邱建伟
中国人寿保险股份有限公司 新疆分公司审计办公室

从审计的角度，信息系统广义的定义为企业依赖电子技术、计算机技术、网络技术形成的支持企业运行的资源系统，包括硬件支持平台和生产应用系统。信息系统审计比较流行的定义是：根据公认的标准和指导规范对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控制的过程，以确认预定的业务目标得以实现。可见，信息系统审计是一个通过收集和评价审计证据，对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面做出判断的过程。
一、信息系统审计概要
信息系统审计是建立并借鉴了传统审计技术并综合了信息系统和信息安全保障专业技术而形成。在制度基础审计的模式下，信息审计的业务内容已经扩展到了符合性测试领域。信息系统的安全性、可靠性与其所服务的组织所面临的各种风险之间的联系越来越紧密，对被审计单位风险的评估必须将信息系统纳入考虑范围。计算机审计的业务范围已经覆盖了审计业务的全过程，信息系统审计的概念随之出现。现代审计技术和方法体系已由原始的查账技术基础上的账项基础审计发展到制度基础审计,进而又发展到风险导向审计。越来越关注对审计风险进行系统的分析和评价，并以此作为出发点，将审计的视野扩大到被审计单位所处的经营环境，捕捉潜在的风险点。和传统的审计关注相比较，业务、财务审计的界线日趋模糊，风险评估贯穿于审计工作的全过程。随着网络技术、数据库技术的高速发展，信息化环境下的企业运行发生了极大变化。对于信息系统审计，需求领域很广，“未来审计行业和审计技术的发展动力将主要来自于信息系统审计的发展”，已经成为业界共识。信息系统审计已成为企业最关注的重要课题。
二、保险公司开展内部信息系统审计的意义
保险业在防范化解金融风险、维护国家金融安全方面的作用越来越大，作为商业保险公司，其自身的运行和发展同样也是身系国家的重托、社会的责任。特别对于寿险企业，对利益相关者如监管者、投资者、代理人或机构、团体客户、个人客户等也非常重要。决定了企业自身必须重视和防范风险。我国的寿险公司近年来对信息技术的投入越来越大，信息化程度也越来越高。在提高集中管控能力、执行能力和市场反应能力等方面，促进了寿险企业经营管理水平的提高。但是，超速发展的信息化进程中客观地产生了信息系统潜在的风险，如操作轨迹不可见、操作流程缺失、数据非法修改、办公系统安全措施简陋、生产系统故障、信息系统人为欺诈等。而这些风险，特别是人为因素造成的风险，依然存在于寿险公司信息技术流程管理、技术安全管理、经营管理和生产系统运行管理过程中，迫切需要对其安全性、真实性、完整性、有效性进行鉴证，保证信息系统的可信度，促进内部体系的建设。信息系统审计以其先进的理念和技术，所发挥的对风险的防范作用是无可替代的。因此，作为寿险公司的内部审计，适时开展信息系统审计，这是信息时代的需求。是趋势，也别无选择。
三、寿险公司信息系统内部审计的目标
寿险公司信息系统审计的依据，应当是在遵从外部审计所使用的依据条件之下，对寿险公司内部进行全面审计，着手提高信息系统的安全性。从信息系统的资源是否最大限度地被利用为落脚点，实现信息系统在业务和负载方面的均衡。

四、信息系统审计程序与审计方法

信息系统审计程序参照传统审计程序，包括确定审计范围、做好审计准备、进行审计评估、出具审计报告、提供管理咨询等过程。 信息系统审计也可采用非现场审计与现场审计相结合的操作方式进行。对信息系统平台的审计采用现场审计模式，但对于应用系统审计，基于目前非现场审计手段相对落后，更倾向于二者的结合。即审前准备采用非现场方式实现，借助辅助审计系预抽取数据，分析确认审计重点，再结合现场审计实施。

