國際注冊內(nèi)部審計(jì)師

　　一、信息系統(tǒng)審計(jì)的內(nèi)容
　　1．管理流程審計(jì)
　　信息技術(shù)管理流程審計(jì)主要評估與公司發(fā)展戰(zhàn)略目標(biāo)相一致的信息技術(shù)規(guī)劃，評估信息技術(shù)工作條例或工作程序，評估信息技術(shù)部門的工作職責(zé)與工作分工，評估信息系統(tǒng)取得開發(fā)、購置、引進(jìn)的制度和流程，評估生產(chǎn)系統(tǒng)的運(yùn)行維護(hù)的制度和流程，評估項(xiàng)目管理、項(xiàng)目監(jiān)理的制度和流程，評估信息系統(tǒng)的安全管理制度，評估開發(fā)、測試、生產(chǎn)系統(tǒng)分崗制衡管理制度等。
　　2．技術(shù)平臺審計(jì)
　　信息技術(shù)平臺審計(jì)主要評估信息技術(shù)基礎(chǔ)平臺的運(yùn)行與安全管理，包括網(wǎng)絡(luò)運(yùn)行與安全管理如路由器、網(wǎng)絡(luò)設(shè)備、防火墻、通信線路等、硬件運(yùn)行與安全管理如小型機(jī)、服務(wù)器、前置機(jī)、打印機(jī)、掃描儀、存儲設(shè)備、ＰＣ、終端等、操作系統(tǒng)及數(shù)據(jù)庫等運(yùn)行平臺的運(yùn)行與安全管理如Ｕｎｉｘ、Ｗｉｎｄｏｗｓ、數(shù)據(jù)庫、中間件、應(yīng)用開發(fā)工具、應(yīng)用發(fā)布工具、版本管理工具、項(xiàng)目管理工具、防/殺毒工具等。
　　3．信息系統(tǒng)項(xiàng)目審計(jì)
　　信息系統(tǒng)項(xiàng)目審計(jì)主要評估信息系統(tǒng)項(xiàng)目管理與項(xiàng)目監(jiān)理的有效性。
　　項(xiàng)目管理審計(jì)主要評估項(xiàng)目啟動、立項(xiàng)、需求分析、系統(tǒng)設(shè)計(jì)、開發(fā)、測試、試點(diǎn)、驗(yàn)收、推廣過程的有效性，評價(jià)系統(tǒng)開發(fā)生命周期中的每一個(gè)程序是否均被嚴(yán)格執(zhí)行，評價(jià)系統(tǒng)遷移的方案與效果，評價(jià)各類項(xiàng)目文檔是否齊全。其目的是控制項(xiàng)目進(jìn)展過程中的風(fēng)險(xiǎn)。
　　項(xiàng)目監(jiān)理審計(jì)主要評估項(xiàng)目監(jiān)理在信息系統(tǒng)建設(shè)過程中發(fā)揮的作用，評估項(xiàng)目監(jiān)理是否有效保證了信息系統(tǒng)建設(shè)的質(zhì)量、進(jìn)度和成本符合項(xiàng)目立項(xiàng)時(shí)的要求。評估項(xiàng)目管理與項(xiàng)目監(jiān)理間的責(zé)職是否清晰，分工是否明確。
　　4．生產(chǎn)系統(tǒng)審計(jì)
　　信息系統(tǒng)的上線與投產(chǎn)，僅僅是信息化的開始，大量的風(fēng)險(xiǎn)與問題將出現(xiàn)在信息系統(tǒng)的生產(chǎn)運(yùn)行與維護(hù)階段。保險(xiǎn)公司內(nèi)部一般均建立了核心業(yè)務(wù)系統(tǒng)、人員營銷員等管理系統(tǒng)、財(cái)務(wù)系統(tǒng)、精算系統(tǒng)、再保系統(tǒng)等生產(chǎn)系統(tǒng)，公司的生產(chǎn)經(jīng)營活動大多要通過生產(chǎn)系統(tǒng)進(jìn)行，生產(chǎn)系統(tǒng)審計(jì)便顯得更為重要。
