一级国产20岁美女毛片,久久97久久,久久香蕉网,国产美女一级特黄毛片,人体艺术美女视频,美女视频刺激,湿身美女视频

免費咨詢電話:400 180 8892

您的購物車還沒有商品,再去逛逛吧~

提示

已將 1 件商品添加到購物車

去購物車結(jié)算>>  繼續(xù)購物

您現(xiàn)在的位置是: 首頁 > 免費論文 > 金融銀行財務(wù)會計論文 > 信息系統(tǒng)審計在壽險企業(yè)內(nèi)部審計中的應(yīng)用

信息系統(tǒng)審計在壽險企業(yè)內(nèi)部審計中的應(yīng)用

邱建偉
中國人壽保險股份有限公司 新疆分公司審計辦公室

從審計的角度,信息系統(tǒng)廣義的定義為企業(yè)依賴電子技術(shù)、計算機技術(shù)、網(wǎng)絡(luò)技術(shù)形成的支持企業(yè)運行的資源系統(tǒng),包括硬件支持平臺和生產(chǎn)應(yīng)用系統(tǒng)。信息系統(tǒng)審計比較流行的定義是:根據(jù)公認(rèn)的標(biāo)準(zhǔn)和指導(dǎo)規(guī)范對信息系統(tǒng)及其業(yè)務(wù)應(yīng)用的效能、效率、安全性進(jìn)行監(jiān)測、評估和控制的過程,以確認(rèn)預(yù)定的業(yè)務(wù)目標(biāo)得以實現(xiàn)。可見,信息系統(tǒng)審計是一個通過收集和評價審計證據(jù),對信息系統(tǒng)是否能夠保護(hù)資產(chǎn)的安全、維護(hù)數(shù)據(jù)的完整、使被審計單位的目標(biāo)得以有效地實現(xiàn)、使組織的資源得到高效地使用等方面做出判斷的過程。
一、信息系統(tǒng)審計概要
信息系統(tǒng)審計是建立并借鑒了傳統(tǒng)審計技術(shù)并綜合了信息系統(tǒng)和信息安全保障專業(yè)技術(shù)而形成。在制度基礎(chǔ)審計的模式下,信息審計的業(yè)務(wù)內(nèi)容已經(jīng)擴展到了符合性測試領(lǐng)域。信息系統(tǒng)的安全性、可靠性與其所服務(wù)的組織所面臨的各種風(fēng)險之間的聯(lián)系越來越緊密,對被審計單位風(fēng)險的評估必須將信息系統(tǒng)納入考慮范圍。計算機審計的業(yè)務(wù)范圍已經(jīng)覆蓋了審計業(yè)務(wù)的全過程,信息系統(tǒng)審計的概念隨之出現(xiàn)。現(xiàn)代審計技術(shù)和方法體系已由原始的查賬技術(shù)基礎(chǔ)上的賬項基礎(chǔ)審計發(fā)展到制度基礎(chǔ)審計,進(jìn)而又發(fā)展到風(fēng)險導(dǎo)向?qū)徲?。越來越關(guān)注對審計風(fēng)險進(jìn)行系統(tǒng)的分析和評價,并以此作為出發(fā)點,將審計的視野擴大到被審計單位所處的經(jīng)營環(huán)境,捕捉潛在的風(fēng)險點。