保险公司信息系统审计刍议
董济宇(审计署重庆办)
近年来,我国保险公司的信息化程度越来越高,信息系统日趋完善。信息化的蓬勃发展,提高了保险公司经营管理水平和集中控制能力,但同时也带来了数据非法修改、操作程序丢失等风险。随着数据大集中的推进,信息系统的安全性、稳定性、真实性和完整性尤为重要,因此迫切需要对信息系统进行审计,保证信息系统可信性,促进保险公司内控体系建设。信息系统审计是未来审计发展的必然趋势已逐渐成为各级审计机关和审计人员的共识。
一、信息系统审计的内容
各家保险公司的信息系统虽然差别很大,但一般都包括综合业务信息系统、外网信息系统、管理信息系统、办公自动化信息系统、资信系统、财务系统和人力资源系统。基于保险公司业务特点和信息系统审计目标,保险公司信息系统审计主要针对综合业务信息系统。
信息系统审计事项包括一般控制审计和应用控制审计。一般控制审计的内容有:总体IT控制环境、基本设施控制、信息系统生命周期控制、信息安全控制、信息系统运营维护控制。应用控制审计的内容有:业务流程控制、数据控制、接口控制。
二、保险公司信息系统审计的方法
审计人员通过采取观察法、文档查阅法、测试数据法、数据验证法、流程图检查法、程序运行结果检查法、受控处理法、系统日志检查法等信息系统审计技术方法,对信息系统的权限控制、输入控制、处理控制和输出控制进行审查,从而验证系统输入的数据是否准确、完整、授权和正确;数据是否在可接受的时间内得到预期的处理;数据存储和输出是否准确和完整;记录从输入到存储,再到最终的输出的整个过程中是否可追溯。
三、保险公司信息系统审计重点内容及流程
在审前调查阶段,审计人员应深入了解保险公司综合业务信息系统业务流程,掌握系统的基本架构、数据结构、主要功能、操作流程及应用情况,锁定风险点。一般来说,将业务流程应用控制的审计作为重点,根据可能的风险因素确定关键控制点,主要针对业务授权与审批控制、数据输入控制、数据处理逻辑、数据输出控制等审计事项实施信息系统审计。
(一)业务授权与审批控制审计。
1.具体审计目标。
通过分析系统业务流程,检查保险公司的权限控制措施是否发挥了应有的作用,是否做到了不同岗位的人具有其岗位需要的合理权限并做到了职责分离,业务流程审批控制是否严格按照有关规定进行设置。
2.审计测试过程。
调阅系统业务流程及规则说明、需求规格说明书、详细设计说明书、用户操作手册、岗位职责、部门制度等相关资料,了解系统开展业务的实际流程,重点分析保单承保审批和风险监控等业务流程。
经对业务流程进行分析,实施以下步骤审查系统业务授权与审批控制情况:
步骤一:采用观察法,在系统管理员等相关人员的陪同下,查看保单申请和理赔审批等功能模块权限设置的具体配置情况,验证系统权限设置是否符合“职责分离”原则。
步骤二:采用文档查阅法,检查系统文档,检查业务部门实行是否将使用系统的人员进行分工和授权,人员分工与授权是否合理,是否符合“职责分离”原则和“最小授权”原则。
步骤三:采用测试数据法,准备一组较为典型和完整的测试数据,在系统中建立测试账号,给其分配不同角色,沿着保单申请和理赔审批业务流程进行测试,审查是否存在权限分配和审批控制不当等问题。
(二)数据输入控制审计。
1.具体审计目标。
通过检查系统输入权限、数据格式、数据自动处理、数值范围、数据数量等内容,确认系统输入控制措施能否保证未经授权批准的业务不能输入计算机,经过授权批准的业务能否完整、准确地输入计算机中,从技术上确保信息系统输入数据的真实、完整和安全。
2.审计测试过程。
投保单是经过保险人和投保人的协商达成的明确保险双方权利义务的的法律契约,既包含了投保人的基础资料,也明确了保险双方的权利义务,这些信息对于保险人识别投保人、确定保险事故、划分保险责任、做好理赔和追偿等具有重要意义,信息系统能否保证保单的真实、完整、准确极其重要。因此,将保单承保流程数据的输入和存储作为关键控制点进行重点分析。
