金融保险公司信息系统专项审计案例分享

金融保险公司信息系统专项审计案例分享

一、案例背景： 1、监管背景

近年来,各保险公司对信息技术的投入越来越大, 保险公司更多的产品和服务都是以数据形式存储和呈现，信息化程度也越来越高,促进了保险公司经营管理水平的提高。由于在信息化进程中存在操作轨迹不可见、操作流程缺失、数据非法修改、生产系统故障、信息系统人为欺诈等各类风险。因此，迫切需要对信息系统进行审计，保证信息系统的可信度，促进保险公司内控体系的建设。

保险行业监督管理委员会（以下简称“保监会”）高度重视信息管理，将信息系统风险纳入行业风险进行统一管理，不断推进各项信息安全监管措施，在《寿险公司内部控制评价办法（试行）》、《保险公司内部审计指引（试行）》、《保险公司内部控制基本准则》、《保险信息安全风险评估指标体系规范》等一系列制度中均对公司信息系统安全监管提出相关要求和规范。其中2011年发布的133号文件《保险公司信息化工作管理指引（试行）》特别提出由独立于信息技术部门的有关部门负责信息系统审计工作，至少每两年进行一次审计。审计结果应报保监会备案。

2、行业风险

保监会统计信息部会定期对保险全系统内的网络与信息安全进行风险提示，如2015年第157号通报了两家保险公司

1

发生系统故障造成核心业务停用的情况，两次故障分别导致服务器宕机造成相关业务操作受到影响，鉴于此类情况保监会对各保险公司的信息安全风险控制提出了相关要求。

通过对行业监管要求，以及同业已经出现的信息化风险的综合考量，本保险公司审计部将信息系统专项审计纳入年度审计计划中，并由内审部开展实施。

3、审计目标

该保险公司审计部要求通过对信息系统管理过程中重要环节的内部控制审计，检查信息系统安全管理、信息技术发展规划、信息系统运行维护管理、信息系统开发管理等方面，揭示信息系统管理中内控环节存在的问题，以完善内部控制，提高内控水平。同时，审计部仍需评价信息系统运行的效益性，系统运作流程的合理性和合规性。

二、审计过程及方法

信息系统审计一般包含两部分即一般控制检查和应用控制检查，本次审计项目中根据《保健稽查审计指引人身保险业务分册》、《**公司信息系统审计手册》等制度要求，对以上两部分控制均执行了具体的审计程序。其中一般控制包含如：组织控制、系统开发与维护控制、系统安全控制、硬件及软件控制以及操作控制。应用控制包括：输入输出控制、系统处理控制等，下面简要介绍一下项目的实施情况。

1、项目资源分配

本次审计小组由1名持有CISA认证的信息系统审计师作为

2

项目主审，1名具有四年专业信息系统审计经验的审计师，以及2名具有多年丰富内审经验的高级审计师构成。

2、确定审计方案

在开展具体的审计程序前，项目小组通过调阅公司信息系统相关制度，要求被审计部门提供公司当前运行的信息系统清单列表等方式初步了解公司系统构成，系统开发、运维流程。与此同时，项目小组初步梳理出公司重要性、风险度较高的五个应用系统，开展了全面的用户满意度调查，并与信息服务部负责人、相关系统模块负责人等重要岗位人员开展访谈，根据调查和访谈结果，确定了本次审计的具体范围和审计重点，以保证审计方案重点突出，利用有限的审计资源针对公司信息系统高风险领域开展审计。

通过前期调查和研讨，审计小组最终确定本次审计主要针对以下四部分内容开展：

（1）重点关注系统开发质量管理情况，如对于公司开发程序的质量评估和用户反馈，以及外包开发过程管理情况，以及开发、测试流程管理情况。同时，由于公司近两年多次购买了外部系统，应关注对于外部系统购买项目的过程管理情况，如可研、立项、招标、实施等阶段。

