保险公司信息系统审计

以计算机为核心的信息系统进行综合
检查与评价，向IT审计对象的最高领 导，提出问题与建议的一连串活动。
页数 4
1.IT审计概述
IT审计协会-ISACA
信息系统控制与审计协会ISACA (Information System Audit and Control
Association)是国际上唯一的IT审计师的专业组织，总部设在美国，目前已 经在世界上100多个国家设立了160多个分会，现有会员两万多人。该协会 通过指定和颁布信息系统审计准则和实务指南等来规范和指导IT审计师工 作。 ISACA还在许多国家举办注册IT审计师CISA (Certified Information System Auditor) 考试。
2006
►《寿险公司内部控制评价办法（试行）》
2007
►《保险公司内部审计指引（试行）》 ►《保险公司合规管理指引》 ►《保险公司风险管理指引（试行）》
2008
►《保险业信息系统灾难恢复管理指引》 ►财政部、证监会、审计署、保监会和银监会联 合发布《企业内部控制基本规范》
►《保险公司信息化工作管理指引（试行） 》 ►《保险公司内部控制基本准则》 ►《保险信息安全风险评估指标体 系规范》
IT公司层面评估工作的方法和一般步骤
步骤一
结合COSO控制体系设计调查问卷
步骤二
IT管理层访谈、填制调查问卷
获取相关支持性文档，进行测试
步骤三
步骤四 步骤五
根据测试结果，评价IT公司层面控制的有效性
填写缺陷报告、制定整改计划
页数 20
3.保险公司IT审计内容
IT一般控制和应用程序控制的关系
人工控制
IT一般控制层面
IT应用程序控制层面
对系统层面的一些控制作审计，包括： • 系统自动控制 • 人工依赖IT控制
页数 15
3.保险公司IT审计内容
IT控制
IT公司层面
检查企业内部关于IT方面的控制设计 及实施是否有效，为公司管理层最终 发表内控有效性声明提供支持证据， 也是外部审计师对管理层测试发表审 计意见的重要依据。
► ► ►
►
《企业内部控制评价指引》 《企业内部控制应用指引》 《企业内部控制审计指引》
►
财政部会同证监会、审计署、银监会、保监会，于2008年6月28日正 式发布《企业内部控制基本规范》。
页数 12
2.监管要求和审计标准介绍
风险管理框架 目前信息技术领域比较流行的技术风险管理框架包括:
COBIT（信息及其相关技术的控制目标，Control Objectives for Information and Related Technology) ISO 27001 / BS7799 (信息安全管理标准) ITIL(IT Infrastructure Library) PRINCE2 CMMI
IT管理制度体系
IT内审
页数 18
3.保险公司IT审计内容
方面 控制环境 需考虑的因素
► IT战略的制定和执行 ► IT组织架构 ► IT人力资源管理 ► 培训IT系统用户 ► IT组织的风险评估流程 ► 对IT事故的评估和反应机制 ► IT流程的政策和程序手册 ► 合理的职责分离 ► 针对合规性要求的IT流程 ► 对IT资产的适当保管
页数 5
1.IT审计概述
IT内审范围确定
由于内部审计只对本单位负责，并根据本 单位的安排进行审计，在审计范围的确定 上有一定自主性，审计范围可分为以下两 类： ►全面的信息系统审计
►专项信息系统审计，如
►
► ►
系统开发审计 网络安全专项审计 系统安全参数配置审计
页数 6
1.IT审计概述
信息系统内部审计的实现模式
2
高
预防性控制
IT一般控制类型说明：
► ►
预防性控制：在风险发生之前实施的控制，如：系统开发上线前的测试 检查性控制：在风险发生之后实施的控制，如：对超级用户操作日志的监控
页数 26
3.保险公司IT审计内容
系统配置清单：
针对公司在用的系统形成系统配置清单（见下表），从中确定关键的业务和财务系统，确 定系统测试范围：
流程名称：帐号管理流程
