其实证券交易平台审计风险的问题并不复杂，但是又很多的朋友都不太了解审计风险及其防范案例，因此呢，今天小编就来为大家分享证券交易平台审计风险的一些知识，希望可以帮助到大家，下面我们一起来看看这个问题的分析吧！

本文目录

1. 审计风险及其防范案例
2. 世界外汇交易平台有哪些主要监管机构
3. 网上银行存在哪些风险

一、审计风险及其防范案例

近年来国内外的事务所不断的发生会计造假事件被媒体曝光，社会各界开始对审计独立性的高度关注，并对注册会计师的执业审计独立性产生的怀疑。审计独立性的缺失有下面几点原因：

1、政府对审计市场的过度干预。目前我国会计师事务所大多是由脱钩改制过来的有限责任公司，一方面政府的过度干预，使得注册会计师的审计很难做到独立和公正；另一方面注册会计师或会计师事务所期望依赖有关机构和政府官员的权力去分割独立审计市场。因此，注册会计师可能会屈从权力主体的压力而不再保持独立性。

2、法规不健全、惩治不力且违规成本低。由于我国正处于经济转型时期，尽管颁布了一些相关法律法规，但是仍不完善，企业的经营活动缺乏规范，如企业存在粉饰财务状况和经营成果的意图与行为，一些企业的经营管理者缺乏起码的诚实与信誉，甚至贿赂审计人员，使其失去独立性，加之我国对会计师事务所的外部监管不力，违规处罚力度偏弱，审计整体风险水平较低，在经济利益诱导下，注册会计师最终选择与企业“合谋”，丧失审计独立性。

3、审计定价不规范。事务所的审计收费不规范，会计师事务所之间的不公平价格竞争带来的后果是审计收费越来越低。为了获得利润，不得不减少充分的甚至是必要的审计程序，从而造成了审计质量的下降。

（二）有关注册会计师相关法律条文的矛盾

《刑法》、《注册会计师法》、《证券法》、《公司法》中都涉及了与注册会计师法律责任有关的规定，这一系列规定对维护市场运行秩序起着重要作用。但由于外部环境的改变，立法顺序的先后不同，使得这些现行法律中，涉及注册会计师法律责任的条文存在不少矛盾之处。这便导致追究注册会计师法律责任时尺度不一致、不平衡；使注册会计师法律问题的复杂化，当注册会计师遇到法律诉讼问题时，就根据这些法律条文的空隙，逃避自身的法律责任，也就使得审计风险在无形中增加了。

（三）被审计单位的内部控制有限

目前社会上小规模企业数量多，其资产规模小，经营业务简单，会计记录简单，内部控制有限，存在管理层凌驾于内部控制之上的可能性，其所面对的经营风险和发生重大错报风险的概率大于一般大型企业，许多会计人员在领导权威和利益驱使的双重压力下，往往在诚信和失信之间摇摆不定，陷入一种道德困境，以致触犯法律，这必然增加审计的风险。

（四）注册会计师的胜任能力和专业程度

目前在会计师事务所里面工作的很多人员都不具有注册会计师的资格，他们的专业知识和职业技能在一定程度存在欠缺，在审计的时候面对被审计单位的各种失责情况并不一定能发现，并且有些注册会计师在执业过程中，不注重调查研究，常常以个人的主观意愿来判断，这也就大大提高了审计风险。

（五）审计质量控制准则实施不到位

我国颁布实施的审计质量控制基本准则是注册会计师职业规范的重要组成部份，是保证审计工作质量，规范审计行为的基本准则。如果事务所未能认真贯彻《中国注册会计师质量控制基本准则》，势必造成会计师事务所内部控制制度混乱，导致会计师事务所审计计划编写的不当，造成审计外勤工作、审计取证、审计工作底稿编写和复核等工作严重错误和遗漏，审计风险必然增加。

（六）会计师事务所聘任制度扭曲

除国际“四大”外，国内事务所在招聘员工的时候大都选择要实习生，既是为节约成本，又可以在事务所的忙季的时候减轻工作量，但在外勤审计的时候实习生就会出现实践经验不足的问题，如果事务所的注册会计师没有事事亲为的话，对审计质量也会造成很大的影响。

