信息系统审计在寿险企业内部审计中的应用.docVIP

　　信息系统审计在寿险企业内部审计中的应用 邱建伟 中国人寿保险股份有限公司 新疆分公司审计办公室 从审计的角度，信息系统广义的定义为企业依赖电子技术、计算机技术、X络技术形成的支持企业运行的资源系统，包括硬件支持平台和生产应用系统。信息系统审计比较流行的定义是：根据公认的标准和指导规范对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控制的过程，以确认预定的业务目标得以实现。可见，信息系统审计是一个通过收集和评价审计证据，对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面做出判断的过程。 一、信息系统审计概要 信息系统审计是建立并借鉴了传统审计技术并综合了信息系统和信息安全保障专业技术而形成。在制度基础审计的模式下，信息审计的业务内容已经扩展到了符合性测试领域。信息系统的安全性、可靠性与其所服务的组织所面临的各种风险之间的联系越来越紧密，对被审计单位风险的评估必须将信息系统纳入考虑范围。计算机审计的业务范围已经覆盖了审计业务的全过程，信息系统审计的概念随之出现。现代审计技术和方法体系已由原始的查账技术基础上的账项基础审计发展到制度基础审计,进而又发展到风险导向审计。越来越关注对审计风险进行系统的分析和评价，并以此作为出发点，将审计的视野扩大到被审计单位所处的经营环境，捕捉潜在的风险点。和传统的审计关注相比较，业务、财务审计的界线日趋模糊，风险评估贯穿于审计工作的全过程。随着X络技术、数据库技术的高速发展，信息化环境下的企业运行发生了极大变化。对于信息系统审计，需求领域很广，“未来审计行业和审计技术的发展动力将主要来自于信息系统审计的发展”，已经成为业界共识。信息系统审计已成为企业最关注的重要课题。 二、保险公司开展内部信息系统审计的意义 保险业在防范化解金融风险、维护国家金融安全方面的作用越来越大，作为商业保险公司，其自身的运行和发展同样也是身系国家的重托、社会的责任。特别对于寿险企业，对利益相关者如监管者、投资者、代理人或机构、团体客户、个人客户等也非常重要。决定了企业自身必须重视和防范风险。我国的寿险公司近年来对信息技术的投入越来越大，信息化程度也越来越高。在提高集中管控能力、执行能力和市场反应能力等方面，促进了寿险企业经营管理水平的提高。但是，超速发展的信息化进程中客观地产生了信息系统潜在的风险，如操作轨迹不可见、操作流程缺失、数据非法修改、办公系统安全措施简陋、生产系统故障、信息系统人为欺诈等。而这些风险，特别是人为因素造成的风险，依然存在于寿险公司信息技术流程管理、技术安全管理、经营管理和生产系统运行管理过程中，迫切需要对其安全性、真实性、完整性、有效性进行鉴证，保证信息系统的可信度，促进内部体系的建设。信息系统审计以其先进的理念和技术，所发挥的对风险的防范作用是无可替代的。因此，作为寿险公司的内部审计，适时开展信息系统审计，这是信息时代的需求。是趋势，也别无选择。 三、寿险公司信息系统内部审计的目标 寿险公司信息系统审计的依据，应当是在遵从外部审计所使用的依据条件之下，对寿险公司内部进行全面审计，着手提高信息系统的安全性。从信息系统的资源是否最大限度地被利用为落脚点，实现信息系统在业务和负载方面的均衡。 四、信息系统审计程序与审计方法 信息系统审计程序参照传统审计程序，包括确定审计范围、做好审计准备、进行审计评估、出具审计报告、提供管理咨询等过程。 信息系统审计也可采用非现场审计与现场审计相结合的操作方式进行。对信息系统平台的审计采用现场审计模式，但对于应用系统审计，基于目前非现场审计手段相对落后，更倾向于二者的结合。即审前准备采用非现场方式实现，借助辅助审计系预抽取数据，分析确认审计重点，再结合现场审计实施。 五、保险企业内部审计中信息系统审计内容及操作 保险企业内部审计中信息系统审计目标决定了信息系统审计的对象：由计算机硬件和软件结合而成的信息系统以及与信息系统输入、输出相关的活动。即信息系统及信息系统生命周期的所有活动。 因此,寿险公司信息系统的内部审计，审计范围可确定为管理层所关注的风险控制点，应包含以下内容： (一)管理流程审计。信息技术管理流程审计主要评估信息技术规划，评估信息技术工作条例或工作程序，评估信息技术部门的工作职责与工作分工，评估信息系统开发、购置、引进的制度和流程，评估生产系统运行维护的制度和流程，评估项目管理、项目监理的制度和流程，生产系统分岗制衡管理制度等。 (二)技术平台审计。寿险公司内部的信息技术平台复杂多样、涉及多种类、多品牌、多家厂商和服务商。对技术平台的审计必须具备较强的信息技术专业知识。内部审计应侧重于信息系统