金融保险公司信息系统专项审计案例分享

1、金融保险公司信息系统专项审计案例分享金融保险公司信息系统专项审计案例分享、案例背景：1、监管背景近年来 ,各保险公司对信息技术的投入越来越大, 保险公司更多的产品和服务都是以数据形式存储和呈现， 信息化程度 也越来越高 ,促进了保险公司经营管理水平的提高。由于在信 息化进程中存在操作轨迹不可见、 操作流程缺失、 数据非法修 改、生产系统故障、信息系统人为欺诈等各类风险。因此，迫 切需要对信息系统进行审计， 保证信息系统的可信度， 促进保险公司内控体系的建设。保险行业监督管理委员会（以下简称“保监会”）高度重11 / 11视信息管理， 将信息系统风险纳入行业风险进行统一管理， 断推进各项信息安全

2、监管措施， 在寿险公司内部控制评价办 法（试行）、保险公司内部审计指引（试行） 、保险公司内 部控制基本准则 、保险信息安全风险评估指标体系规范系列制度中均对公司信息系统安全监管提出相关要求和规范。其中 2011 年发布的 133 号文件保险公司信息化工作管理指引（试行） 特别提出由独立于信息技术部门的有关部门 应报保监会备案。负责信息系统审计工作，至少每两年进行一次审计。 审计结果2、行业风险保监会统计信息部会定期对保险全系统内的网络与信息 安全进行风险提示，如 2015 年第 157 号通报了两家保险公司发生系统故障造成核心业务停用的情况， 两次故障分别导致服 务器宕机造成相关业务操作受到

3、影响， 鉴于此类情况保监会对 各保险公司的信息安全风险控制提出了相关要求。通过对行业监管要求， 以及同业已经出现的信息化风险的 综合考量，本保险公司审计部将信息系统专项审计纳入年度审 计计划中，并由内审部开展实施。3、审计目标该保险公司审计部要求通过对信息系统管理过程中重要环节的内部控制审计， 检查信息系统安全管理、信息技术发展规划、 信息系统运行维护管理、 信息系统开发管理等方面， 揭 示信息系统管理中内控环节存在的问题， 以完善内部控制， 提 高内控水平。同时，审计部仍需评价信息系统运行的效益性， 系统运作流程的合理性和合规性。二、审计过程及方法信息系统审计一般包含两部分即一般控制检查和应

4、用控 制检查， 本次审计项目中根据 保健稽查审计指引人身保险业务分册、* 公司信息系统审计手册 等制度要求， 对以上两 织控制、 系统开发与维护控制、 系统安全控制、 硬件及软件控 制以及操作控制。 应用控制包括： 输入输出控制、 系统处理控 制等，下面简要介绍一下项目的实施情况。部分控制均执行了具体的审计程序。 其中般控制包含如： 组1、项目资源分配本次审计小组由 1名持有 CISA 认证的信息系统审计师作为项目主审， 1名具有四年专业信息系统审计经验的审计师，以 及2名具有多年丰富内审经验的高级审计师构成。2、确定审计方案在开展具体的审计程序前， 项目小组通过调阅公司信息系 统相关制度，

5、要求被审计部门提供公司当前运行的信息系统清 单列表等方式初步了解公司系统构成，系统开发、运维流程。与此同时， 项目小组初步梳理出公司重要性、 风险度较高的五根据个应用系统， 开展了全面的用户满意度调查， 并与信息服务部 负责人、 相关系统模块负责人等重要岗位人员开展访谈， 调查和访谈结果， 确定了本次审计的具体范围和审计重点， 保证审计方案重点突出， 利用有限的审计资源针对公司信息系 统高风险领域开展审计。通过前期调查和研讨， 审计小组最终确定本次审计主要针 对以下四部分内容开展：1）重点关注系统开发质量管理情况，如对于公司开发程序的质量评估和用户反馈， 以及外包开发过程管理情况， 及开发、

