保險公司信息系統審計芻議

近年來，我國保險公司的信息化程度愈來愈高，信息系統日趨完善。信息化的蓬勃發展，提升了保險公司經營管理水平和集中控制能力，但同時也帶來了數據非法修改、操做程序丟失等風險。隨着數據大集中的推動，信息系統的安全性、穩定性、真實性和完整性尤其重要，所以迫切須要對信息系統進行審計，保證信息系統可信性，促進保險公司內控體系建設。信息系統審計是將來審計發展的必然趨勢已逐漸成爲各級審計機關和審計人員的共識。
　　1、信息系統審計的內容
　　各家保險公司的信息系統雖然差異很大，但通常都包括綜合業務信息系統、外網信息系統、管理信息系統、辦公自動化信息系統、資信系統、財務系統和人力資源系統。基於保險公司業務特色和信息系統審計目標，保險公司信息系統審計主要針對綜合業務信息系統。
　　信息系統審計事項包括通常控制審計和應用控制審計。通常控制審計的內容有：整體IT控制環境、基本設施控制、信息系統生命週期控制、信息安全控制、信息系統運營維護控制。應用控制審計的內容有：業務流程控制、數據控制、接口控制。
　　2、保險公司信息系統審計的方法
　　審計人員經過採起觀察法、文檔查閱法、測試數據法、數據驗證法、流程圖檢查法、程序運行結果檢查法、受控處理法、系統日誌檢查法等信息系統審計技術方法，對信息系統的權限控制、輸入控制、處理控制和輸出控制進行審查，從而驗證系統輸入的數據是否準確、完整、受權和正確；數據是否在可接受的時間內獲得預期的處理；數據存儲和輸出是否準確和完整；記錄從輸入到存儲，再到最終的輸出的整個過程當中是否可追溯。
　　3、保險公司信息系統審計重點內容及流程
　　在審前調查階段，審計人員應深刻了解保險公司綜合業務信息系統業務流程，掌握系統的基本架構、數據結構、主要功能、操做流程及應用狀況，鎖定風險點。通常來講，將業務流程應用控制的審計做爲重點，根據可能的風險因素肯定關鍵控制點，主要針對業務受權與審批控制、數據輸入控制、數據處理邏輯、數據輸出控制等審計事項實施信息系統審計。
　　（一）業務受權與審批控制審計。
　　1．具體審計目標。
　　經過分析系統業務流程，檢查保險公司的權限控制措施是否發揮了應有的做用，是否作到了不一樣崗位的人具備其崗位須要的合理權限並作到了職責分離，業務流程審批控制是否嚴格按照有關規定進行設置。
　　2．審計測試過程。
　　調閱系統業務流程及規則說明、需求規格說明書、詳細設計說明書、用戶操做手冊、崗位職責、部門制度等相關資料，瞭解系統開展業務的實際流程，重點分析保單承保審批和風險監控等業務流程。
　　經對業務流程進行分析，實施如下步驟審查系統業務受權與審批控制狀況：
　　步驟一：採用觀察法，在系統管理員等相關人員的陪同下，查看保單申請和理賠審批等功能模塊權限設置的具體配置狀況，驗證系統權限設置是否符合「職責分離」原則。
　　步驟二：採用文檔查閱法，檢查系統文檔，檢查業務部門實行是否將使用系統的人員進行分工和受權，人員分工與受權是否合理，是否符合「職責分離」原則和「最小受權」原則。
　　步驟三：採用測試數據法，準備一組較爲典型和完整的測試數據，在系統中創建測試帳號，給其分配不一樣角色，沿着保單申請和理賠審批業務流程進行測試，審查是否存在權限分配和審批控制不當等問題。
　　（二）數據輸入控制審計。
　　1．具體審計目標。
　　經過檢查系統輸入權限、數據格式、數據自動處理、數值範圍、數據數量等內容，確認系統輸入控制措施可否保證未經受權批准的業務不能輸入計算機，通過受權批准的業務可否完整、準確地輸入計算機中，從技術上確保信息系統輸入數據的真實、完整和安全。
　　2．審計測試過程。
　　投保單是通過保險人和投保人的協商達成的明確保險雙方權利義務的的法律契約，既包含了投保人的基礎資料，也明確了保險雙方的權利義務，這些信息對於保險人識別投保人、肯定保險事故、劃分保險責任、作好理賠和追償等具備重要意義，信息系統可否保證保單的真實、完整、準確極其重要。所以，將保單承保流程數據的輸入和存儲做爲關鍵控制點進行重點分析。
　　經對關鍵控制點的分析，實施如下測試步驟審查系統數據輸入控制狀況：
