一级国产20岁美女毛片,久久97久久,久久香蕉网,国产美女一级特黄毛片,人体艺术美女视频,美女视频刺激,湿身美女视频

邱建偉
中國人壽保險股份有限公司 新疆分公司審計辦公室

從審計的角度，信息系統(tǒng)廣義的定義為企業(yè)依賴電子技術(shù)、計算機技術(shù)、網(wǎng)絡(luò)技術(shù)形成的支持企業(yè)運行的資源系統(tǒng)，包括硬件支持平臺和生產(chǎn)應(yīng)用系統(tǒng)。信息系統(tǒng)審計比較流行的定義是：根據(jù)公認(rèn)的標(biāo)準(zhǔn)和指導(dǎo)規(guī)范對信息系統(tǒng)及其業(yè)務(wù)應(yīng)用的效能、效率、安全性進(jìn)行監(jiān)測、評估和控制的過程，以確認(rèn)預(yù)定的業(yè)務(wù)目標(biāo)得以實現(xiàn)。可見，信息系統(tǒng)審計是一個通過收集和評價審計證據(jù)，對信息系統(tǒng)是否能夠保護(hù)資產(chǎn)的安全、維護(hù)數(shù)據(jù)的完整、使被審計單位的目標(biāo)得以有效地實現(xiàn)、使組織的資源得到高效地使用等方面做出判斷的過程。
一、信息系統(tǒng)審計概要
信息系統(tǒng)審計是建立并借鑒了傳統(tǒng)審計技術(shù)并綜合了信息系統(tǒng)和信息安全保障專業(yè)技術(shù)而形成。在制度基礎(chǔ)審計的模式下，信息審計的業(yè)務(wù)內(nèi)容已經(jīng)擴展到了符合性測試領(lǐng)域。信息系統(tǒng)的安全性、可靠性與其所服務(wù)的組織所面臨的各種風(fēng)險之間的聯(lián)系越來越緊密，對被審計單位風(fēng)險的評估必須將信息系統(tǒng)納入考慮范圍。計算機審計的業(yè)務(wù)范圍已經(jīng)覆蓋了審計業(yè)務(wù)的全過程，信息系統(tǒng)審計的概念隨之出現(xiàn)。現(xiàn)代審計技術(shù)和方法體系已由原始的查賬技術(shù)基礎(chǔ)上的賬項基礎(chǔ)審計發(fā)展到制度基礎(chǔ)審計,進(jìn)而又發(fā)展到風(fēng)險導(dǎo)向?qū)徲?。越來越關(guān)注對審計風(fēng)險進(jìn)行系統(tǒng)的分析和評價，并以此作為出發(fā)點，將審計的視野擴大到被審計單位所處的經(jīng)營環(huán)境，捕捉潛在的風(fēng)險點。和傳統(tǒng)的審計關(guān)注相比較，業(yè)務(wù)、財務(wù)審計的界線日趨模糊，風(fēng)險評估貫穿于審計工作的全過程。隨著網(wǎng)絡(luò)技術(shù)、數(shù)據(jù)庫技術(shù)的高速發(fā)展，信息化環(huán)境下的企業(yè)運行發(fā)生了極大變化。對于信息系統(tǒng)審計，需求領(lǐng)域很廣，“未來審計行業(yè)和審計技術(shù)的發(fā)展動力將主要來自于信息系統(tǒng)審計的發(fā)展”，已經(jīng)成為業(yè)界共識。信息系統(tǒng)審計已成為企業(yè)最關(guān)注的重要課題。
二、保險公司開展內(nèi)部信息系統(tǒng)審計的意義
