金融保險(xiǎn)公司信息系統(tǒng)專項(xiàng)審計(jì)案例分享

1、金融保險(xiǎn)公司信息系統(tǒng)專項(xiàng)審計(jì)案例分享一、案例背景：1、監(jiān)管背景近年來 ,各保險(xiǎn)公司對(duì)信息技術(shù)的投入越來越大, 保險(xiǎn)公司更多的產(chǎn)品和服務(wù)都是以數(shù)據(jù)形式存儲(chǔ)和呈現(xiàn)，信息化程度也越來越高 ,促進(jìn)了保險(xiǎn)公司經(jīng)營管理水平的提高。 由于在信息化進(jìn)程中存在操作軌跡不可見、操作流程缺失、數(shù)據(jù)非法修改、 生產(chǎn)系統(tǒng)故障、 信息系統(tǒng)人為欺詐等各類風(fēng)險(xiǎn)。 因此，迫切需要對(duì)信息系統(tǒng)進(jìn)行審計(jì)，保證信息系統(tǒng)的可信度，促進(jìn)保險(xiǎn)公司內(nèi)控體系的建設(shè)。保險(xiǎn)行業(yè)監(jiān)督管理委員會(huì)（以下簡(jiǎn)稱“保監(jiān)會(huì)” ）高度重視信息管理，將信息系統(tǒng)風(fēng)險(xiǎn)納入行業(yè)風(fēng)險(xiǎn)進(jìn)行統(tǒng)一管理，不斷推進(jìn)各項(xiàng)信息安全監(jiān)管措施，在壽險(xiǎn)公司內(nèi)部控制評(píng)價(jià)辦法（試行） 、 保險(xiǎn)公司

2、內(nèi)部審計(jì)指引（試行） 、 保險(xiǎn)公司內(nèi)部控制基本準(zhǔn)則 、 保險(xiǎn)信息安全風(fēng)險(xiǎn)評(píng)估指標(biāo)體系規(guī)范等一系列制度中均對(duì)公司信息系統(tǒng)安全監(jiān)管提出相關(guān)要求和規(guī)范。其中 2011 年發(fā)布的 133 號(hào)文件保險(xiǎn)公司信息化工作管理指引（試行） 特別提出由獨(dú)立于信息技術(shù)部門的有關(guān)部門負(fù)責(zé)信息系統(tǒng)審計(jì)工作，至少每兩年進(jìn)行一次審計(jì)。審計(jì)結(jié)果應(yīng)報(bào)保監(jiān)會(huì)備案。2、行業(yè)風(fēng)險(xiǎn)保監(jiān)會(huì)統(tǒng)計(jì)信息部會(huì)定期對(duì)保險(xiǎn)全系統(tǒng)內(nèi)的網(wǎng)絡(luò)與信息安全進(jìn)行風(fēng)險(xiǎn)提示，如 2015 年第 157 號(hào)通報(bào)了兩家保險(xiǎn)公司發(fā)生系統(tǒng)故障造成核心業(yè)務(wù)停用的情況，兩次故障分別導(dǎo)致服務(wù)器宕機(jī)造成相關(guān)業(yè)務(wù)操作受到影響，鑒于此類情況保監(jiān)會(huì)對(duì)各保險(xiǎn)公司的信息安全風(fēng)險(xiǎn)控制提出了相

3、關(guān)要求。通過對(duì)行業(yè)監(jiān)管要求，以及同業(yè)已經(jīng)出現(xiàn)的信息化風(fēng)險(xiǎn)的綜合考量，本保險(xiǎn)公司審計(jì)部將信息系統(tǒng)專項(xiàng)審計(jì)納入年度審計(jì)計(jì)劃中，并由內(nèi)審部開展實(shí)施。3、審計(jì)目標(biāo)該保險(xiǎn)公司審計(jì)部要求通過對(duì)信息系統(tǒng)管理過程中重要環(huán)節(jié)的內(nèi)部控制審計(jì)，檢查信息系統(tǒng)安全管理、信息技術(shù)發(fā)展規(guī)劃、信息系統(tǒng)運(yùn)行維護(hù)管理、信息系統(tǒng)開發(fā)管理等方面，揭示信息系統(tǒng)管理中內(nèi)控環(huán)節(jié)存在的問題，以完善內(nèi)部控制，提高內(nèi)控水平。同時(shí)，審計(jì)部仍需評(píng)價(jià)信息系統(tǒng)運(yùn)行的效益性，系統(tǒng)運(yùn)作流程的合理性和合規(guī)性。二、審計(jì)過程及方法信息系統(tǒng)審計(jì)一般包含兩部分即一般控制檢查和應(yīng)用控制檢查，本次審計(jì)項(xiàng)目中根據(jù)保健稽查審計(jì)指引人身保險(xiǎn)業(yè)務(wù)分冊(cè) 、 * 公司信息系統(tǒng)審計(jì)手

