一、保险公司信息系统审计的概念

保险公司信息系统审计是指对保险公司的所有信息系统建设、管理与使用情况进行的审计。主要包括管理流程审计、技术平台审计、信息系统项目审计和生产系统审计等。其风险点在于信息系统功能是否符合监管和公司发展要求、管控是否有效相关法律法规和监管规定。

开展信息系统审计的目的为防范化解保险公司信息系统安全风险，完善信息系统安全保障体系，确保信息系统安全、稳定运行。二、保险公司信息系统审计的内容（一）管理流程审计

信息技术管理流程审计主要评估与公司发展战略目标相一致的信息技术规划，评估信息技术工作条例或工作程序，评估信息技术部门的工作职责与工作分工，评估信息系统取得开发、购置、引进的制度和流程，评估生产系统的运行维护的制度和流程，评估项目管理、项目监理的制度和流程，评估信息系统的安全管理制度，评估开发、测试、生产系统分岗制衡管理制度等。

（二）技术平台审计

信息技术平台审计主要评估信息技术基础平台的运行与安全管理，包括网络运行与安全管理如路由器、网络设备、防火墙、通信线路等、硬件运行与安全管理如小型机、服务器、前置机、打印机、扫描仪、存储设备、PC、终端等、操作系统及数据库等运行平台的运行与安全管理如Unix、Windows、数据库、中间件、应用开发工具、应用发布工具、版本管理工具、项目管理工具、防/杀毒工具等 。

（三）信息系统项目审计

信息系统项目审计主要评估信息系统项目管理与项目监理的有效性。项目管理审计主要评估项目启动、立项、需求分析、系统设计、开发、测试、试点、验收、推广过程的有效性，评价系统开发生命周期中的每一个程序是否均被严格执行，评价系统迁移的方案与效果，评价各类项目文档是否齐全。其目的是控制项目进展过程中的风险。项目监理审计主要评估项目监理在信息系统建设过程中发挥的作用，评估项目监理是否有效保证了信息系统建设的质量、进度和成本符合项目立项时的要求。评估项目管理与项目监理间的责职是否清晰，分工是否明确。（四）生产系统审计

信息系统的上线与投产，仅仅是信息化的开始，大量的风险与问题将出现在信息系统的生产运行与维护阶段。保险公司内部一般均建立了核心业务系统、人员营销员等管理系统、财务系统、精算系统、再保系统等生产系统，公司的生产经营活动大多要通过生产系统进行，生产系统审计便显得更为重要。

生产系统的审计首先是信息系统与业务流程吻合审计，主要评估实际业务操作流程与信息系统操作流程的吻合情况，评估信息系统对需求的满足度及信息系统操作流程与业务操作流程的吻合度。以退保操作流程为例，退保的典型处理方式是在信息系统中产生应付信息，而财务支付退保款后不再在系统中确认已付款，这就导致系统信息与实际情况不一致，致使流程与数据均不完整，流程被短路、数据被割裂，最终导致数据可用性差，并留下安全隐患。其次是评估与信息系统相关的风险。评估数据访问授权、系统功能授权、业务操作授权、业务审批决定授权是否有效，是否拥有防止非法进行数据修改的措施。评估或测试信息系统中的关键控制点是否得到有效控制，如核赔中结案环节控制，需评估结案前的赔案信息状况，如资料是否完整，计算是否正确，会签、审批是否完成。同时需评估结案后的流程执行是否完整，如数据流是否与业务单证流一致。测试关键点对保单生命周期各环节的影响是否合理与正确。

三、审计程序和方法

（一）制度管理与执行情况

1、调阅公司有关财务信息系统管理制度及其执行情况,检查其是否符合会计法等有关法律法规的规定,如防病毒、防火墙、权限管理、灾难各份等。

2、了解会计核算系统与业务、投资等相关系统数据传递内容与流程,确定会计核算系统中基于相关系统数据生成的会计凭证内容,检查其是否符合有关凭证制作的要求,是否能够在此基础上生成明细账、总账以及各类报表。

3、获取数据维护管理制度,检查数据维护记录是否完整,数据维护是否经过审批等。

（二）系统数据一致性核实

1、测试一定期间(以月度为主)核算系统与相关系统数据是否一致。如某月份会计系统保费收入科目发生额与业务系统保费收入是否一致,差异查找原因。

2、对于基于相关系统数据生成的会计凭证,调阅相关科目明细账,查找是否有非相关系统生成的会计凭证,检查是否相应调整相关系统数据。如保费收入科目一般基于业务系统保费收入数据生成,检查保费收入科目是否有手工录入凭证,检查相关凭证内容在业务系统是否有相关调整记录。

3、检查相关系统影响会计核算数据的数据维护记录,追查是否在会计核算系统记录。如业务系统对保费收入相关数据进行了数据维护,影响保费收入核算的,检查是否相应在会计核算系统生成保费收入调整凭证。

（三）系统权限控制检查

1、获取系统权限设置表,检查重要财务事项权限设置是否符合双人复核原则(如资金支付、费用报销审批、会计凭证录入与复核等),检查权限设置是否与相关财务制度规定相符、用户权限设置是否与岗位职责相符。检查是否存在系统管理用户(系统开发、维护及管理人员杈限)同时具有系统运用操作人员权限,离职或调岗人员是否仍存在权限等情形。

2、了解系统用户维护程序,用户权限开设是否经过必要审批,用户岗位调整是否及时调整相应系统权限。

3、实地观察相关人员操作,是否存在使用他人权限进入系统操作情况,有关操作和录入是否符合会计核算的法律法规要求。

（四）系统安全保密管理

1、检查系统密码安全管理机制,是否要求用户定期更换密码,对密码安全性提出要求。

2、获取系统数据维护清单,检查维护申请是否经审批后,由系统管理人员实施,是否存在违规更改系统数据,导致系统数据不一致,甚至发生侵占、挪用资金案件。

3、采用平行模拟法、测试数据法对公司财务系统试试检查。

四、适应的法规

（一）《会计法》第五条:“使用电子计算机进行会计核算的,其会计账簿的登记、更正,应当符合国家统一的会计制度的规定”。

（二）《保险公司内部控制基本准则》第六条:“保险公司应当建立安全实用、覆盖所有业务环节的信息系统,尽可能使各项业务活动信息化、流程化、自动化,减少或消除人为干预和操作失误,为内部控制提供技术保障和系统支持”;第二十二条:“保险公司应当规范会计核算流程,提高会计数据采集、账目和报表生成的自动化水平,实现业务系统和财务系统无缝连接,减少人工干预,确保会计处理的准确性和效率”。

（三）其他法规可参考应用《保险公司财会工作规范》、《保险业信息系统灾难恢复管理指引》、《保险公司开业验收指引》等。

参考文献

《保险稽查审计指引第2号:财务分册》（保监发[2012]18号）《财产保险公司审计指引》（审计署金融司2010年4月）

《保险公司信息系统安全管理指引（试行）》（保监发〔2011〕68号）