保險業(yè)在防范化解金融風(fēng)險、維護(hù)國家金融安全方面的作用越來越大，作為商業(yè)保險公司，其自身的運行和發(fā)展同樣也是身系國家的重托、社會的責(zé)任。特別對于壽險企業(yè)，對利益相關(guān)者如監(jiān)管者、投資者、代理人或機構(gòu)、團體客戶、個人客戶等也非常重要。決定了企業(yè)自身必須重視和防范風(fēng)險。我國的壽險公司近年來對信息技術(shù)的投入越來越大，信息化程度也越來越高。在提高集中管控能力、執(zhí)行能力和市場反應(yīng)能力等方面，促進(jìn)了壽險企業(yè)經(jīng)營管理水平的提高。但是，超速發(fā)展的信息化進(jìn)程中客觀地產(chǎn)生了信息系統(tǒng)潛在的風(fēng)險，如操作軌跡不可見、操作流程缺失、數(shù)據(jù)非法修改、辦公系統(tǒng)安全措施簡陋、生產(chǎn)系統(tǒng)故障、信息系統(tǒng)人為欺詐等。而這些風(fēng)險，特別是人為因素造成的風(fēng)險，依然存在于壽險公司信息技術(shù)流程管理、技術(shù)安全管理、經(jīng)營管理和生產(chǎn)系統(tǒng)運行管理過程中，迫切需要對其安全性、真實性、完整性、有效性進(jìn)行鑒證，保證信息系統(tǒng)的可信度，促進(jìn)內(nèi)部體系的建設(shè)。信息系統(tǒng)審計以其先進(jìn)的理念和技術(shù)，所發(fā)揮的對風(fēng)險的防范作用是無可替代的。因此，作為壽險公司的內(nèi)部審計，適時開展信息系統(tǒng)審計，這是信息時代的需求。是趨勢，也別無選擇。
三、壽險公司信息系統(tǒng)內(nèi)部審計的目標(biāo)
壽險公司信息系統(tǒng)審計的依據(jù)，應(yīng)當(dāng)是在遵從外部審計所使用的依據(jù)條件之下，對壽險公司內(nèi)部進(jìn)行全面審計，著手提高信息系統(tǒng)的安全性。從信息系統(tǒng)的資源是否最大限度地被利用為落腳點，實現(xiàn)信息系統(tǒng)在業(yè)務(wù)和負(fù)載方面的均衡。

四、信息系統(tǒng)審計程序與審計方法

信息系統(tǒng)審計程序參照傳統(tǒng)審計程序，包括確定審計范圍、做好審計準(zhǔn)備、進(jìn)行審計評估、出具審計報告、提供管理咨詢等過程。 信息系統(tǒng)審計也可采用非現(xiàn)場審計與現(xiàn)場審計相結(jié)合的操作方式進(jìn)行。對信息系統(tǒng)平臺的審計采用現(xiàn)場審計模式，但對于應(yīng)用系統(tǒng)審計，基于目前非現(xiàn)場審計手段相對落后，更傾向于二者的結(jié)合。即審前準(zhǔn)備采用非現(xiàn)場方式實現(xiàn)，借助輔助審計系預(yù)抽取數(shù)據(jù)，分析確認(rèn)審計重點，再結(jié)合現(xiàn)場審計實施。

五、保險企業(yè)內(nèi)部審計中信息系統(tǒng)審計內(nèi)容及操作

保險企業(yè)內(nèi)部審計中信息系統(tǒng)審計目標(biāo)決定了信息系統(tǒng)審計的對象：由計算機硬件和軟件結(jié)合而成的信息系統(tǒng)以及與信息系統(tǒng)輸入、輸出相關(guān)的活動。即信息系統(tǒng)及信息系統(tǒng)生命周期的所有活動。
因此,壽險公司信息系統(tǒng)的內(nèi)部審計，審計范圍可確定為管理層所關(guān)注的風(fēng)險控制點，應(yīng)包含以下內(nèi)容：
(一)管理流程審計。信息技術(shù)管理流程審計主要評估信息技術(shù)規(guī)劃，評估信息技術(shù)工作條例或工作程序，評估信息技術(shù)部門的工作職責(zé)與工作分工，評估信息系統(tǒng)開發(fā)、購置、引進(jìn)的制度和流程，評估生產(chǎn)系統(tǒng)運行維護(hù)的制度和流程，評估項目管理、項目監(jiān)理的制度和流程，生產(chǎn)系統(tǒng)分崗制衡管理制度等。