6、测试流程管理情况。 同时， 由于公司近两年多次购买 了外部系统，应关注对于外部系统购买项目的过程管理情况， 如可研、立项、招标、实施等阶段。2）信息系统运行维护及支持管理。重点关注系统的版本发布的内部控制措施有效性， 公司新系统项目发布过程中重 要内控环节的管理情况， 数据维护及修改的审批是否完整，否能确保数据的准确性、 安全性和保密性， 系统上线前测试的 充分性， 系统权限设置的合理性， 是否存在与岗位职责不相容 的权限等。 同时也应关注对系统运行的支持管理， 如数据库日 常管理， 桌面维护、 硬件审核管理， 网络安全和可用性管理等3）信息资产安全管理。重点关注信息系统内控环节的管理情况，是

7、否有匹配公司风险承受能力的信息系统安全策 略，是否对信息系统所面临的风险因素有相应有效的控制措 施，如是否执行了有效的权限管理制度， 是否对于敏感信息进 行有效保护， 是否对操作系统执行适当的安全配置以保证系统 与资源的安全， 以及是否对于物理及环境实施了有效的安全控 制，是否实施合理有效的安全备份策略， 是否有健全的灾难恢 复计划等。4）第三方服务外包管理。重点关注实施外包的业务内容以及外包理由， 外包人员管理和外包质量控制，以及对于服务外包的安全管理方面的问题。3、审计过程在确定审计重点并完成最终的审计方案后，项目主审针对项目组成员的各自专长进行了审计流程的具体分工，确保审计资源的有效利用

8、，同时便于对审计效率的追踪监督。由于具体执行的审计程序较多，本案例中列举具体的两项审计程序的执行进行说明。1）未授权的业务数据修改说明：该公司对系统中业务数据的修改流程为：用户部门 在OA审批平台中提交数据修改申请，经过用户部门负责人、IT 部门负责人审批后， 在公司统一的运维处理平台中发起运维 申请，该申请由具体的IT运维人员受理，并负责对具体的应用 系统执行数据修改方案， 最终由用户部门复核并在运维处理平 台反馈结果。同时审计中为检查系统运维工作的授权审批执行情况， 审计师调取了审计期间该公司关键系统的全部运维服务申请单， 抽查了某连续时间段内的数据库修改日志 （非应用用户执行的 修改日志

9、）。审查的目标是确定是否数据修改操作都有相应的运维申请单，以及运维申请单是否经过合理的OA审批授权首先，审计师根据抽查的数据库修改日志，根据修改的日期和时间追查是否有相应的运维服务申请单， 并比对修改日志的修改内容、 修改方案是否与申请单中致。 此过程通过抽样的方式检查是否存在未经用户部门申请，由IT部门自行操作的非法数据修改， 或数据修改内容与用户部门申请内容不一致的情况，在此步检查中未发现存在违规的问题。其次，审计师对全部运维服务申请单追查是否均有合规、 有效的OA审批授权，以及授权是否符合公司相应的授权授信 制度要求。此过程中审计师提取了数据运维平台服务单列表， 以及OA平台审批文件列表

10、，使用了 EXCEL数据表格的精确匹 配、查找等功能进行审批文件比对， 发现存在部分用户数据修改申请缺失相应的授权审批文件。 根据此发现审计师决定对运维服务单进行具体抽样检查，用以确定经过OA审批的文件内容是否与数据修改单内容一致。 审计师抽取 278项运维服务单， 逐一核对其0A审批文件内容，通过此步检查发现存在使用无 效的过期0A审批文件顶替的情况。最后，审计师与具体操作和复核人员面谈，确定问题存在的原因是：个别系统在上线初期变动频繁，用户及IT人员为提高工作效率而忽视和合规性，在未经过适当0A审批授权的情 况下IT人员执行了运维申请；个别系统BUG造成了批量的业务 数据错误，但在进行系统