　　生產(chǎn)系統(tǒng)的審計(jì)首先是信息系統(tǒng)與業(yè)務(wù)流程吻合審計(jì)，主要評估實(shí)際業(yè)務(wù)操作流程與信息系統(tǒng)操作流程的吻合情況，評估信息系統(tǒng)對需求的滿足度及信息系統(tǒng)操作流程與業(yè)務(wù)操作流程的吻合度。以退保操作流程為例，退保的典型處理方式是在信息系統(tǒng)中產(chǎn)生應(yīng)付信息，而財(cái)務(wù)支付退保款后不再在系統(tǒng)中確認(rèn)已付款，這就導(dǎo)致系統(tǒng)信息與實(shí)際情況不一致，致使流程與數(shù)據(jù)均不完整，流程被短路、數(shù)據(jù)被割裂，最終導(dǎo)致數(shù)據(jù)可用性差，并留下安全隱患。其次是評估與信息系統(tǒng)相關(guān)的風(fēng)險(xiǎn)。評估數(shù)據(jù)訪問授權(quán)、系統(tǒng)功能授權(quán)、業(yè)務(wù)操作授權(quán)、業(yè)務(wù)審批決定授權(quán)是否有效，是否擁有防止非法進(jìn)行數(shù)據(jù)修改的措施。評估或測試信息系統(tǒng)中的關(guān)鍵控制點(diǎn)是否得到有效控制，如核賠中結(jié)案環(huán)節(jié)控制，需評估結(jié)案前的賠案信息狀況，如資料是否完整，計(jì)算是否正確，會簽、審批是否完成。同時(shí)需評估結(jié)案后的流程執(zhí)行是否完整，如數(shù)據(jù)流是否與業(yè)務(wù)單證流一致。也可評估結(jié)案后對保單承保如結(jié)案后要求限制承保、保全如結(jié)案后要求扣還保單質(zhì)押借款、生存給付如結(jié)案后要求中止生存給付或確保再給付幾年等的影響，測試該關(guān)鍵點(diǎn)對保單生命周期各環(huán)節(jié)的影響是否合理與正確。
　　
　　二、信息系統(tǒng)審計(jì)流程
　　信息系統(tǒng)審計(jì)的工作流程主要包括確定審計(jì)范圍、做好審計(jì)準(zhǔn)備、進(jìn)行審計(jì)評估、出具審計(jì)報(bào)告、提供管理咨詢等過程。
　　可根據(jù)審計(jì)目標(biāo)，確定審計(jì)范圍。例如，是進(jìn)行全面審計(jì)還是專項(xiàng)審計(jì)；是進(jìn)行全公司審計(jì)還是部分分公司審計(jì)。在此基礎(chǔ)上制定審計(jì)預(yù)案，審計(jì)預(yù)案中要確定審計(jì)依據(jù)、人員分工、審計(jì)工作程序、方法技巧、審計(jì)工作文檔模板與案例、審計(jì)時(shí)間表，并注明需重點(diǎn)關(guān)注的地方，也可以將審計(jì)預(yù)案制作成審計(jì)工作手冊，讓每一個(gè)審計(jì)人員得到同樣的信息。
　　進(jìn)行審計(jì)評估時(shí)，應(yīng)對照審計(jì)依據(jù)，了解被審計(jì)單位的信息技術(shù)管理流程、技術(shù)基礎(chǔ)平臺、生產(chǎn)系統(tǒng)運(yùn)行環(huán)境與管理制度，通過關(guān)鍵點(diǎn)測試等方式做出公正、合理的評估。完成后還需出具詳細(xì)的審計(jì)報(bào)告，對被審計(jì)信息系統(tǒng)或?qū)ｍ?xiàng)被審計(jì)對象進(jìn)行鑒證，并提出必要的管理建議書，也可主動為被審計(jì)單位提供管理咨詢，促進(jìn)或幫助被審計(jì)單位提高信息系統(tǒng)管理水平。對于公司內(nèi)部審計(jì)，還有一個(gè)通過提供管理咨詢幫助其提高管理水平的過程，如總公司對分公司的審計(jì)，或公司內(nèi)部對信息系統(tǒng)的審計(jì)，更多的責(zé)任或義務(wù)是通過內(nèi)部審計(jì)發(fā)現(xiàn)信息技術(shù)管理中的不足，提出改進(jìn)建議，并督促或輔導(dǎo)職能部門改進(jìn)、完善。　　
