一、信息系统审计的目标与任务

信息系统审计的目标是促进信息系统安全、稳定、有效、持续运行。通过对信息系统的安全性、稳定性和有效性进行审计、咨询，降低保险公司面临的信息系统风险，促使保险公司信息技术发展目标与其总体经营目标、战略相一致。其任务是完成对信息系统的鉴证、促进和咨询。

（一）通过信息系统审计，合理地保证被审计单位信息系统及其处理、产生的信息的真实性、完整性与有效性，政策遵循的一贯性。对保险公司的信息系统进行审计，查出其中的各种错误、舞弊、风险、不足，有效地保证了被审计信息系统及其处理、产生信息的真实性、完整性、有效性，是维护保险公司正常生产经营不可或缺的重要手段。

（二）信息系统审计报告鉴证被审计信息系统的真实、完整、有效。对信息系统中存在的错误、舞弊、风险、不足提出控制或改进建议，可促进被审计单位对信息系统进行全面完善；提出合适的信息系统问题解决方案，帮助保险公司改进管理流程、优化信息系统，使信息系统能更好地服务于经营管理的需要。

（三）通过外部信息系统审计，可借助于其相对于信息系统建设者、使用者、服务提供厂商的独立性，依据其专业的风险管理经验或知识，在保险公司信息化过程中帮助其建立、健全内部控制制度，进行系统诊断、评估和咨询。二、信息系统审计流程

（一）信息系统审计的工作流程主要包括确定审计范围、做好审前准备、进行审计评估、出具审计报告等过程。

（二）根据审计目标确定审计范围。制定审计实施方案，确定审计依据、人员分工、审计工作程序、技术方法、审计时间等。

（三）了解被审计单位的信息技术管理流程、技术基础平台、生产系统运行环境与管理制度，通过关键点测试等方式做出公正、合理的测评。通过信息系统审计，发现信息系统中的漏洞、缺陷和隐患，提出改进建议，督促改进完善。

三、信息系统审计方法分类

（一）全面审计与专项审计

信息系统审计可分为全面审计和专项审计。全面审计是指对所有信息系统进行全面的审计，包括管理流程、技术平台、项目开发和生产系统审计，对信息系统做出全面的评估、鉴证，提出审计建议。专项审计是指针对信息系统管理的某个方面进行的审计。如信息系统运行安全专项审计，可以对公司在信息系统方面的安全管理措施、技术措施的实际应用情况进行审计评估、鉴证，提出管理建议。专项审计针对保险公司重点关心的专项问题，针对性强。

（二）现场审计与非现场审计

信息系统审计包括现场审计和非现场审计。现场审计适用于现场访谈、观察、测试、调查。例如，对信息系统操作流程与实际业务操作流程契合度审计，需在现场观察数据流与实物流的流转情况。非现场审计主要借助非现场审计系统进行，通过计算机系统进行审计。例如，对保险公司万能险账户积数与账户余额的监控，可以通过计算机系统进行远程随机实时审计。

（三）外部审计与内部审计

外部审计是指由公司外部独立的专业审计机构进行的审计，可对信息系统做出合理、公正的评价。内部审计主要由保险公司内部的审计机构对信息系统进行审计，其目的在于帮助信息管理部门找差距，并督促和辅导信息管理部门提高信息系统管理水平。

四、信息系统审计的技术方法

信息系统审计的常用方法有访谈、观察、现场测试、调阅文档、调查信息系统相关角色等。例如，要对保险公司生产系统进行审计，必须加强对生产系统建设的事前和事中审计，在生产系统立项、建设时，应明确审计要求，了解生产系统的立项、需求分析、设计、验收等工作。在生产系统中，可设置数据接口，记录轨迹，由计算机自动记录线索，在生产系统中留下可追溯的记录。通过对数据的采集、比对、分析，对关键点的跟踪、监控、反馈，保障生产系统健康、安全地运行。

参考文献

《保险稽查审计指引第2号:财务分册》（保监发[2012]18号）《财产保险公司审计指引》（审计署金融司2010年4月）

《保险公司信息系统安全管理指引（试行）》（保监发〔2011〕68号）