保险信息化进程中的信息系统审计

顾晓锋

                    （中国太平洋人寿保险股份有限公司信息技术部，上海 200080）
　　
　　［摘要］保险公司信息系统审计目前处于初步探索阶段，通过分析保险信息化进程中信息系统审计的内容、流程、方法与任务，提出当前保险公司开展信息系统审计的建议，旨在引发人们对信息化进程的信息系统审计的重视，积极发挥信息系统审计的作用，促进信息系统安全、稳定、有效、持续地运行，从而保障保险公司的诚信服务和稳健经营。
　　［关键词］信息系统；审计；诚信服务；稳健经营
　　［中图分类号］ F840.32 ［文献标识码］ A ［文章编号］1004-3306（2005）08-0032-03
　　
　　近年来，各保险公司对信息技术的投入越来越大，保险公司的信息化程度也越来越高。信息化的蓬勃发展，促进了保险公司经营管理水平的提高，特别是在提高保险公司集中管控能力、执行力和市场反应能力等方面，信息技术的应用能够带来意想不到效率与成果。同时，信息化进程中也存在操作轨迹不可见、操作流程缺失、数据非法修改、生产系统故障、信息系统人为欺诈等各类风险，随着数据大集中的推进，信息系统的安全、可靠、稳定、有效、可信显得更加重要。而这些风险(特别是人为因素造成的风险）存在于信息技术流程管理、技术安全管理、项目管理和生产系统运行管理过程中，因此，迫切需要对我们正在使用或即将投产的信息系统的安全性、真实性、完整性、有效性进行鉴证，通过对信息系统的审计，来合理保证保险公司信息系统的可信赖性，促进保险公司内控体系的建设，并对信息化建设提供必要的安全控制咨询。一、信息系统审计的内容
　　（一）管理流程审计
　　 信息技术管理流程审计包括评估应与公司发展战略目标相一致的信息技术规划；评估信息技术工作条例或工作程序；评估信息技术部门的工作职责与工作分工；评估信息系统取得(开发、购置、引进)的制度和流程；评估生产系统的运行维护的制度和流程，评估项目管理、项目监理的制度和流程；评估信息系统的安全管理制度；评估开发、测试、生产系统分岗制衡管理制度等。
　　（二）技术平台审计
　　 信息技术平台审计主要评估信息技术基础平台的运行与安全管理，包括网络运行与安全管理(如路由器、网络设备、防火墙、通讯线路等）；硬件运行与安全管理（如小型机、服务器、前置机、打印机、扫描仪、存储设备、PC机、终端等）；操作系统及数据库等运行平台的运行与安全管理（如Unix、Windows、数据库、中间件、应用开发工具、应用发布工具、版本管理工具、项目管理工具、防杀毒工具等）。
　　 （三）信息系统项目审计
　　 信息系统项目审计主要评估信息系统项目管理与项目监理的有效性。
　　 项目管理审计主要评估项目启动、立项、需求分析、系统设计、开发、测试、试点、验收、推广过程的有效性，评价系统开发生命周期中的每一个程序是否均被严格执行。评价系统迁移的方案与效果，评价各类项目文档是否齐全。其目的是控制项目进展过程中的风险。
　　 项目监理审计主要评估项目监理在信息系统建设过程中发挥的作用；评估项目监理是否有效保证了信息系统建设的质量、进度和成本符合项目立项时的要求；评估项目管理与项目监理间的责职是否清晰，分工是否明确。
　　（四）生产系统审计
　　信息系统的上线与投产，仅仅是信息化的开始，大量的风险与问题将出现在信息系统的生产运行与维护阶段。在保险公司内部，一般均建立了核心业务系统、人员(营销员等)管理系统、财务系统、精算系统、再保系统等生产系统，公司的生产经营活动大多要通过生产系统进行，生产系统审计便显得更为重要。
　　 生产系统的审计首先是进行信息系统与业务流程吻合审计，主要评估实际业务操作流程与信息系统操作流程的吻合情况，评估信息系统对需求的满足度，信息系统操作流程与业务操作流程的吻合度，是否存在业务流程被短路、旁路后造成不安全、不完整、不可用的情况。如退保操作流程，是否有在系统中操作一半，另一半由手工处理的情况。其典型处理方式是在系统中产生应付的信息，交接至财务支付退保款后不再在系统中确认已付款，造成系统信息与实际状况不一致，致使流程与数据均不完整，流程被短路、数据被割裂，最终反映出数据可用性差，并留下风险隐患。
　　 其次是评估与信息系统相关的风险。评估数据访问授权、系统功能授权、业务操作授权、业务(审批)决定授权是否有效，是否有防止非法进行数据修改措施；评估或测试信息系统中的关键控制点是否得到有效控制，如核赔中结案环节控制，需评估结案前的赔案信息状况，如资料是否完整、计算是否正确、会签、审批是否完成；也需评估结案后的流程执行是否完整，如数据流是否与业务单证流一致；也可评估结案后对保单承保(如结案后要求限制承保)、保全(如结案后要求扣还保单质押借款)、生存给付(如结案后要求中止生存给付或确保再给付几年等)的影响，测试该关键点对保单生命周期各环节的影响是否合理与正确。要特别对业务环节中牵一发而动全身的关键点进行重点审计，以验证其安全性、完整性和可用性。二、信息系统审计的流程