(二)技術(shù)平臺審計。壽險公司內(nèi)部的信息技術(shù)平臺復(fù)雜多樣、涉及多種類、多品牌、多家廠商和服務(wù)商。對技術(shù)平臺的審計必須具備較強的信息技術(shù)專業(yè)知識。內(nèi)部審計應(yīng)側(cè)重于信息系統(tǒng)安全審計，重點關(guān)注“安全管理”、“安全工程”和“安全技術(shù)”，才具有可操作性。具體如下：
1.檢查信息安全管理措施制定和履行情況；
通過現(xiàn)場檢查信息系統(tǒng)方面的安全管理措施、技術(shù)措施的制定并對實際應(yīng)用情況進(jìn)行審計評估，保障應(yīng)用系統(tǒng)的安全運營。安全管理方面。涉及《信息安全管理辦法》、《防火墻與網(wǎng)絡(luò)安全管理辦法》、《基礎(chǔ)架構(gòu)配置與變更管理規(guī)定》、《備份管理制度》等方面。
2.評估基礎(chǔ)架構(gòu)安全；
（1）檢查網(wǎng)絡(luò)基本情況
①崗位人員基本情況、人員數(shù)量、培訓(xùn)、分工情況。
②技術(shù)資料的完整性。檢查網(wǎng)絡(luò)拓?fù)鋱D，關(guān)注外部接入點。檢查防火墻的管理工作。防火墻管理員是否妥善管理密鑰和管理證書。
③對外部網(wǎng)絡(luò)的連接是否均安裝防火墻；是否有足夠帶寬的冗余通訊線路并且能自動切換；骨干網(wǎng)絡(luò)設(shè)備是否能達(dá)到實時雙機熱備份。
④是否指定專人負(fù)責(zé)防火墻的管理工作；防火墻管理員是否妥善管理密鑰和管理證書。
⑤是否實現(xiàn)網(wǎng)絡(luò)監(jiān)控，是否提供非法侵入檢測、訪問控制、密鑰管理等安全控制手段。
（2）基礎(chǔ)平臺配置情況
①各系統(tǒng)維護(hù)管理人員是否根據(jù)《基礎(chǔ)平臺配置管理規(guī)定》對系統(tǒng)及數(shù)據(jù)庫日志進(jìn)行定期監(jiān)控，開啟審計日志功能。
②是否根據(jù)配置基準(zhǔn)規(guī)范進(jìn)行操作系統(tǒng)、數(shù)據(jù)庫、服務(wù)器和防火墻的初始配置、增加或刪除策略；對配置的維護(hù)是否通過安全管理部門或人員審批并記錄；維護(hù)記錄是否由專人保管，經(jīng)過授權(quán)才能獲取。
③系統(tǒng)管理員是否定期進(jìn)行配置策略審查工作，對過期和權(quán)限過大的策略進(jìn)行優(yōu)化，并按照配置變更申請審批流程進(jìn)行。
④系統(tǒng)管理員是否及時了解并取得授權(quán)廠商發(fā)布的軟硬件升級包，并按照《基礎(chǔ)架構(gòu)配置與變更管理規(guī)定》進(jìn)行升級。
（3）系統(tǒng)數(shù)據(jù)修改情況
①是否存在系統(tǒng)管理員直接修改數(shù)據(jù)庫中的數(shù)據(jù)，或存在數(shù)據(jù)庫管理員未經(jīng)授權(quán)直接修改數(shù)據(jù)庫中的數(shù)據(jù)。
②抽查主要系統(tǒng)的數(shù)據(jù)修改審批表和匯總表。
（4）檢查邏輯訪問情況
①抽查安全報告，確保只有經(jīng)過授權(quán)的訪問發(fā)生。如果存在未經(jīng)授權(quán)的用戶，檢查是否及時做出后續(xù)處理。
②是否對數(shù)據(jù)庫比較敏感應(yīng)用工具的訪問權(quán)限加以適當(dāng)控制。是否對適當(dāng)?shù)南到y(tǒng)文件或目錄進(jìn)行有效的限制。
③是否禁止系統(tǒng)管理員的遠(yuǎn)程訪問，是否只有系統(tǒng)管理員可以在主控臺上使用管理員賬號登錄。使用各種未經(jīng)授權(quán)的登錄名和密碼進(jìn)行試探訪問，系統(tǒng)中是否留有相應(yīng)記錄。
