毕马威中国:证券基金经营机构信息技术审计项目发现洞察

证券基金经营机构信息技术审计项目发现洞察
原创 毕马威中国 毕马威KPMG 2022-07-25 20:44 发表于北京

一、信息技术审计监管要求

由于证券基金行业对信息技术的高度依赖，近年来证监会多次发文要求证券基金经营机构强化信息技术管理工作，并加强行业信息技术监管。2018年12月19日，证监会发布【2018】152号令《证券基金经营机构信息技术管理办法》，该办法于2019年6月正式实施；2021年1月15日，证监会发布【2021】179号令《关于修改、废止部分证券期货规章的决定》，并进一步修订了《证券基金经营机构信息技术管理办法》。

信息技术审计主要是参照相关的规范、标准对信息系统的治理、规划、建设、运维和应急活动进行评价，目的是评判公司当前整体信息技术风险管理水平，健全信息技术风险管理组织架构与职责，强化对信息技术重点领域的风险防控能力，从而提升信息技术风险管理水平，支撑并满足业务发展需要。

《证券基金经营机构信息技术管理办法》第十六条对于信息技术审计提出了明确要求：

专项审计

证券基金经营机构应当定期开展信息技术管理工作专项审计，频率不低于每年一次，确保三年内完成信息技术管理全部事项的审计工作，包括但不限于信息技术治理、信息技术合规与风险管理、信息技术安全管理、应急管理。

全面审计

证券基金经营机构应当委托外部专业机构开展信息技术管理工作的全面审计，频率不低于每三年一次；未能有效实施信息技术管理被采取行政处罚措施、监管措施或者自律管理措施的，应当在三个月内完成对有关事项的专项审计。

整改跟踪

证券基金经营机构应当跟踪审计发现问题的整改情况，相关问题未能及时整改的，应当说明理由，并将审计报告提交信息技术治理委员会审议。证券基金经营机构应当妥善保存审计报告，保存期限不得少于二十年。

二、信息技术审计主要依据
毕马威针对证券基金行业开展信息技术审计工作时，在确保对标国内监管机构的监管要求之外，还会参考国际国内的信息科技治理框架和行业标准，具体如下：

三、信息技术审计范围

根据毕马威对于《证券基金经营机构信息技术管理办法》的解读，以及对于证券基金业信息技术管理重点的理解，证券基金行业信息技术审计范围一般如下：

四、常见审计发现
我们从6个审计领域（包括信息技术治理、信息技术合规与风险管理、信息系统安全、数据治理、应急管理、信息技术服务机构）出发，对信息技术审计工作中的常见审计发现进行汇总，涉及40项左右：

审计领域

常见审计发现

信息技术治理

信息技术制度

信息技术治理委员会职能

信息技术治理委员会会议

信息技术高管任职条件

信息技术队伍建设

信息技术合规

与风险管理

信息技术风险监测

信息技术项目内部审查

信息技术专项审计

终端信息采集

信息系统安全

数据脱敏

重大变更上线前评估

压力测试和容量规划

运行监控

漏洞跟进修复

系统变更开发管理

机房设备管理

机房访问管理

与子公司IT服务协议

日志审阅

远程访问和网络监控

终端管理和软件正版化

操作系统、数据库安全配置

数据治理

数据治理组织架构及体系

数据治理分级分类

密码策略

用户访问权限

权限定期检查

客户信息收集

应急管理

业务连续性方案

业务影响分析

应急预案

灾备演练

替代交易方式

备份恢复

灾备中心

事件问题管理

信息技术

服务机构

信息技术服务机构准入及更换

信息技术服务机构监控

信息技术服务机构评价

信息技术服务机构合同条款

五、审计发现数据统计
我们挑选了10家证券基金经营机构（含7家基金公司、3家证券公司），其中包括了行业内的头部、中型以及小型公司代表，对审计发现的平均数量进行统计分析。

01

各领域审计发现平均数量统计
在我们挑选的10家证券基金经营机构中，审计发现的平均数量为19条，其中证券公司审计发现的平均数量为13条，基金公司审计发现的平均数量为22条。证券公司的信息技术总体管理水平以及各子领域的管理能力均优于基金公司。

02

各项审计发现出现概率统计
在我们挑选的10家证券基金经营机构中，40项常见审计发现的出现概率统计如下，其中不乏一些共性问题。

六、常见审计发现分析
我们选择了最具代表性的10条审计发现，逐个对标监管要求，对成因及挑战进行分析，并提出可供证券基金经营机构参考的管理建议。

1. 信息技术制度
   

2. 信息技术风险监测

3. 信息技术专项审计

图片

4. 数据脱敏

5. 系统开发变更

6. 日志审阅

7. 数据治理分级分类

8. 业务影响分析

9. 灾备中心

10. 信息技术服务机构更换预案

七、毕马威三年期信息技术审计方案
毕马威依据《证券基金经营机构信息技术管理办法》对于信息技术审计提出的要求，为证券基金经营机构提供三年期的一揽子信息技术审计方案，同时满足监管对于专项审计和全面审计的要求，另外也能够提升审计效率并达到持续跟踪的效果，为证券基金经营机构信息技术管理水平提升保驾护航。