保险公司信息系统审计浅议
张明(审计署驻重庆特派办)
【发布时间:2009年12月31日】
【来源:张明(审计署驻重庆特派办)】
字号:【大】 【中】 【小】
    
    一、保险公司信息系统审计背景
    今年6月,刘家义审计长在听取审计信息化建设专题汇报会上的讲话中提出了信息系统审计要抓住安全性、可靠性和经济性的重要观点,这对我们如何及时发现被审计单位信息系统存在的突出问题和内部控制的薄弱点,揭示各行业、各部门、各单位信息系统中存在的普遍性问题,充分发挥审计“免疫系统”维护国家安全的宏观功能提出了新的课题。为逐步加大信息系统审计力度,充分发挥审计“免疫系统”的宏观功能,我办提出了“创新审计方法,探索信息系统审计常态化”发展目标,近年来积极探索信息系统审计。
    根据审计对象的不同,我们一般将信息系统审计分为信息系统内部控制审计、信息系统生命周期审计、信息系统安全审计等多个类别。其中信息系统内部控制审计是对信息系统各项内部控制措施的健全性和有效性进行审查和评价,只有健全有效的内部控制,才能确保信息系统安全、可靠、有效运作。因此,我们认为信息系统内部控制审计是当前我国信息系统审计的主要内容。
        根据以上对信息系统审计定位的理解,以及对我国信息系统审计现状的认识,我们在某保险公司2008年度资产负债损益审计中,在对被审计单位信息系统应用情况进行全面调查后,根据整体审计目标的需要,将其综合业务信息系统内部控制情况作为此次审计的重点,并侧重对系统业务流程应用控制情况进行审计。一方面明确了审计的目标、范围及内容,另一方面紧紧围绕了经济监督这一政府审计的核心职能定位,在审计过程中避免了只关注信息系统本身,进入软件开发流程、安全管理等技术陷阱,而忽略信息系统对经济业务的影响这一情况的出现。
    二、审计主要采用的方法
    在此次审计中,我们大胆尝试,创新应用观察法、文档查阅法、测试数据法、数据验证法、流程图检查法、系统日志检查法等信息系统审计技术方法,对信息系统的权限控制、输入控制、处理控制和输出控制进行审查,从而验证系统输入的数据是否准确、完整、授权和正确;数据是否在可接受的时间内得到预期的处理;数据存储和输出是否准确和完整;记录从输入到存储,再到最终的输出的整个过程中是否可追溯。
    三、信息系统审计体会
    一是信息系统审计必须业务审计紧密结合。信息系统审计必须从总体审计的根本目标出发,根据业务审计的需求确定信息系统审计的重点和思路;
    二是随着信息系统应用越来越普遍,信息系统审计对象越来越多样化,从本次案例的审计对象来看包括金融机构、医院、法院、企业、政府机关等等,关键是结合被审单位特点进行信息系统审计,比如金融机构通过信息系统审计评估风险水平,政府机关通过信息系统审计对其履职情况进行评价;
    三是开拓思路,将信息系统审计作为一种审计工具使用,比如利用信息系统审计开展效益审计、政策性审计;
    四是信息系统审计范围较为灵活,既可以对信息系统进行全面审计也可以只对信息系统的某一部分进行审计。我办的案例即对中国信保信息系统业务流程部分进行审计,农发行案例则只对银行信贷管理系统进行审计,神华集团案例对煤矿安全监控系统进行审计。
    目前审计署信息系统审计还处在探索阶段,尚没有一套系统成熟的信息系统审计体系,因此目前能够系统完整的进行信息系统审计的单位很少,大多数都是抓住重点就某一方面进行信息系统审计,重在突出思路、做出特色。另外,目前社会审计中的信息系统审计和其他国家(比如美国)的政府信息系统审计均已较为成熟,因此如何做出适合我国国情的政府信息系统审计的思路和指南是现在比较重要的课题之一。



【关闭】    【打印】