证券公司内部审计信息化发展现状及趋势
2014-07-19焦学文
焦学文
一、引言
随着证券行业信息化的快速发展,作为证券企业治理和风险管理重要组成部分的内部审计,面对数字化、信息化遍及的审计环境,不加快内部审计信息化建设的步伐,将难以胜任证券公司内部审计职责,难于发挥其在组织治理、风险管理、内部控制等方面的应有作用。因此,充分认识证券公司内部审计信息化发展趋势,加快证券公司内部审计信息化建设步伐,对推进证券公司内部审计工作进一步发展,具有十分重要的现实意义。
二、证券公司信息化情况简介
证券行业是我国信息技术利用最充分的行业之一,1998年以来,证监会、证券业协会出台了一系列刚性技术指导文件,如1998年发布了《证券经营机构营业部信息系统技术管理规范(试行)》、2000年3月发布了《网上证券委托暂行管理办法》、2005年4月发布了《证券期货业信息安全保障管理暂行办法》、2006年8月发布了《证券公司集中交易安全管理技术指引》、2008年9月发布了《证券期货经营机构信息技术治理工作指引》等等。这块纲领性文件的颁布,推动证券行业实现了由“电子化”向“信息化”转变。尤其是当前,在以云计算为代表不断发展的信息技术和经济全球化的推动下,金融服务与创新成为现代社会经济的核心,证券业信息化建设实现了跨越式发展,证券行业构建了证券交易系统、办公自动化系统、客户关系管理系统、数据仓库、电子商务系统、总部综合管理系统、财务管理系统等众多的IT系统,实现了发行、交易、清算以及管理、决策和风险控制的信息化和智能化。根据有效A股账户数的粗略统计,2010年A股账户的网上交易户数比例已经达到53.22%,国内的2 652家证券营业部均已不同程度地建立起营业部的内部局域网,实现了资源共享、电子邮件、网络打印及财务结算等办公事务的初步自动化,证券公司中ERP的使用率达到10%,CRM的使用率为5%。数据传输网络化、业务电子商务化、管理电子化、服务数字化已成为证券行业信息的主要特征。
三、证券行业内部审计信息化发展现状
1.内部审计信息化滞后于公司IT治理战略规划。
根据《证券期货经营机构信息技术治理工作指引(试行)》,证券行业各公司均研究制定了符合本公司发展的信息技术战略规划,从战略方向和行动计划两方面,制定了信息技术战略和信息技术行动计划。对信息技术战略如使命、远景目标、中长期目标、策略路线与原则等,信息技术行动计划如信息化项目进程、项目描述和投资收益分析、信息化实施保障措施与资源开发计划等均有清晰明确的规划。但内部审计信息化在其中占有份量却较轻,甚至出现了一定程度的忽略,主要表现在:一是存在内部审计的“信息孤岛”现象,在证券公司整体信息化战略规划中,较少考虑内部审计的需求,各业务系统间的数据“各自为政”,数据资源长期缺乏统筹管理、数据条块分离、信息统计口径不一致,部分业务板块信息对审计来说,还处于封闭状态,无法满足内部审计工作的特定需求,从而导致资源共享程度明显降低,在一定程度上影响到内部审计工作中信息技术的使用效果。二是内部审计信息系统建设的滞后,内部审计信息化只能服从于现有的业务系统架构和流程,在信息化推进过程中,只能通过利用业务系统直接查询数据、嵌入式审计模块、通用审计软件等方式实现,但却受到物资成本和人员培训成本十分高昂的制约。
2.内部审计信息化目前尚缺乏必要的标准和规范。当前证券行业内部审计信息化所参考的标准,主要有国家审计署所颁布的《信息系统审计指南——计算机审计实务公告第34号》,ISACA信息系统审计准则体系。而内审协会至今未出台适合内部审计信息化,紧扣当今信息技术发展,且指导性和操作性强的相关准则和指南,在一定程度上制约了内部审计信息化的进一步推进。
3.内部审计信息化方面管理层重视程度和投入给力不足。首先,从当前证券行业内部审计信息化推进情况来看,虽然绝大多数内部审计组织积极争取“信息化”,但在实际前行中总碰到来自各方的阻力,困难重重,突出表现在公司管理层形成统一认识,对内部审计信息化建设往往重视喊在口上,支持写在纸上,却不落实在具体行动上。相比业务信息投入而言,审计信息化投入就是“短腿”,审计信息建设经费投入打折扣,在硬件设备的配置中更多侧重于PC终端的配备,在软件设备的配置方面主要借助流行的办公软件,且内部审计工作必需的支持数据库未构建,内部审计管理系统运营环境得不到应有的保障。