我国与世界上的发达国家之间的品牌都有差距，会计师事务所品牌的差距就更明显，国际著名的“四大”会计公司不但在国际会计市场上占主导地位，而且在我国的会计市场上占有相当大的份额。“四大”的品牌在这其中发挥了举足轻重的作用，会计师事务所的核心竞争力来自本身品牌的构建，而形成品牌价值的关键在于审计质量。质量是品牌的基础，社会认知度是品牌发展的结果，社会知名度的提高又促进业务收入的提高，业务收入的提高才有足够的资源投入，才能促进审计质量的提高和规模化，促进事务所良性循环的发展。

1、树立事务所的和谐文化。会计师事务所的企业文化应是管理者和全体员工在长期的执业活动中形成的、与其自身特点及发展规律相适应的一整套经营理念、执业信念、价值观和行为规则，以及由此形成的群体行为模式。会计师事务所的企业文化通过树立正确的职业理念、良好的精神风尚为发展目标，统一和规范事务所员工的价值观念，通过建立和完善事务所的各种规章制度、操作规程及工作标准，统一和规范全体员工的行为。

2、提高事务所的服务水平。面对现代社会经济形势的发展，事务所应该将产品的内涵从最终报告扩展到各个服务的过程，体现在报告形成之前的全过程之中，给予客户报告背后的财务方面的指点、鉴证或咨询的服务，提高顾客的满意度。

3、积极引进并留住事务所的人才。掌握了大量专业知识和专业技能的注册会计师是会计师事务所生存和发展的根本。在引进从业人员的时候，应打破这种单一的人员来源渠道，积极引进法律、英语、计算机、管理等专业类人才，以利于会计师事务所业务的多元化发展。尤其应当引进既有深厚功底的会计和审计专业知识又有扎实的其他专业知识的综合性人才，这样既可以改善和优化事务所执业人员的构成，提高事务所人员的素质，又可以为事务所的各类型的企业及各种业务提供专业性意见，从而提高的审计的质量。对于已经招进事务所的非注册会计师人员应该主动培养成为事务所的后备人才，提高职业水平，这样才能保证对审计风险有一定程度的规避。

（二）扩大事务所的规模，实现做大做强

中国注册会计师协会下发《中国注册会计师协会关于推动会计师事务所做强做大的意见（征求意见稿）》后，我国会计师事务所再次掀起了规模化的浪潮。真正做大做强，让公众认同大事务所的竞争和价值，才能提高审计质量降低审计风险。

1、坚持专业化发展，集约化经营，一体化管理。根据不同的专业建立发展的平台，除《注册会计师法》明确规定的审计、验资业务，还可以发展请如资产评估、税务服务等其他业务。事务所内部机构应该做好协调配合的工作，一业为主，多种经营，齐头并进，多元发展，不仅可以提高事务所人力资源利用率，而且可以大大节约事务所管理成本。

2、规范审计收费，提高审计质量。规范审计收费对维护公平竞争，提高审计质量和保持注册会计师的独立性有重要的意义。根据有关研究结果，审计收费与审计质量之间存在着正相关的关系，即会计师事务所提供的审计服务的质量越高，其所收取的审计费用也就越高，反之亦然，应该设立审计收费监管委员会，合理收取审计费用，提高审计收费的监管力度。

3、健全法规，重塑会计诚信。一是行业协会的规定。各事务所应该遵循注册会计师协会出台的各项规定，并且注册会计师协会应该带头规范好注册会计师职业道德行为，提高注册会计师职业道德水准，维护注册会计师职业形象。二是行政法规。立法部门应该制定像美国国会那样通过萨班斯-奥克斯利法案那么严格的法律法规，应该加大违规处罚，提高监管力度，完善处罚机制，提高处罚成本，规范注册会计师审计应承担的法律责任，只有明确注册会计师的法律责任，才能增强其风险意识，诚信执业，提高审计的质量。

4、建立健全内控制度和风险责任制度。（1）实行质量否决权，即CPA项目查证签名负责制和主任审计师把关否决制。从影响质量和风险的各因素入手，采取多种方法对审计工作质量层层控制定期进行考核和奖惩。（2）实行专业分组化。审计风险的出现，很多原因是由于审计人员不了解委托单位和行业的生产经营情况而产生的，因此有必要实行专业分组化。同时有一些大项目实行审计队伍专业综合化，即兼顾经济、技术、法律等专业人员综合使用，这样有利遏制风险的产生。（3）建立报告和审计工作底稿的复核制度。

