發(fā)表時間:2014/4/15 17:00:00 來源:中大網(wǎng)校
點擊關(guān)注微信:
一、信息系統(tǒng)審計的內(nèi)容
1.管理流程審計
信息技術(shù)管理流程審計主要評估與公司發(fā)展戰(zhàn)略目標(biāo)相一致的信息技術(shù)規(guī)劃,評估信息技術(shù)工作條例或工作程序,評估信息技術(shù)部門的工作
職責(zé)與工作分工,評估信息系統(tǒng)取得開發(fā)、購置、引進(jìn)的制度和流程,評估生產(chǎn)系統(tǒng)的運行維護(hù)的制度和流程,評估項目管理、項目
監(jiān)理的制度和流程,評估信息系統(tǒng)的安全管理制度,評估開發(fā)、測試、生產(chǎn)系統(tǒng)分崗制衡管理制度等。
2.技術(shù)平臺審計
信息技術(shù)平臺審計主要評估信息技術(shù)基礎(chǔ)平臺的運行與安全管理,包括網(wǎng)絡(luò)運行與安全管理如路由器、網(wǎng)絡(luò)設(shè)備、防火墻、通信線路等、硬件運行與安全管理如小型機、服務(wù)器、前置機、打印機、掃描儀、存儲設(shè)備、PC、終端等、操作系統(tǒng)及數(shù)據(jù)庫等運行平臺的運行與安全管理如Unix、Windows、數(shù)據(jù)庫、中間件、應(yīng)用開發(fā)工具、應(yīng)用發(fā)布工具、版本管理工具、項目管理工具、防/殺毒工具等。
3.信息系統(tǒng)項目審計
信息系統(tǒng)項目審計主要評估信息系統(tǒng)項目管理與項目監(jiān)理的有效性。
項目管理審計主要評估項目啟動、立項、需求分析、系統(tǒng)設(shè)計、開發(fā)、測試、試點、驗收、推廣過程的有效性,評價系統(tǒng)開發(fā)生命周期中的每一個程序是否均被嚴(yán)格執(zhí)行,評價系統(tǒng)遷移的方案與效果,評價各類項目文檔是否齊全。其目的是控制項目進(jìn)展過程中的風(fēng)險。
項目監(jiān)理審計主要評估項目監(jiān)理在信息系統(tǒng)建設(shè)過程中發(fā)揮的作用,評估項目監(jiān)理是否有效保證了信息系統(tǒng)建設(shè)的質(zhì)量、進(jìn)度和成本符合項目立項時的要求。評估項目管理與項目監(jiān)理間的責(zé)職是否清晰,分工是否明確。
4.生產(chǎn)系統(tǒng)審計
信息系統(tǒng)的上線與投產(chǎn),僅僅是信息化的開始,大量的風(fēng)險與問題將出現(xiàn)在信息系統(tǒng)的生產(chǎn)運行與維護(hù)階段。保險公司內(nèi)部一般均建立了核心業(yè)務(wù)系統(tǒng)、人員營銷員等管理系統(tǒng)、財務(wù)系統(tǒng)、精算系統(tǒng)、再保系統(tǒng)等生產(chǎn)系統(tǒng),公司的生產(chǎn)經(jīng)營活動大多要通過生產(chǎn)系統(tǒng)進(jìn)行,生產(chǎn)系統(tǒng)審計便顯得更為重要。
生產(chǎn)系統(tǒng)的審計首先是信息系統(tǒng)與業(yè)務(wù)流程吻合審計,主要評估實際業(yè)務(wù)操作流程與信息系統(tǒng)操作流程的吻合情況,評估信息系統(tǒng)對需求的滿足度及信息系統(tǒng)操作流程與業(yè)務(wù)操作流程的吻合度。以退保操作流程為例,退保的典型處理方式是在信息系統(tǒng)中產(chǎn)生應(yīng)付信息,而財務(wù)支付退??