一、信息系统审计的内容
- S# s9 @$ t6 \/ I7 I5 }. r# x 1.打点流程审计) j/ ?( L6 P% B, Y+ p2 S
信息手艺打点流程审计首要评估与公司成长计谋方针相一致的信息手艺规划,评估信息手艺工作条例或工作轨范,评估信息手艺部门的工作职责与工作分工,评估信息系统取得开发、购置、引进的轨制和流程,评估出产系统的运行维护的轨制和流程,评估项目打点、项目监理的轨制和流程,评估信息系统的平安打点轨制,评估开发、测试、出产系统分岗制衡打点轨制等。
7 Y3 j! \: C& ^/ G 2.手艺平台审计
7 a ?! Q) |0 h' H2 |: X0 Y2 W0 d 信息手艺平台审计首要评估信息手艺基本平台的运行与平安打点,搜罗拓馇运行与平安打点如路由器、收集设备、防火墙、通信线路等、硬件运行与平安打点如小型机、处事器、前置机、打印机、扫描仪、存储设备、PC、终端等、操作系统及数据库等运行平台的运行与平安打点如Unix、Windows、数据库、中心件、应用开发工具、应用发布工具、版本打点工具、项目打点工具、防/杀管工具等。& j; [7 b0 M$ U- J, E% r \
3.信息系统项目审计
0 u8 |3 z9 r' s% } 信息系统项目审计首要评估信息系统项目打点与项目监理的有用性。; }" O; O! A! n, [2 J
项目打点审计首要评估项目启动、立项、需求剖析、系统设计、开发、测试、试点、验收、推广过程的有用性,评价系统开发生命周期中的每一个轨范是否均被严酷执行,评价系统迁移的方案与效不美观,评价各类项目文档是否齐全。其目的是节制项目进展过程中的风险。9 C' o# A4 M& M( x5 |
项目监理审计首要评估项目监理在信息系统培植过程中阐扬的浸染,评估项目监理是否有用保证了信息系统培植的质量、进度和成本合适项目立项时的要求。评估项目打点与项目监理间的责职是否清楚,分工是否明晰。
' D# H! k+ S# ^3 [/ w) ?3 } 4.出产系统审计
/ [( I# n$ X6 j4 G 信息系统的上线与投产,仅仅是信息化的起头,年夜量的风险与问题出色此刻信息系统的出产运行与维护阶段。保险公司内部一般均成立了焦点营业系统、人员营销员等打点系统、财政系统、精算系统、再保系统等出产系统,公司的出产经营勾昔时夜多要经由过程出产系统进行,出产系统审计便显得更为主要。$ W" P# g# T0 N( f: |! N
出产系统的审计首先是信息系统与营业流程吻合审计,首要评估现实营业操作流程与信息系统操作流程的吻合情形,评估信息系统对需求的知足度及信息系统操作流程与营业操作流程的吻合度。以退保操作流程为例,退保的典型措置体例是在信息系统中发生应付信息,而财政支出退保款后不再在系统中确认已付款,这就导致系统信息与现实情形纷歧致,致使流程与数据均不完整,流程被短路、数据被割裂,最终导致数据可用性差,并留下平安隐患。其次是评估与信息系统相关的风险。评估数据访谒授权、系统功能授权、营业操作授权、营业审批抉择授权是否有用,是否拥有防止犯警进行数据改削的法子。评估或测试信息系统中的关头节制点是否获得有用节制,如核赔中了案环节节制,需评估了案前的赔案信息状况,如资料是否完整,计较是否正确,会签、审批是否完成。同时需评估了案后的流程执行是否完整,如数据流是否与营业单证流一致。也可评估了案后对保单承保如了案后要求限制承保、保全如了案后要求扣还保单质押借债、保留给付如了案后要求中止保留给付或确保再给付几年等的影响,测试该关头点对保单生命周期各环节的影响是否合理与正确。+ p/ F$ q3 y4 E" v, j: B H. C
5 z: ]% ~+ x/ }# K M. C" f
二、信息系统审计流程* U" L5 T8 }5 F1 m
信息系统审计的工作流程首要搜罗确定审计规模、做好审计筹备、进行审计评估、出具审计陈述、供给打点咨询等过程。
: s* p1 S$ y7 Y/ ~ 可按照审计方针,确定审计规模。例如,是进行周全审计仍是专项审计;是进行全公司审计仍是部门分公司审计。在此基本上拟定审计预案,审计预案中要确定审计依据、人员分工、审计工作轨范、体例技巧、审计工作文档模板与案例、审计时刻表,并注明需重点关注的处所,也可以将审计预案建造成审计工作手册,让每一个审计人员获得同样的信息。" @, M5 j9 I9 D( X2 d( q
