论寿险公司的电脑稽核

黄红蕾1崔若2

               (1.中国人寿保险公司青岛分公司，青岛 266071；2.中国人寿保险公司，北京 100035)

　　［关键词］寿险公司；电脑稽核；电算化；稽核软件；稽核管理；内控稽核
　　［摘要］随着社会经济的迅速发展，计算机技术的应用日益广泛，人寿保险公司也基本实现了全系统联网和网上监控，实行全方位的电脑化管理即将成为现实。寿险公司开展电脑稽核的方法有：对电算化信息系统的稽核方法，即外围稽核、内控稽核、软件稽核。计算机辅助稽核的方法，即稽核管理、专业稽核软件。
　　
　　一、寿险公司电脑稽核的含义
　　电脑稽核是一种经济监督活动，它是通过对企业的内部控制制度的合法性、记录在各种载体上的数据资料的完整性以及应用软件及其技术档案的效率性进行综合评价来实现的。其最终目的是对公司内部各种经营信息的动态分析和监测，及时发出预警信号，以便采取有效的措施，将可能发生的风险或损失减少到最低，从而保证公司经营的正常运转。
　　寿险公司的电脑稽核是以电脑在公司内部的应用作为监督重点，是对经营管理活动中起重要作用的电算化信息系统的合法性、安全性及其参与保险经营的可行性、可靠性和实施方案进行审核、评价、监督，并提出工作建议的一种稽核监督活动。它包含两方面内容，一是对电算化信息系统(包括会计信息系统和管理信息系统)的开发、应用程序、数据文件以及内部控制等内容的稽核；二是稽核人员利用电脑作为辅助工具，用以完成部分传统稽核方式下必须由手工完成的工作。
　　二、寿险公司开展电脑稽核的方法
　　(一)对电算化信息系统的稽核方法
　　1.外围稽核
　　外围稽核主要是以计算机管理制度和计算机应用中的安全管理规定为依据，对电子数据处理控制系统的应用管理情况进行稽查，以保证数据的完整性和系统的安全性。其重点是为了强化计算机安全管理，尤其是计算机网络安全建设，堵塞业务系统运行操作各环节中存在的漏洞，防止经济犯罪行为的发生。
　　稽核人员可通过对计算机系统的评价，达到评价控制过程，尤其是达到评价数据的完整性、准确性、及时性、可稽核性和存取情况的目的。稽核中，应明确系统的发送程序、处理程序和接收程序的控制范围，还应进一步了解处理程序的控制环境和应急计划的性质，以完成整个外围稽核的步骤。最终目的是促进计算机系统各项运作的规范化，提高应用系统的安全性、可靠性，为计算机系统的安全运行提供外围保障。
　　2.内控稽核
　　内控稽核是对电脑部门以及电脑系统的内部控制制度的稽核监督，包括人员职责的适当分离制度，人员培训和岗位轮换制度、系统开发过程的控制制度、硬件运行环境控制制度、数据资料的保存制度等等。对系统内部控制制度的建立健全及执行情况进行评价，在此基础上进行健全性测试和符合性测试，避免出现虽有制度但未严格执行的现象；防止出现编程中只注意了对业务部门操作员的控制，而忽视了对电脑部门工作人员控制的现象。通过评审，督促完善计算机系统的内部控制制度。
　　3.软件稽核
　　软件稽核是从软件的角度对寿险公司应用软件的开发过程、使用过程进行稽查，其目标是检查系统开发的方法是否科学、先进、合理，系统能否有效而且高效率地运行。而处理能力或称在一段时间内的计算机系统完成的有用工作，是衡量系统性能的尺度。
　　(1)软件开发过程的稽核