詈蟛辉僭谙到y(tǒng)中確認(rèn)已付款,這就導(dǎo)致系統(tǒng)信息與實際情況不一致,致使流程與數(shù)據(jù)均不完整,流程被短路、數(shù)據(jù)被割裂,最終導(dǎo)致數(shù)據(jù)可用性差,并留下安全隱患。其次是評估與信息系統(tǒng)相關(guān)的風(fēng)險。評估數(shù)據(jù)訪問授權(quán)、系統(tǒng)功能授權(quán)、業(yè)務(wù)操作授權(quán)、業(yè)務(wù)審批決定授權(quán)是否有效,是否擁有防止非法進(jìn)行數(shù)據(jù)修改的措施。評估或測試信息系統(tǒng)中的關(guān)鍵控制點是否得到有效控制,如核賠中結(jié)案環(huán)節(jié)控制,需評估結(jié)案前的賠案信息狀況,如資料是否完整,計算是否正確,會簽、審批是否完成。同時需評估結(jié)案后的流程執(zhí)行是否完整,如數(shù)據(jù)流是否與業(yè)務(wù)單證流一致。也可評估結(jié)案后對保單承保如結(jié)案后要求限制承保、保全如結(jié)案后要求扣還保單質(zhì)押借款、生存給付如結(jié)案后要求中止生存給付或確保再給付幾年等的影響,測試該關(guān)鍵點對保單生命周期各環(huán)節(jié)的影響是否合理與正確。
二、信息系統(tǒng)審計流程
信息系統(tǒng)審計的工作流程主要包括確定審計范圍、做好審計準(zhǔn)備、進(jìn)行審計評估、出具審計報告、提供
管理咨詢等過程。
可根據(jù)審計目標(biāo),確定審計范圍。例如,是進(jìn)行全面審計還是專項審計;是進(jìn)行全公司審計還是部分分公司審計。在此基礎(chǔ)上制定審計預(yù)案,審計預(yù)案中要確定審計依據(jù)、人員分工、審計工作程序、方法技巧、審計工作文檔模板與案例、審計時間表,并注明需重點關(guān)注的地方,也可以將審計預(yù)案制作成審計工作手冊,讓每一個審計人員得到同樣的信息。
進(jìn)行審計評估時,應(yīng)對照審計依據(jù),了解被審計單位的信息技術(shù)管理流程、技術(shù)基礎(chǔ)平臺、生產(chǎn)系統(tǒng)運行環(huán)境與管理制度,通過關(guān)鍵點測試等方式做出公正、合理的評估。完成后還需出具詳細(xì)的審計報告,對被審計信息系統(tǒng)或?qū)m棻粚徲媽ο筮M(jìn)行鑒證,并提出必要的管理建議書,也可主動為被審計單位提供管理咨詢,促進(jìn)或幫助被審計單位提高信息系統(tǒng)管理水平。對于公司內(nèi)部審計,還有一個通過提供管理咨詢幫助其提高管理水平的過程,如總公司對分公司的審計,或公司內(nèi)部對信息系統(tǒng)的審計,更多的責(zé)任或義務(wù)是通過內(nèi)部審計發(fā)現(xiàn)信息技術(shù)管理中的不足,提出改進(jìn)建議,并督促或輔導(dǎo)職能部門改進(jìn)、完善。
三、信息系統(tǒng)審計方法
1.信息系統(tǒng)審計機構(gòu)
保險公司應(yīng)有專門的機構(gòu)負(fù)責(zé)信息系統(tǒng)審計工作,制定信息系統(tǒng)審計管理制度和工作程序、設(shè)計審計方案、制作審計計劃、開發(fā)審計評估、出具審計報告、提出改進(jìn)建議、提供管理咨詢。
2.常規(guī)審計與專項審計
