签到
EN

证券基金经营机构信息技术审计项目发现洞察

28浏览
2022/07/26 04:20发布
魏星
中信证券股份有限公司
从业人员
魏星|发布一篇文章——证券基金经营机构信息技术审计项目发现洞察

 

一、信息技术审计监管要求

由于证券基金行业对信息技术的高度依赖,近年来证监会多次发文要求证券基金经营机构强化信息技术管理工作,并加强行业信息技术监管。2018年12月19日,证监会发布【2018】152号令《证券基金经营机构信息技术管理办法》,该办法于2019年6月正式实施;2021年1月15日,证监会发布【2021】179号令《关于修改、废止部分证券期货规章的决定》,并进一步修订了《证券基金经营机构信息技术管理办法》。

信息技术审计主要是参照相关的规范、标准对信息系统的治理、规划、建设、运维和应急活动进行评价,目的是评判公司当前整体信息技术风险管理水平,健全信息技术风险管理组织架构与职责,强化对信息技术重点领域的风险防控能力,从而提升信息技术风险管理水平,支撑并满足业务发展需要。

《证券基金经营机构信息技术管理办法》第十六条对于信息技术审计提出了明确要求:

专项审计

证券基金经营机构应当定期开展信息技术管理工作专项审计,频率不低于每年一次,确保三年内完成信息技术管理全部事项的审计工作,包括但不限于信息技术治理、信息技术合规与风险管理、信息技术安全管理、应急管理。

全面审计

证券基金经营机构应当委托外部专业机构开展信息技术管理工作的全面审计,频率不低于每三年一次;未能有效实施信息技术管理被采取行政处罚措施、监管措施或者自律管理措施的,应当在三个月内完成对有关事项的专项审计。

整改跟踪

证券基金经营机构应当跟踪审计发现问题的整改情况,相关问题未能及时整改的,应当说明理由,并将审计报告提交信息技术治理委员会审议。证券基金经营机构应当妥善保存审计报告,保存期限不得少于二十年。

 

二、信息技术审计主要依据

毕马威针对证券基金行业开展信息技术审计工作时,在确保对标国内监管机构的监管要求之外,还会参考国际国内的信息科技治理框架和行业标准,具体如下:
图片

 

三、信息技术审计范围

根据毕马威对于《证券基金经营机构信息技术管理办法》的解读,以及对于证券基金业信息技术管理重点的理解,证券基金行业信息技术审计范围一般如下:

图片

 

四、常见审计发现

我们从6个审计领域(包括信息技术治理、信息技术合规与风险管理、信息系统安全、数据治理、应急管理、信息技术服务机构)出发,对信息技术审计工作中的常见审计发现进行汇总,涉及40项左右:

审计领域

常见审计发现

信息技术治理

  • 信息技术制度

  • 信息技术治理委员会职能

  • 信息技术治理委员会会议

  • 信息技术高管任职条件

  • 信息技术队伍建设

信息技术合规

与风险管理

  • 信息技术风险监测

  • 信息技术项目内部审查

  • 信息技术专项审计

  • 终端信息采集

信息系统安全

  • 数据脱敏

  • 重大变更上线前评估

  • 压力测试和容量规划

  • 运行监控

  • 漏洞跟进修复

  • 系统变更开发管理

  • 机房设备管理

  • 机房访问管理

  • 与子公司IT服务协议

  • 日志审阅

  • 远程访问和网络监控

  • 终端管理和软件正版化

  • 操作系统、数据库安全配置

数据治理

  • 数据治理组织架构及体系

  • 数据治理分级分类

  • 密码策略

  • 用户访问权限

  • 权限定期检查

  • 客户信息收集

应急管理

  • 业务连续性方案

  • 业务影响分析

  • 应急预案

  • 灾备演练

  • 替代交易方式

  • 备份恢复

  • 灾备中心

  • 事件问题管理

信息技术

服务机构

  • 信息技术服务机构准入及更换

  • 信息技术服务机构监控

  • 信息技术服务机构评价

  • 信息技术服务机构合同条款

 