进行审计评估时,应对照审计依据,体味被审计单元的信息手艺打点流程、手艺基本平台、出产系统运行情形与打点轨制,经由过程关头点测试等体例做出合理、合理的评估。完成后还需出具具体的审计陈述,对被审计信息系统或专项被审计对象进行鉴证,并提出需要的打点建议书,也可自动为被审计单元供给打点咨询,促进或辅佐被审计单元提高信息系统打点水平。对于公司内部审计,还有一个经由过程供给打点咨询辅佐其提高打点水平的过程,如总公司对分公司的审计,或公司内部对信息系统的审计,更多的责任或义务是经由过程内部审计发现信息手艺打点中的不足,提出改良建议,并督促或教育本能机能部门改良、完美。
2 O0 {1 J) Y; u' Y+ d5 ?0 a 三、信息系统审计体例8 y, N6 J4 C z j/ T
1.信息系统审计机构! V3 B6 }* X3 ?2 l/ g
保险公司应有专门的机构负责信息系统审计工作,拟定信息系统审计打点轨制和工作轨范、设计审计方案、建造审计打算、开发审计评估、出具审计陈述、提出改良建议、供给打点咨询。" I1 K- a1 l2 ~% {9 t3 \5 x* `1 K
2.常规审计与专项审计5 k% T3 I5 l, A& q0 h: r5 @& F3 b3 {
信息系统审计也可分为常规审计和专项审计。常规审计为例行的周全审计,如每年一次对信息系统进行周全的审计,搜罗打点流程、手艺平台、项目开发和出产系统审计,对信息系统做出周全的评估、鉴证,提出打点建议。专项审计可以针对信息系统打点的某一方面进行专门的审计,可以视现实情形选择进行。如信息系统运行平安的专项审计,可以对公司在信息系统方面的平安打点法子、手艺法子的现实应用情形进行审计评估、鉴证,提出打点建议。专项审计针对公司重点关心的专项问题,针对性强。专项审计也可用于高级信息手艺打点人员的离任审计。 , t* a, g4 f; p& h, H2 g
3.现场审计与非现场审计
0 b+ ~: }4 s Z+ Y' T& D$ I0 v7 g 信息系统审计可在现场进行,也可在非现场进行。现场审计合用于需在现场访谈、不雅察看、测试、发芽拜访的情形。如对信息系统操作流程与现实营业操作流程吻合度的审计,需在现场不雅察看数据流与什物流的流转情形。非现场审计首要借助非现场审计系统进行,经由过程计较机系统进行审计。如对万能险账户积数与账户余额的监控,可以经由过程计较机系统进行远程随机实时审计,也可要求被审计单元打印指定账户积数与余额后传真至审计机构进行审计。现场审计与非现场审计可以阐扬按期审计与随机实时审计相连系的优势,使信息系统审计轨制化。
H# F% L: u' E' b! r7 O2 n" ] 4.外部审计、内部审计与自查审计0 ^# H; V. F9 ?. h! w4 Q
外部审计是指由公司外部自力的专业审计机构进行的审计,可对信息系统做出合理、合理的评价,可参照财政审计,每年进行一次。内部审计首要由保险公司内部的审计机构对信息系统进行审计,其目的在于辅自傲息打点部门找差距,并督促和教育信息打点部门提高信息系统打点水平。自查审计首要由各级信息手艺打点部门对照信息手艺打点尺度自查、自纠,进行自我打点与自我完美。
. A/ r# F6 H; t" P1 B 5.经由过程审计系统进行审计2 c/ k- T) B8 @5 X# V' L
信息系统审计的常用体例有访谈、不雅察看、现场测试、调阅文档、发芽拜访信息系统相关脚色等,也可以开发审计系统对出产系统进行审计。- H5 s6 c, q. t! D
要实现经由过程审计系统对出产系统进行审计,必需增强对出产系统培植的事前和事中审计,在出产辖档廷项、培植时,应明晰审计要求,审计人员应介入出产系统的立项、需求剖析、设计、验收等工作。在出产系统中,应设置审计接口,记实审计轨迹,由计较机自动记实审计线索,对于改削与删除的操作,应参照会计的红字更处死,在出产系统中留下可追溯的记实。在对出产系统进行验收的过程中,除评价系统是否达到了设计方针、是否知足需求外,还需强调出产系统的可审计性。在开发出产系统的同时,也要开发响应的审计系统,使出产系统投产后就有响应的审计系统投产运行。
) {9 A! G) |5 q0 j 开发响应的审计系统,应借鉴国际通用的审计软件,形成一套有保险公私行身特色的通用审计系统,经由过程对数据的采集、比对、剖析,对关头审计点的跟踪、监控、反馈,保障出产系统健康、平安地运行。经由过程审计系统的应用,汇集年夜量的审计案例,剖析其中的纪律,强化已有的节制点,发现或部署新的节制点。这样,一方面进一步改良出产系统的运行状况;另一方面进一步完美审计系统自身功能,使出产系统与审计系统的应用水平配合提高。 , p. w% C5 J Q4 n% W' D, ]8 z
四、信息系统审计的方针与使命- g* `* w' q0 _* C$ W
