金融保險公司信息系統(tǒng)專項審計案例分享

1、金融保險公司信息系統(tǒng)專項審計案例分享一、案例背景：1、監(jiān)管背景近年來 ,各保險公司對信息技術(shù)的投入越來越大, 保險公司更多的產(chǎn)品和服務(wù)都是以數(shù)據(jù)形式存儲和呈現(xiàn)，信息化程度也越來越高 ,促進了保險公司經(jīng)營管理水平的提高。 由于在信息化進程中存在操作軌跡不可見、操作流程缺失、數(shù)據(jù)非法修改、 生產(chǎn)系統(tǒng)故障、 信息系統(tǒng)人為欺詐等各類風險。 因此，迫切需要對信息系統(tǒng)進行審計，保證信息系統(tǒng)的可信度，促進保險公司內(nèi)控體系的建設(shè)。保險行業(yè)監(jiān)督管理委員會（以下簡稱“保監(jiān)會” ）高度重視信息管理，將信息系統(tǒng)風險納入行業(yè)風險進行統(tǒng)一管理，不斷推進各項信息安全監(jiān)管措施，在壽險公司內(nèi)部控制評價辦法（試行） 、 保險公司

2、內(nèi)部審計指引（試行） 、 保險公司內(nèi)部控制基本準則 、 保險信息安全風險評估指標體系規(guī)范等一系列制度中均對公司信息系統(tǒng)安全監(jiān)管提出相關(guān)要求和規(guī)范。其中 2011 年發(fā)布的 133 號文件保險公司信息化工作管理指引（試行） 特別提出由獨立于信息技術(shù)部門的有關(guān)部門負責信息系統(tǒng)審計工作，至少每兩年進行一次審計。審計結(jié)果應(yīng)報保監(jiān)會備案。2、行業(yè)風險保監(jiān)會統(tǒng)計信息部會定期對保險全系統(tǒng)內(nèi)的網(wǎng)絡(luò)與信息安全進行風險提示，如 2015 年第 157 號通報了兩家保險公司發(fā)生系統(tǒng)故障造成核心業(yè)務(wù)停用的情況，兩次故障分別導(dǎo)致服務(wù)器宕機造成相關(guān)業(yè)務(wù)操作受到影響，鑒于此類情況保監(jiān)會對各保險公司的信息安全風險控制提出了相

3、關(guān)要求。通過對行業(yè)監(jiān)管要求，以及同業(yè)已經(jīng)出現(xiàn)的信息化風險的綜合考量，本保險公司審計部將信息系統(tǒng)專項審計納入年度審計計劃中，并由內(nèi)審部開展實施。3、審計目標該保險公司審計部要求通過對信息系統(tǒng)管理過程中重要環(huán)節(jié)的內(nèi)部控制審計，檢查信息系統(tǒng)安全管理、信息技術(shù)發(fā)展規(guī)劃、信息系統(tǒng)運行維護管理、信息系統(tǒng)開發(fā)管理等方面，揭示信息系統(tǒng)管理中內(nèi)控環(huán)節(jié)存在的問題，以完善內(nèi)部控制，提高內(nèi)控水平。同時，審計部仍需評價信息系統(tǒng)運行的效益性，系統(tǒng)運作流程的合理性和合規(guī)性。二、審計過程及方法信息系統(tǒng)審計一般包含兩部分即一般控制檢查和應(yīng)用控制檢查，本次審計項目中根據(jù)保健稽查審計指引人身保險業(yè)務(wù)分冊 、 * 公司信息系統(tǒng)審計手

4、冊等制度要求，對以上兩部分控制均執(zhí)行了具體的審計程序。其中一般控制包含如：組織控制、系統(tǒng)開發(fā)與維護控制、系統(tǒng)安全控制、硬件及軟件控制以及操作控制。應(yīng)用控制包括：輸入輸出控制、系統(tǒng)處理控制等，下面簡要介紹一下項目的實施情況。1、項目資源分配本次審計小組由 1 名持有 CISA 認證的信息系統(tǒng)審計師作為項目主審， 1 名具有四年專業(yè)信息系統(tǒng)審計經(jīng)驗的審計師，以及 2 名具有多年豐富內(nèi)審經(jīng)驗的高級審計師構(gòu)成。2、確定審計方案在開展具體的審計程序前，項目小組通過調(diào)閱公司信息系統(tǒng)相關(guān)制度，要求被審計部門提供公司當前運行的信息系統(tǒng)清單列表等方式初步了解公司系統(tǒng)構(gòu)成， 系統(tǒng)開發(fā)、 運維流程。與此同時，項目小