经对关键控制点的分析,实施以下测试步骤审查系统数据输入控制情况:
步骤一:采用观察法,审计人员到现场观察工作人员输入数据的操作过程,检查输入界面是否符合简单、明晰、一致的原则;是否只有获得批准的人员才能进行输入操作;是否及时记录操作日志;有无合理有效的输入控制;分别以授权用户和未经授权的用户登录信息系统,检查输入操作权限是否按照程序进行授权。
步骤二:采用测试数据法,审计人员根据真实业务设计一些虚拟数据,提交系统进行处理,以测试系统输入控制是否存在。重点关注输入数据是否按照一定的顺序排列,输入数据是否为实际业务存在的数据,输入数据是否存在重复等。
步骤三:采用数据验证法,通过检查数据之间逻辑关系,验证输入数据的正确性和保存数据的完整性,重点关注数据输入的完整性、合理性和准确性。审计人员输入不正确的数据,信息系统是否提示输入错误;输入的格式、类型和范围错误的数据,系统是否提示输入错误,输入的数据与信息系统的其他数据是否满足一定的钩稽关系等。
(三)数据处理逻辑审计。
1.具体审计目标。
通过检查信息系统的自动计算、自动处理、流程控制、批处理等处理过程,审查应用程序处理的可靠性,确保系统实现数据处理的准确性和完整性。审查信息系统是否建立了必要的处理控制措施,其控制措施能否保证输入计算机中的业务被完整准确地处理,不正确的业务是否被检查出来,并拒绝处理。
2.审计测试过程。
保单承保是保险理赔和保险追偿的前提和基础,也是确认收入、承担保险责任的过程,将保单承保环节作为数据处理关键控制点予以关注,并实施以下测试步骤审查系统数据处理逻辑控制情况:
步骤一:采用流程图检查法,利用系统流程图检查系统的控制功能是否可靠和处理数据的逻辑是否正确。首先确定流程图中包含的处理功能和控制措施,然后检查这些功能和措施是否正确合理,最后追踪一些样本业务,检查处理功能是否正常,控制措施能否发现和纠正错误。
步骤二:采用程序运行结果检查法,通过对系统输出结果的检查,来推断系统处理功能的正确性和控制措施的健全性。数据处理的输出主要包括业务数据、各种报表及错误清单。根据错误清单上所列的错误类型及其处理方法,找出造成错误的原因及其处理是否适当。若审计人员以手工抽查计算结果与计算机输出内容不符,而错误清单中没有列该错误,说明系统内部控制可能有欠缺。系统中保单申报超出规定的提交时间却没有相应的错误提示和记录,说明保单申报提交时间缺乏控制,造成推迟确认保费收入的情况。
步骤三:采用受控处理法,把一批预先设计好的保单业务数据输入到系统中,并对输入数据进行查验,将处理的结果与预期的结果进行比较,从而检测系统的控制与处理功能是否恰当、有效,判断系统的处理与控制功能是否按系统设计要求起作用。
(四)数据输出控制审计。
1.具体审计目标。
通过检查信息登记和存储、报告分发、平衡和核对、输出错误处理、输出报告保留、报告接收登记等数据输出处理过程,检查保险公司是否建立了必要的输出控制措施,经计算机处理的数据能否完整、准确、及时、安全地输出,并符合一定的格式。
2.审计测试过程。
理赔环节是保险人履行保险人义务、发挥风险保障功能的根本体现,追偿后结案是信用保险程序的最后一环,不仅意味着一个信用保险业务的终结,更反映了保险人程序上履行职责的完整性。如何做好理赔环节和追偿环节的衔接相当重要,信息系统应当设置必要的功能模块确保理赔后能够及时得到追偿。
将保单终止和理赔环节数据输出作为关键控制点,实施以下测试步骤审查系统数据输出控制情况:
步骤一:采用观察法,审计人员到现场观察工作人员输出数据的操作过程,与现场工作人员进行座谈,检查进行数据输出的工作人员是否已获得授权批准,并按照输出控制的主要内容对输出控制系统进行逐一检测,确认输出控制系统的有效性、安全性和及时性。
步骤二:采用文档查阅法,通过查阅系统输出的数据文档,检查输出的数据界面格式是否简单清晰,能否满足相关部门的需求,是否有输出文件保管分发制度等文档资料。