和傳統(tǒng)的審計關(guān)注相比較,業(yè)務(wù)、財務(wù)審計的界線日趨模糊,風(fēng)險評估貫穿于審計工作的全過程。隨著網(wǎng)絡(luò)技術(shù)、數(shù)據(jù)庫技術(shù)的高速發(fā)展,信息化環(huán)境下的企業(yè)運行發(fā)生了極大變化。對于信息系統(tǒng)審計,需求領(lǐng)域很廣,“未來審計行業(yè)和審計技術(shù)的發(fā)展動力將主要來自于信息系統(tǒng)審計的發(fā)展”,已經(jīng)成為業(yè)界共識。信息系統(tǒng)審計已成為企業(yè)最關(guān)注的重要課題。
二、保險公司開展內(nèi)部信息系統(tǒng)審計的意義
保險業(yè)在防范化解金融風(fēng)險、維護(hù)國家金融安全方面的作用越來越大,作為商業(yè)保險公司,其自身的運行和發(fā)展同樣也是身系國家的重托、社會的責(zé)任。特別對于壽險企業(yè),對利益相關(guān)者如監(jiān)管者、投資者、代理人或機構(gòu)、團體客戶、個人客戶等也非常重要。決定了企業(yè)自身必須重視和防范風(fēng)險。我國的壽險公司近年來對信息技術(shù)的投入越來越大,信息化程度也越來越高。在提高集中管控能力、執(zhí)行能力和市場反應(yīng)能力等方面,促進(jìn)了壽險企業(yè)經(jīng)營管理水平的提高。但是,超速發(fā)展的信息化進(jìn)程中客觀地產(chǎn)生了信息系統(tǒng)潛在的風(fēng)險,如操作軌跡不可見、操作流程缺失、數(shù)據(jù)非法修改、辦公系統(tǒng)安全措施簡陋、生產(chǎn)系統(tǒng)故障、信息系統(tǒng)人為欺詐等。而這些風(fēng)險,特別是人為因素造成的風(fēng)險,依然存在于壽險公司信息技術(shù)流程管理、技術(shù)安全管理、經(jīng)營管理和生產(chǎn)系統(tǒng)運行管理過程中,迫切需要對其安全性、真實性、完整性、有效性進(jìn)行鑒證,保證信息系統(tǒng)的可信度,促進(jìn)內(nèi)部體系的建設(shè)。信息系統(tǒng)審計以其先進(jìn)的理念和技術(shù),所發(fā)揮的對風(fēng)險的防范作用是無可替代的。因此,作為壽險公司的內(nèi)部審計,適時開展信息系統(tǒng)審計,這是信息時代的需求。是趨勢,也別無選擇。
三、壽險公司信息系統(tǒng)內(nèi)部審計的目標(biāo)
壽險公司信息系統(tǒng)審計的依據(jù),應(yīng)當(dāng)是在遵從外部審計所使用的依據(jù)條件之下,對壽險公司內(nèi)部進(jìn)行全面審計,著手提高信息系統(tǒng)的安全性。從信息系統(tǒng)的資源是否最大限度地被利用為落腳點,實現(xiàn)信息系統(tǒng)在業(yè)務(wù)和負(fù)載方面的均衡。

