國際注冊內(nèi)部審計師

　　一、信息系統(tǒng)審計的內(nèi)容
　　1．管理流程審計
　　信息技術管理流程審計主要評估與公司發(fā)展戰(zhàn)略目標相一致的信息技術規(guī)劃，評估信息技術工作條例或工作程序，評估信息技術部門的工作職責與工作分工，評估信息系統(tǒng)取得開發(fā)、購置、引進的制度和流程，評估生產(chǎn)系統(tǒng)的運行維護的制度和流程，評估項目管理、項目監(jiān)理的制度和流程，評估信息系統(tǒng)的安全管理制度，評估開發(fā)、測試、生產(chǎn)系統(tǒng)分崗制衡管理制度等。
　　2．技術平臺審計
　　信息技術平臺審計主要評估信息技術基礎平臺的運行與安全管理，包括網(wǎng)絡運行與安全管理如路由器、網(wǎng)絡設備、防火墻、通信線路等、硬件運行與安全管理如小型機、服務器、前置機、打印機、掃描儀、存儲設備、ＰＣ、終端等、操作系統(tǒng)及數(shù)據(jù)庫等運行平臺的運行與安全管理如Ｕｎｉｘ、Ｗｉｎｄｏｗｓ、數(shù)據(jù)庫、中間件、應用開發(fā)工具、應用發(fā)布工具、版本管理工具、項目管理工具、防/殺毒工具等。
　　3．信息系統(tǒng)項目審計
　　信息系統(tǒng)項目審計主要評估信息系統(tǒng)項目管理與項目監(jiān)理的有效性。
　　項目管理審計主要評估項目啟動、立項、需求分析、系統(tǒng)設計、開發(fā)、測試、試點、驗收、推廣過程的有效性，評價系統(tǒng)開發(fā)生命周期中的每一個程序是否均被嚴格執(zhí)行，評價系統(tǒng)遷移的方案與效果，評價各類項目文檔是否齊全。其目的是控制項目進展過程中的風險。
　　項目監(jiān)理審計主要評估項目監(jiān)理在信息系統(tǒng)建設過程中發(fā)揮的作用，評估項目監(jiān)理是否有效保證了信息系統(tǒng)建設的質(zhì)量、進度和成本符合項目立項時的要求。評估項目管理與項目監(jiān)理間的責職是否清晰，分工是否明確。
　　4．生產(chǎn)系統(tǒng)審計
　　信息系統(tǒng)的上線與投產(chǎn)，僅僅是信息化的開始，大量的風險與問題將出現(xiàn)在信息系統(tǒng)的生產(chǎn)運行與維護階段。保險公司內(nèi)部一般均建立了核心業(yè)務系統(tǒng)、人員營銷員等管理系統(tǒng)、財務系統(tǒng)、精算系統(tǒng)、再保系統(tǒng)等生產(chǎn)系統(tǒng)，公司的生產(chǎn)經(jīng)營活動大多要通過生產(chǎn)系統(tǒng)進行，生產(chǎn)系統(tǒng)審計便顯得更為重要。
　　生產(chǎn)系統(tǒng)的審計首先是信息系統(tǒng)與業(yè)務流程吻合審計，主要評估實際業(yè)務操作流程與信息系統(tǒng)操作流程的吻合情況，評估信息系統(tǒng)對需求的滿足度及信息系統(tǒng)操作流程與業(yè)務操作流程的吻合度。以退保操作流程為例，退保的典型處理方式是在信息系統(tǒng)中產(chǎn)生應付信息，而財務支付退?？詈蟛辉僭谙到y(tǒng)中確認已付款，這就導致系統(tǒng)信息與實際情況不一致，致使流程與數(shù)據(jù)均不完整，流程被短路、數(shù)據(jù)被割裂，最終導致數(shù)據(jù)可用性差，并留下安全隱患。其次是評估與信息系統(tǒng)相關的風險。評估數(shù)據(jù)訪問授權(quán)、系統(tǒng)功能授權(quán)、業(yè)務操作授權(quán)、業(yè)務審批決定授權(quán)是否有效，是否擁有防止非法進行數(shù)據(jù)修改的措施。評估或測試信息系統(tǒng)中的關鍵控制點是否得到有效控制，如核賠中結(jié)案環(huán)節(jié)控制，需評估結(jié)案前的賠案信息狀況，如資料是否完整，計算是否正確，會簽、審批是否完成。同時需評估結(jié)案后的流程執(zhí)行是否完整，如數(shù)據(jù)流是否與業(yè)務單證流一致。也可評估結(jié)案后對保單承保如結(jié)案后要求限制承保、保全如結(jié)案后要求扣還保單質(zhì)押借款、生存給付如結(jié)案后要求中止生存給付或確保再給付幾年等的影響，測試該關鍵點對保單生命周期各環(huán)節(jié)的影響是否合理與正確。
