發表時間:2014/4/15 17:00:00 來源:中大網校
點擊關注微信:
一、信息系統審計的內容
1.管理流程審計
信息技術管理流程審計主要評估與公司發展戰略目標相一致的信息技術規劃,評估信息技術工作條例或工作程序,評估信息技術部門的工作
職責與工作分工,評估信息系統取得開發、購置、引進的制度和流程,評估生產系統的運行維護的制度和流程,評估項目管理、項目
監理的制度和流程,評估信息系統的安全管理制度,評估開發、測試、生產系統分崗制衡管理制度等。
2.技術平臺審計
信息技術平臺審計主要評估信息技術基礎平臺的運行與安全管理,包括網絡運行與安全管理如路由器、網絡設備、防火墻、通信線路等、硬件運行與安全管理如小型機、服務器、前置機、打印機、掃描儀、存儲設備、PC、終端等、操作系統及數據庫等運行平臺的運行與安全管理如Unix、Windows、數據庫、中間件、應用開發工具、應用發布工具、版本管理工具、項目管理工具、防/殺毒工具等。
3.信息系統項目審計
信息系統項目審計主要評估信息系統項目管理與項目監理的有效性。
項目管理審計主要評估項目啟動、立項、需求分析、系統設計、開發、測試、試點、驗收、推廣過程的有效性,評價系統開發生命周期中的每一個程序是否均被嚴格執行,評價系統遷移的方案與效果,評價各類項目文檔是否齊全。其目的是控制項目進展過程中的風險。
項目監理審計主要評估項目監理在信息系統建設過程中發揮的作用,評估項目監理是否有效保證了信息系統建設的質量、進度和成本符合項目立項時的要求。評估項目管理與項目監理間的責職是否清晰,分工是否明確。
4.生產系統審計
信息系統的上線與投產,僅僅是信息化的開始,大量的風險與問題將出現在信息系統的生產運行與維護階段。保險公司內部一般均建立了核心業務系統、人員營銷員等管理系統、財務系統、精算系統、再保系統等生產系統,公司的生產經營活動大多要通過生產系統進行,生產系統審計便顯得更為重要。
生產系統的審計首先是信息系統與業務流程吻合審計,主要評估實際業務操作流程與信息系統操作流程的吻合情況,評估信息系統對需求的滿足度及信息系統操作流程與業務操作流程的吻合度。以退保操作流程為例,退保的典型處理方式是在信息系統中產生應付信息,而財務支付退保款后不再在系統中確認已付款,這就導致系統信息與實際情況不一致,致使流程與數據均不完整,流程被短路、數據被割裂,最終導致數據可用性差,并留下安全隱患。其次是評估與信息系統相關的風險。評估數據訪問授權、系統功能授權、業務操作授權、業務審批決定授權是否有效,是否擁有防止非法進行數據修改的措施。評估或測試信息系統中的關鍵控制點是否得到有效控制,如核賠中結案環節控制,需評估結案前的賠案信息狀況,如資料是否完整,計算是否正確,會簽、審批是否完成。同時需評估結案后的流程執行是否完整,如數據流是否與業務單證流一致。也可評估結案后對保單承保如結案后要求限制承保、保全如結案后要求扣還保單質押借款、生存給付如結案后要求中止生存給付或確保再給付幾年等的影響,測試該關鍵點對保單生命周期各環節的影響是否合理與正確。
二、信息系統審計流程
信息系統審計的工作流程主要包括確定審計范圍、做好審計準備、進行審計評估、出具審計報告、提供
管理咨詢等過程。
可根據審計目標,確定審計范圍。例如,是進行全面審計還是專項審計;是進行全公司審計還是部分分公司審計。在此基礎上制定審計預案,審計預案中要確定審計依據、人員分工、審計工作程序、方法技巧、審計工作文檔模板與案例、審計時間表,并注明需重點關注的地方,也可以將審計預案制作成審計工作手冊,讓每一個審計人員得到同樣的信息。
