保险公司科技投入效能审计的探索与实践

[摘要]近年来，国内保险行业信息化建设投入不断加大，为及时掌握信息化建设的效能，保险公司的内部审计应探索实施科技投入效能审计，客观评价科技投入的经济性、效率性、效果性和合规性。本文以某保险集团公司开展科技投入效能审计项目的探索实践为例，分享审前准备和审计实施的经验，展示审计取得的成效，并提出提升科技投入效能审计项目质量的建议。

[关键词]科技投入" "效能审计" "内部审计" "保险公司" "信息化

近年来，随着信息技术的不断革新和数字经济的快速发展，人工智能、大数据等技术正在逐渐深入保险行业中的方方面面，保险行业各公司加大了信息化建设科技投入。为评估信息化建设成效，评价人财物等科技投入的经济性、效率性、效果性、合规性，查找信息科技投入效能管理的薄弱环节，促进科技投入效能提升和价值创造，某保险集团公司对下属几家主要子公司开展科技投入效能审计。

一、充分调查研究，深入做好审前准备

科技投入效能审计到目前为止没有一个通用的模式，经过充分的审前调研分析，审计人员圈定了审计重点和审计方法，并据此编制了审计方案。

（一）分析项目特点

以研究型审计为导向，审计人员从项目定位、项目特点、审计依据和审计对象等方面深入开展审前调研分析。

1.项目定位。从科技投入效能审计的名称来看，重点在于如何合理评价科技投入的效能。因为被审计单位也会定期对重点信息系统进行评估，尤其是投入产出的绩效评价，所以如何体现内部审计在科技投入效能评价中的作用，是审计项目组首先要解决的问题。从目标来看，科技投入效能审计是促进科技投入效能的提升，而不是代替科技项目绩效评价。从方式来看，内部审计是通过专业的审计方法揭示阻碍科技投入效能提升的主要因素，并非直接设计相关评价体系来量化反映科技投入产出数据。因此，审计人员需要找到一个适当的平衡点：既要指出信息系统投入效能的问题，又不能代替信息科技部门开展信息系统后评估和绩效评价工作，才能既为公司提供有价值的建议，又保持独立性和客观性。

2.项目特点。科技投入效能审计是传统的绩效审计和信息系统审计的结合，其中绩效审计是对经营活动的经济性、效率性和效果性的审查和评价：经济性是指通过合理利用资源和资金，实现绩效目标所需的成本和效益之间的关系；效率性是指组织在达成绩效目标时所花费的资源和时间是否得以最大化利用；效果性是指组织经营管理目标的实现程度。而信息系统审计是从组织层面控制、一般层面控制、应用层面控制和项目管理层面等进行审查。审计人员需将两者结合起来，不仅要检查科技投入工作的合规性，揭示风险和违规问题，还要对科技投入取得的效益进行评估。

3.审计依据。审计人员边研究边工作，既从法律法规中寻找审计重点，又从非现场分析后确定的风险领域中学习相关规章制度。一是借鉴信息系统审计方法，寻找合规方面的审计依据，包括监管机构规定、内部审计实务、公司信息化建设相关的制度等；二是从国内外、各行业、各地方的标准和论文中，研究学习如何评价科技投入与产出的方法；三是研究学习财务、税务方面的规章制度，从中梳理与科技投入相关的财务核算规定。

4.审计对象。审计项目涉及集团内多家子公司，主要业务是金融保险服务，因此科技投入也需要紧密结合保险业务的实际情况。各子公司业务模式和业务流程不同，不同类型的信息系统侧重点也不一样，如承保系统、理赔系统、销售管理系统、风险管理系统等都有着不同的系统建设目标和适配人群。审计人员发挥信息技术和审计业务的专业优势，对每个子公司经营管理逻辑进行深入了解，选择各子公司具有代表性的信息系统，重点评估其科技投入效能。

（二）明确审计重点

针对项目定位和特点，科技投入效能审计既需要关注信息科技战略、组织层面信息管理控制等整体情况，也要从战略项目、核心系统、重要基础设施等方面评估投入和应用效果，以及围绕信息科技项目的全过程管控开展审计。科技投入效能审计重点如图1所示。

1.战略规划整体评价。从科技投入的整体角度评价战略规划、组织建设、战略目标达成等。其中，战略规划方面，需要重点关注公司信息战略发展规划是否明确了战略目标、整体规划、实现指标和保障机制等，有无明确的各阶段目标及终极目标，是否与公司发展战略规划保持一致，是否有力支持业务战略规划的落实。战略项目立项和执行方面，需要重点关注公司战略项目中重点科技项目的立项和执行情况，查看立项依据是否充分、立项时是否制定可量化的目标，最终是否达成目标。