　　
　　二、信息系統(tǒng)審計流程
　　信息系統(tǒng)審計的工作流程主要包括確定審計范圍、做好審計準備、進行審計評估、出具審計報告、提供管理咨詢等過程。
　　可根據(jù)審計目標，確定審計范圍。例如，是進行全面審計還是專項審計；是進行全公司審計還是部分分公司審計。在此基礎上制定審計預案，審計預案中要確定審計依據(jù)、人員分工、審計工作程序、方法技巧、審計工作文檔模板與案例、審計時間表，并注明需重點關注的地方，也可以將審計預案制作成審計工作手冊，讓每一個審計人員得到同樣的信息。
　　進行審計評估時，應對照審計依據(jù)，了解被審計單位的信息技術管理流程、技術基礎平臺、生產(chǎn)系統(tǒng)運行環(huán)境與管理制度，通過關鍵點測試等方式做出公正、合理的評估。完成后還需出具詳細的審計報告，對被審計信息系統(tǒng)或?qū)ｍ棻粚徲媽ο筮M行鑒證，并提出必要的管理建議書，也可主動為被審計單位提供管理咨詢，促進或幫助被審計單位提高信息系統(tǒng)管理水平。對于公司內(nèi)部審計，還有一個通過提供管理咨詢幫助其提高管理水平的過程，如總公司對分公司的審計，或公司內(nèi)部對信息系統(tǒng)的審計，更多的責任或義務是通過內(nèi)部審計發(fā)現(xiàn)信息技術管理中的不足，提出改進建議，并督促或輔導職能部門改進、完善。　　
　　三、信息系統(tǒng)審計方法
　　1．信息系統(tǒng)審計機構(gòu)
　　保險公司應有專門的機構(gòu)負責信息系統(tǒng)審計工作，制定信息系統(tǒng)審計管理制度和工作程序、設計審計方案、制作審計計劃、開發(fā)審計評估、出具審計報告、提出改進建議、提供管理咨詢。
　　2．常規(guī)審計與專項審計
　　信息系統(tǒng)審計也可分為常規(guī)審計和專項審計。常規(guī)審計為例行的全面審計，如每年一次對信息系統(tǒng)進行全面的審計，包括管理流程、技術平臺、項目開發(fā)和生產(chǎn)系統(tǒng)審計，對信息系統(tǒng)做出全面的評估、鑒證，提出管理建議。專項審計可以針對信息系統(tǒng)管理的某一方面進行專門的審計，可以視實際情況選擇進行。如信息系統(tǒng)運行安全的專項審計，可以對公司在信息系統(tǒng)方面的安全管理措施、技術措施的實際應用情況進行審計評估、鑒證，提出管理建議。專項審計針對公司重點關心的專項問題，針對性強。專項審計也可用于高級信息技術管理人員的離任審計?！　?BR>　　3．現(xiàn)場審計與非現(xiàn)場審計
　　信息系統(tǒng)審計可在現(xiàn)場進行，也可在非現(xiàn)場進行。現(xiàn)場審計適用于需在現(xiàn)場訪談、觀察、測試、調(diào)查的情況。如對信息系統(tǒng)操作流程與實際業(yè)務操作流程吻合度的審計，需在現(xiàn)場觀察數(shù)據(jù)流與實物流的流轉(zhuǎn)情況。非現(xiàn)場審計主要借助非現(xiàn)場審計系統(tǒng)進行，通過計算機系統(tǒng)進行審計。如對萬能險賬戶積數(shù)與賬戶余額的監(jiān)控，可以通過計算機系統(tǒng)進行遠程隨機實時審計，也可要求被審計單位打印指定賬戶積數(shù)與余額后傳真至審計機構(gòu)進行審計?，F(xiàn)場審計與非現(xiàn)場審計可以發(fā)揮定期審計與隨機實時審計相結(jié)合的優(yōu)勢，使信息系統(tǒng)審計制度化。
　　4．外部審計、內(nèi)部審計與自查審計
