金融保险公司信息系统专项审计案例分享.pdfVIP

金融保险公司信息系统专项审计案例分享

金融保险公司信息系统专项审计案例分享

一、案例背景：

1、监管背景

近年来,各保险公司对信息技术的投入越来越大,保险公

司更多的产品和服务都是以数据形式存储和呈现，信息化程度

也越来越高,促进了保险公司经营管理水平的提高。由于在信

息化进程中存在操作轨迹不可见、操作流程缺失、数据非法修

改、生产系统故障、信息系统人为欺诈等各类风险。因此，迫

切需要对信息系统进行审计，保证信息系统的可信度，促进保

险公司内控体系的建设。

保险行业监督管理委员会（以下简称“保监会”）高度重

视信息管理，将信息系统风险纳入行业风险进行统一管理，不

断推进各项信息安全监管措施，在《寿险公司内部控制评价办

法（试行）》、《保险公司内部审计指引（试行）》、《保险公司内

部控制基本准则》、《保险信息安全风险评估指标体系规范》等

一系列制度中均对公司信息系统安全监管提出相关要求和规

范。其中2011年发布的133号文件《保险公司信息化工作管

理指引（试行）》特别提出由独立于信息技术部门的有关部门

负责信息系统审计工作，至少每两年进行一次审计。审计结果

应报保监会备案。

2、行业风险

保监会统计信息部会定期对保险全系统内的网络与信息

安全进行风险提示，如2015年第157号通报了两家保险公司

1/11

金融保险公司信息系统专项审计案例分享

发生系统故障造成核心业务停用的情况，两次故障分别导致服

务器宕机造成相关业务操作受到影响，鉴于此类情况保监会对

各保险公司的信息安全风险控制提出了相关要求。

通过对行业监管要求，以及同业已经出现的信息化风险的

综合考量，本保险公司审计部将信息系统专项审计纳入年度审

计计划中，并由内审部开展实施。

3、审计目标

该保险公司审计部要求通过对信息系统管理过程中重要

环节的内部控制审计，检查信息系统安全管理、信息技术发展

规划、信息系统运行维护管理、信息系统开发管理等方面，揭

示信息系统管理中内控环节存在的问题，以完善内部控制，提

高内控水平。同时，审计部仍需评价信息系统运行的效益性，

系统运作流程的合理性和合规性。

二、审计过程及方法

信息系统审计一般包含两部分即一般控制检查和应用控

制检查，本次审计项目中根据《保健稽查审计指引人身保险业

务分册》、《**公司信息系统审计手册》等制度要求，对以上两

部分控制均执行了具体的审计程序。其中一般控制包含如：组

织控制、系统开发与维护控制、系统安全控制、硬件及软件控

制以及操作控制。应用控制包括：输入输出控制、系统处理控

制等，下面简要介绍一下项目的实施情况。

1、项目资源分配

本次审计小组由1名持有CISA认证的信息系统审计师作为

2/11

金融保险公司信息系统专项审计案例分享

项目主审，1名具有四年专业信息系统审计经验的审计师，以

及2名具有多年丰富内审经验的高级审计师构成。

2、确定审计方案

在开展具体的审计程序前，项目小组通过调阅公司信息系

统相关制度，要求被审计部门提供公司当前运行的信息系统清

单列表等方式初步了解公司系统构成，系统开发、运维流程。

与此同时，项目小组初步梳理出公司重要性、风险度较高的五

个应用系统，开展了全面的用户满意度调查，并与信息服务部

负责人、相关系统模块负责人等重要岗位人员开展访谈，根据

调查和访谈结果，确定了本次审计的具体范围和审计重点，以

保证审计方案重点突出，利用有限的审计资源针对公司信息系

统高风险领域开展审计。

通过前期调查和研讨，审计小组最终确定本次审计主要针

对以下四部分内容开展：

（1）重点关注系统开发质量管理情况，如对于公司开发

程序的质量评估和用户反馈，以及外包开发过程管理情况，以

及开发、测试流程管理情况。同时，由于公司近两年多次购买

了外部系统，应关注对于外部系统购买项目的过程管理情况，

如可研、立项、招标、实施等阶段。

（2）信息系统运行维护及支持管理。重点关注系统的版

本发布的内部控制措施有效性，公司新系统项目发布过程中重

要内控环节