信息系統(tǒng)審計也可分為常規(guī)審計和專項審計。常規(guī)審計為例行的全面審計,如每年一次對信息系統(tǒng)進(jìn)行全面的審計,包括管理流程、技術(shù)平臺、項目開發(fā)和生產(chǎn)系統(tǒng)審計,對信息系統(tǒng)做出全面的評估、鑒證,提出管理建議。專項審計可以針對信息系統(tǒng)管理的某一方面進(jìn)行專門的審計,可以視實際情況選擇進(jìn)行。如信息系統(tǒng)運行安全的專項審計,可以對公司在信息系統(tǒng)方面的安全管理措施、技術(shù)措施的實際應(yīng)用情況進(jìn)行審計評估、鑒證,提出管理建議。專項審計針對公司重點關(guān)心的專項問題,針對性強。專項審計也可用于高級信息技術(shù)管理人員的離任審計。
3.現(xiàn)場審計與非現(xiàn)場審計
信息系統(tǒng)審計可在現(xiàn)場進(jìn)行,也可在非現(xiàn)場進(jìn)行?,F(xiàn)場審計適用于需在現(xiàn)場訪談、觀察、測試、調(diào)查的情況。如對信息系統(tǒng)操作流程與實際業(yè)務(wù)操作流程吻合度的審計,需在現(xiàn)場觀察數(shù)據(jù)流與實物流的流轉(zhuǎn)情況。非現(xiàn)場審計主要借助非現(xiàn)場審計系統(tǒng)進(jìn)行,通過計算機系統(tǒng)進(jìn)行審計。如對萬能險賬戶積數(shù)與賬戶余額的監(jiān)控,可以通過計算機系統(tǒng)進(jìn)行遠(yuǎn)程隨機實時審計,也可要求被審計單位打印指定賬戶積數(shù)與余額后傳真至審計機構(gòu)進(jìn)行審計?,F(xiàn)場審計與非現(xiàn)場審計可以發(fā)揮定期審計與隨機實時審計相結(jié)合的優(yōu)勢,使信息系統(tǒng)審計制度化。
4.外部審計、內(nèi)部審計與自查審計
外部審計是指由公司外部獨立的專業(yè)審計機構(gòu)進(jìn)行的審計,可對信息系統(tǒng)做出合理、公正的評價,可參照財務(wù)審計,每年進(jìn)行一次。內(nèi)部審計主要由保險公司內(nèi)部的審計機構(gòu)對信息系統(tǒng)進(jìn)行審計,其目的在于幫助信息管理部門找差距,并督促和輔導(dǎo)信息管理部門提高信息系統(tǒng)管理水平。自查審計主要由各級信息技術(shù)管理部門對照信息技術(shù)管理標(biāo)準(zhǔn)自查、自糾,進(jìn)行自我管理與自我完善。
?。担ㄟ^審計系統(tǒng)進(jìn)行審計
信息系統(tǒng)審計的常用方法有訪談、觀察、現(xiàn)場測試、調(diào)閱文檔、調(diào)查信息系統(tǒng)相關(guān)角色等,也可以開發(fā)審計系統(tǒng)對生產(chǎn)系統(tǒng)進(jìn)行審計。
要實現(xiàn)通過審計系統(tǒng)對生產(chǎn)系統(tǒng)進(jìn)行審計,必須加強對生產(chǎn)系統(tǒng)建設(shè)的事前和事中審計,在生產(chǎn)系統(tǒng)立項、建設(shè)時,應(yīng)明確審計要求,審計人員應(yīng)參與生產(chǎn)系統(tǒng)的立項、需求分析、設(shè)計、驗收等工作。在生產(chǎn)系統(tǒng)中,應(yīng)設(shè)置審計接口,記錄審計軌跡,由計算機自動記錄審計線索,對于修改與刪除的操作,應(yīng)參照會計的紅字更正法,在生產(chǎn)系統(tǒng)中留下可追溯的記錄。在對生產(chǎn)系統(tǒng)進(jìn)行驗收的過程中,除評價系統(tǒng)是否達(dá)到了設(shè)計目標(biāo)、是否滿足需求外,還需強調(diào)生產(chǎn)系統(tǒng)的可審計性。在開發(fā)生產(chǎn)系統(tǒng)的同時,也要開發(fā)相應(yīng)的審計系統(tǒng),使生產(chǎn)系統(tǒng)投產(chǎn)后就有相應(yīng)的審計系統(tǒng)投產(chǎn)運行。
