保险机构IT审计规范.docx
《保险机构IT审计规范.docx》由会员分享,可在线阅读,更多相关《保险机构IT审计规范.docx(8页珍藏版)》请在冰豆网上搜索。
![保险机构IT审计规范.docx](https://file1.bdocx.com/fileroot1/2022-10/26/5829087f-81e4-4f28-9b0b-7ffd6df5e6e7/5829087f-81e4-4f28-9b0b-7ffd6df5e6e71.gif)
保险机构IT审计规范
保险机构IT审计规范
1范围
本标准依据《保险机构信息化风险非现场监管报表及评价体系》的评价内容和评价标准,规定了保险机构开展IT审计工作的具体实施细则,主要包括信息化治理审计、信息化风险管理审计、信息安全管理审计、信息系统开发与测试审计、信息化系统运行审计、灾难恢复管理审计、外包与采购审计、互联网保险审计等细则。
本标准适用于保险机构IT审计活动,其他机构模式相似的保险中介可参考执行。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅所注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T22239信息安全技术信息系统安全等级保护基本要求
保险公司内部审计指引(试行)(保监发〔2007〕26号)
保险业信息系统灾难恢复管理指引(保监发〔2008〕20号)
保险公司信息化工作管理指引(试行)(保监发〔2009〕133号)
保险公司信息系统安全管理指引(试行)(保监发〔2011〕68号)
互联网保险业务监管暂行办法(保监发〔2015〕69号)
保险机构信息化监管规定(送审稿)
保险机构信息化风险非现场监管报表及评价体系(意见修订稿)
3术语和定义
3.1 IT审计ITaudit
保险机构和经营机构根据国家及行业信息系统相关规范和标准,对信息系统规划、建设、运维和应急等活动进行自我检查和评价,判断系统运行的安全性、系统建设的合规性和系统应用绩效,提出整改建议,并持续跟踪落实整改情况。
3.2 审计项audititem
信息系统规划、建设、运维和应急等活动的关键控制点,来自于国家及行业相关技术规范和标准要求,用于判断系统运行的安全性、系统建设的合规性和系统应用绩效。
3.3 专业能力professionalcompetence
个人从事IT审计所必备的学识、技术和能力,由学历认定、资格考试、职业技能鉴定等方式进行评价。
3.4 第三方审计机构thirdpartyauditinstitutions
熟悉保险机构信息安全法规、规范、标准和指引,具有国家、行业认可的相关资质和必要能力,并在审计过程中能够客观、公正、独立地从事审计活动的机构。
4 审计原则
4.1 独立性
保险机构应在内部审计部门设立专门的IT审计岗位,配备足够的资源和具有专业能力的IT审计专业人员,对本机构信息化工作进行全面独立性审计。
IT审计部门的工作不受其他部门的干预或者影响。
4.2 全面性
保险机构IT审计的范围应包括所属保险机构及其直接或间接控制的境内、外保险分公司和非保险子公司。
保险机构IT审计的内容应包括保险机构用于提高运营效率、优化内部资源配置和提升防范风险水平的所有现代IT及其管理工作。
4.3 职业操守
IT审计专业人员在计划、实施及报告的审计全过程中,均应秉持职业谨慎态度,并遵循诚信、客观、保密及胜任的行为准则。
5 审计内容
保险机构IT审计的主要内容如下:
• 信息化治理审计:
信息化治理架构、IT发展环境、信息化风险管理、信息化能力及培训,信息化治理审计的具体内容详见附录A;
• 信息化风险管理审计:
信息化风险管理制度、风险识别与控制、风险内控,信息化风险审计的具体内容详见附录B;
• 信息安全管理审计:
信息安全管理体系、信息安全教育、业务持续性计划、安全认证、等级保护等,信息安全管理审计的具体内容详见附录C;