進行審計評估時,應對照審計依據,了解被審計單位的信息技術管理流程、技術基礎平臺、生產系統運行環境與管理制度,通過關鍵點測試等方式做出公正、合理的評估。完成后還需出具詳細的審計報告,對被審計信息系統或專項被審計對象進行鑒證,并提出必要的管理建議書,也可主動為被審計單位提供管理咨詢,促進或幫助被審計單位提高信息系統管理水平。對于公司內部審計,還有一個通過提供管理咨詢幫助其提高管理水平的過程,如總公司對分公司的審計,或公司內部對信息系統的審計,更多的責任或義務是通過內部審計發現信息技術管理中的不足,提出改進建議,并督促或輔導職能部門改進、完善。
三、信息系統審計方法
1.信息系統審計機構
保險公司應有專門的機構負責信息系統審計工作,制定信息系統審計管理制度和工作程序、設計審計方案、制作審計計劃、開發審計評估、出具審計報告、提出改進建議、提供管理咨詢。
2.常規審計與專項審計
信息系統審計也可分為常規審計和專項審計。常規審計為例行的全面審計,如每年一次對信息系統進行全面的審計,包括管理流程、技術平臺、項目開發和生產系統審計,對信息系統做出全面的評估、鑒證,提出管理建議。專項審計可以針對信息系統管理的某一方面進行專門的審計,可以視實際情況選擇進行。如信息系統運行安全的專項審計,可以對公司在信息系統方面的安全管理措施、技術措施的實際應用情況進行審計評估、鑒證,提出管理建議。專項審計針對公司重點關心的專項問題,針對性強。專項審計也可用于高級信息技術管理人員的離任審計。
3.現場審計與非現場審計
信息系統審計可在現場進行,也可在非現場進行。現場審計適用于需在現場訪談、觀察、測試、調查的情況。如對信息系統操作流程與實際業務操作流程吻合度的審計,需在現場觀察數據流與實物流的流轉情況。非現場審計主要借助非現場審計系統進行,通過計算機系統進行審計。如對萬能險賬戶積數與賬戶余額的監控,可以通過計算機系統進行遠程隨機實時審計,也可要求被審計單位打印指定賬戶積數與余額后傳真至審計機構進行審計。現場審計與非現場審計可以發揮定期審計與隨機實時審計相結合的優勢,使信息系統審計制度化。
4.外部審計、內部審計與自查審計
外部審計是指由公司外部獨立的專業審計機構進行的審計,可對信息系統做出合理、公正的評價,可參照財務審計,每年進行一次。內部審計主要由保險公司內部的審計機構對信息系統進行審計,其目的在于幫助信息管理部門找差距,并督促和輔導信息管理部門提高信息系統管理水平。自查審計主要由各級信息技術管理部門對照信息技術管理標準自查、自糾,進行自我管理與自我完善。
5.通過審計系統進行審計
信息系統審計的常用方法有訪談、觀察、現場測試、調閱文檔、調查信息系統相關角色等,也可以開發審計系統對生產系統進行審計。
要實現通過審計系統對生產系統進行審計,必須加強對生產系統建設的事前和事中審計,在生產系統立項、建設時,應明確審計要求,審計人員應參與生產系統的立項、需求分析、設計、驗收等工作。在生產系統中,應設置審計接口,記錄審計軌跡,由計算機自動記錄審計線索,對于修改與刪除的操作,應參照會計的紅字更正法,在生產系統中留下可追溯的記錄。在對生產系統進行驗收的過程中,除評價系統是否達到了設計目標、是否滿足需求外,還需強調生產系統的可審計性。在開發生產系統的同時,也要開發相應的審計系統,使生產系統投產后就有相應的審計系統投產運行。
開發相應的審計系統,應借鑒國際通用的審計軟件,形成一套有保險公司自身特色的通用審計系統,通過對數據的采集、比對、分析,對關鍵審計點的跟蹤、監控、反饋,保障生產系統健康、安全地運行。通過審計系統的應用,匯集大量的審計案例,分析其中的規律,強化已有的控制點,發現或部署新的控制點。這樣,一方面進一步改進生產系統的運行狀況;另一方面進一步完善審計系統自身功能,使生產系統與審計系統的應用水平共同提高。
四、信息系統審計的目標與任務
信息系統審計的根本目標是促進信息系統安全、穩定、有效、持續運行。通過對信息系統的安全性、穩定性和有效性進行審計、咨詢,降低保險公司面臨的信息系統風險,促使保險公司信息技術發展目標與其總體經營目標、戰略相一致。其任務是完成對信息系統的鑒證、促進和咨詢。
