金融保险公司信息系统专项审计分享程序.doc

金融保险公司信息系统专项审计案例分享 一、案例背景： 1、监管背景 近年来,各保险公司对信息技术的投入越来越大, 保险公司更多的产品和服务都是以数据形式存储和呈现，信息化程度也越来越高,促进了保险公司经营管理水平的提高。由于在信息化进程中存在操作轨迹不可见、操作流程缺失、数据非法修改、生产系统故障、信息系统人为欺诈等各类风险。因此，迫切需要对信息系统进行审计，保证信息系统的可信度，促进保险公司内控体系的建设。 保险行业监督管理委员会（以下简称“保监会”）高度重视信息管理，将信息系统风险纳入行业风险进行统一管理，不断推进各项信息安全监管措施，在《寿险公司内部控制评价办法（试行）》、《保险公司内部审计指引（试行）》、《保险公司内部控制基本准则》、《保险信息安全风险评估指标体系规范》等一系列制度中均对公司信息系统安全监管提出相关要求和规范。其中2011年发布的133号文件《保险公司信息化工作管理指引（试行）》特别提出由独立于信息技术部门的有关部门负责信息系统审计工作，至少每两年进行一次审计。审计结果应报保监会备案。 2、行业风险 保监会统计信息部会定期对保险全系统内的网络与信息安全进行风险提示，如2015年第157号通报了两家保险公司发生系统故障造成核心业务停用的情况，两次故障分别导致服务器宕机造成相关业务操作受到影响，鉴于此类情况保监会对各保险公司的信息安全风险控制提出了相关要求。 通过对行业监管要求，以及同业已经出现的信息化风险的综合考量，本保险公司审计部将信息系统专项审计纳入年度审计计划中，并由内审部开展实施。 3、审计目标 该保险公司审计部要求通过对信息系统管理过程中重要环节的内部控制审计，检查信息系统安全管理、信息技术发展规划、信息系统运行维护管理、信息系统开发管理等方面，揭示信息系统管理中内控环节存在的问题，以完善内部控制，提高内控水平。同时，审计部仍需评价信息系统运行的效益性，系统运作流程的合理性和合规性。 二、审计过程及方法 信息系统审计一般包含两部分即一般控制检查和应用控制检查，本次审计项目中根据《保健稽查审计指引人身保险业务分册》、《**公司信息系统审计手册》等制度要求，对以上两部分控制均执行了具体的审计程序。其中一般控制包含如：组织控制、系统开发与维护控制、系统安全控制、硬件及软件控制以及操作控制。应用控制包括：输入输出控制、系统处理控制等，下面简要介绍一下项目的实施情况。 1、项目资源分配 本次审计小组由1名持有CISA认证的信息系统审计师作为项目主审，1名具有四年专业信息系统审计经验的审计师，以及2名具有多年丰富内审经验的高级审计师构成。 2、确定审计方案 在开展具体的审计程序前，项目小组通过调阅公司信息系统相关制度，要求被审计部门提供公司当前运行的信息系统清单列表等方式初步了解公司系统构成，系统开发、运维流程。与此同时，项目小组初步梳理出公司重要性、风险度较高的五个应用系统，开展了全面的用户满意度调查，并与信息服务部负责人、相关系统模块负责人等重要岗位人员开展访谈，根据调查和访谈结果，确定了本次审计的具体范围和审计重点，以保证审计方案重点突出，利用有限的审计资源针对公司信息系统高风险领域开展审计。 通过前期调查和研讨，审计小组最终确定本次审计主要针对以下四部分内容开展： （1）重点关注系统开发质量管理情况，如对于公司开发程序的质量评估和用户反馈，以及外包开发过程管理情况，以及开发、测试流程管理情况。同时，由于公司近两年多次购买了外部系统，应关注对于外部系统购买项目的过程管理情况，如可研、立项、招标、实施等阶段。 （2）信息系统运行维护及支持管理。重点关注系统的版本发布的内部控制措施有效性，公司新系统项目发布过程中重要内控环节的管理情况，数据维护及修改的审批是否完整，是否能确保数据的准确性、安全性和保密性，系统上线前测试的充分性，系统权限设置的合理性，是否存在与岗位职责不相容的权限等。同时也应关注对系统运行的支持管理，如数据库日常管理，桌面维护、硬件审核管理，网络安全和可用性管理等 （3）信息资产安全管理。重点关注信息系统内控环节的管理情况，是否有匹配公司风险承受能力的信息系统安全策略，是否对信息系统所面临的风险因素有相应有效的控制措施，如是否执行了有效的权限管理制度，是否对于敏感信息进行有效保护，是否对操作系统执行适当的安全配置以保证系统与资源的安全，以及是否对于物理及环境实施了有效的安全控制，是否实施合理有效的安全备份策略，是否有健全的灾难恢复计划等。 （4）第三方服务外包管理。重点关注实施外包的业务内容以及外包理由，外包人员管理和外包质量控制，以及对于服务外包的安全管理方面的问题。 3、审计过程 在确定审计重点并完成最终的审计方案后，项目主审针对项目组成员的各自专长进行了审计流程的具体分工，确