5、提高注册会计师的胜任能力和职业谨慎。根据美国公认审计准则（GAAS）的规定，应有的职业审计要求注册会计师保持合理的职业怀疑态度。因此，注册会计师应当坚持诚实和正直的立场，勤勉地搜集和客观地评价审计证据，注册会计师不得因为信任被审计单位管理当局的诚实而满足于获取不是完全令人信服的审计证据。保持高度的职业审慎，能够帮助注册会计师敏锐地发现问题、捕捉被审计单位舞弊的蛛丝马迹，提高审计效率，使审计工作事半功倍。相反，安永和已经倒下的安达信都是一个深刻的教训。

6、保持对审计环境的敏感性。了解客户及与审计事项有关的各方面情况是发现风险避免法律诉讼的重要工作。在实施审计前，应了解下列环境事项并保持敏感性：（1）对整个特别是本地区的财政经济状况及其变化发展的趋势深入了解；（2）现有的政策、法规对客户的经营管理所产生的影响及其程度；（3）客户的法定代表人及其主要经营管理人员内部变动及外部流动；（4）客户内控制度健全情况，采取何种核算体系；（5）已制定的审计专业标准及其适用状况如何；（6）已掌握的审计知识及相关技术的发展趋势。

7、建立会计师事务所的行业专长。安永在汽车和计算机行业，毕马威在银行和保险业，普华在计算机、矿产、通讯业以及永道在通讯业具有显著的行业专长优势。AICPA（1998）指出将行业专长列为影响CPA未来发展的关键因素之一。因为从竞争策略方面看，事务所发展行业专长是为了适应审计市场激烈竞争而采取差异化策略的必然结果，如果一个事务所能将自己的审计服务与竞争对手相区别并以此吸引客户且得到认同，那么事务所将获得审计收费的溢价和取得竞争的优势。

总之，风险总是存在的，而且原因也是多方面的，本文提出的几点防范对策是不全面的一部分，但只要认真谨慎去对待、控制、防范、就能期望消除或降低审计风险，从而成功地达到规避与防范审计风险。

二、世界外汇交易平台有哪些主要监管机构

美国的监管机构简称NFA，美国全国期货协会(National Futures Association---NFA)，美国全国期货协会(NFA)是根据美国《商品交易法》第17节的规定，于1976年组建的期货行业自律组织，属非盈利性会员制组织，是美国期货及外汇交易非商业独立监管机构。《商品交易法》第17节源自1974年的《商品期货交易委员会(CFTC)法》第三章，该部分规定了期货协会的登记注册和CFTC对期货专业人员自律管理协会的监管。1981年9月22日，CFTC接受NFA正式成为"注册期货协会"，1982年10月1日，NFA正式开始运作。

美国全国期货协会，是一个期货行业的自律组织。总体上看，美国并不鼓励发展零售外汇行业，反而一直以严厉的监管在打压零售汇商。

英国金融服务管理局(FSA)2013年起被两个新的监管机构所替代，他们分别是金融行为监管局(Financial Conduct Authority, FCA)和审慎监管局(Prudential Regulation Authority, PRA)。其中对经纪商的监管权将全部由FSA移交至FCA。

FCA是英国金融投资服务行业的中央监管机构，负责监管银行、保险以及投资业务。FCA目前是全世界监管最完善、法律执行力最强的金融监管机构，成为各国金融监管机构学习的典范，其权威性得到投资者高度认同。

FCA是一个不属于英格兰银行的独立机构。从2013年4月1日起，FCA的职责是促进有效竞争，确保相关市场正常运作，监管所有金融服务公司的行为。其中包括防止市场滥用行为，帮助消费者得到公平的交易机会。与此同时，FCA还负责不受PRA监管的金融服务公司的审慎监管，例如，资产管理公司和独立的财务顾问。

当某FCA成员公司被认定无力偿付其债务时，可以启动补偿程序，以赔偿投资者的交易资金。因此选择正规受监管的投资平台，将会极大的保护投资者的资金免受不必要的损失。

FCA初期就不要想了。英国的，太折腾，而且新的交易商都没什么优势，比较困难。加上100万英镑的保证金plus一个办公室加上招聘，周期也很长，整个团队不死也脱层皮了。

