證券公司內部審計信息化發展現狀及趨勢

焦學文

一、引言

隨著證券行業信息化的快速發展，作為證券企業治理和風險管理重要組成部分的內部審計，面對數字化、信息化遍及的審計環境，不加快內部審計信息化建設的步伐，將難以勝任證券公司內部審計職責，難于發揮其在組織治理、風險管理、內部控制等方面的應有作用。因此，充分認識證券公司內部審計信息化發展趨勢，加快證券公司內部審計信息化建設步伐，對推進證券公司內部審計工作進一步發展，具有十分重要的現實意義。

二、證券公司信息化情況簡介

證券行業是我國信息技術利用最充分的行業之一，1998年以來，證監會、證券業協會出臺了一系列剛性技術指導文件，如1998年發布了《證券經營機構營業部信息系統技術管理規范（試行）》、2000年3月發布了《網上證券委托暫行管理辦法》、2005年4月發布了《證券期貨業信息安全保障管理暫行辦法》、2006年8月發布了《證券公司集中交易安全管理技術指引》、2008年9月發布了《證券期貨經營機構信息技術治理工作指引》等等。這塊綱領性文件的頒布，推動證券行業實現了由“電子化”向“信息化”轉變。尤其是當前，在以云計算為代表不斷發展的信息技術和經濟全球化的推動下，金融服務與創新成為現代社會經濟的核心，證券業信息化建設實現了跨越式發展，證券行業構建了證券交易系統、辦公自動化系統、客戶關系管理系統、數據倉庫、電子商務系統、總部綜合管理系統、財務管理系統等眾多的IT系統，實現了發行、交易、清算以及管理、決策和風險控制的信息化和智能化。根據有效A股賬戶數的粗略統計，2010年A股賬戶的網上交易戶數比例已經達到53.22%，國內的2 652家證券營業部均已不同程度地建立起營業部的內部局域網，實現了資源共享、電子郵件、網絡打印及財務結算等辦公事務的初步自動化，證券公司中ERP的使用率達到10%，CRM的使用率為5%。數據傳輸網絡化、業務電子商務化、管理電子化、服務數字化已成為證券行業信息的主要特征。

三、證券行業內部審計信息化發展現狀

1.內部審計信息化滯后于公司IT治理戰略規劃。

根據《證券期貨經營機構信息技術治理工作指引（試行）》，證券行業各公司均研究制定了符合本公司發展的信息技術戰略規劃，從戰略方向和行動計劃兩方面，制定了信息技術戰略和信息技術行動計劃。對信息技術戰略如使命、遠景目標、中長期目標、策略路線與原則等，信息技術行動計劃如信息化項目進程、項目描述和投資收益分析、信息化實施保障措施與資源開發計劃等均有清晰明確的規劃。但內部審計信息化在其中占有份量卻較輕，甚至出現了一定程度的忽略，主要表現在：一是存在內部審計的“信息孤島”現象，在證券公司整體信息化戰略規劃中，較少考慮內部審計的需求，各業務系統間的數據“各自為政”，數據資源長期缺乏統籌管理、數據條塊分離、信息統計口徑不一致，部分業務板塊信息對審計來說，還處于封閉狀態，無法滿足內部審計工作的特定需求，從而導致資源共享程度明顯降低，在一定程度上影響到內部審計工作中信息技術的使用效果。二是內部審計信息系統建設的滯后，內部審計信息化只能服從于現有的業務系統架構和流程，在信息化推進過程中，只能通過利用業務系統直接查詢數據、嵌入式審計模塊、通用審計軟件等方式實現，但卻受到物資成本和人員培訓成本十分高昂的制約。

2.內部審計信息化目前尚缺乏必要的標準和規范。當前證券行業內部審計信息化所參考的標準，主要有國家審計署所頒布的《信息系統審計指南——計算機審計實務公告第34號》，ISACA信息系統審計準則體系。而內審協會至今未出臺適合內部審計信息化，緊扣當今信息技術發展，且指導性和操作性強的相關準則和指南，在一定程度上制約了內部審計信息化的進一步推進。

3.內部審計信息化方面管理層重視程度和投入給力不足。首先，從當前證券行業內部審計信息化推進情況來看，雖然絕大多數內部審計組織積極爭取“信息化”，但在實際前行中總碰到來自各方的阻力，困難重重，突出表現在公司管理層形成統一認識，對內部審計信息化建設往往重視喊在口上，支持寫在紙上，卻不落實在具體行動上。相比業務信息投入而言，審計信息化投入就是“短腿”，審計信息建設經費投入打折扣，在硬件設備的配置中更多側重于PC終端的配備，在軟件設備的配置方面主要借助流行的辦公軟件，且內部審計工作必需的支持數據庫未構建，內部審計管理系統運營環境得不到應有的保障。

