邱建偉
中國人壽保險股份有限公司 新疆分公司審計辦公室
從審計的角度,信息系統廣義的定義為企業依賴電子技術、計算機技術、網絡技術形成的支持企業運行的資源系統,包括硬件支持平臺和生產應用系統。信息系統審計比較流行的定義是:根據公認的標準和指導規范對信息系統及其業務應用的效能、效率、安全性進行監測、評估和控制的過程,以確認預定的業務目標得以實現。可見,信息系統審計是一個通過收集和評價審計證據,對信息系統是否能夠保護資產的安全、維護數據的完整、使被審計單位的目標得以有效地實現、使組織的資源得到高效地使用等方面做出判斷的過程。
一、信息系統審計概要
信息系統審計是建立并借鑒了傳統審計技術并綜合了信息系統和信息安全保障專業技術而形成。在制度基礎審計的模式下,信息審計的業務內容已經擴展到了符合性測試領域。信息系統的安全性、可靠性與其所服務的組織所面臨的各種風險之間的聯系越來越緊密,對被審計單位風險的評估必須將信息系統納入考慮范圍。計算機審計的業務范圍已經覆蓋了審計業務的全過程,信息系統審計的概念隨之出現。現代審計技術和方法體系已由原始的查賬技術基礎上的賬項基礎審計發展到制度基礎審計,進而又發展到風險導向審計。越來越關注對審計風險進行系統的分析和評價,并以此作為出發點,將審計的視野擴大到被審計單位所處的經營環境,捕捉潛在的風險點。和傳統的審計關注相比較,業務、財務審計的界線日趨模糊,風險評估貫穿于審計工作的全過程。隨著網絡技術、數據庫技術的高速發展,信息化環境下的企業運行發生了極大變化。對于信息系統審計,需求領域很廣,“未來審計行業和審計技術的發展動力將主要來自于信息系統審計的發展”,已經成為業界共識。信息系統審計已成為企業最關注的重要課題。
二、保險公司開展內部信息系統審計的意義
保險業在防范化解金融風險、維護國家金融安全方面的作用越來越大,作為商業保險公司,其自身的運行和發展同樣也是身系國家的重托、社會的責任。特別對于壽險企業,對利益相關者如監管者、投資者、代理人或機構、團體客戶、個人客戶等也非常重要。決定了企業自身必須重視和防范風險。我國的壽險公司近年來對信息技術的投入越來越大,信息化程度也越來越高。在提高集中管控能力、執行能力和市場反應能力等方面,促進了壽險企業經營管理水平的提高。但是,超速發展的信息化進程中客觀地產生了信息系統潛在的風險,如操作軌跡不可見、操作流程缺失、數據非法修改、辦公系統安全措施簡陋、生產系統故障、信息系統人為欺詐等。而這些風險,特別是人為因素造成的風險,依然存在于壽險公司信息技術流程管理、技術安全管理、經營管理和生產系統運行管理過程中,迫切需要對其安全性、真實性、完整性、有效性進行鑒證,保證信息系統的可信度,促進內部體系的建設。信息系統審計以其先進的理念和技術,所發揮的對風險的防范作用是無可替代的。因此,作為壽險公司的內部審計,適時開展信息系統審計,這是信息時代的需求。是趨勢,也別無選擇。
三、壽險公司信息系統內部審計的目標
壽險公司信息系統審計的依據,應當是在遵從外部審計所使用的依據條件之下,對壽險公司內部進行全面審計,著手提高信息系統的安全性。從信息系統的資源是否最大限度地被利用為落腳點,實現信息系統在業務和負載方面的均衡。
四、信息系統審計程序與審計方法
信息系統審計程序參照傳統審計程序,包括確定審計范圍、做好審計準備、進行審計評估、出具審計報告、提供管理咨詢等過程。 信息系統審計也可采用非現場審計與現場審計相結合的操作方式進行。對信息系統平臺的審計采用現場審計模式,但對于應用系統審計,基于目前非現場審計手段相對落后,更傾向于二者的結合。即審前準備采用非現場方式實現,借助輔助審計系預抽取數據,分析確認審計重點,再結合現場審計實施。
五、保險企業內部審計中信息系統審計內容及操作
保險企業內部審計中信息系統審計目標決定了信息系統審計的對象:由計算機硬件和軟件結合而成的信息系統以及與信息系統輸入、輸出相關的活動。即信息系統及信息系統生命周期的所有活動。
因此,壽險公司信息系統的內部審計,審計范圍可確定為管理層所關注的風險控制點,應包含以下內容:
(一)管理流程審計。信息技術管理流程審計主要評估信息技術規劃,評估信息技術工作條例或工作程序,評估信息技術部門的工作職責與工作分工,評估信息系統開發、購置、引進的制度和流程,評估生產系統運行維護的制度和流程,評估項目管理、項目監理的制度和流程,生產系統分崗制衡管理制度等。