澳大利亚金融领域监管机构为澳大利亚证券和投资委员会。主要牌照是金融服务提供商牌照。持牌人可以开展经纪业务，以及通过自有账户交易。资本要求为110万澳元，年费在3500澳元至5万澳元，取决于交易量。

办公地点要求：必须有实体办公地点。至少有一名澳大利亚人作为公司管理人。只能在澳大利亚范围内向澳大利亚人提供投资服务。

一些主要监管要求：在申请的最后阶段，资本要求资金必须冻结。公司取得牌照后，所要求资本将必须为已发行实收资本，而且50%的资本要求资金必须为流动资产。客户资金必须隔离存放。投资公司必须履行资本充足率以及大额风险方面的定期报告义务，另外还必须履行内部审计报告、合规报告、风险管理报告、反洗钱报告、经审计财报和审计报告、合规计划、培训登记以及产品审查政策的报告义务。牌照持有人必须成为投资者赔偿基金成员。持牌人还必须参加职业责任保险以及董事和高管责任险。

所有公司都必须按照国际认可的会计标准合理保留会计记录，履行审计义务。

除了保留会计记录，还有月度税务报告、月度对账单、季度税务报告也需保留，如果有聘用了员工，还要保留月工资单。所有公司都必须披露声明、条款和条件以及金融服务指引。

加拿大投资行业监管组织（IIROC）对外汇和所有证券实施同样的交易法律规定。对外汇交易商和相关经纪商，IIROC提出了最低资本金要求（前者是250，000加元，后者是75，000加元）。同时，IIROC颁布了其他一些法令，控制客户的交易风险。通过限制交易杠杆（基于对某一币种波动性和流动性要求，对即期风险保证金做出评估，以确定是否采用限制政策），保护客户利益，防止赌场风格的过度投机。并且，为了防止交易者受到经纪商破产的伤害，它还为每个交易者提供了第三方承保的100万加元数额的金融保险。

香港金融监管机构是香港证监会。牌照类型有三：一类（证券交易）、二类（期货合约交易）、三类（外汇杠杆交易）。第三类牌照针对外汇提供商，最受欢迎。申请审批时间为4-6个月。各种牌照资本要求不同，从70万港元至130万港元不等。年费依据牌照类型不同从6000港元至1.9万港元。【注：据ADS达汇李纪纲指正，香港的三号牌照资本要求最低为三千万港币】

办公地点方面：必须设立实体办公地点，员工必须为香港居民。

牌照申请必须由香港公司或已注册的香港公司提交。

牌照申请公司至少要有两名高管负责公司管理，并在其中任命一名为执行董事。申请公司及其高管、员工和股东都必须符合香港证监会规定的适当人选原则。香港证监会将对申请人的偿债能力及财务状况、教育及其他方面资质、拟开展业务方面的相关经验、正直公平地开展受监管业务活动的能力、公司声誉以及财务稳健性进行评估。

监管要求：持牌公司必须一直保持实缴股本和流动性资本不少于最低资本要求。持有客户资金的持牌人必须在香港的银行开立账户。客户资金必须隔离存放。所有持牌人必须保留财务清偿能力和财务状况、财务教育概述、内部合规和内控制度的相关记录。

所有持牌人必须按照国际认可的会计标准合理保留财务记录，提交月报、季报和年报。所有公司都必须向公众披露财报。

新加坡金融监管局，英文全称Monetary Authority of Singapore，简称“MAS”。新加坡金融监管局（MAS）是新加坡的中央银行。

1970年以前，新加坡的中央银行的各种货币职能由多个政府部门和机构执行。随着新加坡的快速发展，银行变得日益复杂和发展所需的货币环境要求政府不得不精简政府机构的各项货币职能，从而保证货币政策更具活力和连贯性。因此，1970年新加坡议会通过了新加坡金融监管局法案。1971年1月，新加坡金融监管局（MAS）成立。新加坡金融监管局（MAS）法案赋予了新加坡金融监管局（MAS）监管货币各方面的权力，比如银行以及新加坡金融领域的各方面。

一般说来，目前的新加坡金融监管局（MAS）掌管着货币、银行、保险、证券和金融部门的这项法规。继2002年10月1日新加坡金融监管局（MAS）合并货币机构董事会后，他也具备了发行货币的职能。