四、信息系統(tǒng)審計程序與審計方法

信息系統(tǒng)審計程序參照傳統(tǒng)審計程序,包括確定審計范圍、做好審計準(zhǔn)備、進(jìn)行審計評估、出具審計報告、提供管理咨詢等過程。 信息系統(tǒng)審計也可采用非現(xiàn)場審計與現(xiàn)場審計相結(jié)合的操作方式進(jìn)行。對信息系統(tǒng)平臺的審計采用現(xiàn)場審計模式,但對于應(yīng)用系統(tǒng)審計,基于目前非現(xiàn)場審計手段相對落后,更傾向于二者的結(jié)合。即審前準(zhǔn)備采用非現(xiàn)場方式實現(xiàn),借助輔助審計系預(yù)抽取數(shù)據(jù),分析確認(rèn)審計重點,再結(jié)合現(xiàn)場審計實施。

五、保險企業(yè)內(nèi)部審計中信息系統(tǒng)審計內(nèi)容及操作

保險企業(yè)內(nèi)部審計中信息系統(tǒng)審計目標(biāo)決定了信息系統(tǒng)審計的對象:由計算機硬件和軟件結(jié)合而成的信息系統(tǒng)以及與信息系統(tǒng)輸入、輸出相關(guān)的活動。即信息系統(tǒng)及信息系統(tǒng)生命周期的所有活動。
因此,壽險公司信息系統(tǒng)的內(nèi)部審計,審計范圍可確定為管理層所關(guān)注的風(fēng)險控制點,應(yīng)包含以下內(nèi)容:
(一)管理流程審計。信息技術(shù)管理流程審計主要評估信息技術(shù)規(guī)劃,評估信息技術(shù)工作條例或工作程序,評估信息技術(shù)部門的工作職責(zé)與工作分工,評估信息系統(tǒng)開發(fā)、購置、引進(jìn)的制度和流程,評估生產(chǎn)系統(tǒng)運行維護(hù)的制度和流程,評估項目管理、項目監(jiān)理的制度和流程,生產(chǎn)系統(tǒng)分崗制衡管理制度等。
(二)技術(shù)平臺審計。壽險公司內(nèi)部的信息技術(shù)平臺復(fù)雜多樣、涉及多種類、多品牌、多家廠商和服務(wù)商。對技術(shù)平臺的審計必須具備較強的信息技術(shù)專業(yè)知識。內(nèi)部審計應(yīng)側(cè)重于信息系統(tǒng)安全審計,重點關(guān)注“安全管理”、“安全工程”和“安全技術(shù)”,才具有可操作性。具體如下:
1.檢查信息安全管理措施制定和履行情況;
通過現(xiàn)場檢查信息系統(tǒng)方面的安全管理措施、技術(shù)措施的制定并對實際應(yīng)用情況進(jìn)行審計評估,保障應(yīng)用系統(tǒng)的安全運營。安全管理方面。涉及《信息安全管理辦法》、《防火墻與網(wǎng)絡(luò)安全管理辦法》、《基礎(chǔ)架構(gòu)配置與變更管理規(guī)定》、《備份管理制度》等方面。
2.評估基礎(chǔ)架構(gòu)安全;
(1)檢查網(wǎng)絡(luò)基本情況
①崗位人員基本情況、人員數(shù)量、培訓(xùn)、分工情況。
②技術(shù)資料的完整性。檢查網(wǎng)絡(luò)拓?fù)鋱D,關(guān)注外部接入點。檢查防火墻的管理工作。防火墻管理員是否妥善管理密鑰和管理證書。
③對外部網(wǎng)絡(luò)的連接是否均安裝防火墻;是否有足夠帶寬的冗余通訊線路并且能自動切換;骨干網(wǎng)絡(luò)設(shè)備是否能達(dá)到實時雙機熱備份。
④是否指定專人負(fù)責(zé)防火墻的管理工作;防火墻管理員是否妥善管理密鑰和管理證書。
⑤是否實現(xiàn)網(wǎng)絡(luò)監(jiān)控,是否提供非法侵入檢測、訪問控制、密鑰管理等安全控制手段。
(2)基礎(chǔ)平臺配置情況