（2）信息系统运行维护及支持管理。重点关注系统的版本发布的内部控制措施有效性，公司新系统项目发布过程中重要内控环节的管理情况，数据维护及修改的审批是否完整，是

3

否能确保数据的准确性、安全性和保密性，系统上线前测试的充分性，系统权限设臵的合理性，是否存在与岗位职责不相容的权限等。同时也应关注对系统运行的支持管理，如数据库日常管理，桌面维护、硬件审核管理，网络安全和可用性管理等

（3）信息资产安全管理。重点关注信息系统内控环节的管理情况，是否有匹配公司风险承受能力的信息系统安全策略，是否对信息系统所面临的风险因素有相应有效的控制措施，如是否执行了有效的权限管理制度，是否对于敏感信息进行有效保护，是否对操作系统执行适当的安全配臵以保证系统与资源的安全，以及是否对于物理及环境实施了有效的安全控制，是否实施合理有效的安全备份策略，是否有健全的灾难恢复计划等。

（4）第三方服务外包管理。重点关注实施外包的业务内容以及外包理由，外包人员管理和外包质量控制，以及对于服务外包的安全管理方面的问题。

3、审计过程

在确定审计重点并完成最终的审计方案后，项目主审针对项目组成员的各自专长进行了审计流程的具体分工，确保审计资源的有效利用，同时便于对审计效率的追踪监督。

由于具体执行的审计程序较多，本案例中列举具体的两项审计程序的执行进行说明。

（1）未授权的业务数据修改

4

说明：该公司对系统中业务数据的修改流程为：用户部门在OA审批平台中提交数据修改申请，经过用户部门负责人、IT部门负责人审批后，在公司统一的运维处理平台中发起运维申请，该申请由具体的IT运维人员受理，并负责对具体的应用系统执行数据修改方案，最终由用户部门复核并在运维处理平台反馈结果。

审计中为检查系统运维工作的授权审批执行情况，审计师调取了审计期间该公司关键系统的全部运维服务申请单，同时抽查了某连续时间段内的数据库修改日志（非应用用户执行的修改日志）。审查的目标是确定是否数据修改操作都有相应的运维申请单，以及运维申请单是否经过合理的OA审批授权。

首先，审计师根据抽查的数据库修改日志，根据修改的日期和时间追查是否有相应的运维服务申请单，并比对修改日志中的修改内容、修改方案是否与申请单中一致。此过程通过抽样的方式检查是否存在未经用户部门申请，由IT部门自行操作的非法数据修改，或数据修改内容与用户部门申请内容不一致的情况，在此步检查中未发现存在违规的问题。

其次，审计师对全部运维服务申请单追查是否均有合规、有效的OA审批授权，以及授权是否符合公司相应的授权授信制度要求。此过程中审计师提取了数据运维平台服务单列表，以及OA平台审批文件列表，使用了EXCEL数据表格的精确匹配、查找等功能进行审批文件比对，发现存在部分用户数据修

5

改申请缺失相应的授权审批文件。根据此发现审计师决定对运维服务单进行具体抽样检查，用以确定经过OA审批的文件内容是否与数据修改单内容一致。审计师抽取278项运维服务单，逐一核对其OA审批文件内容，通过此步检查发现存在使用无效的过期OA审批文件顶替的情况。

最后，审计师与具体操作和复核人员面谈，确定问题存在的原因是：个别系统在上线初期变动频繁，用户及IT人员为提高工作效率而忽视和合规性，在未经过适当OA审批授权的情况下IT人员执行了运维申请;个别系统BUG造成了批量的业务数据错误，但在进行系统修复时未考虑对历史错误数据的修改，导致用户反复发现历史错误数据时就使用过期的同类型的OA审批文件进行数据修改申请，IT人员也认可此种行为并帮助执行了具体的修改。

（2）杀毒软件更新率低

在执行对公司客户端安全性检查中，审计师访谈IT技术人员了解到公司使用统一的杀毒软件，该杀毒软件设臵了自动更新程序，并将更新包设臵固定时间点自动退送至局域网内客户端。但再与用户部门的满意度调查中了解到公司的客户端电脑中存在其他品牌的杀毒软件，且用户提到了杀毒软件更新效率问题。审计师决定就对此问题进行实地走查。