毛里求斯金融服务管理局(简称FSC)成立于2001年，为毛里求斯非银行金融服务行业的监管机构。FSC的职权范围包括对证券、保险等金融服务公司进行监督和审查，促进发展公平、效率的非银行金融机构和资本市场的透明度，从而进一步为投资者提供保障。

现在，在对外汇和二元期权公司监管方面，最受关注的监管地区是欧盟。在受监管市场、其他交易系统和投资公司有组织的执行投资者交易方面，欧盟创建了全面的监管制度。规定之一就是，投资公司只要从欧盟的一个成员国监管机构获取牌照，就有按照欧盟金融工具市场法规（MIFID）指令在整个欧盟提供投资服务和活动的自由（通常称之为牌照权利），可以在欧盟的任何地区开展业务。目前，指令2004/39/EC(MIFID 1)仍然有效，但将被指令2014/65/EU(MIFID 2)所取代，2016年7月3日，欧盟将发布相关公告。该MIFID指令规定，为了使投资公司行使牌照权利，欧盟成员国不得针对适应该指令的投资公司发布任何额外要求。除了上述牌照权利，欧盟成为二元期权公司最欢迎的监管地区的另一个主要原因是，2010年末，欧盟承认二元期权是属于MIFID指令监管的金融工具地位。做出这个决定后，欧盟成员国的监管机构开始批准仅提供二元期权业务的投资公司的牌照申请。塞浦路斯证监会在这方面是先行者，马耳他的金融服务局紧随其后。据最新报道，英国也正在将对二元期权的监管从博彩委员会转移到金融行为监管局。另外，上述监管地区也成为外汇服务提供商的目的地。欧盟地区的资本要求分为8万欧元（针对不持有客户资金的经纪商）、12.5万欧元（针对持有客户资金的经纪商）、73万欧元（针对做市商）。牌照年费各成员国有所不同。例如，塞浦路斯从3500欧元至7.5万欧元。马耳他为1300欧元至1万欧元。

塞浦路斯的外汇和二元期权提供商均受塞浦路斯证监会的监管。

塞浦路斯有三种类型的牌照：不持有客户资金的经纪商、持有客户资金的经纪商、做市商。最受欢迎的牌照是持有客户资金的经纪商，特别是对于二元期权提供商。一些外汇服务提供商需要考虑做市商牌照，因为做市商牌照是唯一允许持牌人通过自有账户交易的牌照。

申请牌照的时间平均为5-6个月，最近，塞浦路斯证监会宣布加快审批进程，审批将在2个月之内完成。各种牌照的资本要求不同，不持有客户资金的经纪商为8万欧元，持有客户资金的经纪商为20万欧元，做市商为100万欧元。年费在3500欧元至7.5万欧元之间。

办公地点方面，公司必须在塞浦路斯有实体办公地点。至少要有两面高管人员管理公司，另外至少要有两名非执行董事。大多数董事必须为塞浦路斯居民，另外，投资服务必须在塞浦路斯提供。

一些主要监管要求：在申请的最后阶段，资本要求资金必须冻结。公司取得牌照后，所要求资本将必须为已发行实收资本。原始股权、董事会和管理层的变更必须经塞浦路斯证监会批准。客户资金必须隔离存放。投资公司必须履行资本充足率以及公司头寸大额风险方面的定期报告职责。其他报告义务还包括内部审计报告、合规报告、风险管理报告、反洗钱报告、经审计财报和审计报告。牌照持有人必须成为投资者赔偿基金成员。

财务和审计方面要求：所有投资公司都必须按照国际认可的会计标准保留适当的会计记录，还要履行审计义务。

FSP，全称为Financial Service Providers（金融服务企业），符合该类型的监管则称为FSPR，即Registrar of Financial Service Providers（注册金融服务企业）。新西兰在2008年9月29日通过了《2008金融服务企业注册与争端解决法案》（The Financial Service Providers(Registration and Dispute Resolution) Act 2008）。

自2010年8月16日开始，金融服务企业监管机构FSPR开始接受金融企业的申请，而自2010年12月1日开始几乎所有的新西兰金融服务企业均需在FSPR注册才能提供相应的金融服务。

