突出内审优势 体现信息系统审计价值.pdfVIP

信息化优秀成果 突出内审优势 体现信息系统审计价值 ◆ 中国人寿保险（集团）公司审计局 成果简介 审计影响最大的国际组织——国际 统开展年中和年底两次全面的内控 中国人寿保险（集团）公司审计 信息系统审计和控制协会（ISACA） 评估，包括对信息系统的评估，评 局组织六家审计中心于2014年9月 指出：信息系统审计是一个获取并 估内容仍以安全和合规为主，主要 至11月对集团最大的子公司——寿 评价证据，以判断计算机系统是否 集中在账号管理、权限管理、生产 险公司开展了短期健康险意外险业 能够保证资产的安全、数据的完整 运维、软件研发方面。 务处理系统（以下简称短险系统） 以及有效率地利用组织的资源并有 3.内部审计的增值作用。如何 专项审计，重点对寿险公司所属的 效果地实现组织目标的过程。可见， 发挥内部审计的增值作用，是一个 研发中心、数据中心、七家省级分 信息系统审计除了安全性审计外， 难题。经过全面分析内部审计的优 公司的开发、运维和使用情况进行 还应该关注系统的效率和效果。 劣势，创新审计思路，把信息系统 了检查，共发现短险系统存在20类、 2.实践层面。根据对上市公司 内部审计的目标确定为：除按照监 110 个问题。此次审计突出内部审 的要求，寿险公司每年要接受会计 管和内部审计准则的要求关注系统 计优势，深入分析问题原因，提出 师事务所开展的内部控制审计，信 的安全性和合规性外，更应该关注 了解决问题的根本办法。寿险公司 息系统是审计重点之一，审计内容 系统的有效性，即信息系统对业务 对审计发现的问题进行了认真整改， 主要集中在信息化治理、用户、权 管理、销售及决策的支持能力和效 并开展了一系列信息化建设和改革， 限、备份、网络安全等系统安全方 率以及信息系统控制风险的能力。 体现了信息系统审计的价值。 面。同时，作为一家国有金融企业， 4．审计内容及方法。根据审 国家审计署定期对公司开展资产负 计目标，在制订短险系统专项审计 主要特点 债损益等审计，其中信息系统也是 方案时，把审计内容分为与安全和 国家审计关注的重点，但检查内容 合规相关的内容、与系统有效性及 （一）突出内部审计在信息 仍主要是系统备份、灾备、账号管 风险控制相关的内容两大部分，并 系统审计中的优势 理等与系统安全相关的内容。此外， 分别采取不同的审计方法。（1）与 1.制度层面。作为对信息系统 寿险公司内控部门每年都组织全系 安全和合规相关的内容。包括：用 中国内部审计2017 2 4 2内文104p.indd 48 17-2-8 上午8:46 信息化优秀成果 户及权限管理、版本升级情况、系 线业务人员强烈要求修改，但却由 对版本进行整体把控；严格遵循缺 统安全事件、系统开发及测试环境 于各方面因素制约而长期难以实 陷管理流程，对基层反映的系统问 的安全性、系统硬件资源配置情况、 现；访谈发现研发、运维人员已经 题及时跟踪了解，对已解决的问题 数据存储设计、系统备份情况、提 非常努力地工作，经常加班加点， 认真