4.信息技术在内部审计工作的应用层级较低。当前大多数证券公司内部审计机构计算机信息技术的应用一直在低水平徘徊,普遍存在应用不广泛、运用水平差、使用效率低、资源共享不高等问题,有些甚至还停留在“小作坊”、“小儿科”上。在内部审计管理工作方面的应用仅仅停留在简单的文书运转、网络浏览、检索资料等阶段,运用计算机信息技术对审计信息资源进行归集、整理、分析,为审计决策、审计实施提供强有力信息支撑的功能作用没有得到很好的发挥;在业务工作方面的应用也仅仅停留在数据转换、计算分析、查询汇总等低水平上,停留在EXCEL、ACCESS等常用软件的基本应用阶段,在把计算机信息技术全方位运用于内部审计实务工作、加强全面审计质量控制,运用计算机信息技术创新内部审计技术方法、研制实用审计工具、探索信息系统审计等方面基本上没有涉足。
5.精通信息技术和审计业务的复合型人才匮乏。审计信息化是一项科技与业务的融合工程,其人员既要精通相关的计算机信息技术,又要熟知必要的审计、财务、金融、法律等业务知识,如信息系统审计要求审计人员不仅要通晓信息系统的软件、硬件、开发、运营、维护、管理,而且还必须能够利用规范和先进的审计技术,对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。而现实情况是,在信息化技术飞速发展的当今,内部审计人员素质与现实需求差距较大,真正具有较高计算机应用水平的人员并不多,既精通计算机应用又熟悉审计业务的复合型人才则更少。人才问题始终是制约计算机信息技术在内部审计工作中应用的核心问题:一是由于内部审计机构为后台管理部门,员工的待遇偏低,高水平的专业技术人才引不进来。二是内部审计机构现有的骨干人员以点带面的整体作用发挥不够。三是现有内部审计人员固守传统的观念和定性的习惯,信息化意识不强;并且受知识结构和年龄结构限制,在审计实务中对复杂点的数据采集整理、数据结构分析、程序代码复核等应用无从下手,往往绕过计算机而进行手工操作或仅仅运用计算机进行文字处理。四是未建立有效的内部审计信息化人才激励机制。
6.内部审计信息化推进过程中面临着新的审计风险。由于证券行业的相关业务信息绝大部分业务数据的机密性,在内部审计信息化推进过程中,由于内部审计人员信息安全技术掌握程度不同、使用不成熟的审计软件、未安全采集和存储数据等原因,均可能造成业务数据泄露;与此同时,证券业信息系统本身亦存在信息管理人员的道德水平低、信息系统的设计完善程度不够、网络黑客(病毒)的入侵等因素,这些都将给内部审计带来新的风险。
四、证券行业内部审计信息化发展趋势及对策
近年来,随着金融创新的不断推进,证券公司出现了差异化创新、特色化经营、开放、多元的行业生态,经营模式正逐步向“大财富管理”和“大资产管理”转型,证券交易系统、门户网站、行政办公系统、客户关系管理系统、数据仓库、电子商务管理系统、总部综合管理系统、财务管理系统等的持续构建和完善。引领着证券行业内部审计信息化发展:
一是内部审计信息化与证券公司ERP系统的高度协同。随着各证券公司核心交易系统、电子商务系统、OA办公系统、客户关系管理系统等高度协同、高度智能化,为实现内部审计工作识别组织风险或评价公司经营战略、优化组织运营为目标,对公司经营管理和风险控制进行独立、客观确认和咨询的内部审计工作,必将处于证券公司战略管理的核心地位,并与所有信息化系统密切相关。而对其提供信息技术支持的审计管理系统、联网审计业务系统、现场审计实施系统等信息系统也必须与证券公司的ERP系统进行高度的协同,才能实现对证券业务数据的采集、分析和实时监控功能,才能真正实现内部审计工作促进公司优化企业信息管理,增强企业的核心竞争能力的功效。
二是以信息系统审计为代表的IT审计将成为证券行业内部审计工作的重要职责。随着数据库技术、网络技术、存储技术的发展,证券行业各核心的业务管理系统呈数据大集中趋势,为了更好地治理和控制风险,必须将其内控机制扩展到信息处理系统的各个方面,甚至存在业务数据互通合作其他金融机构等。在对于经营管理的合规性、交易处理的完整性、数据的安全性等,需要内部审计机构对其进行必要的评估和评价,对其所产生信息的真实、合法性作出确认,以判断信息系统是否能够保证资产安全、数据完整及有效利用组织资源并实现组织目标。为此,证券行业监管机构先后出台相关法规提出IT审计要求,如《证券期货业信息安全保障管理办法》(证监会82号令)要求,“核心机构和经营机构应当建立信息安全内部审计制度,定期开展内部审计,对发现的问题进行整改”;《证券期货经营机构信息技术治理工作指引》亦提出“公司应建立内部IT 审计制度,至少每两年进行一次IT 审计”。由此可断言,以评价证券公司信息系统的安全、可靠、稳定、有效、可信的IT审计必将成为证券行业内部审计机构的重要职责之一。