開發(fā)相應(yīng)的審計系統(tǒng),應(yīng)借鑒國際通用的審計軟件,形成一套有保險公司自身特色的通用審計系統(tǒng),通過對數(shù)據(jù)的采集、比對、分析,對關(guān)鍵審計點的跟蹤、監(jiān)控、反饋,保障生產(chǎn)系統(tǒng)健康、安全地運行。通過審計系統(tǒng)的應(yīng)用,匯集大量的審計案例,分析其中的規(guī)律,強化已有的控制點,發(fā)現(xiàn)或部署新的控制點。這樣,一方面進(jìn)一步改進(jìn)生產(chǎn)系統(tǒng)的運行狀況;另一方面進(jìn)一步完善審計系統(tǒng)自身功能,使生產(chǎn)系統(tǒng)與審計系統(tǒng)的應(yīng)用水平共同提高?! ?BR> 四、信息系統(tǒng)審計的目標(biāo)與任務(wù)
信息系統(tǒng)審計的根本目標(biāo)是促進(jìn)信息系統(tǒng)安全、穩(wěn)定、有效、持續(xù)運行。通過對信息系統(tǒng)的安全性、穩(wěn)定性和有效性進(jìn)行審計、咨詢,降低保險公司面臨的信息系統(tǒng)風(fēng)險,促使保險公司信息技術(shù)發(fā)展目標(biāo)與其總體經(jīng)營目標(biāo)、戰(zhàn)略相一致。其任務(wù)是完成對信息系統(tǒng)的鑒證、促進(jìn)和咨詢。
1.鑒證
信息系統(tǒng)審計的鑒證是指通過審計,合理地保證被審計單位信息系統(tǒng)及其處理、產(chǎn)生的信息的真實性、完整性與有效性,政策遵循的一貫性。在市場經(jīng)濟下,保險公司的信息資料對其生存、發(fā)展非常重要,是其重要的信息資產(chǎn);同時對利益相關(guān)者如監(jiān)管者、投資者、代理人或機構(gòu)、團(tuán)體客戶、個人客戶等也非常重要。信息系統(tǒng)審計以其獨立的身份,對保險公司的信息系統(tǒng)進(jìn)行審計,查出其中的各種錯誤、舞弊、風(fēng)險、不足,有效地保證了被審計信息系統(tǒng)及其處理、產(chǎn)生信息的真實性、完整性、有效性,是維護(hù)保險公司正常生產(chǎn)經(jīng)營不可或缺的重要手段。
2.促進(jìn)
信息系統(tǒng)審計完成后需出具審計報告,以鑒證被審計信息系統(tǒng)的真實、完整、有效。這可增強人們對保險公司信息系統(tǒng)的信任度。誠信即價值,經(jīng)鑒證后的信息系統(tǒng)對信息的使用者是有價值的,高可信的信息系統(tǒng)可以吸引更多的投資者,這對積極爭取上市的保險公司具有重要意義。信息系統(tǒng)審計還可出具管理建議書,對信息系統(tǒng)中存在的錯誤、舞弊、風(fēng)險、不足提出控制或改進(jìn)建議,以促進(jìn)被審計單位對信息系統(tǒng)進(jìn)行全面審視,并針對上述問題設(shè)計解決方案并努力完善。
3.咨詢
保險信息化產(chǎn)生的風(fēng)險是多樣的,數(shù)據(jù)大集中也將風(fēng)險進(jìn)一步集中起來,只有控制、化解風(fēng)險才能保障信息系統(tǒng)安全、穩(wěn)定、持續(xù)運行。通過外部的信息系統(tǒng)審計,可借助于其相對于信息系統(tǒng)建設(shè)者、使用者、服務(wù)提供廠商的獨立性,依據(jù)其專業(yè)的風(fēng)險管理經(jīng)驗或知識,在保險公司信息化過程中幫助其建立、健全內(nèi)部控制制度,進(jìn)行系統(tǒng)診斷、評估和咨詢;也可根據(jù)實際情況,客觀中立地提出合適的信息系統(tǒng)解決方案,幫助保險公司改進(jìn)管理流程、優(yōu)化信息系統(tǒng),使信息系統(tǒng)能更好地服務(wù)于保險公司經(jīng)營管理的需要。通過審計咨詢,也使信息系統(tǒng)審計能更好地服務(wù)于保險公司信息化建設(shè)。