三、网上银行存在哪些风险

我国网络银行除了具有传统银行的流动性风险、利率风险、结算风险、道德风险、新金融工具风险外,还增加了一些网络环境下的新风险。

(1)操作系统风险。操作系统是作为计算机资源的直接管理者,它直接和硬件打交道并为用户提供接口,是计算机系统能够正常、安全运行的基础。Windows操作系统存在许多安全漏洞,UNIX操作系统是一个开放的系统,源代码已公开。根据美、荷、法、德、英、加共同制定的通用安全评价标准《Common Criteria for IT Security Evaluation(简称CC标准)》,微软的Windows操作系统、大部分的UNIX操作系统其安全性仅达到C2级安全,而网络银行的操作系统的安全级别应至少达到B级。

(2)应用系统风险。网络业务系统设计存在漏洞。目前,网络应用软件存在以下安全漏洞:无效参数、失效的访问控制、失效的账户、跨站点脚本漏洞、缓冲溢出、命令注入漏洞、错误处理问题、密码系统的非安全利用、远程管理漏洞、网络及应用软件服务器错误配置。

在设计过程中,只重视“计算机如何完成任务”方面的设计,对运行过程中的程序控制或检查考虑不全面,系统没有为审计留下接口,难以进行实时审计。

(3)数据存储风险。数据存取、保密、硬盘损坏导致的风险。

(4)数据传输风险。数据传输过程中被窃取、修改等风险。

网络银行操作风险是指由于网络银行中的内部程序、人员、系统的不完善或失误,以及外部事件而导致网络银行直接或间接损失的风险。产生操作风险的原因有以下几点:

(4)没有适合的网络银行稽核审计部门。

网络银行的信用风险主要表现为客户在网络上使用信用卡进行支付时恶意透支,或使用伪造的信用卡来欺骗银行。

信息不对称表现在两个方面,一方面是由于网络银行无法得到足够客户信息,另一方面是由于客户无法得到有关网络银行的足够信息。信息不对称使得网上客户更容易隐蔽他们的信息和行动,做出对自己有利而对网络银行不利的行为,也使得客户不能正确评价网络银行的优劣。

我国对网络银行和网上交易缺乏相应的法规。如:如何征收与管理网上税收、数字签名是否具有法律效力、交易的跨国界问题、知识产权问题、电子合同问题、电子货币问题、电子转账问题。

(1)物理安全。主要指对计算机设备场地、计算机系统、网络设备、密钥等关键设备的安全防卫措施。为了防止电磁泄露,要对电源线和信号线加装滤波器,减少传输阻抗和导线间的交叉耦合,同时对辐射进行防护。

(2)应用安全操作系统技术。安全操作系统不仅可以防范黑客利用操作系统平台本身的漏洞来攻击网络银行交易系统,而且它还可以在一定程度上屏蔽掉应用软件系统的某些安全漏洞。美国先后开发了各种级别的安全操作系统,其中作为商用的有Data General公司的DG UX B1/B2安全操作系统,HP公司的HPUX CMW B1级安全操作系统等。国内各大科研机构及公司也研制出高安全级别的操作系统,如:中科院信息安全工程研究中心研制的SECLINUX安全操作系统、中软总公司研制的COSIX LINUX系统。目前,中国建设银行的网络银行系统建立在安全操作系统平台之上,该系统基于HP9000硬件平台,采用HP公司的B1级安全操作系统。

(3)数据通信加密技术的应用。对传输中的数据流进行加密,按实现加密的通信层次可分为链路加密、节点加密、端到端加密。在链路数较多以及对流量分析要求不高的情况下,适合采用“端到端加密”方式。在对流量分析要求较高的情况下,可采用“链路加密”与“端到端加密”相结合的方式:用“链路加密”对报文的报头进行加密,防止进行流量分析,再用“端到端加密”对传送的报文进行加密保护。

对数据进行加密的算法主要有DES和RSA两种。DES属于私钥加密体制(又称对称加密体制),它的优点是加、解密速度快,算法容易实现,安全性好,缺点是密钥管理不方便。RSA属于公钥加密体制(又称非对称加密体制),它的优点是安全性好,网络中容易实现密钥管理。因此可以采用将DES和RSA相结合的综合加密体制:用DES算法对数据进行加密,用RSA算法对密钥进行加密。

