再保险信息系统管理审计发现常见错弊，及其查证过程和方法：一、再保险信息系统管理常见错弊

（一）用户权限设置不符合不相容岗位职责分离的要求。

错弊：A再保险公司的核心业务系统包含承保、核保、理赔、收付费等模块和权限设置。目前核心业务系统缺乏有效的用户权限管理，业务人员多拥有与其职责不相称的系统权限(例如：业务人员同时拥有承保、理赔和收付费的权限)，将影响系统的正常运行，同时可能影响公司内部控制和风险管理的效果。

审计人员查证过程：

1.审阅核心系统用户权限管理的制度和流程，掌握其用去权限管理的关键流程缺失。发现缺少不相容岗位的识别和判断环节；

2.将现有用户权限与其实际职责进行比对，发现诸多不合理现象，如：承保业务人员同时拥有承保和理赔权限。

3.检查核心系统中的权限设置，并将其与公司制度进行比对，发现部分输入人员与复核人员为同一人。

（二）未执行灾难备份，导致灾难发生后运营停顿，产生重大损失。

错弊：A再保险公司信息系统服务器严重损坏无法运作。公司希望启用设于别处的备用服务器。但公司已有一个月未按规定进行数据备份，现有备份数据只截止到2个月前。公司需要把近2个月发生的业务数据手工重新录入系统内,为此耗费大量人力，同时影响新业务的开展，导致公司重大损失。

公司未购置足够的灾难备份设备，无法及时恢复主要流程和数据。信息人员也没有定期进行数据恢复演练，无法迅速恢复实际操作。

审计人员查证过程：

1.获取公司系统灾难备份制度及流程，评估灾难恢复计划的合理性，发现公司已有2个月未按规定进行灾难备份，无法及时恢复主要流程和数据；

2.索要公司上年度的灾难演练报告后发现公司实际未进行数据恢复演练；

3.抽查公司灾难备份活动相关的文档，发现公司的系统灾难备份工作未严格按照公司规章制度执行。

二、审计过程及方法

（一）审查系统内权限设置与岗位职责是否相符。

1.获取公司再保险业务相关岗位说明书，对比查看系统用户权限设置是否与其职责一致，是否做到了应有的不相容岗位职责分离，结合其他检查，了解有关权限设置与实际工作情况是否相符，是否存在串用账号等现象；

2.通过访谈、调阅资料，检查公司账号管理、密码管理、系统日志方面的制度规定及其执行情况，如账号授权的审批流程、密码口令的安全性、系统日志保存备份情况等；

3.导出系统内所有账号及其权限，对比实际人员，审阅权限是否与职责一致，系统内是否存在应删除未删除的用户账户，对于超级用户的活动，应有相关的监控报告并由专人定期审阅。

（二）审查是否具备信息系统灾难备份制度和应急制度。

1.访谈、调阅信息系统灾难备份恢复方面的制度规定，实地察看机房设备，了解公司有关灾难备份情况，并且从异地备份、多形式备份等角度查找系统灾难备份的管控漏洞，向管理层提出相应的管理建议；

2.访谈了解公是否定期开展司备份及恢复演习，获取有关演习报告；

3.检查已备份数据的完整性、准确性；

4.访谈了解公司是否存在系统灾难性或者数据丢失等事件，如有，了解公司的应对措施等情况。

参考文献

《保险稽查审计指引第7号：再保险业务分册》