　　三、信息系統(tǒng)審計(jì)方法
　　1．信息系統(tǒng)審計(jì)機(jī)構(gòu)
　　保險(xiǎn)公司應(yīng)有專門的機(jī)構(gòu)負(fù)責(zé)信息系統(tǒng)審計(jì)工作，制定信息系統(tǒng)審計(jì)管理制度和工作程序、設(shè)計(jì)審計(jì)方案、制作審計(jì)計(jì)劃、開發(fā)審計(jì)評估、出具審計(jì)報(bào)告、提出改進(jìn)建議、提供管理咨詢。
　　2．常規(guī)審計(jì)與專項(xiàng)審計(jì)
　　信息系統(tǒng)審計(jì)也可分為常規(guī)審計(jì)和專項(xiàng)審計(jì)。常規(guī)審計(jì)為例行的全面審計(jì)，如每年一次對信息系統(tǒng)進(jìn)行全面的審計(jì)，包括管理流程、技術(shù)平臺、項(xiàng)目開發(fā)和生產(chǎn)系統(tǒng)審計(jì)，對信息系統(tǒng)做出全面的評估、鑒證，提出管理建議。專項(xiàng)審計(jì)可以針對信息系統(tǒng)管理的某一方面進(jìn)行專門的審計(jì)，可以視實(shí)際情況選擇進(jìn)行。如信息系統(tǒng)運(yùn)行安全的專項(xiàng)審計(jì)，可以對公司在信息系統(tǒng)方面的安全管理措施、技術(shù)措施的實(shí)際應(yīng)用情況進(jìn)行審計(jì)評估、鑒證，提出管理建議。專項(xiàng)審計(jì)針對公司重點(diǎn)關(guān)心的專項(xiàng)問題，針對性強(qiáng)。專項(xiàng)審計(jì)也可用于高級信息技術(shù)管理人員的離任審計(jì)。　　
　　3．現(xiàn)場審計(jì)與非現(xiàn)場審計(jì)
　　信息系統(tǒng)審計(jì)可在現(xiàn)場進(jìn)行，也可在非現(xiàn)場進(jìn)行。現(xiàn)場審計(jì)適用于需在現(xiàn)場訪談、觀察、測試、調(diào)查的情況。如對信息系統(tǒng)操作流程與實(shí)際業(yè)務(wù)操作流程吻合度的審計(jì)，需在現(xiàn)場觀察數(shù)據(jù)流與實(shí)物流的流轉(zhuǎn)情況。非現(xiàn)場審計(jì)主要借助非現(xiàn)場審計(jì)系統(tǒng)進(jìn)行，通過計(jì)算機(jī)系統(tǒng)進(jìn)行審計(jì)。如對萬能險(xiǎn)賬戶積數(shù)與賬戶余額的監(jiān)控，可以通過計(jì)算機(jī)系統(tǒng)進(jìn)行遠(yuǎn)程隨機(jī)實(shí)時(shí)審計(jì)，也可要求被審計(jì)單位打印指定賬戶積數(shù)與余額后傳真至審計(jì)機(jī)構(gòu)進(jìn)行審計(jì)?，F(xiàn)場審計(jì)與非現(xiàn)場審計(jì)可以發(fā)揮定期審計(jì)與隨機(jī)實(shí)時(shí)審計(jì)相結(jié)合的優(yōu)勢，使信息系統(tǒng)審計(jì)制度化。
　　4．外部審計(jì)、內(nèi)部審計(jì)與自查審計(jì)
