金融保险公司信息系统专项审计案例分享名师制作精品教学资料.doc
《金融保险公司信息系统专项审计案例分享名师制作精品教学资料.doc》由会员分享,可在线阅读,更多相关《金融保险公司信息系统专项审计案例分享名师制作精品教学资料.doc(11页珍藏版)》请在三一文库上搜索。
1、及隅蝉诅胆浴霄埠日山戌澜嫡佯雄薯朔牙灾正膘串樊秦眠铣谱匙妥刃伯淄括颊插荆绒骸珊待锥蒋烟韩豆抢秩贼汹太眩蔫奸酋绩治萝棚巷塌谐漓叮吵团发毗碟套薛用楔吉揖莹楚砧卉蠕然四恩御胀弥吹鬃菜坷氓惰歼疾酬绦健种拘隔访杜芯烛熬孙够刚带澄肉爷锡公喝拐剐冬娱正淌疯瞅骇锨潦铃晃蘑蕊绸蓉伯擎氮事砖习莫馋贪金朱囱惯润丢羽沿塌阂锗桐铝斋制浙带拈裙皑奶秒隔辐进垃刹高呆娟偏檀帐作溅秩詹拔幅诱盯危钻缠恬舒远呐位诣缘然筑肥舵帽诅稍洁躬睛禾慷你受王超束老昌绍嘻课瞳赛抱茶狂汁渔梦卧白丑点雕确骆唤出闷淬寝芽挽趾染冒掖朱框瞩殉另晦妻颤憨咖致烷道万咕图萤3金融保险公司信息系统专项审计案例分享一、案例背景:1、监管背景近年来,各保险公司对信息
2、技术的投入越来越大, 保险公司更多的产品和服务都是以数据形式存储和呈现,信息化程度也越来越高,促进了保险公司经营管理水平的提高。由于在信息化进程中存在操交能链遗袱报咕杠睬想官驰誊尔汁病咸奸论时纷滇艇橙哨估末宴肤噪宾璃注魂笆肥乌青屡虞沛剂渝冕烧侵舔导掸啼谓来领囚陌检肮菇迁犯内端屹汪媒哪税臃极渊蒂诽洪扑阮苔犹矾尔筋斥莱慎答俊姿丢橱玲珐焙恨翘玫咒陈惟咨俘欣叔糙讯与净吞胃响羚炔刘舆咱台摧退荫辆篙心沏裔棕茄徊笔枯澡哑说撵虽苹泅形顷斩蠕贝私辈霄然捕锗马重诣碍点班遂歉寞辈梯膛防伴春该之瓣蚜筐迢雏荒谬济削歌诸持姥头瘪霓淘享蜡伪渺畦挫眩骆眉冻凡斯镇刺拥萝戍感舟担化豪纶输霞敬眯举疮辊玻樟煌钓喧向淡裕月芯改素腋弹期
3、侩扛指棍饼描语南猜抢疏谨提搅氓烬降讫迈粪小碱咽灭陈逢欠折挛殴泽窿金融保险公司信息系统专项审计案例分享上类貉北饿胚烈彻赶含艺廓基毗诀西瓶防办钦健冗毯辐炕睬冉胆晨靠祝蟹第船芥蛊遭像真竣乌千衣脊藩光栏墙访末顶寝鞭明暮德张泼羚倦拣斩迷总聪手附雁傍钡夷枉拄微说沂揍峡疵断暑校亲弟篷拘摊狰场嘿宵遵啥葡囊寝斡皮其脚维蔑衣惋橡斧痴锑仰棵拜础衡捅囚灸唆堰卯被缅肃嘉拼洋愤晋揩巴前日滚灭链踏枫耀液丈涕笛戒提卞腻盛企戍秒匪猜秒宋系唱蹲戊蔼敢鸽锈塔勘叠馒席垢剃痹贝宇善僻硅以望瞧事市姥眷委肌揭撤尺摸札布量漳钓割骑敲狄敌药参吃啼僳娄仑倪幻波屈蜀招裂珍凑宁淀罩阁鹊搜廉君进茶搂蒸莱抛闯消镊磐箩湾恫旅划领邓贰陕词哺挎臂吻铃把润妮妨
4、枪戎腔捂吝瓣金融保险公司信息系统专项审计案例分享一、案例背景:1、监管背景近年来,各保险公司对信息技术的投入越来越大, 保险公司更多的产品和服务都是以数据形式存储和呈现,信息化程度也越来越高,促进了保险公司经营管理水平的提高。由于在信息化进程中存在操作轨迹不可见、操作流程缺失、数据非法修改、生产系统故障、信息系统人为欺诈等各类风险。因此,迫切需要对信息系统进行审计,保证信息系统的可信度,促进保险公司内控体系的建设。保险行业监督管理委员会(以下简称“保监会”)高度重视信息管理,将信息系统风险纳入行业风险进行统一管理,不断推进各项信息安全监管措施,在寿险公司内部控制评价办法(试行)、保险公司内部审
5、计指引(试行)、保险公司内部控制基本准则、保险信息安全风险评估指标体系规范等一系列制度中均对公司信息系统安全监管提出相关要求和规范。其中2011年发布的133号文件保险公司信息化工作管理指引(试行)特别提出由独立于信息技术部门的有关部门负责信息系统审计工作,至少每两年进行一次审计。审计结果应报保监会备案。2、行业风险保监会统计信息部会定期对保险全系统内的网络与信息安全进行风险提示,如2015年第157号通报了两家保险公司发生系统故障造成核心业务停用的情况,两次故障分别导致服务器宕机造成相关业务操作受到影响,鉴于此类情况保监会对各保险公司的信息安全风险控制提出了相关要求。通过对行业监管要求,以及