五、保险企业内部审计中信息系统审计内容及操作

保险企业内部审计中信息系统审计目标决定了信息系统审计的对象：由计算机硬件和软件结合而成的信息系统以及与信息系统输入、输出相关的活动。即信息系统及信息系统生命周期的所有活动。
因此,寿险公司信息系统的内部审计，审计范围可确定为管理层所关注的风险控制点，应包含以下内容：
(一)管理流程审计。信息技术管理流程审计主要评估信息技术规划，评估信息技术工作条例或工作程序，评估信息技术部门的工作职责与工作分工，评估信息系统开发、购置、引进的制度和流程，评估生产系统运行维护的制度和流程，评估项目管理、项目监理的制度和流程，生产系统分岗制衡管理制度等。
(二)技术平台审计。寿险公司内部的信息技术平台复杂多样、涉及多种类、多品牌、多家厂商和服务商。对技术平台的审计必须具备较强的信息技术专业知识。内部审计应侧重于信息系统安全审计，重点关注“安全管理”、“安全工程”和“安全技术”，才具有可操作性。具体如下：
1.检查信息安全管理措施制定和履行情况；
通过现场检查信息系统方面的安全管理措施、技术措施的制定并对实际应用情况进行审计评估，保障应用系统的安全运营。安全管理方面。涉及《信息安全管理办法》、《防火墙与网络安全管理办法》、《基础架构配置与变更管理规定》、《备份管理制度》等方面。
2.评估基础架构安全；
（1）检查网络基本情况
①岗位人员基本情况、人员数量、培训、分工情况。
②技术资料的完整性。检查网络拓扑图，关注外部接入点。检查防火墙的管理工作。防火墙管理员是否妥善管理密钥和管理证书。
③对外部网络的连接是否均安装防火墙；是否有足够带宽的冗余通讯线路并且能自动切换；骨干网络设备是否能达到实时双机热备份。
④是否指定专人负责防火墙的管理工作；防火墙管理员是否妥善管理密钥和管理证书。
⑤是否实现网络监控，是否提供非法侵入检测、访问控制、密钥管理等安全控制手段。
（2）基础平台配置情况
①各系统维护管理人员是否根据《基础平台配置管理规定》对系统及数据库日志进行定期监控，开启审计日志功能。
②是否根据配置基准规范进行操作系统、数据库、服务器和防火墙的初始配置、增加或删除策略；对配置的维护是否通过安全管理部门或人员审批并记录；维护记录是否由专人保管，经过授权才能获取。
③系统管理员是否定期进行配置策略审查工作，对过期和权限过大的策略进行优化，并按照配置变更申请审批流程进行。
④系统管理员是否及时了解并取得授权厂商发布的软硬件升级包，并按照《基础架构配置与变更管理规定》进行升级。
（3）系统数据修改情况
①是否存在系统管理员直接修改数据库中的数据，或存在数据库管理员未经授权直接修改数据库中的数据。
②抽查主要系统的数据修改审批表和汇总表。
（4）检查逻辑访问情况
①抽查安全报告，确保只有经过授权的访问发生。如果存在未经授权的用户，检查是否及时做出后续处理。
②是否对数据库比较敏感应用工具的访问权限加以适当控制。是否对适当的系统文件或目录进行有效的限制。
③是否禁止系统管理员的远程访问，是否只有系统管理员可以在主控台上使用管理员账号登录。使用各种未经授权的登录名和密码进行试探访问，系统中是否留有相应记录。
3.检查逻辑访问、账户和密码管理情况；
（1）应用系统管理员是否与应用系统的操作员分离，是否存在应用系统管理员操作应用系统。
（2）系统超级用户和数据库管理员用户密码是否得到妥善保管并定期或不定期更换，且仅为系统管理员掌握。
（3）账号的建立/维护/删除是否经过审批，是否有文档记录，文档记录是否在账号更新同时进行更新。申请人所申请的权限是否合理。
（4）是否定期审阅用户账号及确认访问权限，删除过多的授权及清理多余的账号。是否存在账号共享，以及一人同时具有多个不相容角色权限的情况。
（5）是否对用户口令的设置和使用做出规范，是否要求用户账号口令定期更新，并进行提示。
4.检查数据备份情况
（1）是否制定备份策略和制度；是否对操作系统、数据库系统、OA系统及各种重要应用系统进行备份；是否制定备份检查和操作手册或流程，对备份操作步骤、备份时间、介质数量等进行明确规定。
（2）是否制定备份介质的管理制度，备份介质的管理是否能有效防范因灾难或其他原因带来的数据安全风险，管理层是否对备份介质进行定期检查。
（3）是否制定备份恢复的相关实施细则，是否进行过任何有目的的备份恢复测试，或是进行过生产环境的数据恢复。
5.检查物理环境安全情况。
（1）是否严格控制出入机房人员，访问者进出机房是否在《机房运行日志》中进行详细访问记录，检查《机房运行日志》。
（2）机房内是否有相应防火、防水、防磁、防尘、防雷措施。检查机房消防设备是否已过期和失效；工作人员是否能够熟练使用机房配备的消防系统。
（3）空调器制冷、送风和控制系统是否正常；机房温度、湿度是否适当。
（4）检查稳压电源、ＵＰＳ和控制系统是否正常；是否定期对现有的不间断的电力供应设备进行检查与维护；是否有足够容量的双机热备份UPS电源；重要机房是否有足够容量的双回路市电供电；是否定期对地线进行检查。
（5）机房是否安装了报警设施，报警方式和效果如何？对运行环境可能出现的环境因素进行监测并预警。
(三)信息系统项目审计
信息系统项目审计主要评估信息系统项目管理与项目监理的有效性。项目管理审计主要评估信息系统项目在启动、立项、需求分析、系统设计、开发、测试、试点、验收、推广过程的有效性，其目的是控制项目进展过程中的风险。
(四)生产系统审计
保险公司内部一般均建立了核心业务系统、营销员管理系统、财务系统、精算系统、再保系统、单证系统、办公系统、邮件系统、固定资产管理系统等生产系统，公司的生产经营活动大多要通过生产系统进行。
生产系统的审计首先是信息系统与业务流程吻合审计，主要评估实际业务操作流程与信息系统操作流程的吻合情况，评估信息系统对需求的满足度及信息系统操作流程与业务操作流程的吻合度。
对保险公司内部生产系统的审计是其各个生产系统相关的风险。审计依据是各公司针对不同应用系统指定的实务手册、规定、通知。主要关注点如下：
（1）评估系统功能授权
检查相应的授权模块、检查操作系统管理员与应用系统管理的权限分派的合理性。
（2）业务操作授权
检查生产系统中业务授权情况。
（3）业务、审批、决定授权
检查授权流程，检查合规性，检查临时授权的审批流程。
（4）业务流程的完整性
由于寿险公司内部数据的逻辑关联，需评估作业后的流程执行是否完整，如数据流是否与业务单证流一致。如结案后要求扣还保单质押借款、生存给付、拒赔案件等操作是否正确实施等，以确保最终结果的合理与正确。