五、當(dāng)前保險公司開展信息系統(tǒng)審計的建議
保險公司的信息系統(tǒng)審計尚處于探索、起步階段,需要一個漸進(jìn)的過程。在當(dāng)前情況下,信息系統(tǒng)審計人員應(yīng)參與生產(chǎn)系統(tǒng)建設(shè),使生產(chǎn)系統(tǒng)在建設(shè)過程中即得到專業(yè)的審計指導(dǎo),從而為生產(chǎn)系統(tǒng)投產(chǎn)后的審計工作提供標(biāo)準(zhǔn)的審計接口,為今后審計系統(tǒng)自動進(jìn)行生產(chǎn)系統(tǒng)審計打好基礎(chǔ)。
保險公司信息系統(tǒng)外部審計通過引入專業(yè)審計機構(gòu)進(jìn)行,可與外部財務(wù)審計相結(jié)合,在進(jìn)行外部財務(wù)審計時進(jìn)行信息系統(tǒng)審計,審計重點可集中在管理層所關(guān)注的局部問題。信息系統(tǒng)內(nèi)部審計可在公司內(nèi)部稽核工作中進(jìn)行,在進(jìn)行業(yè)務(wù)稽核、財務(wù)稽核時開展相應(yīng)的信息系統(tǒng)審計,審計范圍可確定為管理層所關(guān)注的風(fēng)險控制點。信息系統(tǒng)自查、自糾式審計,可通過信息技術(shù)管理達(dá)標(biāo)活動,對照標(biāo)準(zhǔn),自查自糾;也可參照外部審計、內(nèi)部審計的審計標(biāo)準(zhǔn),進(jìn)行自我評估與自我提高。信息系統(tǒng)審計也可從專項審計開始,如信息系統(tǒng)安全審計、生產(chǎn)系統(tǒng)運行流程審計,或更細(xì)的退保處理審計、間接傭金處理審計,在“點”、“線”基礎(chǔ)上,不斷積累審計要素、審計標(biāo)準(zhǔn)、審計方法、審計關(guān)鍵控制點,并以此為基礎(chǔ)開發(fā)相應(yīng)的審計系統(tǒng),改進(jìn)審計手段、提高審計效率,使信息系統(tǒng)審計工作有方法、有成果、有經(jīng)驗、有軟件,以“點”帶“面”,以“線”促“塊”,從而分步演進(jìn),形成整體化的、程序化的、制度化的信息系統(tǒng)審計體系。
國際上信息系統(tǒng)審計已經(jīng)體系化、標(biāo)準(zhǔn)化、程序化了。國內(nèi)銀行業(yè)也已從最初的內(nèi)部非現(xiàn)場稽核發(fā)展為信息系統(tǒng)審計。相對而言,我國保險業(yè)的信息系統(tǒng)審計起步晚,通常在外部財務(wù)審計的過程中,附帶少量的信息系統(tǒng)的抽查與稽核,與信息化的高度發(fā)展相比,信息系統(tǒng)審計相對滯后,應(yīng)加快發(fā)展。信息系統(tǒng)審計的發(fā)展,關(guān)鍵在行動,通過探索、嘗試、總結(jié)、完善,使之成為保險公司信息化風(fēng)險防范的制度化措施。通過對信息系統(tǒng)的外部審計、公司內(nèi)部審計和自查審計促進(jìn)信息系統(tǒng)特別是生產(chǎn)系統(tǒng)的安全、穩(wěn)定、持續(xù)運行從而為保險公司的誠信服務(wù)和穩(wěn)健經(jīng)營提供強有力的技術(shù)保障。
(責(zé)任編輯:中大編輯)
共2頁,當(dāng)前第1頁 第一頁 前一頁 下一頁