5、組初步梳理出公司重要性、風險度較高的五個應(yīng)用系統(tǒng)，開展了全面的用戶滿意度調(diào)查，并與信息服務(wù)部負責人、相關(guān)系統(tǒng)模塊負責人等重要崗位人員開展訪談，根據(jù)調(diào)查和訪談結(jié)果，確定了本次審計的具體范圍和審計重點，以保證審計方案重點突出，利用有限的審計資源針對公司信息系統(tǒng)高風險領(lǐng)域開展審計。通過前期調(diào)查和研討，審計小組最終確定本次審計主要針對以下四部分內(nèi)容開展：（ 1 ）重點關(guān)注系統(tǒng)開發(fā)質(zhì)量管理情況，如對于公司開發(fā)程序的質(zhì)量評估和用戶反饋，以及外包開發(fā)過程管理情況，以及開發(fā)、測試流程管理情況。同時，由于公司近兩年多次購買了外部系統(tǒng)，應(yīng)關(guān)注對于外部系統(tǒng)購買項目的過程管理情況，如可研、立項、招標、實施等階段。）信

6、息系統(tǒng)運行維護及支持管理。重點關(guān)注系統(tǒng)的版2（本發(fā)布的內(nèi)部控制措施有效性，公司新系統(tǒng)項目發(fā)布過程中重要內(nèi)控環(huán)節(jié)的管理情況，數(shù)據(jù)維護及修改的審批是否完整，是否能確保數(shù)據(jù)的準確性、安全性和保密性，系統(tǒng)上線前測試的充分性，系統(tǒng)權(quán)限設(shè)置的合理性，是否存在與崗位職責不相容的權(quán)限等。同時也應(yīng)關(guān)注對系統(tǒng)運行的支持管理，如數(shù)據(jù)庫日常管理，桌面維護、硬件審核管理，網(wǎng)絡(luò)安全和可用性管理等（ 3 ）信息資產(chǎn)安全管理。重點關(guān)注信息系統(tǒng)內(nèi)控環(huán)節(jié)的管理情況，是否有匹配公司風險承受能力的信息系統(tǒng)安全策略，是否對信息系統(tǒng)所面臨的風險因素有相應(yīng)有效的控制措施，如是否執(zhí)行了有效的權(quán)限管理制度，是否對于敏感信息進行有效保護，是否對

7、操作系統(tǒng)執(zhí)行適當?shù)陌踩渲靡员ＷC系統(tǒng)與資源的安全，以及是否對于物理及環(huán)境實施了有效的安全控制，是否實施合理有效的安全備份策略，是否有健全的災(zāi)難恢復(fù)計劃等。（ 4 ）第三方服務(wù)外包管理。重點關(guān)注實施外包的業(yè)務(wù)內(nèi)容以及外包理由，外包人員管理和外包質(zhì)量控制，以及對于服務(wù)外包的安全管理方面的問題。3、審計過程在確定審計重點并完成最終的審計方案后，項目主審針對項目組成員的各自專長進行了審計流程的具體分工，確保審計資源的有效利用，同時便于對審計效率的追蹤監(jiān)督。本案例中列舉具體的兩項由于具體執(zhí)行的審計程序較多，審計程序的執(zhí)行進行說明。（ 1 ）未授權(quán)的業(yè)務(wù)數(shù)據(jù)修改說明：該公司對系統(tǒng)中業(yè)務(wù)數(shù)據(jù)的修改流程為：用

