保险公司信息系统审计

保险公司信息系统审计介绍2011年8月页数2目录134IT审计概述监管要求和审计标准介绍保险公司IT审计内容2目录经验分享页数31.IT审计概述页数4什么是信息系统审计？信息系统审计是指为了信息系统的安全，可靠与有效，由独立于审计对象的IT审计师，以第三方的客观立场对以计算机为核心的信息系统进行综合检查与评价，向IT审计对象的最高领导，提出问题与建议的一连串活动。1.IT审计概述页数5信息系统控制与审计协会ISACA(InformationSystemAuditandControlAssociation)是国际上唯一的IT审计师的专业组织，总部设在美国，目前已经在世界上100多个国家设立了160多个分会，现有会员两万多人。该协会通过指定和颁布信息系统审计准则和实务指南等来规范和指导IT审计师工作。ISACA还在许多国家举办注册IT审计师CISA(CertifiedInformationSystemAuditor)考试。IT审计协会-ISACA1.IT审计概述页数61.IT审计概述IT内审范围确定由于内部审计只对本单位负责，并根据本单位的安排进行审计，在审计范围的确定上有一定自主性，审计范围可分为以下两类：►全面的信息系统审计►专项信息系统审计，如►系统开发审计►网络安全专项审计►系统安全参数配置审计页数7信息系统内部审计的实现模式►全部外包：将内审测试全部外包给第三方公司，公司只需指定少量人员配合外部人员完成内审►部分外包：将部分内审工作(比如，网络安全审计)外包给第三方公司，公司与第三方公司共同完成内审工作►内部完成：独立完成公司内部审计，需要建立内审部门，组建专门的IT内审团队完成内审工作，内审人员需要了解公司业务并具有丰富的信息系统审计经验无论通过何种模式来实施IT内审，公司均需要建立风险管理构架，进行全面的风险评估，根据评估结果确定内部审计的范围和重点以保证IT内审的有效性和内审工作效率1.IT审计概述页数81.IT审计概述IT内部审计与外部审计信息系统内部审计师内部审计►企业内部实施审计，满足企业审计需求►全面的审计►专项审计外部审计►独立于企业的第三方实施审计►以对财务的影响作为审计的出发点外部审计师页数92.监管要求和审计标准介绍页数10中国保险业监督管理委员会（以下简称“保监会”）历来高度重视信息化管理工作，将信息科技风险纳入行业风险进行统一管理，不断推进各项信息安全监管措施：2006200720082009►《寿险公司内部控制评价办法（试行）》►《保险公司内部审计指引（试行）》►《保险公司合规管理指引》►《保险公司风险管理指引（试行）》►《保险业信息系统灾难恢复管理指引》►财政部、证监会、审计署、保监会和银监会联合发布《企业内部控制基本规范》►《保险公司信息化工作管理指引（试行）》来源：中国保险监督管理委员会网站2010►《保险公司内部控制基本准则》►《保险信息安全风险评估指标体系规范》2.监管要求和审计标准介绍页数11《信息化管理工作指引》为加强保险公司信息化工作管理，促进信息化工作规范化与标准化建设，提高保险业信息化工作水平，2009年12月，中国保险监督管理委员会发布了第133号文件《保险公司信息化工作管理指引（试行）》，要求保险公司自2010年1月1日遵照执行。该指引适用于中国境内依法设立的保险公司和保险资产管理公司，并从五个方面：组织管理与规划、基础环境与信息系统建设、安全保障与风险控制、发展环境、审计与备案，对信息化管理工作提出要求并进行指导。其中特别提出由独立于信息技术部门的有关部门负责信息系统审计工作，至少每两年进行一次审计。审计结果应在审计完成后三个月内报保监会备案。并鼓励公司在符合国家有关法律、法规和监管要求情况下，聘请具备相应资质的外部机构进行外部审计和风险评估。综上可看出，监管要求的信息系统审计最迟必须于今年底2011年12月31日前完成。2.