4、冊(cè)等制度要求，對(duì)以上兩部分控制均執(zhí)行了具體的審計(jì)程序。其中一般控制包含如：組織控制、系統(tǒng)開發(fā)與維護(hù)控制、系統(tǒng)安全控制、硬件及軟件控制以及操作控制。應(yīng)用控制包括：輸入輸出控制、系統(tǒng)處理控制等，下面簡(jiǎn)要介紹一下項(xiàng)目的實(shí)施情況。1、項(xiàng)目資源分配本次審計(jì)小組由 1 名持有 CISA 認(rèn)證的信息系統(tǒng)審計(jì)師作為項(xiàng)目主審， 1 名具有四年專業(yè)信息系統(tǒng)審計(jì)經(jīng)驗(yàn)的審計(jì)師，以及 2 名具有多年豐富內(nèi)審經(jīng)驗(yàn)的高級(jí)審計(jì)師構(gòu)成。2、確定審計(jì)方案在開展具體的審計(jì)程序前，項(xiàng)目小組通過調(diào)閱公司信息系統(tǒng)相關(guān)制度，要求被審計(jì)部門提供公司當(dāng)前運(yùn)行的信息系統(tǒng)清單列表等方式初步了解公司系統(tǒng)構(gòu)成， 系統(tǒng)開發(fā)、 運(yùn)維流程。與此同時(shí)，項(xiàng)目小

5、組初步梳理出公司重要性、風(fēng)險(xiǎn)度較高的五個(gè)應(yīng)用系統(tǒng)，開展了全面的用戶滿意度調(diào)查，并與信息服務(wù)部負(fù)責(zé)人、相關(guān)系統(tǒng)模塊負(fù)責(zé)人等重要崗位人員開展訪談，根據(jù)調(diào)查和訪談結(jié)果，確定了本次審計(jì)的具體范圍和審計(jì)重點(diǎn)，以保證審計(jì)方案重點(diǎn)突出，利用有限的審計(jì)資源針對(duì)公司信息系統(tǒng)高風(fēng)險(xiǎn)領(lǐng)域開展審計(jì)。通過前期調(diào)查和研討，審計(jì)小組最終確定本次審計(jì)主要針對(duì)以下四部分內(nèi)容開展：（ 1 ）重點(diǎn)關(guān)注系統(tǒng)開發(fā)質(zhì)量管理情況，如對(duì)于公司開發(fā)程序的質(zhì)量評(píng)估和用戶反饋，以及外包開發(fā)過程管理情況，以及開發(fā)、測(cè)試流程管理情況。同時(shí)，由于公司近兩年多次購買了外部系統(tǒng)，應(yīng)關(guān)注對(duì)于外部系統(tǒng)購買項(xiàng)目的過程管理情況，如可研、立項(xiàng)、招標(biāo)、實(shí)施等階段。）信

6、息系統(tǒng)運(yùn)行維護(hù)及支持管理。重點(diǎn)關(guān)注系統(tǒng)的版2（本發(fā)布的內(nèi)部控制措施有效性，公司新系統(tǒng)項(xiàng)目發(fā)布過程中重要內(nèi)控環(huán)節(jié)的管理情況，數(shù)據(jù)維護(hù)及修改的審批是否完整，是否能確保數(shù)據(jù)的準(zhǔn)確性、安全性和保密性，系統(tǒng)上線前測(cè)試的充分性，系統(tǒng)權(quán)限設(shè)置的合理性，是否存在與崗位職責(zé)不相容的權(quán)限等。同時(shí)也應(yīng)關(guān)注對(duì)系統(tǒng)運(yùn)行的支持管理，如數(shù)據(jù)庫日常管理，桌面維護(hù)、硬件審核管理，網(wǎng)絡(luò)安全和可用性管理等（ 3 ）信息資產(chǎn)安全管理。重點(diǎn)關(guān)注信息系統(tǒng)內(nèi)控環(huán)節(jié)的管理情況，是否有匹配公司風(fēng)險(xiǎn)承受能力的信息系統(tǒng)安全策略，是否對(duì)信息系統(tǒng)所面臨的風(fēng)險(xiǎn)因素有相應(yīng)有效的控制措施，如是否執(zhí)行了有效的權(quán)限管理制度，是否對(duì)于敏感信息進(jìn)行有效保護(hù)，是否對(duì)