3.檢查邏輯訪問、賬戶和密碼管理情況；
（1）應(yīng)用系統(tǒng)管理員是否與應(yīng)用系統(tǒng)的操作員分離，是否存在應(yīng)用系統(tǒng)管理員操作應(yīng)用系統(tǒng)。
（2）系統(tǒng)超級用戶和數(shù)據(jù)庫管理員用戶密碼是否得到妥善保管并定期或不定期更換，且僅為系統(tǒng)管理員掌握。
（3）賬號的建立/維護(hù)/刪除是否經(jīng)過審批，是否有文檔記錄，文檔記錄是否在賬號更新同時進(jìn)行更新。申請人所申請的權(quán)限是否合理。
（4）是否定期審閱用戶賬號及確認(rèn)訪問權(quán)限，刪除過多的授權(quán)及清理多余的賬號。是否存在賬號共享，以及一人同時具有多個不相容角色權(quán)限的情況。
（5）是否對用戶口令的設(shè)置和使用做出規(guī)范，是否要求用戶賬號口令定期更新，并進(jìn)行提示。
4.檢查數(shù)據(jù)備份情況
（1）是否制定備份策略和制度；是否對操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、OA系統(tǒng)及各種重要應(yīng)用系統(tǒng)進(jìn)行備份；是否制定備份檢查和操作手冊或流程，對備份操作步驟、備份時間、介質(zhì)數(shù)量等進(jìn)行明確規(guī)定。
（2）是否制定備份介質(zhì)的管理制度，備份介質(zhì)的管理是否能有效防范因災(zāi)難或其他原因帶來的數(shù)據(jù)安全風(fēng)險，管理層是否對備份介質(zhì)進(jìn)行定期檢查。
（3）是否制定備份恢復(fù)的相關(guān)實施細(xì)則，是否進(jìn)行過任何有目的的備份恢復(fù)測試，或是進(jìn)行過生產(chǎn)環(huán)境的數(shù)據(jù)恢復(fù)。
5.檢查物理環(huán)境安全情況。
（1）是否嚴(yán)格控制出入機房人員，訪問者進(jìn)出機房是否在《機房運行日志》中進(jìn)行詳細(xì)訪問記錄，檢查《機房運行日志》。
（2）機房內(nèi)是否有相應(yīng)防火、防水、防磁、防塵、防雷措施。檢查機房消防設(shè)備是否已過期和失效；工作人員是否能夠熟練使用機房配備的消防系統(tǒng)。
（3）空調(diào)器制冷、送風(fēng)和控制系統(tǒng)是否正常；機房溫度、濕度是否適當(dāng)。
（4）檢查穩(wěn)壓電源、ＵＰＳ和控制系統(tǒng)是否正常；是否定期對現(xiàn)有的不間斷的電力供應(yīng)設(shè)備進(jìn)行檢查與維護(hù)；是否有足夠容量的雙機熱備份UPS電源；重要機房是否有足夠容量的雙回路市電供電；是否定期對地線進(jìn)行檢查。
（5）機房是否安裝了報警設(shè)施，報警方式和效果如何？對運行環(huán)境可能出現(xiàn)的環(huán)境因素進(jìn)行監(jiān)測并預(yù)警。
(三)信息系統(tǒng)項目審計
信息系統(tǒng)項目審計主要評估信息系統(tǒng)項目管理與項目監(jiān)理的有效性。項目管理審計主要評估信息系統(tǒng)項目在啟動、立項、需求分析、系統(tǒng)設(shè)計、開發(fā)、測試、試點、驗收、推廣過程的有效性，其目的是控制項目進(jìn)展過程中的風(fēng)險。
(四)生產(chǎn)系統(tǒng)審計