监管要求和审计标准介绍页数12《企业内部控制基本规范》概述►2008年五月二十日，由财政部牵头下发了《企业内部控制基本规范》，要求自2009年7月1日起，上市公司应对本公司的内部控制有效性进行自我评价，披露当年的自我评价报告，并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。►为了配合《企业内部控制基本规范》的施行，财政部会同国务院拟制定以下指引供企业参考。►《企业内部控制评价指引》►《企业内部控制应用指引》►《企业内部控制审计指引》►财政部会同证监会、审计署、银监会、保监会，于2008年6月28日正式发布《企业内部控制基本规范》。2.监管要求和审计标准介绍页数13风险管理框架目前信息技术领域比较流行的技术风险管理框架包括:COBIT（信息及其相关技术的控制目标，ControlObjectivesforInformationandRelatedTechnology)ISO27001/BS7799(信息安全管理标准)ITIL(ITInfrastructureLibrary)PRINCE2CMMI2.监管要求和审计标准介绍页数143.保险公司IT审计内容页数15IT应用程序控制层面IT一般控制层面IT公司层面信息系统审计工作在以下三个层面开展：主要针对与IT相关的管理层的控制作审计：•控制环境、风险评估•控制活动•信息与沟通•监督等主要对IT常规流程控制作审计，这些程序和有关控制是对应用层面控制的有效性起了持续不断的影响。这些控制包括：•系统开发、变更管理•逻辑访问管理•其他一般控制管理（例如备份等）对系统层面的一些控制作审计，包括：•系统自动控制•人工依赖IT控制3.保险公司IT审计内容页数16IT控制IT公司层面检查企业内部关于IT方面的控制设计及实施是否有效，为公司管理层最终发表内控有效性声明提供支持证据，也是外部审计师对管理层测试发表审计意见的重要依据。IT一般控制涉及程序变更及数据文件访问的信息科技一般控制的存在，确保了应用程序控制在一段时间内持续有效。因为这些控制是支持业务系统正常运作的基础，故被称为“一般控制”。应用程序控制应用程序控制是在应用系统中由程序执行的控制，用以替代很多由人工完成的基础性检查工作。由于应用程序控制普遍适用于各种交易的处理，所以应用程序控制是否有效对于财务报表的完整性和正确性以及公司内控的有效性有着重要的影响。3.保险公司IT审计内容页数17COBITCOSOISO27001ITIL国际先进的公司内部控制框架为企业的IT治理提供清晰的指导策略和优良的实践范本为建立、推行、维持及改善信息安全管理提供帮助国际上公认的一套实用的IT服务管理最佳实践指南►信息系统层面测试范围-信息系统层面工作采用的标准信息系统层面工作采用的标准：公司层面应用层面一般控制层面3.保险公司IT审计内容页数18IT战略计划IT岗位职责分工IT风险评估构架IT管理制度体系IT内审►信息系统层面测试范围-IT公司层面IT公司层面IT公司层面是整体公司层面审阅的一部分，其中需要对与IT公司管理相关的控制作审阅内部环境风险评估控制活动信息与沟通内部监督公司层面业务单元子公司业务分部3.保险公司IT审计内容页数19需考虑的因素►建立IT内部控制的定期评估和监督机制►监督IT服务质量并实施改进建议►建立IT内部审计职能以实施监控►清晰的沟通渠道和汇报路线►完整、详细和及时的IT系统报告►用户对IT系统性能及相关流程的反馈►IT系统业务持续计划►IT流程的政策和程序手册►合理的职责分离►针对合规性要求的IT流程►对IT资产的适当保管►IT组织的风险评估流程►对IT事故的评估和反应机制►IT战略的制定和执行►IT组织架构►IT人力资源管理►培训IT系统用户方面控制环境风险评估控制活动信息与沟通监督第19页3.保险公司IT审计内容页数20IT公司层面评估工作的方法和一般步骤结合COSO控制体系设计调查问卷IT管理层访谈、填制调查问卷获取相关支持性文档，进行测试根据测试结果，评价IT公司层面控制的有效性填写缺陷报告、制定整改计划步骤一步骤二步骤三步骤四步骤五3.