7、操作系統(tǒng)執(zhí)行適當(dāng)?shù)陌踩渲靡员ＷC系統(tǒng)與資源的安全，以及是否對(duì)于物理及環(huán)境實(shí)施了有效的安全控制，是否實(shí)施合理有效的安全備份策略，是否有健全的災(zāi)難恢復(fù)計(jì)劃等。（ 4 ）第三方服務(wù)外包管理。重點(diǎn)關(guān)注實(shí)施外包的業(yè)務(wù)內(nèi)容以及外包理由，外包人員管理和外包質(zhì)量控制，以及對(duì)于服務(wù)外包的安全管理方面的問題。3、審計(jì)過程在確定審計(jì)重點(diǎn)并完成最終的審計(jì)方案后，項(xiàng)目主審針對(duì)項(xiàng)目組成員的各自專長進(jìn)行了審計(jì)流程的具體分工，確保審計(jì)資源的有效利用，同時(shí)便于對(duì)審計(jì)效率的追蹤監(jiān)督。本案例中列舉具體的兩項(xiàng)由于具體執(zhí)行的審計(jì)程序較多，審計(jì)程序的執(zhí)行進(jìn)行說明。（ 1 ）未授權(quán)的業(yè)務(wù)數(shù)據(jù)修改說明：該公司對(duì)系統(tǒng)中業(yè)務(wù)數(shù)據(jù)的修改流程為：用

8、戶部門在OA 審批平臺(tái)中提交數(shù)據(jù)修改申請(qǐng)，經(jīng)過用戶部門負(fù)責(zé)人、IT 部門負(fù)責(zé)人審批后， 在公司統(tǒng)一的運(yùn)維處理平臺(tái)中發(fā)起運(yùn)維申請(qǐng)， 該申請(qǐng)由具體的 IT 運(yùn)維人員受理， 并負(fù)責(zé)對(duì)具體的應(yīng)用系統(tǒng)執(zhí)行數(shù)據(jù)修改方案，最終由用戶部門復(fù)核并在運(yùn)維處理平臺(tái)反饋結(jié)果。審計(jì)中為檢查系統(tǒng)運(yùn)維工作的授權(quán)審批執(zhí)行情況，審計(jì)師調(diào)取了審計(jì)期間該公司關(guān)鍵系統(tǒng)的全部運(yùn)維服務(wù)申請(qǐng)單，同時(shí)抽查了某連續(xù)時(shí)間段內(nèi)的數(shù)據(jù)庫修改日志（非應(yīng)用用戶執(zhí)行的修改日志） 。審查的目標(biāo)是確定是否數(shù)據(jù)修改操作都有相應(yīng)的運(yùn)維申請(qǐng)單，以及運(yùn)維申請(qǐng)單是否經(jīng)過合理的 OA 審批授權(quán)。首先，審計(jì)師根據(jù)抽查的數(shù)據(jù)庫修改日志，根據(jù)修改的日期和時(shí)間追查是否有相應(yīng)的運(yùn)

9、維服務(wù)申請(qǐng)單，并比對(duì)修改日志中的修改內(nèi)容、修改方案是否與申請(qǐng)單中一致。此過程通過抽樣的方式檢查是否存在未經(jīng)用戶部門申請(qǐng)， 由 IT 部門自行 操作的非法數(shù)據(jù)修改，或數(shù)據(jù)修改內(nèi)容與用戶部門申請(qǐng)內(nèi)容 不一致的情況，在此步檢查中未發(fā)現(xiàn)存在違規(guī)的問題。其次，審計(jì)師對(duì)全部運(yùn)維服務(wù)申請(qǐng)單追查是否均有合規(guī)、有效的 OA 審批授權(quán)，以及授權(quán)是否符合公司相應(yīng)的授權(quán)授信制度要求。此過程中審計(jì)師提取了數(shù)據(jù)運(yùn)維平臺(tái)服務(wù)單列表，以及 OA 平臺(tái)審批文件列表，使用了 EXCEL 數(shù)據(jù)表格的精確匹配、查找等功能進(jìn)行審批文件比對(duì)，發(fā)現(xiàn)存在部分用戶數(shù)據(jù)修改申請(qǐng)缺失相應(yīng)的授權(quán)審批文件。根據(jù)此發(fā)現(xiàn)審計(jì)師決定對(duì)運(yùn)維服務(wù)單進(jìn)行具體抽樣