　　外部審計是指由公司外部獨立的專業(yè)審計機構(gòu)進行的審計，可對信息系統(tǒng)做出合理、公正的評價，可參照財務審計，每年進行一次。內(nèi)部審計主要由保險公司內(nèi)部的審計機構(gòu)對信息系統(tǒng)進行審計，其目的在于幫助信息管理部門找差距，并督促和輔導信息管理部門提高信息系統(tǒng)管理水平。自查審計主要由各級信息技術管理部門對照信息技術管理標準自查、自糾，進行自我管理與自我完善。
　?。担ㄟ^審計系統(tǒng)進行審計
　　信息系統(tǒng)審計的常用方法有訪談、觀察、現(xiàn)場測試、調(diào)閱文檔、調(diào)查信息系統(tǒng)相關角色等，也可以開發(fā)審計系統(tǒng)對生產(chǎn)系統(tǒng)進行審計。
　　要實現(xiàn)通過審計系統(tǒng)對生產(chǎn)系統(tǒng)進行審計，必須加強對生產(chǎn)系統(tǒng)建設的事前和事中審計，在生產(chǎn)系統(tǒng)立項、建設時，應明確審計要求，審計人員應參與生產(chǎn)系統(tǒng)的立項、需求分析、設計、驗收等工作。在生產(chǎn)系統(tǒng)中，應設置審計接口，記錄審計軌跡，由計算機自動記錄審計線索，對于修改與刪除的操作，應參照會計的紅字更正法，在生產(chǎn)系統(tǒng)中留下可追溯的記錄。在對生產(chǎn)系統(tǒng)進行驗收的過程中，除評價系統(tǒng)是否達到了設計目標、是否滿足需求外，還需強調(diào)生產(chǎn)系統(tǒng)的可審計性。在開發(fā)生產(chǎn)系統(tǒng)的同時，也要開發(fā)相應的審計系統(tǒng)，使生產(chǎn)系統(tǒng)投產(chǎn)后就有相應的審計系統(tǒng)投產(chǎn)運行。
　　開發(fā)相應的審計系統(tǒng)，應借鑒國際通用的審計軟件，形成一套有保險公司自身特色的通用審計系統(tǒng)，通過對數(shù)據(jù)的采集、比對、分析，對關鍵審計點的跟蹤、監(jiān)控、反饋，保障生產(chǎn)系統(tǒng)健康、安全地運行。通過審計系統(tǒng)的應用，匯集大量的審計案例，分析其中的規(guī)律，強化已有的控制點，發(fā)現(xiàn)或部署新的控制點。這樣，一方面進一步改進生產(chǎn)系統(tǒng)的運行狀況；另一方面進一步完善審計系統(tǒng)自身功能，使生產(chǎn)系統(tǒng)與審計系統(tǒng)的應用水平共同提高?！　?BR>　　四、信息系統(tǒng)審計的目標與任務
　　信息系統(tǒng)審計的根本目標是促進信息系統(tǒng)安全、穩(wěn)定、有效、持續(xù)運行。通過對信息系統(tǒng)的安全性、穩(wěn)定性和有效性進行審計、咨詢，降低保險公司面臨的信息系統(tǒng)風險，促使保險公司信息技術發(fā)展目標與其總體經(jīng)營目標、戰(zhàn)略相一致。其任務是完成對信息系統(tǒng)的鑒證、促進和咨詢。
　　1．鑒證
　　信息系統(tǒng)審計的鑒證是指通過審計，合理地保證被審計單位信息系統(tǒng)及其處理、產(chǎn)生的信息的真實性、完整性與有效性，政策遵循的一貫性。在市場經(jīng)濟下，保險公司的信息資料對其生存、發(fā)展非常重要，是其重要的信息資產(chǎn)；同時對利益相關者如監(jiān)管者、投資者、代理人或機構(gòu)、團體客戶、個人客戶等也非常重要。信息系統(tǒng)審計以其獨立的身份，對保險公司的信息系統(tǒng)進行審計，查出其中的各種錯誤、舞弊、風險、不足，有效地保證了被審計信息系統(tǒng)及其處理、產(chǎn)生信息的真實性、完整性、有效性，是維護保險公司正常生產(chǎn)經(jīng)營不可或缺的重要手段。
　　2．促進