8、戶部門在OA 審批平臺中提交數(shù)據(jù)修改申請，經(jīng)過用戶部門負責人、IT 部門負責人審批后， 在公司統(tǒng)一的運維處理平臺中發(fā)起運維申請， 該申請由具體的 IT 運維人員受理， 并負責對具體的應(yīng)用系統(tǒng)執(zhí)行數(shù)據(jù)修改方案，最終由用戶部門復(fù)核并在運維處理平臺反饋結(jié)果。審計中為檢查系統(tǒng)運維工作的授權(quán)審批執(zhí)行情況，審計師調(diào)取了審計期間該公司關(guān)鍵系統(tǒng)的全部運維服務(wù)申請單，同時抽查了某連續(xù)時間段內(nèi)的數(shù)據(jù)庫修改日志（非應(yīng)用用戶執(zhí)行的修改日志） 。審查的目標是確定是否數(shù)據(jù)修改操作都有相應(yīng)的運維申請單，以及運維申請單是否經(jīng)過合理的 OA 審批授權(quán)。首先，審計師根據(jù)抽查的數(shù)據(jù)庫修改日志，根據(jù)修改的日期和時間追查是否有相應(yīng)的運

9、維服務(wù)申請單，并比對修改日志中的修改內(nèi)容、修改方案是否與申請單中一致。此過程通過抽樣的方式檢查是否存在未經(jīng)用戶部門申請， 由 IT 部門自行 操作的非法數(shù)據(jù)修改，或數(shù)據(jù)修改內(nèi)容與用戶部門申請內(nèi)容 不一致的情況，在此步檢查中未發(fā)現(xiàn)存在違規(guī)的問題。其次，審計師對全部運維服務(wù)申請單追查是否均有合規(guī)、有效的 OA 審批授權(quán)，以及授權(quán)是否符合公司相應(yīng)的授權(quán)授信制度要求。此過程中審計師提取了數(shù)據(jù)運維平臺服務(wù)單列表，以及 OA 平臺審批文件列表，使用了 EXCEL 數(shù)據(jù)表格的精確匹配、查找等功能進行審批文件比對，發(fā)現(xiàn)存在部分用戶數(shù)據(jù)修改申請缺失相應(yīng)的授權(quán)審批文件。根據(jù)此發(fā)現(xiàn)審計師決定對運維服務(wù)單進行具體抽樣

10、檢查，用以確定經(jīng)過OA 審批的文件內(nèi)容是否與數(shù)據(jù)修改單內(nèi)容一致。審計師抽取278項運維服務(wù)單，逐一核對其OA 審批文件內(nèi)容，通過此步檢查發(fā)現(xiàn)存在使用無效的過期OA 審批文件頂替的情況。最后，審計師與具體操作和復(fù)核人員面談，確定問題存在的原因是： 個別系統(tǒng)在上線初期變動頻繁， 用戶及 IT 人員為提高工作效率而忽視和合規(guī)性，在未經(jīng)過適當 OA 審批授權(quán)的情況下 IT 人員執(zhí)行了運維申請 ;個別系統(tǒng) BUG 造成了批量的業(yè)務(wù)數(shù)據(jù)錯誤，但在進行系統(tǒng)修復(fù)時未考慮對歷史錯誤數(shù)據(jù)的修改，導(dǎo)致用戶反復(fù)發(fā)現(xiàn)歷史錯誤數(shù)據(jù)時就使用過期的同類型的 OA 審批文件進行數(shù)據(jù)修改申請， IT 人員也認可此種行為并幫助執(zhí)行

11、了具體的修改。（ 2 ）殺毒軟件更新率低在執(zhí)行對公司客戶端安全性檢查中， 審計師訪談IT 技術(shù)人員 了解到公司使用統(tǒng)一的殺毒軟件，該殺毒軟件設(shè)置了自動更 新程序，并將更新包設(shè)置固定時間點自動退送至局域網(wǎng)內(nèi)客戶端。但再與用戶部門的滿意度調(diào)查中了解到公司的客戶端電腦中存在其他品牌的殺毒軟件，且用戶提到了殺毒軟件更新效率 問題。審計師決定就對此問題進行實地走查。 首先， 審計師在 IT 部門相關(guān)負責人電腦中查看了殺毒軟件管理控制中心的數(shù)據(jù)，該中心顯示公司共有 898 臺客戶端安裝該殺毒軟件，其中僅有270 臺更新到最新病毒版本庫，更新率僅為 30.1%。其次，審計師通過資產(chǎn)部門了解公司員工使用的個人