　　系统开发的生命周期通常分为七个阶段：系统分析；项目定义；详细开发，即编程；测试系统的完整性；系统运行；维护操作，即监测安全性；实施之后，即评价是否达到目标。一般要求稽核人员参与软件开发，一方面在开发过程中掌握系统的设计思想和开发动态，即所谓的“前瞻性”，对应用系统的开发过程进行事前稽核，通过对系统说明、程序处理流程说明、数据结构说明、运行说明等资料进行审查，加强对程序结构设计的控制，使系统更具有可稽核性；另一方面可以通过对系统的分析、设计和测试来检查系统是否具有安全性、可靠性和实用性。对软件开发过程的稽核可以按应用软件的系统分析、系统设计、系统测试三个阶段分步进行。
　　——系统分析阶段稽核。首先是编制可行性报告；其次是业务部门编制的业务需求书需符合该业务核算的规定及操作规程；第三是系统逻辑模型的数据流程图应与业务相衔接，软件需求说明书应符合业务要求，并经业务部门签字认可。
　　——系统设计阶段稽核。第一是设计数据结构要考虑上级公司软件设计的统一要求、数据处理的速度、数据的安全性、数据的冗余度和数据的易维护几个方面；其次是每个模块的设计必须兼顾模块的相对独立性及各模块间的松散偶合性；第三是系统的功能设计须满足业务部门的需要；第四是针对系统设计的安全性、可靠性要求，需考虑如下情况：设置进入系统的密码，密码管理采取隐蔽、分级、权限、加密等措施；在系统中设置稽核线索，即在系统中对操作人员每次操作的留迹能进行跟踪，并能明显区分各操作员所进行的操作；系统具备后援功能，即在实时处理时采用了冗余更新技术。系统需建立事故恢复功能和灾难重建措施；对多用户系统在设计中要考虑数据的并发问题，在编程时要有相应的处理方法；数据文件在实现时具有存取控制功能；系统在设计和编程时要考虑系统的连续处理能力，减少人为控制，防止他人随意修改。第五是按保险条款编制程序，对于因实际业务操作设置灵活性部分而产生的人为因素风险和漏洞要严格控制；第六是采用结构程序技术进行系统设计，做到逻辑结构严谨，算法正确，对数据的溢出和四舍五入等问题有相应的处理方法；第七是充分考虑在使用公共网络的系统中传输数据的安全性问题。
　　——系统测试阶段稽核。首先是系统验收时须有业务部门和稽核部门共同参加，提出验收报告；其次是系统开发过程各阶段的文档资料健全完整，并由专人保管；第三是系统在推广前应进行试点运行，并出具试点运行报告。
　　(2)软件运行使用过程的稽核
　　——系统运行环境稽核。主要检查操作系统数据库是否使用正确安装的运行版，是否支持应用软件系统，是否建立有超级用户密码，各用户子目录是否也建有密码，是否有非法子目录，是否进行了防止利用终端进入操作系统的处理。
　　——应用软件使用情况稽核。主要检查应用软件是否安装正确，业务用机是否装有源程序、编译程序和文件格式。用户目录下运行程序的长度和个数是否发生了增减变化，主机房的“系统运行日志”是否按规定填写。
　　——应用软件修改情况稽核。主要检查应用软件的修改是否有业务部门的需求报告，电脑部门是否按要求指定专人修改。程序的修改是否遵循了开发时的设计思想，修改后的程序是否经有关部门审核后才投入运行，修改记录是否归档保管。
　　——数据文件备份的稽核。主要检查数据文件是否强制执行日、周、月、季、半年、年备份和异地存放制度。
　　——故障情况的稽核。主要检查软件在投入运行过程中是否出现故障，故障是否由专人排查。故障情况和处理过程是否有记录，电脑部门对较严重的故障是否有分析报告及处理意见。
　　——感染病毒稽核。计算机病毒是能自动地隐藏在合法程序里并能自我复制的小段计算机编码。当它们发作时，对计算机系统具有非常强的破坏力。因此，稽核人员应充分认识到病毒的威胁并积极考虑对这种风险的防范措施。主要应检查病毒的来源，系统是否建立有相应的抗病毒机制，是否能将被破坏部分控制在局部范围，对感染情况和处理情况有无记录。
