IT 管理制度、流程。在制度流程的制定中要注意完备性，有效性以及合规性。使 IT 管理有规可依；（3）加强 IT 合规管理。合规作为证券公司生存的基础，要注重公司合规文化的建设，合规制度的建设，以及做好监督；（4）加强 IT 安全管理。IT 安全作为信息系统能够连续、可靠、正常的运行的基石，要做好规则建设，以及投入相应的人力物力资源，使之与证券公司的信息化水平匹配；（5）强化 IT 监督。IT 监督要做到全方位全流程覆盖，以及责任的落实和问题的后续跟进；
参考文献（略）