　　外部審計(jì)是指由公司外部獨(dú)立的專業(yè)審計(jì)機(jī)構(gòu)進(jìn)行的審計(jì)，可對信息系統(tǒng)做出合理、公正的評價(jià)，可參照財(cái)務(wù)審計(jì)，每年進(jìn)行一次。內(nèi)部審計(jì)主要由保險(xiǎn)公司內(nèi)部的審計(jì)機(jī)構(gòu)對信息系統(tǒng)進(jìn)行審計(jì)，其目的在于幫助信息管理部門找差距，并督促和輔導(dǎo)信息管理部門提高信息系統(tǒng)管理水平。自查審計(jì)主要由各級信息技術(shù)管理部門對照信息技術(shù)管理標(biāo)準(zhǔn)自查、自糾，進(jìn)行自我管理與自我完善。
　?。担ㄟ^審計(jì)系統(tǒng)進(jìn)行審計(jì)
　　信息系統(tǒng)審計(jì)的常用方法有訪談、觀察、現(xiàn)場測試、調(diào)閱文檔、調(diào)查信息系統(tǒng)相關(guān)角色等，也可以開發(fā)審計(jì)系統(tǒng)對生產(chǎn)系統(tǒng)進(jìn)行審計(jì)。
　　要實(shí)現(xiàn)通過審計(jì)系統(tǒng)對生產(chǎn)系統(tǒng)進(jìn)行審計(jì)，必須加強(qiáng)對生產(chǎn)系統(tǒng)建設(shè)的事前和事中審計(jì)，在生產(chǎn)系統(tǒng)立項(xiàng)、建設(shè)時(shí)，應(yīng)明確審計(jì)要求，審計(jì)人員應(yīng)參與生產(chǎn)系統(tǒng)的立項(xiàng)、需求分析、設(shè)計(jì)、驗(yàn)收等工作。在生產(chǎn)系統(tǒng)中，應(yīng)設(shè)置審計(jì)接口，記錄審計(jì)軌跡，由計(jì)算機(jī)自動記錄審計(jì)線索，對于修改與刪除的操作，應(yīng)參照會計(jì)的紅字更正法，在生產(chǎn)系統(tǒng)中留下可追溯的記錄。在對生產(chǎn)系統(tǒng)進(jìn)行驗(yàn)收的過程中，除評價(jià)系統(tǒng)是否達(dá)到了設(shè)計(jì)目標(biāo)、是否滿足需求外，還需強(qiáng)調(diào)生產(chǎn)系統(tǒng)的可審計(jì)性。在開發(fā)生產(chǎn)系統(tǒng)的同時(shí)，也要開發(fā)相應(yīng)的審計(jì)系統(tǒng)，使生產(chǎn)系統(tǒng)投產(chǎn)后就有相應(yīng)的審計(jì)系統(tǒng)投產(chǎn)運(yùn)行。
　　開發(fā)相應(yīng)的審計(jì)系統(tǒng)，應(yīng)借鑒國際通用的審計(jì)軟件，形成一套有保險(xiǎn)公司自身特色的通用審計(jì)系統(tǒng)，通過對數(shù)據(jù)的采集、比對、分析，對關(guān)鍵審計(jì)點(diǎn)的跟蹤、監(jiān)控、反饋，保障生產(chǎn)系統(tǒng)健康、安全地運(yùn)行。通過審計(jì)系統(tǒng)的應(yīng)用，匯集大量的審計(jì)案例，分析其中的規(guī)律，強(qiáng)化已有的控制點(diǎn)，發(fā)現(xiàn)或部署新的控制點(diǎn)。這樣，一方面進(jìn)一步改進(jìn)生產(chǎn)系統(tǒng)的運(yùn)行狀況；另一方面進(jìn)一步完善審計(jì)系統(tǒng)自身功能，使生產(chǎn)系統(tǒng)與審計(jì)系統(tǒng)的應(yīng)用水平共同提高。　　
　　四、信息系統(tǒng)審計(jì)的目標(biāo)與任務(wù)
　　信息系統(tǒng)審計(jì)的根本目標(biāo)是促進(jìn)信息系統(tǒng)安全、穩(wěn)定、有效、持續(xù)運(yùn)行。通過對信息系統(tǒng)的安全性、穩(wěn)定性和有效性進(jìn)行審計(jì)、咨詢，降低保險(xiǎn)公司面臨的信息系統(tǒng)風(fēng)險(xiǎn)，促使保險(xiǎn)公司信息技術(shù)發(fā)展目標(biāo)與其總體經(jīng)營目標(biāo)、戰(zhàn)略相一致。其任務(wù)是完成對信息系統(tǒng)的鑒證、促進(jìn)和咨詢。