10、檢查，用以確定經(jīng)過OA 審批的文件內(nèi)容是否與數(shù)據(jù)修改單內(nèi)容一致。審計(jì)師抽取278項(xiàng)運(yùn)維服務(wù)單，逐一核對(duì)其OA 審批文件內(nèi)容，通過此步檢查發(fā)現(xiàn)存在使用無效的過期OA 審批文件頂替的情況。最后，審計(jì)師與具體操作和復(fù)核人員面談，確定問題存在的原因是： 個(gè)別系統(tǒng)在上線初期變動(dòng)頻繁， 用戶及 IT 人員為提高工作效率而忽視和合規(guī)性，在未經(jīng)過適當(dāng) OA 審批授權(quán)的情況下 IT 人員執(zhí)行了運(yùn)維申請(qǐng) ;個(gè)別系統(tǒng) BUG 造成了批量的業(yè)務(wù)數(shù)據(jù)錯(cuò)誤，但在進(jìn)行系統(tǒng)修復(fù)時(shí)未考慮對(duì)歷史錯(cuò)誤數(shù)據(jù)的修改，導(dǎo)致用戶反復(fù)發(fā)現(xiàn)歷史錯(cuò)誤數(shù)據(jù)時(shí)就使用過期的同類型的 OA 審批文件進(jìn)行數(shù)據(jù)修改申請(qǐng)， IT 人員也認(rèn)可此種行為并幫助執(zhí)行

11、了具體的修改。（ 2 ）殺毒軟件更新率低在執(zhí)行對(duì)公司客戶端安全性檢查中， 審計(jì)師訪談IT 技術(shù)人員 了解到公司使用統(tǒng)一的殺毒軟件，該殺毒軟件設(shè)置了自動(dòng)更 新程序，并將更新包設(shè)置固定時(shí)間點(diǎn)自動(dòng)退送至局域網(wǎng)內(nèi)客戶端。但再與用戶部門的滿意度調(diào)查中了解到公司的客戶端電腦中存在其他品牌的殺毒軟件，且用戶提到了殺毒軟件更新效率 問題。審計(jì)師決定就對(duì)此問題進(jìn)行實(shí)地走查。 首先， 審計(jì)師在 IT 部門相關(guān)負(fù)責(zé)人電腦中查看了殺毒軟件管理控制中心的數(shù)據(jù)，該中心顯示公司共有 898 臺(tái)客戶端安裝該殺毒軟件，其中僅有270 臺(tái)更新到最新病毒版本庫，更新率僅為 30.1%。其次，審計(jì)師通過資產(chǎn)部門了解公司員工使用的個(gè)人

12、電腦客戶端數(shù)量與該病毒中心顯示有較大出入。審計(jì)師走查附近部門員工中的臺(tái)式電腦以及筆記本電腦發(fā)現(xiàn)臺(tái)式電腦的殺毒軟件安裝率較高，但并未及時(shí)更新病毒庫，筆記本電腦的殺毒軟件安裝率較低，多數(shù)未使用公司統(tǒng)一的殺毒軟件。根據(jù)以上情況審計(jì)師與 IT 負(fù)責(zé)人員訪談了解到， 由于攜帶筆記本電腦的員工經(jīng)常出差，為方便其在外地上網(wǎng)，公司均為其開通了管理員權(quán)限，在該權(quán)限下允許用戶自行安裝軟件。因此攜帶筆記本的員工通常根據(jù)個(gè)人喜好安裝個(gè)人版殺毒軟件。同時(shí)，由于公司統(tǒng)一的殺毒軟件更新時(shí)間設(shè)定為凌晨0：00 ，該時(shí)段客戶端基本為關(guān)機(jī)狀態(tài)，多數(shù)用戶在次日開機(jī)后不會(huì)主動(dòng)點(diǎn)擊病毒更新，導(dǎo)致大部分客戶端未及時(shí)更新病毒版本庫。四、審