4.信息技術在內部審計工作的應用層級較低。當前大多數證券公司內部審計機構計算機信息技術的應用一直在低水平徘徊，普遍存在應用不廣泛、運用水平差、使用效率低、資源共享不高等問題，有些甚至還停留在“小作坊”、“小兒科”上。在內部審計管理工作方面的應用僅僅停留在簡單的文書運轉、網絡瀏覽、檢索資料等階段，運用計算機信息技術對審計信息資源進行歸集、整理、分析，為審計決策、審計實施提供強有力信息支撐的功能作用沒有得到很好的發揮；在業務工作方面的應用也僅僅停留在數據轉換、計算分析、查詢匯總等低水平上，停留在EXCEL、ACCESS等常用軟件的基本應用階段，在把計算機信息技術全方位運用于內部審計實務工作、加強全面審計質量控制，運用計算機信息技術創新內部審計技術方法、研制實用審計工具、探索信息系統審計等方面基本上沒有涉足。

5.精通信息技術和審計業務的復合型人才匱乏。審計信息化是一項科技與業務的融合工程，其人員既要精通相關的計算機信息技術，又要熟知必要的審計、財務、金融、法律等業務知識，如信息系統審計要求審計人員不僅要通曉信息系統的軟件、硬件、開發、運營、維護、管理，而且還必須能夠利用規范和先進的審計技術，對信息系統的安全性、穩定性和有效性進行審計、檢查、評價和改造。而現實情況是，在信息化技術飛速發展的當今，內部審計人員素質與現實需求差距較大，真正具有較高計算機應用水平的人員并不多，既精通計算機應用又熟悉審計業務的復合型人才則更少。人才問題始終是制約計算機信息技術在內部審計工作中應用的核心問題：一是由于內部審計機構為后臺管理部門，員工的待遇偏低，高水平的專業技術人才引不進來。二是內部審計機構現有的骨干人員以點帶面的整體作用發揮不夠。三是現有內部審計人員固守傳統的觀念和定性的習慣，信息化意識不強；并且受知識結構和年齡結構限制，在審計實務中對復雜點的數據采集整理、數據結構分析、程序代碼復核等應用無從下手，往往繞過計算機而進行手工操作或僅僅運用計算機進行文字處理。四是未建立有效的內部審計信息化人才激勵機制。

6.內部審計信息化推進過程中面臨著新的審計風險。由于證券行業的相關業務信息絕大部分業務數據的機密性，在內部審計信息化推進過程中，由于內部審計人員信息安全技術掌握程度不同、使用不成熟的審計軟件、未安全采集和存儲數據等原因，均可能造成業務數據泄露；與此同時，證券業信息系統本身亦存在信息管理人員的道德水平低、信息系統的設計完善程度不夠、網絡黑客（病毒）的入侵等因素，這些都將給內部審計帶來新的風險。

四、證券行業內部審計信息化發展趨勢及對策

近年來，隨著金融創新的不斷推進，證券公司出現了差異化創新、特色化經營、開放、多元的行業生態，經營模式正逐步向“大財富管理”和“大資產管理”轉型，證券交易系統、門戶網站、行政辦公系統、客戶關系管理系統、數據倉庫、電子商務管理系統、總部綜合管理系統、財務管理系統等的持續構建和完善。引領著證券行業內部審計信息化發展：

一是內部審計信息化與證券公司ERP系統的高度協同。隨著各證券公司核心交易系統、電子商務系統、OA辦公系統、客戶關系管理系統等高度協同、高度智能化，為實現內部審計工作識別組織風險或評價公司經營戰略、優化組織運營為目標，對公司經營管理和風險控制進行獨立、客觀確認和咨詢的內部審計工作，必將處于證券公司戰略管理的核心地位，并與所有信息化系統密切相關。而對其提供信息技術支持的審計管理系統、聯網審計業務系統、現場審計實施系統等信息系統也必須與證券公司的ERP系統進行高度的協同，才能實現對證券業務數據的采集、分析和實時監控功能，才能真正實現內部審計工作促進公司優化企業信息管理，增強企業的核心競爭能力的功效。

二是以信息系統審計為代表的IT審計將成為證券行業內部審計工作的重要職責。隨著數據庫技術、網絡技術、存儲技術的發展，證券行業各核心的業務管理系統呈數據大集中趨勢，為了更好地治理和控制風險，必須將其內控機制擴展到信息處理系統的各個方面，甚至存在業務數據互通合作其他金融機構等。在對于經營管理的合規性、交易處理的完整性、數據的安全性等，需要內部審計機構對其進行必要的評估和評價，對其所產生信息的真實、合法性作出確認，以判斷信息系統是否能夠保證資產安全、數據完整及有效利用組織資源并實現組織目標。為此，證券行業監管機構先后出臺相關法規提出IT審計要求，如《證券期貨業信息安全保障管理辦法》（證監會82號令）要求，“核心機構和經營機構應當建立信息安全內部審計制度，定期開展內部審計，對發現的問題進行整改”；《證券期貨經營機構信息技術治理工作指引》亦提出“公司應建立內部IT 審計制度，至少每兩年進行一次IT 審計”。由此可斷言，以評價證券公司信息系統的安全、可靠、穩定、有效、可信的IT審計必將成為證券行業內部審計機構的重要職責之一。