保险公司IT审计内容页数21IT一般控制和应用程序控制的关系人工控制自动控制（纯）人工控制应用程序控制人工依赖IT控制IT一般性控制人工检查性控制人工预防性控制3.保险公司IT审计内容页数2222IT一般控制IT一般控制IT一般控制IT一般控制现金价值费率主文件新单管理收付费管理理赔管理代理人和佣金管理如果我们要依赖于IT控制并且测试他们或者依赖于电子审计证据，我们就必须测试IT一般控制并且判断一般控制的有效性。换言之，如果图中的一般控制不是有效的，我们也许不能依赖于图中的应用程序保全管理IT一般控制适用范围3.保险公司IT审计内容页数23内控评估测试流程：3.保险公司IT审计内容IT一般控制层面审阅包括的流程系统开发程序变更系统版本账号与密码管理参数安全配置病毒管理备份管理灾难恢复物理安全管理第三方安全访问与监控管理问题与故障受理硬件管理页数24执行穿行测试/控制测试了解被评估单位的IT一般控制流程根据流程描述，识别风险与控制的关系根据应用系统配置清单，判断测试范围根据测试范围设计测试方法根据测试结果，进行控制评价应用程序控制层面评估风险控制矩阵系统配置清单测试模版穿行、控制测试报告填写缺陷报告、制定整改计划缺陷报告、整改计划IT一般控制测试工作的方法和一般步骤3.保险公司IT审计内容页数25IT一般控制流程的主要关注点举例（数据备份）：3.保险公司IT审计内容注：所列内容仅为简单的样例，并不表示数据备份流程只涉及这些步骤。需求部门如何提出数据备份的申请该申请由谁来授权，如何授权及授权哪些内容需求申请及授权确认记录在哪里具体谁负责执行数据备份及如何执行数据备份负责人完成备份后，如何通知需求部门或授权人启动授权记录流程处理汇报页数26流程名称：帐号管理流程控制编号控制描述存在的风险风险控制类型1建立用户账号管理制度，制度中包括应用系统层面、操作系统层面和数据库层面的用户账号维护没有建立账号管理的制度，无法对账号的审请、批准、添加、变更、删除进行规范的管理，加大了系统被未经授权访问的风险，从而影响财务和业务数据的准确性高预防性控制2使用统一而规范的用户账号维护申请表格进行用户账号维护申请和审批不采用书面的形式进行用户账号维护的申请和审批，不利于对账号进行统一的管理，有可能在系统中添加一些不必要的账号高预防性控制IT一般控制矩阵：在了解IT管理流程的基础上，识别流程中的风险与控制，并将控制点记录在风险控制矩阵中（控制矩阵样例参见下表）：IT一般控制类型说明：►预防性控制：在风险发生之前实施的控制，如：系统开发上线前的测试►检查性控制：在风险发生之后实施的控制，如：对超级用户操作日志的监控3.保险公司IT审计内容页数27序号应用系统名称应用系统来源数据集中程度及趋势计算机平台操作系统名称和版本数据库名称和版本应用系统变更情况能否拨号登录是/否业务合作伙伴能否共享系统1核心业务系统自行开发总公司集中服务器XXXXXXXXX暂时没有变更否否2财务系统外购总公司集中服务器XXXXXXXXX暂时没有变更否否3XXX系统XXXXXX服务器XXXXXXXXXXXX次变更XXXXXX系统配置清单：针对公司在用的系统形成系统配置清单（见下表），从中确定关键的业务和财务系统，确定系统测试范围：3.保险公司IT审计内容页数28▶确认对流程中启动、授权、记录、流程处理及汇报等方面控制点的了解▶通过穿行测试判断流程中每个控制点设计和实施的有效性▶通过对每个控制点的了解和其设计及实施的有效性，判断控制测试的必要性▶通过穿行测试及控制测试判断无效控制的相应风险级别及重大缺陷IT一般控制穿行测试的目的：在了解IT一般控制流程和相关控制并确定测试范围后，首先对测试范围内的IT一般控制进行穿行测试，测试目的如下：3.保险公司IT审计内容页数29▶样本描述：样本的选取方法及样本量▶测试过程的详细描述：按照流程的先后顺序逐一记录所获得支持性文档（纸面或电子）的相关要素以及相关流程的概要；对于无法获得支持性文件