财险公司核心业务系统内部控制审计重点和方法浅析

摘要：财产保险公司业务开展主要依赖于核心业务系统，实施针对核心业务系统内部控制专项审计可以查找内部控制缺陷、推动信息系统内部控制体系建设、提升保险公司信息化管理水平，还能够堵塞管理漏洞、规避损失，增加公司价值。

关键词：财险公司；核心业务系统；内部控制；审计

中图分类号：F239.45 文献识别码：A 文章编号：1001-828X（2016）019-000-01

一、开展财险公司核心业务系统内部控制审计的重要意义

（一）核心业务系统内部控制审计的重要性

财产保险公司客户数量多、分布地域广、业务数据大，必须依赖信息系统来提高运营效率、保障服务质量。因此，财险公司对业务的内部控制的理念、方法和关键控制点需要植入核心业务系统。核心业务系统的内部控制是财险公司内部控制的关键环节，其控制效果直接影响业务运行的稳定性、系统风险的高低。

（二）外部政策环境

保监会《保险公司信息化工作管理指引（试行）》（保监发〔2009〕133号）中规定，“各公司应建立信息化工作的风险评估机制和信息系统审计制度，由独立于信息技术部门的有关部门负责审计工作，至少每两年进行一次审计。审计结果应在审计完成后三个月内报保监会备案。”

中国内部审计协会也于2013年颁布了《中国内部审计准则第2203号内部审计具体准则-信息系统审计》，对信息系统审计开展的一般原则、审计内容和审计方法做出了明确的规范，确保提高审计质量和效率。

二、核心业务系统内部控制审计特点、思路和方法

通常，内部控制审计围绕COSO五要素开展，即控制环境、风险评估、控制活动、信息与沟通、内部监督。要想实现核心业务系统内部控制专项审计目标，需要基于业务流程，把常规内部控制审计方法和信息系统审计方法结合起来。

财险公司的核心业务系统内部控制可分为下述三类：核心业务系统公司治理层面的内部控制、核心业务系统一般性控制、核心业务系统应用控制。开展审计时，可分别重点关注以下内容：

（一）核心业务系统公司治理层面的内部控制

重点关注：核心业务系统战略规划与财险公司业务目标的符合性、核心业务系统内部控制环境、核心业务系统组织管理的有效性和职责分工合理性。

常见问题：1.核心业务系统战略规划动态管理不到位。业务发展目标随着市场环境、市场竞争力的变化而变化后，核心业务系统战略规划没有做出相应的修订。2.核心业务系统内部控制环境薄弱。管理人员和员工的内部控制意识薄弱，组织的内部控制职责划分不清。

（二）核心业务系统一般性控制

重点关注：系统开发与实施管理、程序变更管理、系统与数据访问安全，以及核心业务系统日常运行管理。

常见问题：1.系统开发与实施管理不到位。存在业务需求与系统实现功能不匹配，未实现预期管理目标，系统上线前测试不充分，系统初始配置错误等情况。2.程序变更管理不到位。存在未经授权、用户测试不充分导致系统错误，从而产生业务数据错误的情况。3.系统与数据访问安全管理不到位。存在未经授权的物理和逻辑访问，导致发生数据丢失、数据被错误修改或破坏的情况。

（三）核心业务系统应用控制

重点关注：输入控制、验证控制、权限控制、处理控制和输出控制。

常见问题：1.系统内部控制关键环节的职责分离执行不到位。存在数据输入、数据处理和数据输出环节未有效执行不相容职责分离的情况，如：理赔业务流程中核保岗位兼任核损、核价、核赔岗位。2.系统权限配置管理不到位。存在系统权限配置调整不及时，权限配置不适当的情况，如：权限分配与岗位职责不匹配、已离职员工权限未及时关闭、员工岗位变动权限未及时调整。在开展核心业务系统的一般性控制和应用控制的审计过程中，审计人员需要结合关键的控制活动来实施。

三、项目成功经验分享

（一）信息系统审计方法与内部控制审计方法结合

财险公司核心业务系统是业务开展的基石，针对其进行专项内部控制审计，只有同时灵活应用常规内部控制审计方法和信息系统审计方法，才能既可以找到业务流程中的控制缺陷，又能够查找核心业务系统本身的缺陷。

（二）熟悉关键业务流程，把握关键控制点

财险公司核心业务系统内部控制审计的效果好坏，重点在于审计人员对财险公司业务的了解程度。是否熟悉关键业务流程，是否能准确定位流程中的关键控制节点，是审计项目成败的关键。

（三）表格化的审计成果展示方式

审计人员可基于业务流程，对关键控制节点绘制内部控制缺陷表，能够达到直观、简明、清晰、易懂的效果，提高审计工作效率。

说明：缺陷类型：包括设计缺陷和运行缺陷。

缺陷影响程度：包括重大缺陷、重要缺陷和一般缺陷。

参考文献：

[1]《中国内部审计准则第2201号内部审计具体准则—内部控制审计》（中国内部审计协会[2013]）.

[2]《中国内部审计准则第2203号内部审计具体准则—信息系统审计》（中国内部审计协会[2013]）.

[3]《关于印发<保险公司内部控制基本准则>的通知》（保监发〔2010〕69号）.

[4]《保险公司信息化工作管理指引（试行）》（保监发〔2009〕133号）.

[5]《保险公司内部审计指引（试行）》（保监发[2007]26号）.

作者简介：闫治国，吉林人。国际注册信息系统审计师（CISA）和国际注册内部审计师（CIA）等相关执业资格证书。现供职于国网英大国际控股集团有限公司审计部，具有10年以上审计相关工作经验，多次担任大型审计项目主审、在信息系统审计、金融业务审计、内部控制审计、财务审计、税务审计等领域拥有丰富的实践经验。