(二)技術平臺審計。壽險公司內部的信息技術平臺復雜多樣、涉及多種類、多品牌、多家廠商和服務商。對技術平臺的審計必須具備較強的信息技術專業知識。內部審計應側重于信息系統安全審計,重點關注“安全管理”、“安全工程”和“安全技術”,才具有可操作性。具體如下:
1.檢查信息安全管理措施制定和履行情況;
通過現場檢查信息系統方面的安全管理措施、技術措施的制定并對實際應用情況進行審計評估,保障應用系統的安全運營。安全管理方面。涉及《信息安全管理辦法》、《防火墻與網絡安全管理辦法》、《基礎架構配置與變更管理規定》、《備份管理制度》等方面。
2.評估基礎架構安全;
(1)檢查網絡基本情況
①崗位人員基本情況、人員數量、培訓、分工情況。
②技術資料的完整性。檢查網絡拓撲圖,關注外部接入點。檢查防火墻的管理工作。防火墻管理員是否妥善管理密鑰和管理證書。
③對外部網絡的連接是否均安裝防火墻;是否有足夠帶寬的冗余通訊線路并且能自動切換;骨干網絡設備是否能達到實時雙機熱備份。
④是否指定專人負責防火墻的管理工作;防火墻管理員是否妥善管理密鑰和管理證書。
⑤是否實現網絡監控,是否提供非法侵入檢測、訪問控制、密鑰管理等安全控制手段。
(2)基礎平臺配置情況
①各系統維護管理人員是否根據《基礎平臺配置管理規定》對系統及數據庫日志進行定期監控,開啟審計日志功能。
②是否根據配置基準規范進行操作系統、數據庫、服務器和防火墻的初始配置、增加或刪除策略;對配置的維護是否通過安全管理部門或人員審批并記錄;維護記錄是否由專人保管,經過授權才能獲取。
③系統管理員是否定期進行配置策略審查工作,對過期和權限過大的策略進行優化,并按照配置變更申請審批流程進行。
④系統管理員是否及時了解并取得授權廠商發布的軟硬件升級包,并按照《基礎架構配置與變更管理規定》進行升級。
(3)系統數據修改情況
①是否存在系統管理員直接修改數據庫中的數據,或存在數據庫管理員未經授權直接修改數據庫中的數據。
②抽查主要系統的數據修改審批表和匯總表。
(4)檢查邏輯訪問情況
①抽查安全報告,確保只有經過授權的訪問發生。如果存在未經授權的用戶,檢查是否及時做出后續處理。
②是否對數據庫比較敏感應用工具的訪問權限加以適當控制。是否對適當的系統文件或目錄進行有效的限制。
③是否禁止系統管理員的遠程訪問,是否只有系統管理員可以在主控臺上使用管理員賬號登錄。使用各種未經授權的登錄名和密碼進行試探訪問,系統中是否留有相應記錄。
3.檢查邏輯訪問、賬戶和密碼管理情況;
(1)應用系統管理員是否與應用系統的操作員分離,是否存在應用系統管理員操作應用系統。
(2)系統超級用戶和數據庫管理員用戶密碼是否得到妥善保管并定期或不定期更換,且僅為系統管理員掌握。
(3)賬號的建立/維護/刪除是否經過審批,是否有文檔記錄,文檔記錄是否在賬號更新同時進行更新。申請人所申請的權限是否合理。
(4)是否定期審閱用戶賬號及確認訪問權限,刪除過多的授權及清理多余的賬號。是否存在賬號共享,以及一人同時具有多個不相容角色權限的情況。
(5)是否對用戶口令的設置和使用做出規范,是否要求用戶賬號口令定期更新,并進行提示。
4.檢查數據備份情況
(1)是否制定備份策略和制度;是否對操作系統、數據庫系統、OA系統及各種重要應用系統進行備份;是否制定備份檢查和操作手冊或流程,對備份操作步驟、備份時間、介質數量等進行明確規定。
(2)是否制定備份介質的管理制度,備份介質的管理是否能有效防范因災難或其他原因帶來的數據安全風險,管理層是否對備份介質進行定期檢查。
(3)是否制定備份恢復的相關實施細則,是否進行過任何有目的的備份恢復測試,或是進行過生產環境的數據恢復。
5.檢查物理環境安全情況。
(1)是否嚴格控制出入機房人員,訪問者進出機房是否在《機房運行日志》中進行詳細訪問記錄,檢查《機房運行日志》。
(2)機房內是否有相應防火、防水、防磁、防塵、防雷措施。檢查機房消防設備是否已過期和失效;工作人員是否能夠熟練使用機房配備的消防系統。
(3)空調器制冷、送風和控制系統是否正常;機房溫度、濕度是否適當。
(4)檢查穩壓電源、UPS和控制系統是否正常;是否定期對現有的不間斷的電力供應設備進行檢查與維護;是否有足夠容量的雙機熱備份UPS電源;重要機房是否有足夠容量的雙回路市電供電;是否定期對地線進行檢查。
(5)機房是否安裝了報警設施,報警方式和效果如何?對運行環境可能出現的環境因素進行監測并預警。
(三)信息系統項目審計