六、寿险企业内部审计中信息技术应用

事实上，寿险企业内部审计中信息技术应用，目前表现为内部审计辅助审计系统的开发。要真正实现通过内部审计系统对生产系统进行审计，必须在生产系统立项、建设时，明确审计要求，在生产系统中，设置审计接口，设计内部审计需要的状态、时间戳等重要字段的记录审计轨迹，由计算机自动记录审计线索，在生产系统中留下可追溯的记录。在对生产系统进行验收的过程中，需强调生产系统的可审计性。在开发生产系统的同时，也要开发相应的审计系统，使生产系统投产后就有相应的审计系统投产运行。
各类辅助软件的开发，由于要依据寿险公司内部相应的应用系统，因此数据标准和信息共享至关重要，开发时要使各系统间实现简单有效的数据交互，保证数据的准确性和一致性。依据电子数据，充分利用数据之间的关系建立审计索引，自动实现全方位对比判别。
在开发寿险公司内部审计辅助系统时应部署如下模块：
（一）系统设置及管理模块：
1.全局设置功能
2.模版定义功能：针对不同主题的审计，定义各种审计模版，包括审计流程、文档格式等。
3.指标定义功能：针对保险行业特点，定义一系列指标。
4.查询方案定义功能：可以定义一些标准的查询功能，如超限额、账龄分析、超额保单、大额理赔等。
（二）数据接口模块：
1.数据标准化功能：针对不同的数据源定义源数据与审计数据的对应关系，并形成接口模版。
2.数据抽取功能：按接口模版从源数据库中抽取数据，存放到内审系统的中间结构中。
3.数据整理功能：按具体审计的要求，将存放在内审系统中间结构中的数据进行整理，完成必要的归并，并形成数据目录。
（三）项目管理模块：
项目管理模块应能实现审计方案定义、审计过程记录、文档管理等功能。
（四）审计处理模块：
1.审计整理功能：对业务数据可进行各类排序，使审计人员能够实现有目的的筛选。对财务自动产生报表等进行计算复核。
2.审计分析功能：对财务自动产生总体财务指标和变动趋势，提供分析性测试数据。对业务应该实现对分类数据的分析处理，如对理赔情况的总体分析等。
3.审计查证功能：对财务利用数据之间的关联，完成一些横向和纵向的查证操作，对业务可以逐环节追溯查询，按照业务处理逻辑展开审计查证。
4.合并审计功能：参照财务处理的原理，对相关的汇总类报表审计自动生成。
（五）审计帮助模：
1.法律法规及公司制块度查询功能：审计人员可以在审计过程中随时调阅国家法律法规和企业内控制度。
2.问题帮助功能：提供常见审计问题的解决方法，并定位到具体步骤。
（六）内部审计情况统计分析模块：
1.内部审计情况统计表处理功能：能够完成诸如内部审计工作情况统计表、被审单位违规违纪情况统计表、内部审计组织建设情况统计表等标准审计报表的生成处理，也可以按具体情况定义并生成所需审计报表。
2.内部审计情况分析功能：可以根据积累的审计数据，对存在的内部控制问题，以及问题的解决情况进行分析。
寿险公司自身特色的内部审计系统，还应能汇集大量的审计案例，分析其中的规律，强化已有的控制点，发现或部署新的控制点。一方面进一步改进生产系统的运行状况；另一方面进一步完善审计系统自身功能，使生产系统与内部审计系统的应用水平共同提高。