　　1．鑒證
　　信息系統(tǒng)審計(jì)的鑒證是指通過審計(jì)，合理地保證被審計(jì)單位信息系統(tǒng)及其處理、產(chǎn)生的信息的真實(shí)性、完整性與有效性，政策遵循的一貫性。在市場經(jīng)濟(jì)下，保險(xiǎn)公司的信息資料對其生存、發(fā)展非常重要，是其重要的信息資產(chǎn)；同時(shí)對利益相關(guān)者如監(jiān)管者、投資者、代理人或機(jī)構(gòu)、團(tuán)體客戶、個(gè)人客戶等也非常重要。信息系統(tǒng)審計(jì)以其獨(dú)立的身份，對保險(xiǎn)公司的信息系統(tǒng)進(jìn)行審計(jì)，查出其中的各種錯(cuò)誤、舞弊、風(fēng)險(xiǎn)、不足，有效地保證了被審計(jì)信息系統(tǒng)及其處理、產(chǎn)生信息的真實(shí)性、完整性、有效性，是維護(hù)保險(xiǎn)公司正常生產(chǎn)經(jīng)營不可或缺的重要手段。
　　2．促進(jìn)
　　信息系統(tǒng)審計(jì)完成后需出具審計(jì)報(bào)告，以鑒證被審計(jì)信息系統(tǒng)的真實(shí)、完整、有效。這可增強(qiáng)人們對保險(xiǎn)公司信息系統(tǒng)的信任度。誠信即價(jià)值，經(jīng)鑒證后的信息系統(tǒng)對信息的使用者是有價(jià)值的，高可信的信息系統(tǒng)可以吸引更多的投資者，這對積極爭取上市的保險(xiǎn)公司具有重要意義。信息系統(tǒng)審計(jì)還可出具管理建議書，對信息系統(tǒng)中存在的錯(cuò)誤、舞弊、風(fēng)險(xiǎn)、不足提出控制或改進(jìn)建議，以促進(jìn)被審計(jì)單位對信息系統(tǒng)進(jìn)行全面審視，并針對上述問題設(shè)計(jì)解決方案并努力完善。
　　3．咨詢
　　保險(xiǎn)信息化產(chǎn)生的風(fēng)險(xiǎn)是多樣的，數(shù)據(jù)大集中也將風(fēng)險(xiǎn)進(jìn)一步集中起來，只有控制、化解風(fēng)險(xiǎn)才能保障信息系統(tǒng)安全、穩(wěn)定、持續(xù)運(yùn)行。通過外部的信息系統(tǒng)審計(jì)，可借助于其相對于信息系統(tǒng)建設(shè)者、使用者、服務(wù)提供廠商的獨(dú)立性，依據(jù)其專業(yè)的風(fēng)險(xiǎn)管理經(jīng)驗(yàn)或知識，在保險(xiǎn)公司信息化過程中幫助其建立、健全內(nèi)部控制制度，進(jìn)行系統(tǒng)診斷、評估和咨詢；也可根據(jù)實(shí)際情況，客觀中立地提出合適的信息系統(tǒng)解決方案，幫助保險(xiǎn)公司改進(jìn)管理流程、優(yōu)化信息系統(tǒng)，使信息系統(tǒng)能更好地服務(wù)于保險(xiǎn)公司經(jīng)營管理的需要。通過審計(jì)咨詢，也使信息系統(tǒng)審計(jì)能更好地服務(wù)于保險(xiǎn)公司信息化建設(shè)。
　　五、當(dāng)前保險(xiǎn)公司開展信息系統(tǒng)審計(jì)的建議