信息系統項目審計主要評估信息系統項目管理與項目監理的有效性。項目管理審計主要評估信息系統項目在啟動、立項、需求分析、系統設計、開發、測試、試點、驗收、推廣過程的有效性,其目的是控制項目進展過程中的風險。
(四)生產系統審計
保險公司內部一般均建立了核心業務系統、營銷員管理系統、財務系統、精算系統、再保系統、單證系統、辦公系統、郵件系統、固定資產管理系統等生產系統,公司的生產經營活動大多要通過生產系統進行。
生產系統的審計首先是信息系統與業務流程吻合審計,主要評估實際業務操作流程與信息系統操作流程的吻合情況,評估信息系統對需求的滿足度及信息系統操作流程與業務操作流程的吻合度。
對保險公司內部生產系統的審計是其各個生產系統相關的風險。審計依據是各公司針對不同應用系統指定的實務手冊、規定、通知。主要關注點如下:
(1)評估系統功能授權
檢查相應的授權模塊、檢查操作系統管理員與應用系統管理的權限分派的合理性。
(2)業務操作授權
檢查生產系統中業務授權情況。
(3)業務、審批、決定授權
檢查授權流程,檢查合規性,檢查臨時授權的審批流程。
(4)業務流程的完整性
由于壽險公司內部數據的邏輯關聯,需評估作業后的流程執行是否完整,如數據流是否與業務單證流一致。如結案后要求扣還保單質押借款、生存給付、拒賠案件等操作是否正確實施等,以確保最終結果的合理與正確。
六、壽險企業內部審計中信息技術應用
事實上,壽險企業內部審計中信息技術應用,目前表現為內部審計輔助審計系統的開發。要真正實現通過內部審計系統對生產系統進行審計,必須在生產系統立項、建設時,明確審計要求,在生產系統中,設置審計接口,設計內部審計需要的狀態、時間戳等重要字段的記錄審計軌跡,由計算機自動記錄審計線索,在生產系統中留下可追溯的記錄。在對生產系統進行驗收的過程中,需強調生產系統的可審計性。在開發生產系統的同時,也要開發相應的審計系統,使生產系統投產后就有相應的審計系統投產運行。
各類輔助軟件的開發,由于要依據壽險公司內部相應的應用系統,因此數據標準和信息共享至關重要,開發時要使各系統間實現簡單有效的數據交互,保證數據的準確性和一致性。依據電子數據,充分利用數據之間的關系建立審計索引,自動實現全方位對比判別。
在開發壽險公司內部審計輔助系統時應部署如下模塊:
(一)系統設置及管理模塊:
1.全局設置功能
2.模版定義功能:針對不同主題的審計,定義各種審計模版,包括審計流程、文檔格式等。
3.指標定義功能:針對保險行業特點,定義一系列指標。
4.查詢方案定義功能:可以定義一些標準的查詢功能,如超限額、賬齡分析、超額保單、大額理賠等。
(二)數據接口模塊:
1.數據標準化功能:針對不同的數據源定義源數據與審計數據的對應關系,并形成接口模版。
2.數據抽取功能:按接口模版從源數據庫中抽取數據,存放到內審系統的中間結構中。
3.數據整理功能:按具體審計的要求,將存放在內審系統中間結構中的數據進行整理,完成必要的歸并,并形成數據目錄。
(三)項目管理模塊:
項目管理模塊應能實現審計方案定義、審計過程記錄、文檔管理等功能。
(四)審計處理模塊:
1.審計整理功能:對業務數據可進行各類排序,使審計人員能夠實現有目的的篩選。對財務自動產生報表等進行計算復核。
2.審計分析功能:對財務自動產生總體財務指標和變動趨勢,提供分析性測試數據。對業務應該實現對分類數據的分析處理,如對理賠情況的總體分析等。
3.審計查證功能:對財務利用數據之間的關聯,完成一些橫向和縱向的查證操作,對業務可以逐環節追溯查詢,按照業務處理邏輯展開審計查證。
4.合并審計功能:參照財務處理的原理,對相關的匯總類報表審計自動生成。
(五)審計幫助模:
1.法律法規及公司制塊度查詢功能:審計人員可以在審計過程中隨時調閱國家法律法規和企業內控制度。
2.問題幫助功能:提供常見審計問題的解決方法,并定位到具體步驟。
(六)內部審計情況統計分析模塊:
1.內部審計情況統計表處理功能:能夠完成諸如內部審計工作情況統計表、被審單位違規違紀情況統計表、內部審計組織建設情況統計表等標準審計報表的生成處理,也可以按具體情況定義并生成所需審計報表。
2.內部審計情況分析功能:可以根據積累的審計數據,對存在的內部控制問題,以及問題的解決情況進行分析。
壽險公司自身特色的內部審計系統,還應能匯集大量的審計案例,分析其中的規律,強化已有的控制點,發現或部署新的控制點。一方面進一步改進生產系統的運行狀況;另一方面進一步完善審計系統自身功能,使生產系統與內部審計系統的應用水平共同提高。