三是高效的数据迁移和数据审计技术将广泛应用于内部审计工作实践。内部审计工作的信息化实际就是在内部审计工作中,充分运用计算机信息技术,实现数据的采集、模型监测、特征数据的提取、审计流程的控制以及审计项目管理等。从信息技术在内部审计工作之中实际应用来看,数据采集是基础,审计分析评价模型体系以及审计方法库的构建是核心,有效的审计信息化运作流程是手段。而数据采集的根本就是将证券公司各业务系统中的数据,高效、完整、安全地迁移至审计业务系统,并为审计业务系统所识别、使用;因此,成熟高效的数据迁移技术在内部审计工作中的应用成为必然。并且,伴随之以系统内部控制测评为基础,通过对电子数据的收集、转换、整理、分析和验证,以判断一个计算机系统是否有效做到保护资产、维护数据完整、完成组织目标的数据审计模式,也将成为内部审计目标的有效实现方式。
四是联网审计与远程审计将在证券行业内部审计实践中常态化。如前所述,随着证券行业创新业务的层出不穷,诸如融资融券、新三板、直投、约定式回购等业务的相继推出,要求内部审计机构切实提升审计的实时风险监控能力,要求审计对风险的防控从“事后监督”向“事前防御”和“事中监控”转移;而同时数据库技术、网络技术、存储技术等信息技术高度集中的证券行业,各项业务处理呈现了扁平化态势,证券公司诸多业务系统如CRM系统、财务系统、柜台系统、投资管理系统等集成运行,形成了集客户基本资料、交易信息等业务数据和财务数据在计算机网络系统高度集成的数据平台。从而为一种全新的非现场审计模式——远程审计创造了条件、奠定了基础,内部审计机构通过采集证券公司柜台系统、财务系统、合规监控系统以及对各营业部历年审计的历史数据等信息,借助公司内部网络查询、筛选、记录、分析等信息技术平台,实施非现场的远程审计活动;将大大加快审计速度,提高审计效率,推动审计方法和审计流程创新,提升审计信息化观念。并在此基础上,进一步将审计方法体系等建成数据模型,构建以在线审计和实时审计为特征的集约型审计,即联网审计,建立预警机制,进而实现审计关口前移,推动内部审计工作实现“三个转变”。
五是物联网及云计算等信息新技术将推动内部审计信息化新发展。据相关资料介绍,物联网就是“物物相连的智能互联网”,其通过射频识别(RFID)、红外感应器、全球定位系统、激光扫描器等信息传感设备,按约定的协议把任何物品与互联网连接起来,进行信息交换和通讯,以实现智能化识别、定位、跟踪、监控和管理的一种网络。云计算(cloud computing)是基于互联网的相关服务的增加、使用和交付模式,通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源;广义云计算指服务的交付和使用模式,指通过网络以按需、易扩展的方式获得所需服务,这种服务可以是IT和软件、互联网相关,也可是其他服务;云计算意味着计算能力也可作为一种商品通过互联网进行流通。有人形象地比喻:云计算是互联网中的神经系统的雏形,物联网是互联网正在出现的末梢神经系统的萌芽。随着云计算、物联网等信息新技术的广泛应用,作为金融机构的证券行业,在自主创新、市场多元化的进程里,云计算模式将成为其信息化整合的“关键武器”,如云计算、物联网等信息技术的应用使证券行业的行情、交易、信息发布、客户管理、股票池、投资者教育、研报服务等业务集中到统一的平台成为现实。在物联网、云计算推动证券行业金融服务模式颠覆性的创新过程中,承担着防范内部风险、改善经营管理、提高组织效益的内部审计工作,必须紧跟业务创新的步伐,运用物业网和云计算等信息技术实现审计创新,如建设云审计平台、利用云存储实现数据迁移、运用物联网和云计算技术进行数据管理等。
面对计算机信息技术如此迅猛的发展和证券行业金融服务业务创新的态势,内部审计机构和人员必须增强危机意识,进一步清醒认识,更新观念,全力推进内部审计技术创新和管理创新。一要树立信息化观念,充分认识计算机信息技术对推动内部审计工作新发展的实际意义。要从关系内部审计事业发展的高度来认识计算机信息技术在内部审计工作中应用的实际意义,切实转变思想、更新观念,下大力气把计算机信息技术在内部审计工作应用推向一个新的发展阶段。二要推动有关机构颁发内部审计信息化相关的规章制度,研究制定与内部审计信息化有关的准则和实务指南,为计算机信息技术推广在内部审计工作之中的应用创造良好的环境。三要创新计算机信息技术推广应用考核办法,建立激励机制,为计算机信息技术在内部审计工作中应用创造一个充满竞争与激励的内部环境。四要进一步加大计算机信息技术培训力度,提高内部审计人员整体信息化素质。要围绕“培训什么?拿什么培训?怎样培训?”等核心问题,创造条件培养既精通审计业务,又掌握信息技术的高级人才。
(作者单位:中航证券有限公司)