保險公司內(nèi)部一般均建立了核心業(yè)務(wù)系統(tǒng)、營銷員管理系統(tǒng)、財務(wù)系統(tǒng)、精算系統(tǒng)、再保系統(tǒng)、單證系統(tǒng)、辦公系統(tǒng)、郵件系統(tǒng)、固定資產(chǎn)管理系統(tǒng)等生產(chǎn)系統(tǒng)，公司的生產(chǎn)經(jīng)營活動大多要通過生產(chǎn)系統(tǒng)進(jìn)行。
生產(chǎn)系統(tǒng)的審計首先是信息系統(tǒng)與業(yè)務(wù)流程吻合審計，主要評估實際業(yè)務(wù)操作流程與信息系統(tǒng)操作流程的吻合情況，評估信息系統(tǒng)對需求的滿足度及信息系統(tǒng)操作流程與業(yè)務(wù)操作流程的吻合度。
對保險公司內(nèi)部生產(chǎn)系統(tǒng)的審計是其各個生產(chǎn)系統(tǒng)相關(guān)的風(fēng)險。審計依據(jù)是各公司針對不同應(yīng)用系統(tǒng)指定的實務(wù)手冊、規(guī)定、通知。主要關(guān)注點如下：
（1）評估系統(tǒng)功能授權(quán)
檢查相應(yīng)的授權(quán)模塊、檢查操作系統(tǒng)管理員與應(yīng)用系統(tǒng)管理的權(quán)限分派的合理性。
（2）業(yè)務(wù)操作授權(quán)
檢查生產(chǎn)系統(tǒng)中業(yè)務(wù)授權(quán)情況。
（3）業(yè)務(wù)、審批、決定授權(quán)
檢查授權(quán)流程，檢查合規(guī)性，檢查臨時授權(quán)的審批流程。
（4）業(yè)務(wù)流程的完整性
由于壽險公司內(nèi)部數(shù)據(jù)的邏輯關(guān)聯(lián)，需評估作業(yè)后的流程執(zhí)行是否完整，如數(shù)據(jù)流是否與業(yè)務(wù)單證流一致。如結(jié)案后要求扣還保單質(zhì)押借款、生存給付、拒賠案件等操作是否正確實施等，以確保最終結(jié)果的合理與正確。

六、壽險企業(yè)內(nèi)部審計中信息技術(shù)應(yīng)用

事實上，壽險企業(yè)內(nèi)部審計中信息技術(shù)應(yīng)用，目前表現(xiàn)為內(nèi)部審計輔助審計系統(tǒng)的開發(fā)。要真正實現(xiàn)通過內(nèi)部審計系統(tǒng)對生產(chǎn)系統(tǒng)進(jìn)行審計，必須在生產(chǎn)系統(tǒng)立項、建設(shè)時，明確審計要求，在生產(chǎn)系統(tǒng)中，設(shè)置審計接口，設(shè)計內(nèi)部審計需要的狀態(tài)、時間戳等重要字段的記錄審計軌跡，由計算機自動記錄審計線索，在生產(chǎn)系統(tǒng)中留下可追溯的記錄。在對生產(chǎn)系統(tǒng)進(jìn)行驗收的過程中，需強調(diào)生產(chǎn)系統(tǒng)的可審計性。在開發(fā)生產(chǎn)系統(tǒng)的同時，也要開發(fā)相應(yīng)的審計系統(tǒng)，使生產(chǎn)系統(tǒng)投產(chǎn)后就有相應(yīng)的審計系統(tǒng)投產(chǎn)運行。
各類輔助軟件的開發(fā)，由于要依據(jù)壽險公司內(nèi)部相應(yīng)的應(yīng)用系統(tǒng)，因此數(shù)據(jù)標(biāo)準(zhǔn)和信息共享至關(guān)重要，開發(fā)時要使各系統(tǒng)間實現(xiàn)簡單有效的數(shù)據(jù)交互，保證數(shù)據(jù)的準(zhǔn)確性和一致性。依據(jù)電子數(shù)據(jù)，充分利用數(shù)據(jù)之間的關(guān)系建立審計索引，自動實現(xiàn)全方位對比判別。