　　保險(xiǎn)公司的信息系統(tǒng)審計(jì)尚處于探索、起步階段，需要一個(gè)漸進(jìn)的過程。在當(dāng)前情況下，信息系統(tǒng)審計(jì)人員應(yīng)參與生產(chǎn)系統(tǒng)建設(shè)，使生產(chǎn)系統(tǒng)在建設(shè)過程中即得到專業(yè)的審計(jì)指導(dǎo)，從而為生產(chǎn)系統(tǒng)投產(chǎn)后的審計(jì)工作提供標(biāo)準(zhǔn)的審計(jì)接口，為今后審計(jì)系統(tǒng)自動進(jìn)行生產(chǎn)系統(tǒng)審計(jì)打好基礎(chǔ)。
　　保險(xiǎn)公司信息系統(tǒng)外部審計(jì)通過引入專業(yè)審計(jì)機(jī)構(gòu)進(jìn)行，可與外部財(cái)務(wù)審計(jì)相結(jié)合，在進(jìn)行外部財(cái)務(wù)審計(jì)時(shí)進(jìn)行信息系統(tǒng)審計(jì)，審計(jì)重點(diǎn)可集中在管理層所關(guān)注的局部問題。信息系統(tǒng)內(nèi)部審計(jì)可在公司內(nèi)部稽核工作中進(jìn)行，在進(jìn)行業(yè)務(wù)稽核、財(cái)務(wù)稽核時(shí)開展相應(yīng)的信息系統(tǒng)審計(jì)，審計(jì)范圍可確定為管理層所關(guān)注的風(fēng)險(xiǎn)控制點(diǎn)。信息系統(tǒng)自查、自糾式審計(jì)，可通過信息技術(shù)管理達(dá)標(biāo)活動，對照標(biāo)準(zhǔn)，自查自糾；也可參照外部審計(jì)、內(nèi)部審計(jì)的審計(jì)標(biāo)準(zhǔn)，進(jìn)行自我評估與自我提高。信息系統(tǒng)審計(jì)也可從專項(xiàng)審計(jì)開始，如信息系統(tǒng)安全審計(jì)、生產(chǎn)系統(tǒng)運(yùn)行流程審計(jì)，或更細(xì)的退保處理審計(jì)、間接傭金處理審計(jì)，在“點(diǎn)”、“線”基礎(chǔ)上，不斷積累審計(jì)要素、審計(jì)標(biāo)準(zhǔn)、審計(jì)方法、審計(jì)關(guān)鍵控制點(diǎn)，并以此為基礎(chǔ)開發(fā)相應(yīng)的審計(jì)系統(tǒng)，改進(jìn)審計(jì)手段、提高審計(jì)效率，使信息系統(tǒng)審計(jì)工作有方法、有成果、有經(jīng)驗(yàn)、有軟件，以“點(diǎn)”帶“面”，以“線”促“塊”，從而分步演進(jìn)，形成整體化的、程序化的、制度化的信息系統(tǒng)審計(jì)體系。
　　國際上信息系統(tǒng)審計(jì)已經(jīng)體系化、標(biāo)準(zhǔn)化、程序化了。國內(nèi)銀行業(yè)也已從最初的內(nèi)部非現(xiàn)場稽核發(fā)展為信息系統(tǒng)審計(jì)。相對而言，我國保險(xiǎn)業(yè)的信息系統(tǒng)審計(jì)起步晚，通常在外部財(cái)務(wù)審計(jì)的過程中，附帶少量的信息系統(tǒng)的抽查與稽核，與信息化的高度發(fā)展相比，信息系統(tǒng)審計(jì)相對滯后，應(yīng)加快發(fā)展。信息系統(tǒng)審計(jì)的發(fā)展，關(guān)鍵在行動，通過探索、嘗試、總結(jié)、完善，使之成為保險(xiǎn)公司信息化風(fēng)險(xiǎn)防范的制度化措施。通過對信息系統(tǒng)的外部審計(jì)、公司內(nèi)部審計(jì)和自查審計(jì)促進(jìn)信息系統(tǒng)特別是生產(chǎn)系統(tǒng)的安全、穩(wěn)定、持續(xù)運(yùn)行從而為保險(xiǎn)公司的誠信服務(wù)和穩(wěn)健經(jīng)營提供強(qiáng)有力的技術(shù)保障。

（責(zé)任編輯：中大編輯）