信息系统审计的根柢方针是促进信息系统平安、不变、有用、持续运行。经由过程对信息系统的平安性、不变性和有用性进行审计、咨询,降低保险公司面临的信息系统风险,促使保险公司信息手艺成长方针与其总体经营方针、计谋相一致。其使命是完核对信息系统的鉴证、促进和咨询。) r% K. ?. V$ E6 S% Q! Q
1.鉴证
5 f) s1 G, X+ H: W4 q- n 信息系统审计的鉴证是指经由过程审计,合理地保证被审计单元信息系统及其措置、发生的信息的真实性、完整性与有用性,政策遵循的一贯性。在市场经济下,保险公司的信息资料对其保留、成长很是主要,是其主要的信息资产;同时对益处相关者如监管者、投资者、代办代庖人或机构、集体客户、小我客户等也很是主要。信息系统审计以其自力的身份,对保险公司的信息系统进行审计,查出其中的各类错误、舞弊、风险、不足,有用地保证了被审计信息系统及其措置、发生信息的真实性、完整性、有用性,是维护保险公司正常出产经营不成或缺的主要手段。# [! P% e6 p& W |6 i3 G, Q6 H
2.促进+ c4 _0 q6 c3 u2 H# s0 n9 Y
信息系统审计完成后需出具审计陈述,以鉴证被审计信息系统的真实、完整、有用。这可增强人们对保险公司信息系统的信赖度。诚信即价值,经鉴证后的信息系统对信息的使用者是有价值的,高可托的信息系统可以吸引更多的投资者,这对积极争夺上市的保险公司具有主要意义。信息系统审计还可出具打点建议书,对信息系统中存在的错误、舞弊、风险、不足提出节制或改良建议,以促进被审计单元对信息系统进行周全审阅,并针对上述问题设计解决方案并全力完美。
3 R1 T0 W5 A) s' O2 h1 M 3.咨询
4 w* h r. p, y" V 保险信息化发生的风险是多样的,数据年夜集中也将风险进一步集中起来,只有节制、化解风险才能保障信息系统平安、不变、持续运行。经由过程外部的信息系统审计,可借助于其相对于信息系统培植者、使用者、处事供给厂商的自力性,依据其专业的风险打点经验或常识,在保险公司信息化过程中辅佐其成立、健全内部节制轨制,进行系统诊断、评估和咨询;也可按照现实情形,客不美观中登时提出合适的信息系统解决方案,辅佐保险公司改良打点流程、优化信息系统,使信息系统能更好地处事于保险公司经营打点的需要。经由过程审计咨询,也使信息系统审计能更好地处事于保险公司信息化培植。
, V3 u! p' @3 {5 t0 {$ P0 [; ` 五、当前保险公司开展信息系统审计的建议& ]4 b1 j/ _% u( ?1 U$ H, A' w
保险公司的信息系统审计尚处于试探、起步阶段,需要一个渐进的过程。在当前情形下,信息系统审计人员应介入出产系统培植,使出产系统在培植过程中即获得专业的审计指导,年夜而为出产系统投产后的审计工作供给尺度的审计接口,为此后审计系统自动进行出产系统审计打好基本。
! w: T: D: ^7 f% @- b 保险公司信息系统外部审计经由过程惹人专业审计机构进行,可与外部财政审计相连系,在进行外部财政审计时进行信息系统审计,审计重点可集中在打点层所关注的局部问题。信息系统内部审计可在公司内部审核工作中进行,在进行营业审核、财政审核时开展响应的信息系统审计,审计规模可确定为打点层所关注的风险节制点。信息系统自查、自纠式审计,可经由过程信息手艺打点达标勾当,对照尺度,自查自纠;也可参照外部审计、内部审计的审计尺度,进行自我评估与自我提高。信息系统审计也可年夜专项审计起头,如信息系统平安审计、出产系统运行流程审计,或更细的退保措置审计、借居佣金措置审计,在“点”、“线”基本上,不竭堆集审计要素、审计尺度、审计体例、审计关头节制点,并以此为基本开发响应的审计系统,改良审计手段、提高审计效率,使信息系统审计工作有体例、有成不美观、有经验、有软件,以“点”带“面”,以“线”促“块”,年夜而分步演进,形成整体化的、轨范化的、轨制化的信息系统审计系统。
% Y* i& H( H! U- @# F8 p5 x& `- X' Z 国际上信息系统审计已经系统化、尺度化、轨范化了。国内银行业也已年夜最初的内部非现场审核成长为信息系统审计。相对而言,我国保险业的信息系统审计起步晚,凡是在外部财政审计的过程中,附带少量的信息系统的抽查与审核,与信息化的高度成长对比,信息系统审计相对滞后,应加速成长。信息系统审计的成长,关头在步履,经由过程试探、考试考试、总结、完美,使之成为保险公司信息化风险提防的轨制化法子。经由过程对信息系统的外部审计、公司内部审计和自查审计促进信息系统出格是出产系统的平安、不变、持续运行年夜而为保险公司的诚信处事和稳健经营供给强有力的手艺保障。 |
发表于 2012-2-23 09:38:29