五、审计发现数据统计

我们挑选了10家证券基金经营机构(含7家基金公司、3家证券公司),其中包括了行业内的头部、中型以及小型公司代表,对审计发现的平均数量进行统计分析。

01

各领域审计发现平均数量统计

在我们挑选的10家证券基金经营机构中,审计发现的平均数量为19条,其中证券公司审计发现的平均数量为13条,基金公司审计发现的平均数量为22条。证券公司的信息技术总体管理水平以及各子领域的管理能力均优于基金公司。

 

图片

02

各项审计发现出现概率统计

在我们挑选的10家证券基金经营机构中,40项常见审计发现的出现概率统计如下,其中不乏一些共性问题。

图片

 

六、常见审计发现分析

我们选择了最具代表性的10条审计发现,逐个对标监管要求,对成因及挑战进行分析,并提出可供证券基金经营机构参考的管理建议。

1. 信息技术制度

图片

2. 信息技术风险监测

图片

3. 信息技术专项审计

图片

4. 数据脱敏

图片

5. 系统开发变更

图片

6. 日志审阅

图片

7. 数据治理分级分类

图片

8. 业务影响分析

图片

9. 灾备中心

图片

10. 信息技术服务机构更换预案

图片

 

七、毕马威三年期信息技术审计方案

毕马威依据《证券基金经营机构信息技术管理办法》对于信息技术审计提出的要求,为证券基金经营机构提供三年期的一揽子信息技术审计方案,同时满足监管对于专项审计和全面审计的要求,另外也能够提升审计效率并达到持续跟踪的效果,为证券基金经营机构信息技术管理水平提升保驾护航。
图片

 

*文章来源毕马威KPMG,侵权必删

 

 

 

学说平台,学说网,金融学说,道口学说,学说经济,五道口学说,清华五道口学说,清华学说,学说平台直播,学说会议直播,学说直播回顾,学说直播预告,学说ABFER直播,学说学者库,学说研讨会直播,学说年会直播,学说论文库,学说学者库

魏星
中信证券股份有限公司
从业人员
文章178
·
总浏览量86445
最新文章
更多
【EI检索】2024年第一届先进能源材料、能源器件与能源系统国际会议(AEMDS 2024)
杜金桐
7
浏览
探索生成式AI产品新纪元,2024 全球产品经理大会重磅来袭!
小助手
3351
浏览
2024全球机器学习技术大会上海站圆满闭幕,共奏AGI变革新时代
杨展
5579
浏览
第七届机械工程与应用复合材料国际会议(MEACM 2024)
李思傲
12
浏览
世界读书日专题 | 新质生产力背后的管理之道
杨展
4498
浏览
【征稿】第七届水与环境可持续发展国际会议(ICSDWE 2024)
李思傲
16
浏览
热门用户
学术前沿速递
学术前沿速递
文章
300
学说观点
学说观点
文章
300
AIGC交流社区
学说官方
文章
240
未央网
未央网
文章
233
毕宣
中央财经大学
文章
185
王凯
T. Rowe Price
文章
181
热门文章
更多
经济学入门必读书籍有哪些值得推荐?
楚健
·
1151
浏览
绿色信贷能否提高商业银行的核心竞争力?基于中国的准自然实验
创新研究
·
762
浏览
研究方法 | 文献资料分析方法大全!收藏
周舟
·
679
浏览
最新综述!AIGC到底是什么?都有哪些应用?一文尽览!
AIGC交流社区
·
669
浏览
如果经济学家连股都不炒,那他们都在干什么呢?
李博
·
662
浏览
数电票的26个问题,税局统一回复!
张俊熙
·
645
浏览
“特斯拉”打败了“星巴克”
张子瑞
·
639
浏览
会议预告|清华五道口绿色金融讲座第一期,邀您探讨“碳达峰碳中和——中国发展转型的机遇和挑战”
学术会议动态
·
3311
浏览
文献资料分析方法大全,建议收藏!
楚健
·
554
浏览
研究方法:文献资料分析方法
周舟
·
550
浏览