保险行业IT审计规范

保险机构IT审计规范1范围本标准依据《保险机构信息化风险非现场监管报表及评价体系》的评价内容和评价标准，规定了保险机构开展IT审计工作的具体实施细则，主要包括信息化治理审计、信息化风险管理审计、信息安全管理审计、信息系统开发与测试审计、信息化系统运行审计、灾难恢复管理审计、外包与采购审计、互联网保险审计等细则。本标准适用于保险机构IT审计活动，其他机构模式相似的保险中介可参考执行。

2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T22239信息安全技术信息系统安全等级保护基本要求保险公司内部审计指引（试行）(保监发〔2007〕26号)保险业信息系统灾难恢复管理指引(保监发〔2008〕20号)保险公司信息化工作管理指引（试行）（保监发〔2009〕133号）保险公司信息系统安全管理指引（试行）（保监发〔2011〕68号）互联网保险业务监管暂行办法（保监发〔2015〕69号）保险机构信息化监管规定(送审稿)保险机构信息化风险非现场监管报表及评价体系（意见修订稿）

3术语和定义3.1

IT审计ITaudit保险机构和经营机构根据国家及行业信息系统相关规范和标准，对信息系统规划、建设、运维和应急等活动进行自我检查和评价，判断系统运行的安全性、系统建设的合规性和系统应用绩效，提出整改建议，并持续跟踪落实整改情况。3.2

审计项audititem信息系统规划、建设、运维和应急等活动的关键控制点，来自于国家及行业相关技术规范和标准要求，用于判断系统运行的安全性、系统建设的合规性和系统应用绩效。3.3

专业能力professionalcompetence个人从事IT审计所必备的学识、技术和能力，由学历认定、资格考试、职业技能鉴定等方式进行评价。3.4

第三方审计机构thirdpartyauditinstitutions熟悉保险机构信息安全法规、规范、标准和指引，具有国家、行业认可的相关资质和必要能力，并在审计过程中能够客观、公正、独立地从事审计活动的机构。4审计原则4.1

独立性保险机构应在内部审计部门设立专门的IT审计岗位，配备足够的资源和具有专业能力的IT审计专业人员，对本机构信息化工作进行全面独立性审计。IT审计部门的工作不受其他部门的干预或者影响。4.2

全面性保险机构IT审计的范围应包括所属保险机构及其直接或间接控制的境内、外保险分公司和非保险子公司。保险机构IT审计的内容应包括保险机构用于提高运营效率、优化内部资源配置和提升防范风险水平的所有现代IT及其管理工作。4.3

职业操守IT审计专业人员在计划、实施及报告的审计全过程中，均应秉持职业谨慎态度，并遵循诚信、客观、保密及胜任的行为准则。

5审计内容

保险机构IT审计的主要内容如下：•信息化治理审计：信息化治理架构、IT发展环境、信息化风险管理、信息化能力及培训，信息化治理审计的具体内容详见附录A；•信息化风险管理审计：信息化风险管理制度、风险识别与控制、风险内控，信息化风险审计的具体内容详见附录B；•信息安全管理审计：信息安全管理体系、信息安全教育、业务持续性计划、安全认证、等级保护等，信息安全管理审计的具体内容详见附录C；•信息系统开发与测试审计：信息系统项目管理、信息系统开发管理、信息系统测试管理、信息系统验收和发布管理，信息系统开发与测试审计的具体内容详见附录D；•信息化系统运行审计：系统管理、配置与变更管理、事件管理、基础设计运行管理、可用性管理、运行维护管理平台，信息化系统运行审计的具体内容详见附录E；•灾难恢复管理审计：需求分析和策略定制、灾难恢复建设模式选择与备案、灾备中心运维、灾难恢复预案建立与演练、应急响应和灾难恢复，灾难恢复管理审计的具体内容详见附录F；•外包与采购审计：IT自主可控能力、外包与采购服务、外包软件开发，外包与采购审计的具体内容详见附录G；•互联网保险审计：技术资质条件、网站技术安全保障、内容安全和风险提示，互联网保险审计的具体内容详见附录H;•审计证据汇总清单：审计证据汇总清单为保险机构对各审计内容进行IT审计时所需获取的文档资料汇总列表，对应附录A-H中的“审计证据”栏的内容，审计证据汇总清单的具体内容详见附录I。