(4)应用系统安全。应用系统安全主要包括对交易双方的身份确认和对交易的确认。在网络银行系统中,用户的身份认证依靠数字签名机制和登录密码双重检验,将来还可以通过自动指纹认证系统进行身份认证。数字签名还确保了客户提交的交易指令的不可否认性。公钥基础设施——PKI(Public Key Infrastructure)是解决大规模网络环境中信任和加密问题的很好的解决方案。同时采用安全电子交易协议,目前主要的协议标准有:安全超文本传输协议(S-HTTP)、安全套接层协议(SSL)、安全交易技术协议(STT)、安全电子交易协议(SET),其中SET涵盖了信用卡的交易协定、信息保密、资料完整及数据认证、数字签名等,已经成为事实上的工业标准。

加强应用系统开发过程的审计,应用系统运行过程中的实时审计。

(5)应用数据库安全技术。应用存取控制技术、数据加密技术、硬盘分区防护技术、数据库的安全审计技术、故障恢复技术等。

(6)应用防火墙安全技术。建立综合计算机病毒检测技术、代理服务技术和包过滤技术的第四代防火墙,提供DES加密、支持链路加密或虚拟专网、病毒扫描等安全服务,并具有实时报告、实时监控、记录非法登录、统计分析等功能。设置放火墙时要截止所有从135到142的TCP和UDP连接,改变默认配置端口,拒绝PING信息包,通过设置ACCESS LIST的过滤规则来实现包过滤功能。采用防火墙双机冷备份策略。进行入侵检测和定期漏洞扫描。

操作风险主要来自银行内部,应完善网络银行的内部控制制度,建立科学的操作规范,严格内部制约机制,将不相容职务如管理员与经办员分离、程序员与操作员分离、制作者与执行者分离,对主管和操作员实行IC卡身份鉴别,并同时加口令,任何进入系统的操作必须有日志记载。

建立操作风险管理中心,对员工进行防范操作风险的技术培训,监督各项操作风险管理制度的执行情况,对网络银行的操作风险进行评估,并采取相应措施。建立操作风险应急反应中心,对业务的影响因素进行研究,识别出可能导致业务中止的情况,系统的备份及定期测试公司的灾难应急计划,对出现的安全问题提供技术支援和解决方案。使用保险来抵补那些“低频率、高危害”的操作风险。建立操作风险审计中心,对全部的网络银行业务实时监控、网络扫描,并利用审计记录,对业务操作人员和计算机系统管理人员进行稽核。

来自外部的操作风险,尤其是网络银行金融欺诈方面,不但要对个人服务的零售业务进行监控,还要加强对登录网络银行的企业加强监控,通过数据挖掘软件对可疑资金交易进行分析,防范利用网络进行非法资金交易。

建立全国性的用户信用管理信息系统,将用户划分为不同的信用等级,针对不同等级的用户采取不同的管理措施。应共享客户资料信息库,与其他商业银行、保险公司等非银行金融机构、世界各银行等金融机构合作,及时将客户的守信情况和违约情况记录入库。

建立信息披露制度,强化信息披露的质量。应定期发布经注册会计师审计的关于网络银行经营活动和财务状况的公允信息,披露有关网络银行风险的大小和网络银行为了规避风险而采取的措施以及消费者权益保护的信息。建立社会监管体系,网络银行之间进行相互监督。

应充分利用和执行《网络银行业务管理暂行办法》,应充分利用《合同法》、《会计法》、《票据法》、《支付结算办法》等法律拟订网络银行相关协议,制定有关业务流程和业务处理规定,应充分利用目前执行的关于网络安全方面的行政法规,如《计算机信息系统安全保护条例》、《计算机信息网络国际联网管理暂行规定》等,充分利用中国金融认证中心在认证技术方面的权威性和第三方认证的合理性。网络银行应注重交易数据的保管,为可能的纠纷或诉讼过程做好证据准备。

建立网络银行法律监管体系,制定网络银行的外部惩罚措施以及网络银行的市场退出机制。建立网络银行业务运营法律体系,如建立《电子银行法》、《电子签名法》、《电子资金划拨法》等法律法规,同时对已有法律法规进行充实、修改。完善网络银行配套法律法规建设,主要有税收征管法、国际税收法、电子商务法、刑法、诉讼法、票据法、证券法、商业银行法、消费者权益保护法、反不正当竞争法等相关法律法规。加强与国际立法、司法实践的交流与合作,加大打击网上洗钱、网上盗窃等电子犯罪的力度。

OK，关于证券交易平台审计风险和审计风险及其防范案例的内容到此结束了，希望对大家有所帮助。