13、計(jì)成果及成效通過本次審計(jì)認(rèn)為該公司信息服務(wù)部內(nèi)部控制基本有效，員工團(tuán)結(jié)合作能夠形成合力，較好的支持了公司業(yè)務(wù)發(fā)展。但存在個(gè)別應(yīng)用系統(tǒng)權(quán)限管理制度缺失、部分?jǐn)?shù)據(jù)維護(hù)未經(jīng)過用客戶端殺毒軟件更新率較戶確認(rèn)且未經(jīng)過用戶同意修改數(shù)據(jù)、 低、缺少必要信息安全監(jiān)控措施等問題，給公司的信息系統(tǒng)環(huán)境帶來一定的風(fēng)險(xiǎn)。本案例中列舉的兩個(gè)問題在審計(jì)反饋階段均得到了 IT 部門的認(rèn)同，并提出了切實(shí)的整改意見。針對(duì)數(shù)據(jù)修改授權(quán)的問題， IT 部門與用戶部門共同建立了有效的規(guī)范制度，要求數(shù)據(jù)修改方案執(zhí)行前 IT 人員必須復(fù)核OA 授權(quán)審批，若遇到緊急問題可以先口頭請(qǐng)示相關(guān)責(zé)任主管后進(jìn)行執(zhí)行，但需要在后續(xù)補(bǔ)提OA 授權(quán)審批文

14、件。針對(duì)病毒庫更新較低的問題， IT 部門調(diào)整病毒版本庫推送時(shí)間為中午 12 點(diǎn)，并針對(duì)開通管理員權(quán)限的用戶嚴(yán)格相應(yīng)域控策略， 禁止私自安裝公司白名單意外的應(yīng)用軟件， 。 同時(shí)，在新員工入司手續(xù)中增加應(yīng)用軟件安全使用培訓(xùn)以及簽署相應(yīng)的責(zé)任書。五、思考及啟示對(duì)企業(yè)來說，改善其內(nèi)部控制水平，就是通過設(shè)計(jì)、實(shí)施、維護(hù)和監(jiān)控內(nèi)部控制和風(fēng)險(xiǎn)管理體系， 尤其是對(duì) IT 的控制， 幫助企業(yè)建立起完善和細(xì)化相關(guān)的流程發(fā)現(xiàn)自身存在的不 足，和制度，以確保公司所有業(yè)務(wù)策略、規(guī)程和業(yè)務(wù)流程都在自 己的掌握之中，并且在合法合規(guī)的軌道上運(yùn)行。通過對(duì)企業(yè)信息系統(tǒng)審計(jì)可以規(guī)避企業(yè)內(nèi)部存在的風(fēng)險(xiǎn)。作 為企業(yè)提升自身的內(nèi)部控制

15、能力，需要對(duì)風(fēng)險(xiǎn)進(jìn)行更有效的 控制。信息系統(tǒng)審計(jì)能夠?qū)π畔⑾到y(tǒng)的應(yīng)用狀況和綜合績效 狀況進(jìn)行全面的評(píng)估，因此，信息系統(tǒng)審計(jì)所包含的內(nèi)容要 大于信息系統(tǒng)治理所涵蓋的內(nèi)容。正因?yàn)樾畔⑾到y(tǒng)審計(jì)所包 括的范圍非常的廣泛和全面，如果我們只是想借助其促進(jìn)企 業(yè)內(nèi)控水平的提升，那么我們應(yīng)該加強(qiáng)其有關(guān)信息化風(fēng)險(xiǎn)控 制方面的指標(biāo)，適當(dāng)弱化和刪除其他方面的指標(biāo)，以此來達(dá) 到應(yīng)用的目的。由于信息系統(tǒng)審計(jì)本身更強(qiáng)調(diào)評(píng)估，是客觀、真實(shí)地反映企 業(yè)信息化當(dāng)前的狀況，暴露由其中存在的問題。如何更好的 去解決這些問題，如何更有效的規(guī)避風(fēng)險(xiǎn)還是要靠人自身來 想辦法解決，則是我們審計(jì)人員下一步的著眼點(diǎn)。當(dāng)然，任 何一種方法或工具