　　——应急计划的稽核。应急计划是任何有效计算机系统不可缺少的部分，它们为出现灾难提供了必备的反应方式，以使用户在遇到灾难时，系统的中断损失最小，操作可尽快地恢复。主要检查能与标准的操作系统兼容的计算机设备，是否已为紧急情况做了充分的准备。
　　(二)计算机辅助稽核的方法
　　1.稽核管理
　　稽核管理是与办公自动化的推广应用紧密相连的。建立稽核管理系统，用计算机对稽核机构人员、项目、法律法规及日常工作中需要处理的各类文档等档案文件进行归类和保存，提高稽核管理的效率和质量，便于后续检查监督。
　　(1)稽核机构人员管理
　　根据公司内部组织架构、岗位设置情况，建立各部门、各岗位的工作职责，各项业务操作流程图以及操作流程中的风险点控制等资料，便于稽核时重点监控操作流程中的风险控制点。
　　(2)稽核项目管理
　　对稽核项目管理都由计算机进行统一管理。根据不同类型文件的不同处理需求，如稽核工作底稿、稽核档案、稽核案例等需要归档、查阅，稽核报告、稽核意见、稽核决定需要对稽核过程中形成的一系列结果、数据加以汇集整理，稽核项目管理系统应具有稽核结果汇编、文件录入归档、查询、调用和打印等功能。
　　(3)稽核法规制度管理
　　稽核法规制度主要包括涉及金融保险业的法律法规、中国保险监督管理委员会颁布的部门规章以及公司内部的各项管理制度。上述法律法规、部门规章及公司内部管理制度，可以按照主管部门或业务类别加以分类，采用法规库的形式管理。稽核法规资料库应当具有以下主要功能：录入、修改、删除、查询与打印等。录入功能是将新近出台的和目前正在使用的制度法规及时录入制度文档库，文档来源主要通过公司内部办公自动化的收发文系统，利用NOTES保存收集整理录入；删除功能是将已失效或长期不用的制度文档从制度文档主库中删除，转入历史库作为档案保存；查询功能是按各种单项条件查询或多项条件任意组合查询。使用效率和效果在很大程度上取决于查询功能。
　　(4)稽核部门日常工作文件管理
　　这部分内容主要包括收发文、工作总结、定期向上级公司或监管部门报送的报表、部门会议记录、业务学习资料等日常工作文件资料，对系统的专业性要求不强，其功能可由一般的办公自动化系统实现。
　　2.专业稽核软件
　　由于目前各部门使用的多是通用稽核软件，不能完全适合保险行业的需要。针对保险业特别是寿险业的特点，稽核软件还应考虑以下几方面的需求：
　　(1)业务统计和财务指标分析
　　业务、财务指标分析系统的设计，可以为稽核人员动态地监控公司经营状况、发现潜在的风险点，提供有效的技术手段。
　　(2)检查、过滤出错的记录
　　目前寿险公司大多已基本实现业务、财务记录的计算机处理，由于每天巨大的数据处理量，难免会存在数据错误的情况(如保费收入记录错误等)。设计专门程序检查记录的准确性，显示并打印那些出错的或明显不规范的数据记录，为进一步查明原因和纠正错误提供技术支持。
　　(3)业务系统、财务系统查询
　　经授权批准，通过独立于业务操作程序之外的、单独的业务资料查询系统，查询保单、批单、退保等项业务资料；进入财务系统查询、阅读财务报表、会计账簿资料及财务分析报告等，全面了解掌握公司的经营情况，为今后的稽核工作做好准备。
　　［编辑：韩艳春］2001年第9期保险研究•实务保险研究•实务2001年第9期
　　［收稿日期］20010701
　　［作者简介］黄红蕾(1968-)，女，现供职于中国人寿保险公司青岛市分公司稽核处。崔若(1967-)，女，现供职于中国人寿保险公司稽核部。