步骤三:采用系统日志检查法,打印输出的资料应在系统的操作日志中有所记录,包括记录输出的日期、文件、负责的操作员等,审查日志文件能发现输出系统中存在的不安全因素。(董济宇)
一、信息系统审计的内容
各家保险公司的信息系统虽然差别很大,但一般都包括综合业务信息系统、外网信息系统、管理信息系统、办公自动化信息系统、资信系统、财务系统和人力资源系统。基于保险公司业务特点和信息系统审计目标,保险公司信息系统审计主要针对综合业务信息系统。
信息系统审计事项包括一般控制审计和应用控制审计。一般控制审计的内容有:总体IT控制环境、基本设施控制、信息系统生命周期控制、信息安全控制、信息系统运营维护控制。应用控制审计的内容有:业务流程控制、数据控制、接口控制。
二、保险公司信息系统审计的方法
审计人员通过采取观察法、文档查阅法、测试数据法、数据验证法、流程图检查法、程序运行结果检查法、受控处理法、系统日志检查法等信息系统审计技术方法,对信息系统的权限控制、输入控制、处理控制和输出控制进行审查,从而验证系统输入的数据是否准确、完整、授权和正确;数据是否在可接受的时间内得到预期的处理;数据存储和输出是否准确和完整;记录从输入到存储,再到最终的输出的整个过程中是否可追溯。
三、保险公司信息系统审计重点内容及流程
在审前调查阶段,审计人员应深入了解保险公司综合业务信息系统业务流程,掌握系统的基本架构、数据结构、主要功能、操作流程及应用情况,锁定风险点。一般来说,将业务流程应用控制的审计作为重点,根据可能的风险因素确定关键控制点,主要针对业务授权与审批控制、数据输入控制、数据处理逻辑、数据输出控制等审计事项实施信息系统审计。
(一)业务授权与审批控制审计。
1.具体审计目标。
通过分析系统业务流程,检查保险公司的权限控制措施是否发挥了应有的作用,是否做到了不同岗位的人具有其岗位需要的合理权限并做到了职责分离,业务流程审批控制是否严格按照有关规定进行设置。
2.审计测试过程。
调阅系统业务流程及规则说明、需求规格说明书、详细设计说明书、用户操作手册、岗位职责、部门制度等相关资料,了解系统开展业务的实际流程,重点分析保单承保审批和风险监控等业务流程。
经对业务流程进行分析,实施以下步骤审查系统业务授权与审批控制情况:
步骤一:采用观察法,在系统管理员等相关人员的陪同下,查看保单申请和理赔审批等功能模块权限设置的具体配置情况,验证系统权限设置是否符合“职责分离”原则。
步骤二:采用文档查阅法,检查系统文档,检查业务部门实行是否将使用系统的人员进行分工和授权,人员分工与授权是否合理,是否符合“职责分离”原则和“最小授权”原则。
步骤三:采用测试数据法,准备一组较为典型和完整的测试数据,在系统中建立测试账号,给其分配不同角色,沿着保单申请和理赔审批业务流程进行测试,审查是否存在权限分配和审批控制不当等问题。
(二)数据输入控制审计。
1.具体审计目标。
通过检查系统输入权限、数据格式、数据自动处理、数值范围、数据数量等内容,确认系统输入控制措施能否保证未经授权批准的业务不能输入计算机,经过授权批准的业务能否完整、准确地输入计算机中,从技术上确保信息系统输入数据的真实、完整和安全。
2.审计测试过程。
投保单是经过保险人和投保人的协商达成的明确保险双方权利义务的的法律契约,既包含了投保人的基础资料,也明确了保险双方的权利义务,这些信息对于保险人识别投保人、确定保险事故、划分保险责任、做好理赔和追偿等具有重要意义,信息系统能否保证保单的真实、完整、准确极其重要。因此,将保单承保流程数据的输入和存储作为关键控制点进行重点分析。
经对关键控制点的分析,实施以下测试步骤审查系统数据输入控制情况:
步骤一:采用观察法,审计人员到现场观察工作人员输入数据的操作过程,检查输入界面是否符合简单、明晰、一致的原则;是否只有获得批准的人员才能进行输入操作;是否及时记录操作日志;有无合理有效的输入控制;分别以授权用户和未经授权的用户登录信息系统,检查输入操作权限是否按照程序进行授权。