控制编号 1 控制描述 建立用户账号管理制度，制度 中包括应用系统层面、操作系 统层面和数据库层面的用户账 号维护 使用统一而规范的用户账号维 护申请表格进行用户账号维护 申请和审批 存在的风险 没有建立账号管理的制度，无法对账 号的审请、批准、添加、变更、删除 进行规范的管理，加大了系统被未经 授权访问的风险，从而影响财务和业 务数据的准确性 不采用书面的形式进行用户账号维护 的申请和审批，不利于对账号进行统 一的管理，有可能在系统中添加一些 不必要的账号 风险 高 控制类型 预防性控制
22
页数 22
3.保险公司IT审计内容
内控评估测试流程：
IT一般控制层面审阅包括的流程
系统开发
程序变更
系统版本
账号与密码管理
参数安全配置
物理安全管理
病毒管理
备份管理 第三方安全访问
灾难恢复
硬件管理
与监控管理
问题与故障受理
页数 23
3.保险公司IT审计内容
IT一般控制测试工作的方法和一般步骤
了解被评估单位的 IT一般控制流程 根据流程描述，识 别风险与控制的关系 根据应用系统配置清单， 判断测试范围 根据测试范围设计测试方法 应 用 程 序 控 制 层 面 评 估
该申请由 谁来授权， 如何授权 及授权 哪些内容
需求申请及 授权确认 记录在哪里
具体谁负责 执行数据备份 及如何执行
数据备份 负责人完成 备份后， 如何通知 需求部门 或授权人
注：所列内容仅为简Fra Baidu bibliotek的样例，并不表示数据备份流程只涉及这些步骤。
页数 25
3.保险公司IT审计内容
IT一般控制矩阵：
在了解IT管理流程的基础上，识别流程中的风险与控制，并将控制点记录在风险控制矩阵 中（控制矩阵样例参见下表）：
► ►
外部审计 独立于企业的第三方实 施审计 ► 以对财务的影响作为审 计的出发点
页数 8
2.监管要求和审计标准介绍
页数 9
2.监管要求和审计标准介绍
中国保险业监督管理委员会（以下简称“保监会”）历来高度重视信息化管理工作，将信息科技风险纳 入行业风险进行统一管理，不断推进各项信息安全监管措施 ：
序 号 1 应用系统 名称 核心业务 系统 应用系统 来源 自行开发 数据集 中程度 及趋势 总公司 集中 计算机平 台 服务器XXX 操作系统名称和 版本 XXX 数据库名称 和版本 XXX 应用系统 变更情况 暂时没有 变更 能否拨号 登录是/ 否 否 业务合作伙 伴能否共享 系统 否
风险控制矩阵
系统配置清单
测试模版
执行穿行测试/控制测试
根据测试结果， 进行控制评价 填写缺陷报告、 制定整改计划
穿行、控制测试报告 缺陷报告、整改计划
页数 24
3.保险公司IT审计内容
IT一般控制流程的主要关注点举例（数据备份）：
启动 授权 记录 流程处理 汇报
需求部门 如何提出 数据备份 的申请
页数 17
3.保险公司IT审计内容
►
信息系统层面测试范围-IT公司层面
IT公司层面是整体公司层面审阅的一部分，其中需要对与IT公司管理相 关的控制作审阅 IT战略计划 IT岗位职责分工
内部环境 风险评估 控制活动 信息与沟通 内部监督
IT
IT风险评估构架
公 司 层 面
子 业公 业 务司 公务 单 司分 元 层部 面
保险公司信息系统审计介绍
2011年8月
目录
1 2 3 4
目录
IT审计概述 监管要求和审计标准介绍 保险公司IT审计内容 经验分享
页数 2
1.IT审计概述
页数 3
1.IT审计概述
什么是信息系统审计？
信息系统审计是指为了信息系统的安
全，可靠与有效，由独立于审计对象 的IT审计师，以第三方的客观立场对
页数 16
3.保险公司IT审计内容
►
信息系统层面测试范围-信息系统层面工作采用的标准
公司层面
一般控制层面 应用层面
信息系统层面工作采用的标准：
COSO COBIT ISO27001 ITIL 国际先进的公司内部控制框架 为企业的IT治理提供清晰的指导策略和优良的实践范本 为建立、推行、维持及改善信息安全管理提供帮助 国际上公认的一套实用的IT服务管理最佳实践指南
IT一般控制
涉及程序变更及数据文件访问的信息 科技一般控制的存在，确保了应用程序 控制在一段时间内持续有效。因为这些 控制是支持业务系统正常运作的基础， 故被称为“一般控制”。