• 信息系统开发与测试审计:
信息系统项目管理、信息系统开发管理、信息系统测试管理、信息系统验收和发布管理,信息系统开发与测试审计的具体内容详见附录D;
• 信息化系统运行审计:
系统管理、配置与变更管理、事件管理、基础设计运行管理、可用性管理、运行维护管理平台,信息化系统运行审计的具体内容详见附录E;
• 灾难恢复管理审计:
需求分析和策略定制、灾难恢复建设模式选择与备案、灾备中心运维、灾难恢复预案建立与演练、应急响应和灾难恢复,灾难恢复管理审计的具体内容详见附录F;
• 外包与采购审计:
IT自主可控能力、外包与采购服务、外包软件开发,外包与采购审计的具体内容详见附录G;
• 互联网保险审计:
技术资质条件、网站技术安全保障、内容安全和风险提示,互联网保险审计的具体内容详见附录H;
• 审计证据汇总清单:
审计证据汇总清单为保险机构对各审计内容进行IT审计时所需获取的文档资料汇总列表,对应附录A-H中的“审计证据”栏的内容,审计证据汇总清单的具体内容详见附录I。
审计内容应根据国家和行业信息安全法规、规范、标准和指引,每年适时更新,保持与现行规定的一致性。
保险机构和经营机构应以最新的审计项汇总为基础,开展IT审计工作。
6 审计机构
6.1审计机构配置要求
保险机构设定审计责任部门负责IT审计工作,配置相应的资源以满足IT审计工作需求,包括但不限于:
• 合理配备具有专业能力的审计专业人员;
• 应确保审计专业人员的独立性或客观公正性不受外在因素影响;
• 可聘请具有专业能力的外部专家协助开展IT审计工作;
• 聘请第三方审计机构协助开展信息系统审计工作,第三方机构的审计专业人员必须是正式员工。
• 信息化相关部门应配合审计责任部门开展IT审计工作。
6.2审计责任部门
审计责任部门应承担以下职责:
• 拟定保险机构内部审计制度规范;
• 编制年度内部审计计划、内部审计预算和人力资源计划;
• 实施年度内部审计计划,跟踪整改情况,开展后续审计;
• 应承担对企业信息系统及其控制的设计和执行有效性进行评估的责任;
• 向管理层提出提高经营效率和效果的改进意见和建议;
• 当定期对审计专业人员的知识、技能进行评估,确保审计专业人员的专业知识和技能足以完成审计工作;
• 应确保能够履行职责并直接与管理层及董事会进行沟通及汇报;
• 每年至少一次确认审计责任部门在组织中的独立性,若审计责任部门范围受到限制影响审计目标和计划的实现,应就范围受到的限制及其潜在影响与管理层及董事会沟通;
• 保险机构确定的其他内部审计职责。
6.3审计专业人员
审计专业人员在IT审计工作中应承担以下职责:
• 参加或者列席保险机构IT管理的重要会议;
• 有权进行现场实物勘查,或者就与审计事项有关的问题对有关机构和个人进行调查、质询和取证;
• 对IT审计发现的违反法律、法规、监管规定或者内部管理制度的行为予以制止,对相关机构和人员提出责任追究或者处罚建议;
• 向董事会或者管理层提出改进管理、提高效益的意见或建议;
• 应定期接受保险IT专业能力考核;
• 应能独立、客观、公正地完成保险IT审计工作,具备保险专业胜任能力和应有的职业谨慎。
6.4外包服务
审计责任部门对IT审计工作购买外部服务时,应考虑以下要求:
• 外部服务提供者的建议和协助,应能对审计工作环节予以支持或补充;
• 外部服务提供者应具备足够的客观性、独立性、公正性和专业胜任能力;
• 就审计工作范围与外部服务提供者达成一致;
• 应对外部服务提供者工作成果进行评价和评估使用。
7 审计过程
7.1计划
7.1.1政策及程序
审计责任部门应以企业战略目标出发,考虑自身性质及其面临的内外部环境,评估部门的规模、结构及工作复杂度等因素,制定IT审计政策及程序,为审计工作有效开展提供指导。
7.1.2审计工作计划
审计责任部门应通过风险评估,风险管理及风险承受能力等因素,制定审计工作计划。
审计工作计划内容应包括审计目标、审计范围、审计程序、时间安排以及资源分配等。