1.鑒證
信息系統審計的鑒證是指通過審計,合理地保證被審計單位信息系統及其處理、產生的信息的真實性、完整性與有效性,政策遵循的一貫性。在市場經濟下,保險公司的信息資料對其生存、發展非常重要,是其重要的信息資產;同時對利益相關者如監管者、投資者、代理人或機構、團體客戶、個人客戶等也非常重要。信息系統審計以其獨立的身份,對保險公司的信息系統進行審計,查出其中的各種錯誤、舞弊、風險、不足,有效地保證了被審計信息系統及其處理、產生信息的真實性、完整性、有效性,是維護保險公司正常生產經營不可或缺的重要手段。
2.促進
信息系統審計完成后需出具審計報告,以鑒證被審計信息系統的真實、完整、有效。這可增強人們對保險公司信息系統的信任度。誠信即價值,經鑒證后的信息系統對信息的使用者是有價值的,高可信的信息系統可以吸引更多的投資者,這對積極爭取上市的保險公司具有重要意義。信息系統審計還可出具管理建議書,對信息系統中存在的錯誤、舞弊、風險、不足提出控制或改進建議,以促進被審計單位對信息系統進行全面審視,并針對上述問題設計解決方案并努力完善。
3.咨詢
保險信息化產生的風險是多樣的,數據大集中也將風險進一步集中起來,只有控制、化解風險才能保障信息系統安全、穩定、持續運行。通過外部的信息系統審計,可借助于其相對于信息系統建設者、使用者、服務提供廠商的獨立性,依據其專業的風險管理經驗或知識,在保險公司信息化過程中幫助其建立、健全內部控制制度,進行系統診斷、評估和咨詢;也可根據實際情況,客觀中立地提出合適的信息系統解決方案,幫助保險公司改進管理流程、優化信息系統,使信息系統能更好地服務于保險公司經營管理的需要。通過審計咨詢,也使信息系統審計能更好地服務于保險公司信息化建設。
五、當前保險公司開展信息系統審計的建議
保險公司的信息系統審計尚處于探索、起步階段,需要一個漸進的過程。在當前情況下,信息系統審計人員應參與生產系統建設,使生產系統在建設過程中即得到專業的審計指導,從而為生產系統投產后的審計工作提供標準的審計接口,為今后審計系統自動進行生產系統審計打好基礎。
保險公司信息系統外部審計通過引入專業審計機構進行,可與外部財務審計相結合,在進行外部財務審計時進行信息系統審計,審計重點可集中在管理層所關注的局部問題。信息系統內部審計可在公司內部稽核工作中進行,在進行業務稽核、財務稽核時開展相應的信息系統審計,審計范圍可確定為管理層所關注的風險控制點。信息系統自查、自糾式審計,可通過信息技術管理達標活動,對照標準,自查自糾;也可參照外部審計、內部審計的審計標準,進行自我評估與自我提高。信息系統審計也可從專項審計開始,如信息系統安全審計、生產系統運行流程審計,或更細的退保處理審計、間接傭金處理審計,在“點”、“線”基礎上,不斷積累審計要素、審計標準、審計方法、審計關鍵控制點,并以此為基礎開發相應的審計系統,改進審計手段、提高審計效率,使信息系統審計工作有方法、有成果、有經驗、有軟件,以“點”帶“面”,以“線”促“塊”,從而分步演進,形成整體化的、程序化的、制度化的信息系統審計體系。
國際上信息系統審計已經體系化、標準化、程序化了。國內銀行業也已從最初的內部非現場稽核發展為信息系統審計。相對而言,我國保險業的信息系統審計起步晚,通常在外部財務審計的過程中,附帶少量的信息系統的抽查與稽核,與信息化的高度發展相比,信息系統審計相對滯后,應加快發展。信息系統審計的發展,關鍵在行動,通過探索、嘗試、總結、完善,使之成為保險公司信息化風險防范的制度化措施。通過對信息系統的外部審計、公司內部審計和自查審計促進信息系統特別是生產系統的安全、穩定、持續運行從而為保險公司的誠信服務和穩健經營提供強有力的技術保障。
(責任編輯:中大編輯)