应用程序控制
应用程序控制是在应用系统中由程序执行 的控制，用以替代很多由人工完成的基础 性检查工作。由于应用程序控制普遍适用 于各种交易的处理，所以应用程序控制是 否有效对于财务报表的完整性和正确性以 及公司内控的有效性有着重要的影响。
2009
2010
来源：中国保险监督管理委员会网站
页数 10
2.监管要求和审计标准介绍
《信息化管理工作指引》
为加强保险公司信息化工作管理，促进信息化工作规范化与标 准化建设，提高保险业信息化工作水平，2009年12月，中国 保险监督管理委员会发布了第133号文件《保险公司信息化工 作管理指引（试行）》 ，要求保险公司自2010年1月1日遵 照执行。 该指引适用于中国境内依法设立的保险公司和保险资产管理公 司，并从五个方面：组织管理与规划、基础环境与信息系统建 设、安全保障与风险控制、发展环境、审计与备案，对信息化 管理工作提出要求并进行指导。其中特别提出由独立于信息技 术部门的有关部门负责信息系统审计工作，至少每两年进行 一次审计。审计结果应在审计完成后三个月内报保监会备案。
并鼓励公司在符合国家有关法律、法规和监管要求情 况下，聘请具备相应资质的外部机构进行外部审计和 风险评估。
综上可看出，监管要求的信息系统审计最迟必须于今年底 2011年12月31日前完成。
页数 11
2.监管要求和审计标准介绍
《企业内部控制基本规范》概述
►
2008年五月二十日，由财政部牵头下发了《企业内部控制基本规范》， 要求自2009年7月1日起，上市公司应对本公司的内部控制有效性进行 自我评价，披露当年的自我评价报告，并可聘请具有证券、期货业务 资格的会计师事务所对内部控制的有效性进行审计。 为了配合《企业内部控制基本规范》的施行，财政部会同国务院拟制 定以下指引供企业参考。
页数 13
3.保险公司IT审计内容
页数 14
3.保险公司IT审计内容
信息系统审计工作在以下三个层面开展：
IT公司层面
主要针对与IT 相关的管理层的控制作审计： • 控制环境、风险评估 • 控制活动 • 信息与沟通 • 监督 等 主要对IT常规流程控制作审计，这些 程序和有关控制是对应用层面控制的有效性起了 持续不断的影响。这些控制包括： • 系统开发、变更管理 • 逻辑访问管理 • 其他一般控制管理（例如备份等）
► 全部外包：将内审测试全部外包给第三方公司，公司只需指定少量人员配合外部
人员完成内审
► 部分外包：将部分内审工作(比如，网络安全审计)外包给第三方公司，公司与第
三方公司共同完成内审工作
► 内部完成：独立完成公司内部审计，需要建立内审部门，组建专门的IT内审团队
完成内审工作，内审人员需要了解公司业务并具有丰富的信息系统审计经验
风险评估
控制活动
信息与沟通
► 清晰的沟通渠道和汇报路线 ► 完整、详细和及时的IT系统报告 ► 用户对IT系统性能及相关流程的反馈 ► IT系统业务持续计划
监督
► 建立IT内部控制的定期评估和监督机制 ► 监督IT服务质量并实施改进建议 ► 建立IT内部审计职能以实施监控
页数 19
第 19 页
3.保险公司IT审计内容
无论通过何种模式来实施IT内审，公司均需要建立风险管理构架， 进行全面的风险评估，根据评估结果确定内部审计的范围和重点以 保证IT内审的有效性和内审工作效率
页数 7
1.IT审计概述
IT内部审计与外部审计
内部审计师
外部审计师
信息系统
内部审计 企业内部实施审计， 满足企业审计需求 ► 全面的审计 ► 专项审计
自动控制
（纯）人工控制
人工依赖IT控制
应用程序控制
人工 预防性 控制
人工 检查性 控制
IT一般性控制
页数 21
3.保险公司IT审计内容
IT 一般控制适用范围
IT一般控制
IT一 般控 制 现金价值 费率主文件 收付费管理 新单管理 IT 一 般 控 制
代理人和佣金管理
保全管理
理赔管理
IT一般控制
如果我们要依赖于IT控制并且测试他们或者依赖于电子审计证据，我们就必须测试IT一般控制 并且判断一般控制的有效性。换言之，如果图中的一般控制不是有效的，我们也许不能依赖于 图中的应用程序