①各系統(tǒng)維護(hù)管理人員是否根據(jù)《基礎(chǔ)平臺配置管理規(guī)定》對系統(tǒng)及數(shù)據(jù)庫日志進(jìn)行定期監(jiān)控,開啟審計日志功能。
②是否根據(jù)配置基準(zhǔn)規(guī)范進(jìn)行操作系統(tǒng)、數(shù)據(jù)庫、服務(wù)器和防火墻的初始配置、增加或刪除策略;對配置的維護(hù)是否通過安全管理部門或人員審批并記錄;維護(hù)記錄是否由專人保管,經(jīng)過授權(quán)才能獲取。
③系統(tǒng)管理員是否定期進(jìn)行配置策略審查工作,對過期和權(quán)限過大的策略進(jìn)行優(yōu)化,并按照配置變更申請審批流程進(jìn)行。
④系統(tǒng)管理員是否及時了解并取得授權(quán)廠商發(fā)布的軟硬件升級包,并按照《基礎(chǔ)架構(gòu)配置與變更管理規(guī)定》進(jìn)行升級。
(3)系統(tǒng)數(shù)據(jù)修改情況
①是否存在系統(tǒng)管理員直接修改數(shù)據(jù)庫中的數(shù)據(jù),或存在數(shù)據(jù)庫管理員未經(jīng)授權(quán)直接修改數(shù)據(jù)庫中的數(shù)據(jù)。
②抽查主要系統(tǒng)的數(shù)據(jù)修改審批表和匯總表。
(4)檢查邏輯訪問情況
①抽查安全報告,確保只有經(jīng)過授權(quán)的訪問發(fā)生。如果存在未經(jīng)授權(quán)的用戶,檢查是否及時做出后續(xù)處理。
②是否對數(shù)據(jù)庫比較敏感應(yīng)用工具的訪問權(quán)限加以適當(dāng)控制。是否對適當(dāng)?shù)南到y(tǒng)文件或目錄進(jìn)行有效的限制。
③是否禁止系統(tǒng)管理員的遠(yuǎn)程訪問,是否只有系統(tǒng)管理員可以在主控臺上使用管理員賬號登錄。使用各種未經(jīng)授權(quán)的登錄名和密碼進(jìn)行試探訪問,系統(tǒng)中是否留有相應(yīng)記錄。
3.檢查邏輯訪問、賬戶和密碼管理情況;
(1)應(yīng)用系統(tǒng)管理員是否與應(yīng)用系統(tǒng)的操作員分離,是否存在應(yīng)用系統(tǒng)管理員操作應(yīng)用系統(tǒng)。
(2)系統(tǒng)超級用戶和數(shù)據(jù)庫管理員用戶密碼是否得到妥善保管并定期或不定期更換,且僅為系統(tǒng)管理員掌握。
(3)賬號的建立/維護(hù)/刪除是否經(jīng)過審批,是否有文檔記錄,文檔記錄是否在賬號更新同時進(jìn)行更新。申請人所申請的權(quán)限是否合理。
(4)是否定期審閱用戶賬號及確認(rèn)訪問權(quán)限,刪除過多的授權(quán)及清理多余的賬號。是否存在賬號共享,以及一人同時具有多個不相容角色權(quán)限的情況。
(5)是否對用戶口令的設(shè)置和使用做出規(guī)范,是否要求用戶賬號口令定期更新,并進(jìn)行提示。
4.檢查數(shù)據(jù)備份情況
(1)是否制定備份策略和制度;是否對操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、OA系統(tǒng)及各種重要應(yīng)用系統(tǒng)進(jìn)行備份;是否制定備份檢查和操作手冊或流程,對備份操作步驟、備份時間、介質(zhì)數(shù)量等進(jìn)行明確規(guī)定。
(2)是否制定備份介質(zhì)的管理制度,備份介質(zhì)的管理是否能有效防范因災(zāi)難或其他原因帶來的數(shù)據(jù)安全風(fēng)險,管理層是否對備份介質(zhì)進(jìn)行定期檢查。