12、電腦客戶端數(shù)量與該病毒中心顯示有較大出入。審計師走查附近部門員工中的臺式電腦以及筆記本電腦發(fā)現(xiàn)臺式電腦的殺毒軟件安裝率較高，但并未及時更新病毒庫，筆記本電腦的殺毒軟件安裝率較低，多數(shù)未使用公司統(tǒng)一的殺毒軟件。根據(jù)以上情況審計師與 IT 負責人員訪談了解到， 由于攜帶筆記本電腦的員工經(jīng)常出差，為方便其在外地上網(wǎng)，公司均為其開通了管理員權(quán)限，在該權(quán)限下允許用戶自行安裝軟件。因此攜帶筆記本的員工通常根據(jù)個人喜好安裝個人版殺毒軟件。同時，由于公司統(tǒng)一的殺毒軟件更新時間設(shè)定為凌晨0：00 ，該時段客戶端基本為關(guān)機狀態(tài)，多數(shù)用戶在次日開機后不會主動點擊病毒更新，導(dǎo)致大部分客戶端未及時更新病毒版本庫。四、審

13、計成果及成效通過本次審計認為該公司信息服務(wù)部內(nèi)部控制基本有效，員工團結(jié)合作能夠形成合力，較好的支持了公司業(yè)務(wù)發(fā)展。但存在個別應(yīng)用系統(tǒng)權(quán)限管理制度缺失、部分數(shù)據(jù)維護未經(jīng)過用客戶端殺毒軟件更新率較戶確認且未經(jīng)過用戶同意修改數(shù)據(jù)、 低、缺少必要信息安全監(jiān)控措施等問題，給公司的信息系統(tǒng)環(huán)境帶來一定的風險。本案例中列舉的兩個問題在審計反饋階段均得到了 IT 部門的認同，并提出了切實的整改意見。針對數(shù)據(jù)修改授權(quán)的問題， IT 部門與用戶部門共同建立了有效的規(guī)范制度，要求數(shù)據(jù)修改方案執(zhí)行前 IT 人員必須復(fù)核OA 授權(quán)審批，若遇到緊急問題可以先口頭請示相關(guān)責任主管后進行執(zhí)行，但需要在后續(xù)補提OA 授權(quán)審批文

14、件。針對病毒庫更新較低的問題， IT 部門調(diào)整病毒版本庫推送時間為中午 12 點，并針對開通管理員權(quán)限的用戶嚴格相應(yīng)域控策略， 禁止私自安裝公司白名單意外的應(yīng)用軟件， 。 同時，在新員工入司手續(xù)中增加應(yīng)用軟件安全使用培訓(xùn)以及簽署相應(yīng)的責任書。五、思考及啟示對企業(yè)來說，改善其內(nèi)部控制水平，就是通過設(shè)計、實施、維護和監(jiān)控內(nèi)部控制和風險管理體系， 尤其是對 IT 的控制， 幫助企業(yè)建立起完善和細化相關(guān)的流程發(fā)現(xiàn)自身存在的不 足，和制度，以確保公司所有業(yè)務(wù)策略、規(guī)程和業(yè)務(wù)流程都在自 己的掌握之中，并且在合法合規(guī)的軌道上運行。通過對企業(yè)信息系統(tǒng)審計可以規(guī)避企業(yè)內(nèi)部存在的風險。作 為企業(yè)提升自身的內(nèi)部控制

15、能力，需要對風險進行更有效的 控制。信息系統(tǒng)審計能夠?qū)π畔⑾到y(tǒng)的應(yīng)用狀況和綜合績效 狀況進行全面的評估，因此，信息系統(tǒng)審計所包含的內(nèi)容要 大于信息系統(tǒng)治理所涵蓋的內(nèi)容。正因為信息系統(tǒng)審計所包 括的范圍非常的廣泛和全面，如果我們只是想借助其促進企 業(yè)內(nèi)控水平的提升，那么我們應(yīng)該加強其有關(guān)信息化風險控 制方面的指標，適當弱化和刪除其他方面的指標，以此來達 到應(yīng)用的目的。由于信息系統(tǒng)審計本身更強調(diào)評估，是客觀、真實地反映企 業(yè)信息化當前的狀況，暴露由其中存在的問題。如何更好的 去解決這些問題，如何更有效的規(guī)避風險還是要靠人自身來 想辦法解決，則是我們審計人員下一步的著眼點。當然，任 何一種方法或工具