近日,證監會發布實施《證券期貨業信息系統審計指南》金融行業標準。
信息系統審計是依據國家及行業信息系統相關規范和標準,對信息系統規劃、建設、運維和應急等活動進行自我檢查和評價,判斷系統運行的安全性、系統建設的合規性和系統應用績效,提出整改建議,并持續跟蹤落實整改情況。鑒于信息系統審計是國內外通用和成熟的做法,我會證券期貨業信息化工作領導小組多次強調,要在全行業開展信息系統審計工作,每年要依據國家和行業發布的信息技術規則對信息化建設和信息系統安全保障工作進行合規性審計,并相應進行建設整改。
按照國家和行業的相關要求,行業機構積極開展了信息系統審計工作,從實踐情況看,存在以下突出的問題:一是對審計要求掌握不全面;二是缺乏可操作性強的指南。為指導和規范行業開展信息系統審計工作,2013年,我會牽頭組織相關單位起草行業標準《證券期貨業信息系統審計規范》(以下簡稱《審計規范》),對近年來國家及行業信息技術規章、規范、指引和標準進行了全面梳理,按照“從嚴”的原則,明確了信息系統規劃、建設、運維和應急等活動的3000余個審計項。2014年12月26日,我會正式發布《審計規范》,從信息系統審計的組織、內容兩個方面,對行業機構自主開展信息系統審計工作進行了規范。
《審計規范》發布以來,行業各機構積極依照《審計規范》開展信息系統審計,有針對性地采取防范和改進措施,提高了信息安全保障水平,但由于缺乏統一的審計步驟,仍然存在審計過程隨意性較高、審計結論不客觀等現象。為進一步確保審計工作的規范性和客觀性,幫助審計人員按照《審計規范》的要求完成信息系統審計,我會制定行業系列標準《證券期貨業信息系統審計指南》(以下簡稱《審計指南》)。《審計指南》標準分為證券交易所、期貨交易所、證券登記結算機構、其他核心機構、證券公司、基金管理公司和期貨公司7個部分,給出了《審計規范》中每個審計項的參考性審計依據和審計步驟,以規范行業核心機構和經營機構的審計人員客觀準確地實施信息系統審計。
2016年,為了持續推進資本市場信息化建設工作,降低行業信息系統運行風險,提高行業運行效率,提升行業標準化水平,我會還將陸續組織制定多項金融行業標準。