(3)是否制定備份恢復(fù)的相關(guān)實施細(xì)則,是否進(jìn)行過任何有目的的備份恢復(fù)測試,或是進(jìn)行過生產(chǎn)環(huán)境的數(shù)據(jù)恢復(fù)。
5.檢查物理環(huán)境安全情況。
(1)是否嚴(yán)格控制出入機房人員,訪問者進(jìn)出機房是否在《機房運行日志》中進(jìn)行詳細(xì)訪問記錄,檢查《機房運行日志》。
(2)機房內(nèi)是否有相應(yīng)防火、防水、防磁、防塵、防雷措施。檢查機房消防設(shè)備是否已過期和失效;工作人員是否能夠熟練使用機房配備的消防系統(tǒng)。
(3)空調(diào)器制冷、送風(fēng)和控制系統(tǒng)是否正常;機房溫度、濕度是否適當(dāng)。
(4)檢查穩(wěn)壓電源、UPS和控制系統(tǒng)是否正常;是否定期對現(xiàn)有的不間斷的電力供應(yīng)設(shè)備進(jìn)行檢查與維護(hù);是否有足夠容量的雙機熱備份UPS電源;重要機房是否有足夠容量的雙回路市電供電;是否定期對地線進(jìn)行檢查。
(5)機房是否安裝了報警設(shè)施,報警方式和效果如何?對運行環(huán)境可能出現(xiàn)的環(huán)境因素進(jìn)行監(jiān)測并預(yù)警。
(三)信息系統(tǒng)項目審計
信息系統(tǒng)項目審計主要評估信息系統(tǒng)項目管理與項目監(jiān)理的有效性。項目管理審計主要評估信息系統(tǒng)項目在啟動、立項、需求分析、系統(tǒng)設(shè)計、開發(fā)、測試、試點、驗收、推廣過程的有效性,其目的是控制項目進(jìn)展過程中的風(fēng)險。
(四)生產(chǎn)系統(tǒng)審計
保險公司內(nèi)部一般均建立了核心業(yè)務(wù)系統(tǒng)、營銷員管理系統(tǒng)、財務(wù)系統(tǒng)、精算系統(tǒng)、再保系統(tǒng)、單證系統(tǒng)、辦公系統(tǒng)、郵件系統(tǒng)、固定資產(chǎn)管理系統(tǒng)等生產(chǎn)系統(tǒng),公司的生產(chǎn)經(jīng)營活動大多要通過生產(chǎn)系統(tǒng)進(jìn)行。
生產(chǎn)系統(tǒng)的審計首先是信息系統(tǒng)與業(yè)務(wù)流程吻合審計,主要評估實際業(yè)務(wù)操作流程與信息系統(tǒng)操作流程的吻合情況,評估信息系統(tǒng)對需求的滿足度及信息系統(tǒng)操作流程與業(yè)務(wù)操作流程的吻合度。
對保險公司內(nèi)部生產(chǎn)系統(tǒng)的審計是其各個生產(chǎn)系統(tǒng)相關(guān)的風(fēng)險。審計依據(jù)是各公司針對不同應(yīng)用系統(tǒng)指定的實務(wù)手冊、規(guī)定、通知。主要關(guān)注點如下:
(1)評估系統(tǒng)功能授權(quán)
檢查相應(yīng)的授權(quán)模塊、檢查操作系統(tǒng)管理員與應(yīng)用系統(tǒng)管理的權(quán)限分派的合理性。
(2)業(yè)務(wù)操作授權(quán)
檢查生產(chǎn)系統(tǒng)中業(yè)務(wù)授權(quán)情況。
(3)業(yè)務(wù)、審批、決定授權(quán)
檢查授權(quán)流程,檢查合規(guī)性,檢查臨時授權(quán)的審批流程。
(4)業(yè)務(wù)流程的完整性
由于壽險公司內(nèi)部數(shù)據(jù)的邏輯關(guān)聯(lián),需評估作業(yè)后的流程執(zhí)行是否完整,如數(shù)據(jù)流是否與業(yè)務(wù)單證流一致。如結(jié)案后要求扣還保單質(zhì)押借款、生存給付、拒賠案件等操作是否正確實施等,以確保最終結(jié)果的合理與正確。

