保險公司信息系統審計芻議

近年來，我國保險公司的信息化程度越來越高，信息系統日趨完善。信息化的蓬勃發展，提高了保險公司經營管理水平和集中控制能力，但同時也帶來了數據非法修改、操作程序丟失等風險。隨着數據大集中的推進，信息系統的安全性、穩定性、真實性和完整性尤爲重要，因此迫切需要對信息系統進行審計，保證信息系統可信性，促進保險公司內控體系建設。信息系統審計是未來審計發展的必然趨勢已逐漸成爲各級審計機關和審計人員的共識。
　　一、信息系統審計的內容
　　各家保險公司的信息系統雖然差別很大，但一般都包括綜合業務信息系統、外網信息系統、管理信息系統、辦公自動化信息系統、資信系統、財務系統和人力資源系統。基於保險公司業務特點和信息系統審計目標，保險公司信息系統審計主要針對綜合業務信息系統。
　　信息系統審計事項包括一般控制審計和應用控制審計。一般控制審計的內容有：總體IT控制環境、基本設施控制、信息系統生命週期控制、信息安全控制、信息系統運營維護控制。應用控制審計的內容有：業務流程控制、數據控制、接口控制。
　　二、保險公司信息系統審計的方法
　　審計人員通過採取觀察法、文檔查閱法、測試數據法、數據驗證法、流程圖檢查法、程序運行結果檢查法、受控處理法、系統日誌檢查法等信息系統審計技術方法，對信息系統的權限控制、輸入控制、處理控制和輸出控制進行審查，從而驗證系統輸入的數據是否準確、完整、授權和正確；數據是否在可接受的時間內得到預期的處理；數據存儲和輸出是否準確和完整；記錄從輸入到存儲，再到最終的輸出的整個過程中是否可追溯。
　　三、保險公司信息系統審計重點內容及流程
　　在審前調查階段，審計人員應深入瞭解保險公司綜合業務信息系統業務流程，掌握系統的基本架構、數據結構、主要功能、操作流程及應用情況，鎖定風險點。一般來說，將業務流程應用控制的審計作爲重點，根據可能的風險因素確定關鍵控制點，主要針對業務授權與審批控制、數據輸入控制、數據處理邏輯、數據輸出控制等審計事項實施信息系統審計。
　　（一）業務授權與審批控制審計。
　　1．具體審計目標。
　　通過分析系統業務流程，檢查保險公司的權限控制措施是否發揮了應有的作用，是否做到了不同崗位的人具有其崗位需要的合理權限並做到了職責分離，業務流程審批控制是否嚴格按照有關規定進行設置。
　　2．審計測試過程。
　　調閱系統業務流程及規則說明、需求規格說明書、詳細設計說明書、用戶操作手冊、崗位職責、部門制度等相關資料，瞭解系統開展業務的實際流程，重點分析保單承保審批和風險監控等業務流程。
　　經對業務流程進行分析，實施以下步驟審查系統業務授權與審批控制情況：
　　步驟一：採用觀察法，在系統管理員等相關人員的陪同下，查看保單申請和理賠審批等功能模塊權限設置的具體配置情況，驗證系統權限設置是否符合“職責分離”原則。
　　步驟二：採用文檔查閱法，檢查系統文檔，檢查業務部門實行是否將使用系統的人員進行分工和授權，人員分工與授權是否合理，是否符合“職責分離”原則和“最小授權”原則。
　　步驟三：採用測試數據法，準備一組較爲典型和完整的測試數據，在系統中建立測試賬號，給其分配不同角色，沿着保單申請和理賠審批業務流程進行測試，審查是否存在權限分配和審批控制不當等問題。
　　（二）數據輸入控制審計。
　　1．具體審計目標。
　　通過檢查系統輸入權限、數據格式、數據自動處理、數值範圍、數據數量等內容，確認系統輸入控制措施能否保證未經授權批准的業務不能輸入計算機，經過授權批准的業務能否完整、準確地輸入計算機中，從技術上確保信息系統輸入數據的真實、完整和安全。
　　2．審計測試過程。
　　投保單是經過保險人和投保人的協商達成的明確保險雙方權利義務的的法律契約，既包含了投保人的基礎資料，也明確了保險雙方的權利義務，這些信息對於保險人識別投保人、確定保險事故、劃分保險責任、做好理賠和追償等具有重要意義，信息系統能否保證保單的真實、完整、準確極其重要。因此，將保單承保流程數據的輸入和存儲作爲關鍵控制點進行重點分析。
　　經對關鍵控制點的分析，實施以下測試步驟審查系統數據輸入控制情況：