　　信息系统审计的工作流程主要包括确定审计范围、做好审计准备、进行审计评估、出具审计报告、提供管理咨询等过程。
　　 可根据审计目标，确定审计范围，如进行全面审计还是专项审计，进行全公司审计还是局限于部分分公司审计。在此基础上制定审计预案，审计预案中要确定审计依据、人员分工、审计工作程序、方法技巧、审计工作文档模板与案例、审计时间表，特别注明需重点关注的地方，也可以将审计预案制作成审计工作手册，使每一个审计人员得到同样的信息。
　　 进行审计评估时，对照审计依据，了解被审计单位的信息技术管理流程、技术基础平台、生产系统运行环境与管理制度，通过关键点测试等方式作出公正、合理的评估。完成后还需出具详细的审计报告，对被审计信息系统或专项被审计对象进行鉴证，并提出必要的管理建议书，也可为被审计单位提供主动的管理咨询，促进或帮助被审计单位信息系统管理水平的提高。对于公司内部审计，还有一个提供管理咨询以帮助提高管理水平的过程，如总公司对分公司的审计，或公司内部对信息系统的审计，有更多的责任或义务是通过内部审计来发现信息技术管理中的不足，提出改进建议，并督促或指导职能部门改进并完善。 三、信息系统审计的方法
　　 （一）信息系统审计机构
　　 保险公司应有专门的机构来负责信息系统审计工作，制定信息系统审计管理制度和工作程序、设计审计方案、制作审计计划、开发审计评估、出具审计报告、提出改进建议，提供管理咨询。
　　（二）常规审计与专项审计
　　信息系统审计也可分为常规审计和专项审计。常规审计为例行的全面审计，如每年一次对信息系统进行全面的审计，包括管理流程、技术平台、项目开发和生产系统审计，对信息系统作出全面的评估、鉴证，提出管理建议或咨询。专项审计可以针对信息系统管理的某一方面进行专门的审计，可以视实际情况选择进行。如信息系统运行安全的专项审计，可以对公司在信息系统方面的安全管理措施、技术措施的实际应用情况进行审计评估、鉴证，提出管理建议或咨询。专项审计关注公司所重点关心的专项问题，针对性强。专项审计也可用于高级信息技术管理人员的离任审计。
　　（三）现场审计与非现场审计
　　信息系统审计可在现场进行，也可在非现场进行。现场审计较适合于需在现场访谈、观察、测试、调查的情况。如对信息系统操作流程与实际业务操作流程吻合度的审计，需在现场观察数据流与实物流的流转情况。非现场审计主要借助于非现场审计系统进行，通过计算机系统进行审计。如对万能险帐户积数与帐户余额的监控，可以通过电脑系统进行远程随机实时审计，也可通过要求被审计单位打印指定帐户积数与余额后传真至审计机构进行审计。现场审计与非现场审计可以发挥定期审计与随机实时审计相结合的优势，使信息系统审计成为一个制度化的工作内容。
　　（四）外部审计、内部审计与自查审计
　　信息系统审计已越来越重要，特别是全国性的保险公司，有必要引入外部审计、内部审计和自查审计。外部审计是指由公司外部独立的专业审计机构进行的审计，可对信息系统作出合理、公正的鉴证与咨询，可参照财务审计，每年进行一次，也可与财务审计同时进行信息系统审计。内部审计主要由保险公司内部的审计机构对信息系统进行审计，其目的在于帮助信息管理部门找差距，并督促和辅导信息管理部门提高信息系统管理水平。自查审计主要由各级信息技术管理部门对照信息技术管理标准自查、自纠，进行自我管理与自我完善的过程。
　　 （五）通过审计系统进行审计
　　 信息系统审计的常用方法有访谈、观察、现场测试、调阅文档、调查信息系统相关角色等，也可以开发审计系统对生产系统进行审计。
　　 要实现通过计算机系统对生产系统进行审计，必须加强对信息系统建设的事前和事中审计，在信息系统立项、建设时，应明确审计要求，审计人员应参与信息系统的立项、需求分析、设计、验收。在应用系统中，应设置审计接口，记录审计轨迹，由电脑自动记录审计线索，对于修改与删除操作，应参照会计的红字更正法，在信息系统中留下可追溯的记录。在对系统进行验收的过程中，除评价系统是否达到了设计目标、是否满足需求外，还需强调信息系统的可审计性。在开发信息系统本身的同时，也要开发相应的审计系统，使信息系统投产后就有相应的审计系统投产运行。