首先，审计师在IT部门相关负责人电脑中查看了杀毒软件管理控制中心的数据，该中心显示公司共有898台客户端安装

6

该杀毒软件，其中仅有270台更新到最新病毒版本库，更新率仅为30.1%。

其次，审计师通过资产部门了解公司员工使用的个人电脑客户端数量与该病毒中心显示有较大出入。审计师走查附近部门员工中的台式电脑以及笔记本电脑发现台式电脑的杀毒软件安装率较高，但并未及时更新病毒库，笔记本电脑的杀毒软件安装率较低，多数未使用公司统一的杀毒软件。

根据以上情况审计师与IT负责人员访谈了解到，由于携带笔记本电脑的员工经常出差，为方便其在外地上网，公司均为其开通了管理员权限，在该权限下允许用户自行安装软件。因此携带笔记本的员工通常根据个人喜好安装个人版杀毒软件。同时，由于公司统一的杀毒软件更新时间设定为凌晨0：00，该时段客户端基本为关机状态，多数用户在次日开机后不会主动点击病毒更新，导致大部分客户端未及时更新病毒版本库。

四、审计成果及成效

通过本次审计认为该公司信息服务部内部控制基本有效，员工团结合作能够形成合力，较好的支持了公司业务发展。但存在个别应用系统权限管理制度缺失、部分数据维护未经过用户确认且未经过用户同意修改数据、客户端杀毒软件更新率较低、缺少必要信息安全监控措施等问题，给公司的信息系统环境带来一定的风险。

本案例中列举的两个问题在审计反馈阶段均得到了IT部

7

门的认同，并提出了切实的整改意见。

针对数据修改授权的问题，IT部门与用户部门共同建立了有效的规范制度，要求数据修改方案执行前IT人员必须复核OA授权审批，若遇到紧急问题可以先口头请示相关责任主管后进行执行，但需要在后续补提OA授权审批文件。

针对病毒库更新较低的问题，IT部门调整病毒版本库推送时间为中午12点，并针对开通管理员权限的用户严格相应域控策略，禁止私自安装公司白名单意外的应用软件，。同时，在新员工入司手续中增加应用软件安全使用培训以及签署相应的责任书。

五、思考及启示

对企业来说，改善其内部控制水平，就是通过设计、实施、维护和监控内部控制和风险管理体系，尤其是对IT 的控制，发现自身存在的不足，帮助企业建立起完善和细化相关的流程和制度，以确保公司所有业务策略、规程和业务流程都在自己的掌握之中，并且在合法合规的轨道上运行。

通过对企业信息系统审计可以规避企业内部存在的风险。作为企业提升自身的内部控制能力，需要对风险进行更有效的控制。信息系统审计能够对信息系统的应用状况和综合绩效状况进行全面的评估，因此，信息系统审计所包含的内容要大于信息系统治理所涵盖的内容。正因为信息系统审计所包括的范围非常的广泛和全面，如果我们只是想借助其促进企业内控水

8

平的提升，那么我们应该加强其有关信息化风险控制方面的指标，适当弱化和删除其他方面的指标，以此来达到应用的目的。

由于信息系统审计本身更强调评估，是客观、真实地反映企业信息化当前的状况，暴露出其中存在的问题。如何更好的去解决这些问题，如何更有效的规避风险还是要靠人自身来想办法解决，则是我们审计人员下一步的着眼点。当然，任何一种方法或工具都不是万能的，有它的优势和局限性，我们只有抓住问题的实质，运用适当的方法和工具才能够有效的解决。

9

附件

优秀内部审计案例推荐表

单位：

推荐案例名称 内部审计机构名称 联 系 人 办公电话 程杨 59238733 金融保险公司信息系统专项审计案例分享 长城人寿保险股份有限公司 电子邮箱 chengyang@greatlife.cn 手 机 18601994424 本单位推荐意见 （单位公章） 年 月 日 北京市西城 区内审协会 （公章） 年 月 日 意见 本单位是否同意北京市西城区内部审计协会以推广经验为目的出版、刊登案例。 （请务必写明“同意”或“不同意”） （公章） 年 月 日

10

本文来源：https://www.bwwdw.com/article/dj5h.html