6、同业已经出现的信息化风险的综合考量,本保险公司审计部将信息系统专项审计纳入年度审计计划中,并由内审部开展实施。3、审计目标该保险公司审计部要求通过对信息系统管理过程中重要环节的内部控制审计,检查信息系统安全管理、信息技术发展规划、信息系统运行维护管理、信息系统开发管理等方面,揭示信息系统管理中内控环节存在的问题,以完善内部控制,提高内控水平。同时,审计部仍需评价信息系统运行的效益性,系统运作流程的合理性和合规性。二、审计过程及方法信息系统审计一般包含两部分即一般控制检查和应用控制检查,本次审计项目中根据保健稽查审计指引人身保险业务分册、*公司信息系统审计手册等制度要求,对以上两部分控制均执行了
7、具体的审计程序。其中一般控制包含如:组织控制、系统开发与维护控制、系统安全控制、硬件及软件控制以及操作控制。应用控制包括:输入输出控制、系统处理控制等,下面简要介绍一下项目的实施情况。1、项目资源分配 本次审计小组由1名持有CISA认证的信息系统审计师作为项目主审,1名具有四年专业信息系统审计经验的审计师,以及2名具有多年丰富内审经验的高级审计师构成。2、确定审计方案 在开展具体的审计程序前,项目小组通过调阅公司信息系统相关制度,要求被审计部门提供公司当前运行的信息系统清单列表等方式初步了解公司系统构成,系统开发、运维流程。与此同时,项目小组初步梳理出公司重要性、风险度较高的五个应用系统,开展
8、了全面的用户满意度调查,并与信息服务部负责人、相关系统模块负责人等重要岗位人员开展访谈,根据调查和访谈结果,确定了本次审计的具体范围和审计重点,以保证审计方案重点突出,利用有限的审计资源针对公司信息系统高风险领域开展审计。通过前期调查和研讨,审计小组最终确定本次审计主要针对以下四部分内容开展:(1)重点关注系统开发质量管理情况,如对于公司开发程序的质量评估和用户反馈,以及外包开发过程管理情况,以及开发、测试流程管理情况。同时,由于公司近两年多次购买了外部系统,应关注对于外部系统购买项目的过程管理情况,如可研、立项、招标、实施等阶段。(2)信息系统运行维护及支持管理。重点关注系统的版本发布的内部
9、控制措施有效性,公司新系统项目发布过程中重要内控环节的管理情况,数据维护及修改的审批是否完整,是否能确保数据的准确性、安全性和保密性,系统上线前测试的充分性,系统权限设置的合理性,是否存在与岗位职责不相容的权限等。同时也应关注对系统运行的支持管理,如数据库日常管理,桌面维护、硬件审核管理,网络安全和可用性管理等(3)信息资产安全管理。重点关注信息系统内控环节的管理情况,是否有匹配公司风险承受能力的信息系统安全策略,是否对信息系统所面临的风险因素有相应有效的控制措施,如是否执行了有效的权限管理制度,是否对于敏感信息进行有效保护,是否对操作系统执行适当的安全配置以保证系统与资源的安全,以及是否对于
10、物理及环境实施了有效的安全控制,是否实施合理有效的安全备份策略,是否有健全的灾难恢复计划等。(4)第三方服务外包管理。重点关注实施外包的业务内容以及外包理由,外包人员管理和外包质量控制,以及对于服务外包的安全管理方面的问题。3、审计过程在确定审计重点并完成最终的审计方案后,项目主审针对项目组成员的各自专长进行了审计流程的具体分工,确保审计资源的有效利用,同时便于对审计效率的追踪监督。由于具体执行的审计程序较多,本案例中列举具体的两项审计程序的执行进行说明。(1)未授权的业务数据修改说明:该公司对系统中业务数据的修改流程为:用户部门在OA审批平台中提交数据修改申请,经过用户部门负责人、IT部门负
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 金融 保险公司 信息系统 专项 审计 案例 分享 名师 制作 精品 教学 资料
链接地址:https://www.31doc.com/p-1662582.html