IT审计可作为一项独立的审计工作,也可作为综合性审计工作的组成部分。
当IT审计作为综合性审计工作的组成部分时,审计责任部门还应考虑综合性审计工作的性质和目标要求。
在执行审计计划时,应当考虑下列因素:
• IT和系统的关键业务流程及相关的企业目标;
• 信息化管理组织架构;
• 信息系统框架;
• 信息系统的长期和短期发展计划;
• 信息系统及其支持的业务流程的变更情况;
• 信息系统的复杂程度;
• 上一年度信息系统内、外部审计所发现的问题及后续审计情况;
• 其他影响信息系统审计的因素。
审计责任部门应当在审计工作计划制定过程中考虑管理层及董事会的意见和建议,及时将审计计划、工作安排、人力资源配置以及预算等方面的情况,报管理层或董事会审批。
7.1.3审计资源
审计责任部门应当综合考虑审计性质、风险水平、工作复杂程度、时间限制等情况,保证审计资源充分并得到合理有效配置(审计专业人员、外部服务提供者、预算、审计技术等)。
7.2实施
7.2.1审计方法
审计专业人员应合理运用询问、观察、审阅、运行测试、重新计算等审计方法,利用计算机辅助审计工具和技术,以系统、规范的审计方法开展审计工作,实施审计程序。
7.2.2审计性质
在执行审计工作时,审计专业人员应将重要性的概念运用到流程、控制及缺陷的影响评估中。
在确定审计程序的性质、时间安排和范围时,审计专业人员应当考虑审计项目的重要性及其与审计风险之间的关系,对于重要性较高的领域,审计专业人员应当通过扩大控制测试的范围和/或扩大实质性测试程序的范围等措施来获得额外保证。
7.2.3审计结论
审计专业人员应当根据制定的审计计划以及运用的审计方法,获取充分、适当的审计证据,运用专业判断,选择客观、完整、可理解及适当的衡量标准,对审计证据的可靠性和真实性进行分析,评估控制设计及执行的有效性,并得出真实、可靠的审计结论。
同时,审计专业人员应当详细记录支持审计结论的相关信息,编制审计工作总结。
7.2.4改进建议
审计专业人员应依据企业战略目标评估企业的IT治理和管理,评估风险管理控制设计和执行的有效性,并在此基础上提出改进建议,促进控制持续改进,从而协助企业实现企业目标。
7.2.5督导
审计责任部门应承担审计工作的督导责任,负责审计工作的实施,收集、分析和记录信息的过程均应得到充分、适当的督导,保证审计质量,最大限度降低由于审计判断不恰当或未及时沟通造成的负面影响,确保审计目标的实现。
审计督导贯穿审计工作的始终,包括:
• 确保负责审计工作执行的审计专业人员具备完成审计工作所必须的专业知识、技能和其他能力;
• 在审计工作计划阶段给予适当指导并批准审计计划;
• 确保批准的审计计划按计划实施;
• 确保业务目标的达成;
• 为审计专业人员提高知识、技能和其他能力提供机会。
7.3报告
7.3.1报告内容
审计报告内容应当包括:
• 审计目标:
开展审计工作的原因,及通过审计工作期望实现的目标;
• 审计范围:
包括被审计对象、审计工作覆盖的时间段以及未纳入审计范围的活动等信息描述,如存在已开展的审计工作,也应对其性质和范围进行说明;
• 审计方法:
指为获取充分、适当的审计证据,合理保证审计结果的真实性、准确性而采取的审计技术及其他科学方法;
• 审计结果:
包括发现、结论两部分。
发现是对审计事实的陈述,结论则是审计专业人员对于发现与预期情况不一致的情况可能对组织经营或财务报表产生的影响或风险事项的描述;
• 改进建议:
审计专业人员根据审计结果,结合企业实现企业目标的需要,提出的消除风险事项或将其降至可接受的低水平的建议。
根据审计结果的性质不同,改进建议也相应有所差别。
7.3.2报告沟通
审计专业人员应当就审计结果和改进建议与相关责任部门进行讨论并达成一致意见,若审计专业人员与相关责任部门存在意见分歧,审计专业人员也应当在审计报告中说明分歧的具体情况和原因。
7.3.3汇报
审计报告应及