　　信息系統(tǒng)審計完成后需出具審計報告，以鑒證被審計信息系統(tǒng)的真實、完整、有效。這可增強人們對保險公司信息系統(tǒng)的信任度。誠信即價值，經(jīng)鑒證后的信息系統(tǒng)對信息的使用者是有價值的，高可信的信息系統(tǒng)可以吸引更多的投資者，這對積極爭取上市的保險公司具有重要意義。信息系統(tǒng)審計還可出具管理建議書，對信息系統(tǒng)中存在的錯誤、舞弊、風險、不足提出控制或改進建議，以促進被審計單位對信息系統(tǒng)進行全面審視，并針對上述問題設計解決方案并努力完善。
　　3．咨詢
　　保險信息化產(chǎn)生的風險是多樣的，數(shù)據(jù)大集中也將風險進一步集中起來，只有控制、化解風險才能保障信息系統(tǒng)安全、穩(wěn)定、持續(xù)運行。通過外部的信息系統(tǒng)審計，可借助于其相對于信息系統(tǒng)建設者、使用者、服務提供廠商的獨立性，依據(jù)其專業(yè)的風險管理經(jīng)驗或知識，在保險公司信息化過程中幫助其建立、健全內(nèi)部控制制度，進行系統(tǒng)診斷、評估和咨詢；也可根據(jù)實際情況，客觀中立地提出合適的信息系統(tǒng)解決方案，幫助保險公司改進管理流程、優(yōu)化信息系統(tǒng)，使信息系統(tǒng)能更好地服務于保險公司經(jīng)營管理的需要。通過審計咨詢，也使信息系統(tǒng)審計能更好地服務于保險公司信息化建設。
　　五、當前保險公司開展信息系統(tǒng)審計的建議
　　保險公司的信息系統(tǒng)審計尚處于探索、起步階段，需要一個漸進的過程。在當前情況下，信息系統(tǒng)審計人員應參與生產(chǎn)系統(tǒng)建設，使生產(chǎn)系統(tǒng)在建設過程中即得到專業(yè)的審計指導，從而為生產(chǎn)系統(tǒng)投產(chǎn)后的審計工作提供標準的審計接口，為今后審計系統(tǒng)自動進行生產(chǎn)系統(tǒng)審計打好基礎。
　　保險公司信息系統(tǒng)外部審計通過引入專業(yè)審計機構(gòu)進行，可與外部財務審計相結(jié)合，在進行外部財務審計時進行信息系統(tǒng)審計，審計重點可集中在管理層所關注的局部問題。信息系統(tǒng)內(nèi)部審計可在公司內(nèi)部稽核工作中進行，在進行業(yè)務稽核、財務稽核時開展相應的信息系統(tǒng)審計，審計范圍可確定為管理層所關注的風險控制點。信息系統(tǒng)自查、自糾式審計，可通過信息技術管理達標活動，對照標準，自查自糾；也可參照外部審計、內(nèi)部審計的審計標準，進行自我評估與自我提高。信息系統(tǒng)審計也可從專項審計開始，如信息系統(tǒng)安全審計、生產(chǎn)系統(tǒng)運行流程審計，或更細的退保處理審計、間接傭金處理審計，在“點”、“線”基礎上，不斷積累審計要素、審計標準、審計方法、審計關鍵控制點，并以此為基礎開發(fā)相應的審計系統(tǒng)，改進審計手段、提高審計效率，使信息系統(tǒng)審計工作有方法、有成果、有經(jīng)驗、有軟件，以“點”帶“面”，以“線”促“塊”，從而分步演進，形成整體化的、程序化的、制度化的信息系統(tǒng)審計體系。
　　國際上信息系統(tǒng)審計已經(jīng)體系化、標準化、程序化了。國內(nèi)銀行業(yè)也已從最初的內(nèi)部非現(xiàn)場稽核發(fā)展為信息系統(tǒng)審計。相對而言，我國保險業(yè)的信息系統(tǒng)審計起步晚，通常在外部財務審計的過程中，附帶少量的信息系統(tǒng)的抽查與稽核，與信息化的高度發(fā)展相比，信息系統(tǒng)審計相對滯后，應加快發(fā)展。信息系統(tǒng)審計的發(fā)展，關鍵在行動，通過探索、嘗試、總結(jié)、完善，使之成為保險公司信息化風險防范的制度化措施。通過對信息系統(tǒng)的外部審計、公司內(nèi)部審計和自查審計促進信息系統(tǒng)特別是生產(chǎn)系統(tǒng)的安全、穩(wěn)定、持續(xù)運行從而為保險公司的誠信服務和穩(wěn)健經(jīng)營提供強有力的技術保障。

（責任編輯：中大編輯）