　　步驟一：採用觀察法，審計人員到現場觀察工作人員輸入數據的操作過程，檢查輸入界面是否符合簡單、明晰、一致的原則；是否只有獲得批准的人員才能進行輸入操作；是否及時記錄操作日誌；有無合理有效的輸入控制；分別以授權用戶和未經授權的用戶登錄信息系統，檢查輸入操作權限是否按照程序進行授權。
　　步驟二：採用測試數據法，審計人員根據真實業務設計一些虛擬數據，提交系統進行處理，以測試系統輸入控制是否存在。重點關注輸入數據是否按照一定的順序排列，輸入數據是否爲實際業務存在的數據，輸入數據是否存在重複等。
　　步驟三：採用數據驗證法，通過檢查數據之間邏輯關係，驗證輸入數據的正確性和保存數據的完整性，重點關注數據輸入的完整性、合理性和準確性。審計人員輸入不正確的數據，信息系統是否提示輸入錯誤；輸入的格式、類型和範圍錯誤的數據，系統是否提示輸入錯誤，輸入的數據與信息系統的其他數據是否滿足一定的鉤稽關係等。
　　（三）數據處理邏輯審計。
　　1．具體審計目標。
　　通過檢查信息系統的自動計算、自動處理、流程控制、批處理等處理過程，審查應用程序處理的可靠性，確保系統實現數據處理的準確性和完整性。審查信息系統是否建立了必要的處理控制措施，其控制措施能否保證輸入計算機中的業務被完整準確地處理，不正確的業務是否被檢查出來，並拒絕處理。
　　2．審計測試過程。
　　保單承保是保險理賠和保險追償的前提和基礎，也是確認收入、承擔保險責任的過程，將保單承保環節作爲數據處理關鍵控制點予以關注，並實施以下測試步驟審查系統數據處理邏輯控制情況：
　　步驟一：採用流程圖檢查法，利用系統流程圖檢查系統的控制功能是否可靠和處理數據的邏輯是否正確。首先確定流程圖中包含的處理功能和控制措施，然後檢查這些功能和措施是否正確合理，最後追蹤一些樣本業務，檢查處理功能是否正常，控制措施能否發現和糾正錯誤。
　　步驟二：採用程序運行結果檢查法，通過對系統輸出結果的檢查，來推斷系統處理功能的正確性和控制措施的健全性。數據處理的輸出主要包括業務數據、各種報表及錯誤清單。根據錯誤清單上所列的錯誤類型及其處理方法，找出造成錯誤的原因及其處理是否適當。若審計人員以手工抽查計算結果與計算機輸出內容不符，而錯誤清單中沒有列該錯誤，說明系統內部控制可能有欠缺。系統中保單申報超出規定的提交時間卻沒有相應的錯誤提示和記錄，說明保單申報提交時間缺乏控制，造成推遲確認保費收入的情況。
　　步驟三：採用受控處理法，把一批預先設計好的保單業務數據輸入到系統中，並對輸入數據進行查驗，將處理的結果與預期的結果進行比較，從而檢測系統的控制與處理功能是否恰當、有效，判斷系統的處理與控制功能是否按系統設計要求起作用。
　　（四）數據輸出控制審計。
　　1．具體審計目標。
　　通過檢查信息登記和存儲、報告分發、平衡和核對、輸出錯誤處理、輸出報告保留、報告接收登記等數據輸出處理過程，檢查保險公司是否建立了必要的輸出控制措施，經計算機處理的數據能否完整、準確、及時、安全地輸出，並符合一定的格式。
　　2．審計測試過程。
　　理賠環節是保險人履行保險人義務、發揮風險保障功能的根本體現，追償後結案是信用保險程序的最後一環，不僅意味着一個信用保險業務的終結，更反映了保險人程序上履行職責的完整性。如何做好理賠環節和追償環節的銜接相當重要，信息系統應當設置必要的功能模塊確保理賠後能夠及時得到追償。
　　將保單終止和理賠環節數據輸出作爲關鍵控制點，實施以下測試步驟審查系統數據輸出控制情況：
　　步驟一：採用觀察法，審計人員到現場觀察工作人員輸出數據的操作過程，與現場工作人員進行座談，檢查進行數據輸出的工作人員是否已獲得授權批准，並按照輸出控制的主要內容對輸出控制系統進行逐一檢測，確認輸出控制系統的有效性、安全性和及時性。
　　步驟二：採用文檔查閱法，通過查閱系統輸出的數據文檔，檢查輸出的數據界面格式是否簡單清晰，能否滿足相關部門的需求，是否有輸出文件保管分發制度等文檔資料。
　　步驟三：採用系統日誌檢查法，打印輸出的資料應在系統的操作日誌中有所記錄，包括記錄輸出的日期、文件、負責的操作員等，審查日誌文件能發現輸出系統中存在的不安全因素。