　　 开发相应的审计系统，应借鉴国际上通用的审计软件，形成一套有保险公司自身特色的通用审计系统，通过对数据的采集、比对、分析，对关键审计点的跟踪、监控、反馈，来保障信息系统健康、安全地运行。通过审计系统的应用，汇集大量的审计案例，分析其中的规律，从而强化已有的控制点，并发现或部署新的控制点。这样，一方面进一步改进生产系统的运行状况，另一方面进一步完善审计系统自身功能，使信息系统与审计系统的应用水平得到共同提高。 四、信息系统审计的目标与任务
　　 信息系统审计的根本目标是促进信息系统安全、稳定、有效、持续运行。通过对信息系统的安全性、稳定性和有效性进行审计、咨询，以降低保险公司面临的信息系统风险，促使公司信息技术发展目标与总体经营目标和战略相一致。其任务是完成对信息系统的鉴证、促进和咨询活动。
　　（一）签证
　　 信息系统审计的鉴证是指通过审计，合理地保证被审计单位信息系统及其处理、产生的信息的真实性、完整性与有效性，政策遵循的一贯性。在市场经济条件下，保险公司的信息资料对公司的生存、发展非常重要，是重要的信息资产。同时对一些利益相关者如监管者、投资者、代理人或机构、团体客户、个人客户等也是非常重要。信息系统审计以其独立的身份，对保险公司的信息系统进行审计，查出各种错误、舞弊、风险、不足，能够合理地保证被审计信息系统及其处理、产生信息的真实性、完整性、有效性，是维护保险公司正常生产经营不可或缺的重要手段。
　　（二）促进
　　 信息系统审计完成后需出具审计报告，以鉴证被审计信息系统的真实、完整、有效。可以增强人们对保险公司信息系统的信任度。诚信即价值，经鉴证后的信息系统对信息的使用者是有价值的，高可信度的信息系统可以吸引更多的投资者，这对积极争取上的保险公司具有重要帮助。信息系统审计还可出具管理建议书，对信息系统中存在的错误、舞弊、风险、不足提出控制或改进建议，以促进被审计单位对信息系统进行全面审视，并针对上述问题设计解决方案并努力完善。
　　（三）咨询
　　 保险信息化产生的风险是多样的，数据大集中也将风险进一步积聚起来，只有控制、化解风险才能保障信息系统安全、稳定、持续运行。通过外部的信息系统审计，可借助于其相对于信息系统建设者、使用者、服务提供厂商的独立性，依据其专业的风险管理经验或知识，在保险公司信息化过程中帮助其建立、健全内部控制制度，进行系统诊断、评估和咨询；也可根据实际情况，客观中立地提出合适的信息系统解决方案，帮助保险公司改进管理流程、优化信息系统，使信息系统能更好地服务于保险公司经营管理的需要。通过审计咨询，也使信息系统审计能更好地服务于保险公司信息化建设。五、当前保险公司开展信息系统审计的建议
　　 目前保险公司的信息系统审计尚在探索、起步阶段，需要有一个渐进的过程。在当前情况下，可探索信息系统审计人员参与信息系统建设，使信息系统建设过程中即得到专业的审计指导，从而为信息系统投产后的审计工作提供标准的审计接口，为以后通过审计系统自动进行生产系统审计打好基础。
　　 保险公司可先尝试引入外部信息系统审计，也可结合在外部财务审计中进行，其关注面也可确定为管理层所关注的局部问题。内部审计也可结合在公司的稽核工作中进行，在进行业务稽核、财务稽核的同时开展相应的信息系统审计，其审计范围也可确定为管理层所关注的风险控制点。自查自纠式审计，可以通过信息技术管理达标活动，对照标准，自查自纠；也可根据外部审计、内部审计所引用的审计标准，进行自我评估与自我提高；也可先开展专项审计，如重点关注信息系统安全审计、生产系统运行流程审计，或更细的退保处理审计、间接佣金处理审计，在“点”和“线”探索的基础，不断积累审计要素、审计标准、审计方法、审计关键控制点，并以此为基础开发相应的审计系统，改进审计手段、提高审计效率，使信息系统审计工作有方法、有成果、有经验、有软件，以点带面，以线促块，从而分步演进形成整体的、程序化的、制度化的信息系统审计体系。
　　 信息系统审计在国际上已经体系化、标准化、程序化，国内银行业也已从当初的内部非现场稽核发展为信息系统审计。相对而言，我国保险业的信息系统审计起步晚，通常在外部财务审计的过程中，附带少量的 IT系统的抽查与稽核，与信息化的高度发展相比，信息系统审计相对滞后，需要进一步探索，大力宣传与推动。信息系统审计的发展，关键在行动，通过探索、尝试、总结、完善，使之成为保险公司信息化风险防范的制度化措施。通过对信息系统的外部审计、公司内部审计和自查审计来促进信息系统特别是生产系统的安全、稳定、持续运行，从而为保险公司的诚信服务和稳健经营提供强有力的技术保障。
　　［编辑：王毅仁］保险研究2005年第8期专题研究
　　［收稿日期］2005—03—03
　　［作者简介］顾晓锋，男，计算机工程师、会计师，现任中国太平洋人寿保险股份有限公司信息技术部副总经理。