　　步驟一：採用觀察法，審計人員到現場觀察工做人員輸入數據的操做過程，檢查輸入界面是否符合簡單、明晰、一致的原則；是否只有得到批准的人員才能進行輸入操做；是否及時記錄操做日誌；有無合理有效的輸入控制；分別以受權用戶和未經受權的用戶登陸信息系統，檢查輸入操做權限是否按照程序進行受權。
　　步驟二：採用測試數據法，審計人員根據真實業務設計一些虛擬數據，提交系統進行處理，以測試系統輸入控制是否存在。重點關注輸入數據是否按照必定的順序排列，輸入數據是否爲實際業務存在的數據，輸入數據是否存在重複等。
　　步驟三：採用數據驗證法，經過檢查數據之間邏輯關係，驗證輸入數據的正確性和保存數據的完整性，重點關注數據輸入的完整性、合理性和準確性。審計人員輸入不正確的數據，信息系統是否提示輸入錯誤；輸入的格式、類型和範圍錯誤的數據，系統是否提示輸入錯誤，輸入的數據與信息系統的其餘數據是否知足必定的鉤稽關係等。
　　（三）數據處理邏輯審計。
　　1．具體審計目標。
　　經過檢查信息系統的自動計算、自動處理、流程控制、批處理等處理過程，審查應用程序處理的可靠性，確保系統實現數據處理的準確性和完整性。審查信息系統是否創建了必要的處理控制措施，其控制措施可否保證輸入計算機中的業務被完整準確地處理，不正確的業務是否被檢查出來，並拒絕處理。
　　2．審計測試過程。
　　保單承保是保險理賠和保險追償的前提和基礎，也是確認收入、承擔保險責任的過程，將保單承保環節做爲數據處理關鍵控制點予以關注，並實施如下測試步驟審查系統數據處理邏輯控制狀況：
　　步驟一：採用流程圖檢查法，利用系統流程圖檢查系統的控制功能是否可靠和處理數據的邏輯是否正確。首先肯定流程圖中包含的處理功能和控制措施，而後檢查這些功能和措施是否正確合理，最後追蹤一些樣本業務，檢查處理功能是否正常，控制措施可否發現和糾正錯誤。
　　步驟二：採用程序運行結果檢查法，經過對系統輸出結果的檢查，來推斷系統處理功能的正確性和控制措施的健全性。數據處理的輸出主要包括業務數據、各類報表及錯誤清單。根據錯誤清單上所列的錯誤類型及其處理方法，找出形成錯誤的緣由及其處理是否適當。若審計人員以手工抽查計算結果與計算機輸出內容不符，而錯誤清單中沒有列該錯誤，說明系統內部控制可能有欠缺。系統中保單申報超出規定的提交時間卻沒有相應的錯誤提示和記錄，說明保單申報提交時間缺少控制，形成推遲確認保費收入的狀況。
　　步驟三：採用受控處理法，把一批預先設計好的保單業務數據輸入到系統中，並對輸入數據進行查驗，將處理的結果與預期的結果進行比較，從而檢測系統的控制與處理功能是否恰當、有效，判斷系統的處理與控制功能是否按系統設計要求起做用。
　　（四）數據輸出控制審計。
　　1．具體審計目標。
　　經過檢查信息登記和存儲、報告分發、平衡和核對、輸出錯誤處理、輸出報告保留、報告接收登記等數據輸出處理過程，檢查保險公司是否創建了必要的輸出控制措施，經計算機處理的數據可否完整、準確、及時、安全地輸出，並符合必定的格式。
　　2．審計測試過程。
　　理賠環節是保險人履行保險人義務、發揮風險保障功能的根本體現，追償後結案是信用保險程序的最後一環，不只意味着一個信用保險業務的終結，更反映了保險人程序上履行職責的完整性。如何作好理賠環節和追償環節的銜接至關重要，信息系統應當設置必要的功能模塊確保理賠後可以及時獲得追償。
　　將保單終止和理賠環節數據輸出做爲關鍵控制點，實施如下測試步驟審查系統數據輸出控制狀況：
　　步驟一：採用觀察法，審計人員到現場觀察工做人員輸出數據的操做過程，與現場工做人員進行座談，檢查進行數據輸出的工做人員是否已得到受權批准，並按照輸出控制的主要內容對輸出控制系統進行逐一檢測，確認輸出控制系統的有效性、安全性和及時性。
　　步驟二：採用文檔查閱法，經過查閱系統輸出的數據文檔，檢查輸出的數據界面格式是否簡單清晰，可否知足相關部門的需求，是否有輸出文件保管分發制度等文檔資料。
　　步驟三：採用系統日誌檢查法，打印輸出的資料應在系統的操做日誌中有所記錄，包括記錄輸出的日期、文件、負責的操做員等，審查日誌文件能發現輸出系統中存在的不安全因素。