三是高效的數據遷移和數據審計技術將廣泛應用于內部審計工作實踐。內部審計工作的信息化實際就是在內部審計工作中，充分運用計算機信息技術，實現數據的采集、模型監測、特征數據的提取、審計流程的控制以及審計項目管理等。從信息技術在內部審計工作之中實際應用來看，數據采集是基礎，審計分析評價模型體系以及審計方法庫的構建是核心，有效的審計信息化運作流程是手段。而數據采集的根本就是將證券公司各業務系統中的數據，高效、完整、安全地遷移至審計業務系統，并為審計業務系統所識別、使用；因此，成熟高效的數據遷移技術在內部審計工作中的應用成為必然。并且，伴隨之以系統內部控制測評為基礎，通過對電子數據的收集、轉換、整理、分析和驗證，以判斷一個計算機系統是否有效做到保護資產、維護數據完整、完成組織目標的數據審計模式，也將成為內部審計目標的有效實現方式。

四是聯網審計與遠程審計將在證券行業內部審計實踐中常態化。如前所述，隨著證券行業創新業務的層出不窮，諸如融資融券、新三板、直投、約定式回購等業務的相繼推出，要求內部審計機構切實提升審計的實時風險監控能力，要求審計對風險的防控從“事后監督”向“事前防御”和“事中監控”轉移；而同時數據庫技術、網絡技術、存儲技術等信息技術高度集中的證券行業，各項業務處理呈現了扁平化態勢，證券公司諸多業務系統如CRM系統、財務系統、柜臺系統、投資管理系統等集成運行，形成了集客戶基本資料、交易信息等業務數據和財務數據在計算機網絡系統高度集成的數據平臺。從而為一種全新的非現場審計模式——遠程審計創造了條件、奠定了基礎，內部審計機構通過采集證券公司柜臺系統、財務系統、合規監控系統以及對各營業部歷年審計的歷史數據等信息，借助公司內部網絡查詢、篩選、記錄、分析等信息技術平臺，實施非現場的遠程審計活動；將大大加快審計速度，提高審計效率，推動審計方法和審計流程創新，提升審計信息化觀念。并在此基礎上，進一步將審計方法體系等建成數據模型，構建以在線審計和實時審計為特征的集約型審計，即聯網審計，建立預警機制，進而實現審計關口前移，推動內部審計工作實現“三個轉變”。

五是物聯網及云計算等信息新技術將推動內部審計信息化新發展。據相關資料介紹，物聯網就是“物物相連的智能互聯網”，其通過射頻識別（RFID）、紅外感應器、全球定位系統、激光掃描器等信息傳感設備，按約定的協議把任何物品與互聯網連接起來，進行信息交換和通訊，以實現智能化識別、定位、跟蹤、監控和管理的一種網絡。云計算（cloud computing）是基于互聯網的相關服務的增加、使用和交付模式，通常涉及通過互聯網來提供動態易擴展且經常是虛擬化的資源；廣義云計算指服務的交付和使用模式，指通過網絡以按需、易擴展的方式獲得所需服務，這種服務可以是IT和軟件、互聯網相關，也可是其他服務；云計算意味著計算能力也可作為一種商品通過互聯網進行流通。有人形象地比喻：云計算是互聯網中的神經系統的雛形，物聯網是互聯網正在出現的末梢神經系統的萌芽。隨著云計算、物聯網等信息新技術的廣泛應用，作為金融機構的證券行業，在自主創新、市場多元化的進程里，云計算模式將成為其信息化整合的“關鍵武器”，如云計算、物聯網等信息技術的應用使證券行業的行情、交易、信息發布、客戶管理、股票池、投資者教育、研報服務等業務集中到統一的平臺成為現實。在物聯網、云計算推動證券行業金融服務模式顛覆性的創新過程中，承擔著防范內部風險、改善經營管理、提高組織效益的內部審計工作，必須緊跟業務創新的步伐，運用物業網和云計算等信息技術實現審計創新，如建設云審計平臺、利用云存儲實現數據遷移、運用物聯網和云計算技術進行數據管理等。

面對計算機信息技術如此迅猛的發展和證券行業金融服務業務創新的態勢，內部審計機構和人員必須增強危機意識，進一步清醒認識，更新觀念，全力推進內部審計技術創新和管理創新。一要樹立信息化觀念，充分認識計算機信息技術對推動內部審計工作新發展的實際意義。要從關系內部審計事業發展的高度來認識計算機信息技術在內部審計工作中應用的實際意義，切實轉變思想、更新觀念，下大力氣把計算機信息技術在內部審計工作應用推向一個新的發展階段。二要推動有關機構頒發內部審計信息化相關的規章制度，研究制定與內部審計信息化有關的準則和實務指南，為計算機信息技術推廣在內部審計工作之中的應用創造良好的環境。三要創新計算機信息技術推廣應用考核辦法，建立激勵機制，為計算機信息技術在內部審計工作中應用創造一個充滿競爭與激勵的內部環境。四要進一步加大計算機信息技術培訓力度，提高內部審計人員整體信息化素質。要圍繞“培訓什么？拿什么培訓？怎樣培訓？”等核心問題，創造條件培養既精通審計業務，又掌握信息技術的高級人才。

（作者單位：中航證券有限公司）