审计内容应根据国家和行业信息安全法规、规范、标准和指引，每年适时更新，保持与现行规定的一致性。保险机构和经营机构应以最新的审计项汇总为基础，开展IT审计工作。6审计机构6.1审计机构配置要求保险机构设定审计责任部门负责IT审计工作，配置相应的资源以满足IT审计工作需求，包括但不限于：•合理配备具有专业能力的审计专业人员；•应确保审计专业人员的独立性或客观公正性不受外在因素影响；•可聘请具有专业能力的外部专家协助开展IT审计工作；•聘请第三方审计机构协助开展信息系统审计工作，第三方机构的审计专业人员必须是正式员工。•信息化相关部门应配合审计责任部门开展IT审计工作。6.2审计责任部门审计责任部门应承担以下职责：•拟定保险机构内部审计制度规范；•编制年度内部审计计划、内部审计预算和人力资源计划；•实施年度内部审计计划,跟踪整改情况,开展后续审计；•应承担对企业信息系统及其控制的设计和执行有效性进行评估的责任；•向管理层提出提高经营效率和效果的改进意见和建议；•当定期对审计专业人员的知识、技能进行评估，确保审计专业人员的专业知识和技能足以完成审计工作；•应确保能够履行职责并直接与管理层及董事会进行沟通及汇报；•每年至少一次确认审计责任部门在组织中的独立性，若审计责任部门范围受到限制影响审计目标和计划的实现，应就范围受到的限制及其潜在影响与管理层及董事会沟通；•保险机构确定的其他内部审计职责。6.3审计专业人员审计专业人员在IT审计工作中应承担以下职责：•参加或者列席保险机构IT管理的重要会议；•有权进行现场实物勘查，或者就与审计事项有关的问题对有关机构和个人进行调查、质询和取证；•对IT审计发现的违反法律、法规、监管规定或者内部管理制度的行为予以制止,对相关机构和人员提出责任追究或者处罚建议；•向董事会或者管理层提出改进管理、提高效益的意见或建议；•应定期接受保险IT专业能力考核；•应能独立、客观、公正地完成保险IT审计工作，具备保险专业胜任能力和应有的职业谨慎。6.4外包服务审计责任部门对IT审计工作购买外部服务时，应考虑以下要求：•外部服务提供者的建议和协助，应能对审计工作环节予以支持或补充；•外部服务提供者应具备足够的客观性、独立性、公正性和专业胜任能力；•就审计工作范围与外部服务提供者达成一致；•应对外部服务提供者工作成果进行评价和评估使用。7审计过程7.1计划7.1.1政策及程序审计责任部门应以企业战略目标出发，考虑自身性质及其面临的内外部环境，评估部门的规模、结构及工作复杂度等因素，制定IT审计政策及程序，为审计工作有效开展提供指导。7.1.2审计工作计划审计责任部门应通过风险评估，风险管理及风险承受能力等因素，制定审计工作计划。审计工作计划内容应包括审计目标、审计范围、审计程序、时间安排以及资源分配等。IT审计可作为一项独立的审计工作，也可作为综合性审计工作的组成部分。当IT审计作为综合性审计工作的组成部分时，审计责任部门还应考虑综合性审计工作的性质和目标要求。在执行审计计划时，应当考虑下列因素：•IT和系统的关键业务流程及相关的企业目标；•信息化管理组织架构；•信息系统框架；•信息系统的长期和短期发展计划；•信息系统及其支持的业务流程的变更情况；•信息系统的复杂程度；•上一年度信息系统内、外部审计所发现的问题及后续审计情况；•其他影响信息系统审计的因素。审计责任部门应当在审计工作计划制定过程中考虑管理层及董事会的意见和建议，及时将审计计划、工作安排、人力资源配置以及预算等方面的情况，报管理层或董事会审批。7.1.3审计资源审计责任部门应当综合考虑审计性质、风险水平、工作复杂程度、时间限制等情况，保证审计资源充分并得到合理有效配置（审计专业人员、外部服务提供者、预算、审计技术等）。7.2实施7.2.1审计方法审计专业人员应合理运用询问、观察、审阅、运行测试、重新计算等审计方法，利用计算机辅助审计工具和技术，以系统、规范的审计方法开展审计工作，实施审计程序。7.2.2审计性质在执行审计工作时，审计专业人员应将重要性的概念运用到流程、控制及缺陷的影响评估中。在确定审计程序的性质、时间安排和范围时，审计专业人员应当考虑审计项目的重要性及其与审计风险之间的关系，对于重要性较高的领域，审计专业人员应当通过扩大控制测试的范围和/或扩大实质性测试程序的范围等措施来获得额外保证。