11、修复时未考虑对历史错误数据的修 改，导致用户反复发现历史错误数据时就使用过期的同类型的 0A审批文件进行数据修改申请，IT人员也认可此种行为并帮 助执行了具体的修改。2）杀毒软件更新率低在执行对公司客户端安全性检查中，审计师访谈IT技术人 员了解到公司使用统一的杀毒软件， 该杀毒软件设置了自动更 新程序，并将更新包设置固定时间点自动退送至局域网内客户端。但再与用户部门的满意度调查中了解到公司的客户端电脑中存在其他品牌的杀毒软件，且用户提到了杀毒软件更新效率问题。审计师决定就对此问题进行实地走查。首先，审计师在IT部门相关负责人电脑中查看了杀毒软件管理控制中心的数据，该中心显示公司共有898台客

12、户端安装该杀毒软件，其中仅有 270台更新到最新病毒版本库，更新率 仅为 30.1%。其次，审计师通过资产部门了解公司员工使用的个人电脑 客户端数量与该病毒中心显示有较大出入。 审计师走查附近部门员工中的台式电脑以及笔记本电脑发现台式电脑的杀毒软件安装率较高， 但并未及时更新病毒库，笔记本电脑的杀毒软件安装率较低，多数未使用公司统一的杀毒软件。根据以上情况审计师与 IT 负责人员访谈了解到，由于携带 笔记本电脑的员工经常出差， 为方便其在外地上网， 公司均为 其开通了管理员权限， 在该权限下允许用户自行安装软件。此携带笔记本的员工通常根据个人喜好安装个人版杀毒软件。同时，由于公司统一的杀毒软件

13、更新时间设定为凌晨0：00，该时段客户端基本为关机状态， 多数用户在次日开机后不会主 动点击病毒更新，导致大部分客户端未及时更新病毒版本库。四、审计成果及成效通过本次审计认为该公司信息服务部内部控制基本有效，员工团结合作能够形成合力， 较好的支持了公司业务发展。存在个别应用系统权限管理制度缺失、 部分数据维护未经过用 户确认且未经过用户同意修改数据、 客户端杀毒软件更新率较 低、缺少必要信息安全监控措施等问题， 给公司的信息系统环境带来一定的风险。本案例中列举的两个问题在审计反馈阶段均得到了IT 部门的认同，并提出了切实的整改意见。针对数据修改授权的问题， IT 部门与用户部门共同建立了有效的

14、规范制度，要求数据修改方案执行前 IT 人员必须复 核 OA 授权审批， 若遇到紧急问题可以先口头请示相关责任主 管后进行执行，但需要在后续补提 OA 授权审批文件针对病毒库更新较低的问题， IT 部门调整病毒版本库推送时间为中午 12 点，并针对开通管理员权限的用户严格相应 域控策略， 禁止私自安装公司白名单意外的应用软件， 。同时， 在新员工入司手续中增加应用软件安全使用培训以及签署相 应的责任书。五、思考及启示 对企业来说， 改善其内部控制水平， 就是通过设计、 实施、维护和监控内部控制和风险管理体系，尤其是对 IT 的控制， 发现自身存在的不足， 帮助企业建立起完善和细化相关的流程 和

15、制度， 以确保公司所有业务策略、 规程和业务流程都在自己的掌握之中，并且在合法合规的轨道上运行。通过对企业信息系统审计可以规避企业内部存在的风险。作为企业提升自身的内部控制能力， 需要对风险进行更有效的 控制。信息系统审计能够对信息系统的应用状况和综合绩效状 况进行全面的评估， 因此， 信息系统审计所包含的内容要大于 信息系统治理所涵盖的内容。 正因为信息系统审计所包括的范 围非常的广泛和全面， 如果我们只是想借助其促进企业内控水平的提升，那么我们应该加强其有关信息化风险控制方面的指标，适当弱化和删除其他方面的指标，以此来达到应用的目的。由于信息系统审计本身更强调评估， 是客观、 真实地反映企业信息化当前的状况， 暴露出其中存在的问题。如何更好的去解决这些问题， 如何更有效的规避风险还是要靠人自身来想办法解决， 则是我们