六、壽險企業(yè)內(nèi)部審計中信息技術(shù)應(yīng)用

事實上,壽險企業(yè)內(nèi)部審計中信息技術(shù)應(yīng)用,目前表現(xiàn)為內(nèi)部審計輔助審計系統(tǒng)的開發(fā)。要真正實現(xiàn)通過內(nèi)部審計系統(tǒng)對生產(chǎn)系統(tǒng)進(jìn)行審計,必須在生產(chǎn)系統(tǒng)立項、建設(shè)時,明確審計要求,在生產(chǎn)系統(tǒng)中,設(shè)置審計接口,設(shè)計內(nèi)部審計需要的狀態(tài)、時間戳等重要字段的記錄審計軌跡,由計算機自動記錄審計線索,在生產(chǎn)系統(tǒng)中留下可追溯的記錄。在對生產(chǎn)系統(tǒng)進(jìn)行驗收的過程中,需強調(diào)生產(chǎn)系統(tǒng)的可審計性。在開發(fā)生產(chǎn)系統(tǒng)的同時,也要開發(fā)相應(yīng)的審計系統(tǒng),使生產(chǎn)系統(tǒng)投產(chǎn)后就有相應(yīng)的審計系統(tǒng)投產(chǎn)運行。
各類輔助軟件的開發(fā),由于要依據(jù)壽險公司內(nèi)部相應(yīng)的應(yīng)用系統(tǒng),因此數(shù)據(jù)標(biāo)準(zhǔn)和信息共享至關(guān)重要,開發(fā)時要使各系統(tǒng)間實現(xiàn)簡單有效的數(shù)據(jù)交互,保證數(shù)據(jù)的準(zhǔn)確性和一致性。依據(jù)電子數(shù)據(jù),充分利用數(shù)據(jù)之間的關(guān)系建立審計索引,自動實現(xiàn)全方位對比判別。
在開發(fā)壽險公司內(nèi)部審計輔助系統(tǒng)時應(yīng)部署如下模塊:
(一)系統(tǒng)設(shè)置及管理模塊:
1.全局設(shè)置功能
2.模版定義功能:針對不同主題的審計,定義各種審計模版,包括審計流程、文檔格式等。
3.指標(biāo)定義功能:針對保險行業(yè)特點,定義一系列指標(biāo)。
4.查詢方案定義功能:可以定義一些標(biāo)準(zhǔn)的查詢功能,如超限額、賬齡分析、超額保單、大額理賠等。
(二)數(shù)據(jù)接口模塊:
1.數(shù)據(jù)標(biāo)準(zhǔn)化功能:針對不同的數(shù)據(jù)源定義源數(shù)據(jù)與審計數(shù)據(jù)的對應(yīng)關(guān)系,并形成接口模版。
2.數(shù)據(jù)抽取功能:按接口模版從源數(shù)據(jù)庫中抽取數(shù)據(jù),存放到內(nèi)審系統(tǒng)的中間結(jié)構(gòu)中。
3.數(shù)據(jù)整理功能:按具體審計的要求,將存放在內(nèi)審系統(tǒng)中間結(jié)構(gòu)中的數(shù)據(jù)進(jìn)行整理,完成必要的歸并,并形成數(shù)據(jù)目錄。
(三)項目管理模塊:
項目管理模塊應(yīng)能實現(xiàn)審計方案定義、審計過程記錄、文檔管理等功能。
(四)審計處理模塊:
1.審計整理功能:對業(yè)務(wù)數(shù)據(jù)可進(jìn)行各類排序,使審計人員能夠?qū)崿F(xiàn)有目的的篩選。對財務(wù)自動產(chǎn)生報表等進(jìn)行計算復(fù)核。
2.審計分析功能:對財務(wù)自動產(chǎn)生總體財務(wù)指標(biāo)和變動趨勢,提供分析性測試數(shù)據(jù)。對業(yè)務(wù)應(yīng)該實現(xiàn)對分類數(shù)據(jù)的分析處理,如對理賠情況的總體分析等。
3.審計查證功能:對財務(wù)利用數(shù)據(jù)之間的關(guān)聯(lián),完成一些橫向和縱向的查證操作,對業(yè)務(wù)可以逐環(huán)節(jié)追溯查詢,按照業(yè)務(wù)處理邏輯展開審計查證。
4.合并審計功能:參照財務(wù)處理的原理,對相關(guān)的匯總類報表審計自動生成。
(五)審計幫助模:
1.法律法規(guī)及公司制塊度查詢功能:審計人員可以在審計過程中隨時調(diào)閱國家法律法規(guī)和企業(yè)內(nèi)控制度。
2.問題幫助功能:提供常見審計問題的解決方法,并定位到具體步驟。
(六)內(nèi)部審計情況統(tǒng)計分析模塊:
1.內(nèi)部審計情況統(tǒng)計表處理功能:能夠完成諸如內(nèi)部審計工作情況統(tǒng)計表、被審單位違規(guī)違紀(jì)情況統(tǒng)計表、內(nèi)部審計組織建設(shè)情況統(tǒng)計表等標(biāo)準(zhǔn)審計報表的生成處理,也可以按具體情況定義并生成所需審計報表。
2.內(nèi)部審計情況分析功能:可以根據(jù)積累的審計數(shù)據(jù),對存在的內(nèi)部控制問題,以及問題的解決情況進(jìn)行分析。
壽險公司自身特色的內(nèi)部審計系統(tǒng),還應(yīng)能匯集大量的審計案例,分析其中的規(guī)律,強化已有的控制點,發(fā)現(xiàn)或部署新的控制點。一方面進(jìn)一步改進(jìn)生產(chǎn)系統(tǒng)的運行狀況;另一方面進(jìn)一步完善審計系統(tǒng)自身功能,使生產(chǎn)系統(tǒng)與內(nèi)部審計系統(tǒng)的應(yīng)用水平共同提高。

服務(wù)熱線

400 180 8892

微信客服