步骤二:采用测试数据法,审计人员根据真实业务设计一些虚拟数据,提交系统进行处理,以测试系统输入控制是否存在。重点关注输入数据是否按照一定的顺序排列,输入数据是否为实际业务存在的数据,输入数据是否存在重复等。
步骤三:采用数据验证法,通过检查数据之间逻辑关系,验证输入数据的正确性和保存数据的完整性,重点关注数据输入的完整性、合理性和准确性。审计人员输入不正确的数据,信息系统是否提示输入错误;输入的格式、类型和范围错误的数据,系统是否提示输入错误,输入的数据与信息系统的其他数据是否满足一定的钩稽关系等。
(三)数据处理逻辑审计。
1.具体审计目标。
通过检查信息系统的自动计算、自动处理、流程控制、批处理等处理过程,审查应用程序处理的可靠性,确保系统实现数据处理的准确性和完整性。审查信息系统是否建立了必要的处理控制措施,其控制措施能否保证输入计算机中的业务被完整准确地处理,不正确的业务是否被检查出来,并拒绝处理。
2.审计测试过程。
保单承保是保险理赔和保险追偿的前提和基础,也是确认收入、承担保险责任的过程,将保单承保环节作为数据处理关键控制点予以关注,并实施以下测试步骤审查系统数据处理逻辑控制情况:
步骤一:采用流程图检查法,利用系统流程图检查系统的控制功能是否可靠和处理数据的逻辑是否正确。首先确定流程图中包含的处理功能和控制措施,然后检查这些功能和措施是否正确合理,最后追踪一些样本业务,检查处理功能是否正常,控制措施能否发现和纠正错误。
步骤二:采用程序运行结果检查法,通过对系统输出结果的检查,来推断系统处理功能的正确性和控制措施的健全性。数据处理的输出主要包括业务数据、各种报表及错误清单。根据错误清单上所列的错误类型及其处理方法,找出造成错误的原因及其处理是否适当。若审计人员以手工抽查计算结果与计算机输出内容不符,而错误清单中没有列该错误,说明系统内部控制可能有欠缺。系统中保单申报超出规定的提交时间却没有相应的错误提示和记录,说明保单申报提交时间缺乏控制,造成推迟确认保费收入的情况。
步骤三:采用受控处理法,把一批预先设计好的保单业务数据输入到系统中,并对输入数据进行查验,将处理的结果与预期的结果进行比较,从而检测系统的控制与处理功能是否恰当、有效,判断系统的处理与控制功能是否按系统设计要求起作用。
(四)数据输出控制审计。
1.具体审计目标。
通过检查信息登记和存储、报告分发、平衡和核对、输出错误处理、输出报告保留、报告接收登记等数据输出处理过程,检查保险公司是否建立了必要的输出控制措施,经计算机处理的数据能否完整、准确、及时、安全地输出,并符合一定的格式。
2.审计测试过程。
理赔环节是保险人履行保险人义务、发挥风险保障功能的根本体现,追偿后结案是信用保险程序的最后一环,不仅意味着一个信用保险业务的终结,更反映了保险人程序上履行职责的完整性。如何做好理赔环节和追偿环节的衔接相当重要,信息系统应当设置必要的功能模块确保理赔后能够及时得到追偿。
将保单终止和理赔环节数据输出作为关键控制点,实施以下测试步骤审查系统数据输出控制情况:
步骤一:采用观察法,审计人员到现场观察工作人员输出数据的操作过程,与现场工作人员进行座谈,检查进行数据输出的工作人员是否已获得授权批准,并按照输出控制的主要内容对输出控制系统进行逐一检测,确认输出控制系统的有效性、安全性和及时性。
步骤二:采用文档查阅法,通过查阅系统输出的数据文档,检查输出的数据界面格式是否简单清晰,能否满足相关部门的需求,是否有输出文件保管分发制度等文档资料。
步骤三:采用系统日志检查法,打印输出的资料应在系统的操作日志中有所记录,包括记录输出的日期、文件、负责的操作员等,审查日志文件能发现输出系统中存在的不安全因素。(董济宇)
| 【关闭】 【打印】 |