7.2.3审计结论审计专业人员应当根据制定的审计计划以及运用的审计方法，获取充分、适当的审计证据，运用专业判断，选择客观、完整、可理解及适当的衡量标准，对审计证据的可靠性和真实性进行分析，评估控制设计及执行的有效性，并得出真实、可靠的审计结论。同时，审计专业人员应当详细记录支持审计结论的相关信息，编制审计工作总结。7.2.4改进建议审计专业人员应依据企业战略目标评估企业的IT治理和管理，评估风险管理控制设计和执行的有效性，并在此基础上提出改进建议，促进控制持续改进，从而协助企业实现企业目标。7.2.5督导审计责任部门应承担审计工作的督导责任，负责审计工作的实施，收集、分析和记录信息的过程均应得到充分、适当的督导，保证审计质量，最大限度降低由于审计判断不恰当或未及时沟通造成的负面影响，确保审计目标的实现。审计督导贯穿审计工作的始终，包括：•确保负责审计工作执行的审计专业人员具备完成审计工作所必须的专业知识、技能和其他能力；•在审计工作计划阶段给予适当指导并批准审计计划；•确保批准的审计计划按计划实施；•确保业务目标的达成；•为审计专业人员提高知识、技能和其他能力提供机会。7.3报告7.3.1报告内容审计报告内容应当包括：•审计目标：开展审计工作的原因，及通过审计工作期望实现的目标；•审计范围：包括被审计对象、审计工作覆盖的时间段以及未纳入审计范围的活动等信息描述，如存在已开展的审计工作，也应对其性质和范围进行说明；•审计方法：指为获取充分、适当的审计证据，合理保证审计结果的真实性、准确性而采取的审计技术及其他科学方法；•审计结果：包括发现、结论两部分。发现是对审计事实的陈述，结论则是审计专业人员对于发现与预期情况不一致的情况可能对组织经营或财务报表产生的影响或风险事项的描述；•改进建议：审计专业人员根据审计结果，结合企业实现企业目标的需要，提出的消除风险事项或将其降至可接受的低水平的建议。根据审计结果的性质不同，改进建议也相应有所差别。7.3.2报告沟通审计专业人员应当就审计结果和改进建议与相关责任部门进行讨论并达成一致意见，若审计专业人员与相关责任部门存在意见分歧，审计专业人员也应当在审计报告中说明分歧的具体情况和原因。7.3.3汇报审计报告应及时提交管理层和董事会，并进行归档保存。对已公布的审计报告中存在重大错误或遗漏，审计专业人员应当及时更正并告知原报告接收者。7.4归档审计工作记录包括以任何介质存储的报告、审计工作底稿、支持性文档等，记录审计工作的执行情况，以及提供审计工作的准确性和完整性的证据。审计责任部门应当制定满足法律监管要求、组织需要的书面政策，并妥善保管审计工作记录。管理层、其他部门及人员要求接触审计工作记录，应当向审计责任部门获得授权；外部组织要求接触审计工作记录，审计责任部门还应评估审计工作记录向外界发送面临的潜在风险，并征得管理层或法律部门的同意。7.5后续跟踪7.5.1管理层反馈审计责任部门应当跟踪管理层及相关责任部门是否已采取有效措施予以处理，或确保管理层已接受不采取行动带来的风险。审计责任部门应当明确要求管理层对审计发现和跟进建议作出反应的时间限制，若审计发现和跟进建议的重要程度较高，则应要求管理层或董事会立即作出反应。审计责任部门应当获取管理层是否接受审计发现及其相关风险的反馈，以及相关责任部门改进建议执行的详细计划和时间表等。由于改进成本、预算等各种原因的限制，管理层可能作出承担审计发现带来的风险，不采取审计报告中提出的改进建议的决定。审计责任部门应当对管理层的决定进行评估，当其认为管理层接受的剩余风险超过组织可接受的水平时，必须应当就此事与更高级别的管理层讨论。如果经过讨论双方仍无法就剩余风险作出决定，审计责任部门应当报请董事会解决。7.5.2后续跟踪审计审计责任部门应当在审计报告发布后，获取管理层对审计发现和改进建议的详细行动计划，并采取有效的监督手段，定期收集管理层和相关责任部门纠正审计发现和执行改进建议的情况，并对这些情况进行适当评估。8质量控制8.1

质量控制责任审计责任部门应当严格而全面地对审计活动的效率效果、审计专业人员遵循职业道德规范的情况等进行定期、持续评估，建立并维护审计工作的质量监督和改善程序，就审计责任部门章程、政策与程序的适当性，对法律法规、行业监管的遵循性等进行客观评价，及时采取措施纠正重大