在開發(fā)壽險公司內(nèi)部審計輔助系統(tǒng)時應(yīng)部署如下模塊：
（一）系統(tǒng)設(shè)置及管理模塊：
1.全局設(shè)置功能
2.模版定義功能：針對不同主題的審計，定義各種審計模版，包括審計流程、文檔格式等。
3.指標(biāo)定義功能：針對保險行業(yè)特點，定義一系列指標(biāo)。
4.查詢方案定義功能：可以定義一些標(biāo)準(zhǔn)的查詢功能，如超限額、賬齡分析、超額保單、大額理賠等。
（二）數(shù)據(jù)接口模塊：
1.數(shù)據(jù)標(biāo)準(zhǔn)化功能：針對不同的數(shù)據(jù)源定義源數(shù)據(jù)與審計數(shù)據(jù)的對應(yīng)關(guān)系，并形成接口模版。
2.數(shù)據(jù)抽取功能：按接口模版從源數(shù)據(jù)庫中抽取數(shù)據(jù)，存放到內(nèi)審系統(tǒng)的中間結(jié)構(gòu)中。
3.數(shù)據(jù)整理功能：按具體審計的要求，將存放在內(nèi)審系統(tǒng)中間結(jié)構(gòu)中的數(shù)據(jù)進(jìn)行整理，完成必要的歸并，并形成數(shù)據(jù)目錄。
（三）項目管理模塊：
項目管理模塊應(yīng)能實現(xiàn)審計方案定義、審計過程記錄、文檔管理等功能。
（四）審計處理模塊：
1.審計整理功能：對業(yè)務(wù)數(shù)據(jù)可進(jìn)行各類排序，使審計人員能夠?qū)崿F(xiàn)有目的的篩選。對財務(wù)自動產(chǎn)生報表等進(jìn)行計算復(fù)核。
2.審計分析功能：對財務(wù)自動產(chǎn)生總體財務(wù)指標(biāo)和變動趨勢，提供分析性測試數(shù)據(jù)。對業(yè)務(wù)應(yīng)該實現(xiàn)對分類數(shù)據(jù)的分析處理，如對理賠情況的總體分析等。
3.審計查證功能：對財務(wù)利用數(shù)據(jù)之間的關(guān)聯(lián)，完成一些橫向和縱向的查證操作，對業(yè)務(wù)可以逐環(huán)節(jié)追溯查詢，按照業(yè)務(wù)處理邏輯展開審計查證。
4.合并審計功能：參照財務(wù)處理的原理，對相關(guān)的匯總類報表審計自動生成。
（五）審計幫助模：
1.法律法規(guī)及公司制塊度查詢功能：審計人員可以在審計過程中隨時調(diào)閱國家法律法規(guī)和企業(yè)內(nèi)控制度。
2.問題幫助功能：提供常見審計問題的解決方法，并定位到具體步驟。
（六）內(nèi)部審計情況統(tǒng)計分析模塊：
1.內(nèi)部審計情況統(tǒng)計表處理功能：能夠完成諸如內(nèi)部審計工作情況統(tǒng)計表、被審單位違規(guī)違紀(jì)情況統(tǒng)計表、內(nèi)部審計組織建設(shè)情況統(tǒng)計表等標(biāo)準(zhǔn)審計報表的生成處理，也可以按具體情況定義并生成所需審計報表。
2.內(nèi)部審計情況分析功能：可以根據(jù)積累的審計數(shù)據(jù)，對存在的內(nèi)部控制問題，以及問題的解決情況進(jìn)行分析。
壽險公司自身特色的內(nèi)部審計系統(tǒng)，還應(yīng)能匯集大量的審計案例，分析其中的規(guī)律，強化已有的控制點，發(fā)現(xiàn)或部署新的控制點。一方面進(jìn)一步改進(jìn)生產(chǎn)系統(tǒng)的運行狀況；另一方面進(jìn)一步完善審計系統(tǒng)自身功能，使生產(chǎn)系統(tǒng)與內(nèi)部審計系統(tǒng)的應(yīng)用水平共同提高。