2.项目成本管控效能评价。从公司管理层角度出发，抽查重点信息系统项目的科技投入，在适当考虑质量的前提下，评价信息系统所用科技投入成本是否最小化，投入是否节约，评价科技投入的成本控制效果。审计人员首先了解子公司科技总体投入情况，分析基础设施、信息系统、科技人员投入，分析前台系统和后台系统投入，确定抽查投入占比大的信息系统项目。根据信息系统立项时的定位，重点关注项目研发、硬件投入、外购软件和数据等成本管控，评价其合理性。

（1）研发投入。主要包括软件产品开发所需的人力费用、售后维保费用、系统集成费用、数据接口费用、升级费用等，其中人力费用主要指为信息系统建设所投入的公司内部及外包人力。结合保险公司核心系统建设以自主研发为主，采购外包人力开发方式为辅的特点，主要检查外包人员管理制度是否健全，外包人力合同中的工作量计算标准是否合理，外包人员管理是否规范，工作量计算及研发费用结算是否准确等。还应关注研发费用资本化管理是否规范准确，无形资产摊销是否准确，无形资产报废账务处理是否及时等。

（2）硬件投入。硬件包括客户端和服务端硬件，主要投入包括客户端设备、应用服务器、数据服务器、磁盘存储等。关注供应商风险评估，如硬件设备的供应商信誉、市场竞争、技术更新等方面的风险分析，检查硬件设备的采购成本、运维成本、能耗成本等方面，以确定是否采用了最优的成本控制策略等。

（3）外购软件或数据投入。关注被审计单位外购的标准化软件及数据的使用效能，检查是否符合适用性原则，是否满足公司的数据需求，是否满足经济性原则，是否遵循软件或数据购买的最优性价比，是否存在重复外购软件或数据的情况。

3.项目应用效果评价。应用效果评价是从系统用户角度出发，以用户所感知到的系统质量、数据质量、服务质量，以及满意度来评价应用效能。审计中需要查看目标达成情况，包括抽查的系统项目是否提出明确可量化的目标，以及各项预期目标的实现程度，如立项时提供的功能点，项目支撑的保费规模、客户数等，项目投入成本，项目建设周期等。检查立项规划的功能在子公司内或子公司间是否存在交叉重复建设，核定造成的浪费。审计人员根据抽查的系统定位，通过选择相关指标，从用户使用情况、销售收入情况、工作效率提升及系统使用情况等方面衡量产出。项目应用效果评价相关指标如图2所示。

4.项目过程管控评价。从信息系统项目管理角度出发，评估信息系统建设的规划、立项、采购、实施开发、上线运维到下线的过程管控，识别项目过程管理的风险。重点核查项目采购行为及合同是否合法、真实等，以及项目在具体实施落地过程中是否存在执行偏差等。具体如表1所示。

二、创新审计方法，扎实推进审计实施

审计人员既要对信息科技有专业的理解和深入研究，还要掌握一系列行之有效的风险评估、控制测试、实质性测试的审计方法。在现场实施阶段，审计人员检查不同子公司的不同系统时，针对系统特点，灵活运用数据分析、问卷调查、穿行测试、文件审查等审计方法，全面、准确地评估科技投入效能。

（一）数据分析剖析投入全貌

审计人员通过对比分析各子公司之间、各系统之间、同一系统不同时期的科技投入，综合评估公司的资源配置情况；通过分析信息系统涉及的销售收入、同一系统不同功能的使用量、各类外部接口的开发周期和调用量等数据，合理评估信息系统的产出效能。分析投入和产出，剖析部分系统使用率低、成本浪费、资源重复利用等问题的原因。

（二）问卷调查收集用户意见

问卷调查是审计人员了解系统应用效果满意度的重要工具。针对保险公司下属A子公司常用的3种移动端营销工具，审计人员使用调查问卷方式了解用户体验。问卷中包括客观选择题和主观问答题，包括系统的稳定性、易用性、功能性是否满足业务需求等方面。通过问卷，审计人员可收集用户的意见和建议，了解系统的用户对功能的感受，有助于全面评估科技投入的效能。

（三）穿行测试发现系统漏洞

审计人员使用实地调研和穿行测试相结合的方法，体验用户感受，了解系统流程，收集系统数据和信息。在检查B子公司的某个销售系统时，审计人员分析了系统中相关产品的销售情况，购买一款风险较高的产品并申请退款，通过全流程测试，发现流程中存在退款周期长导致客户体验较差的问题，并督促被审计单位及时整改。

（四）文件审查揭露投标造假

文件审查是审计人员的基本能力，审计人员需要对投标资料、评标报告、合同、需求说明书、验收报告等信息项目资料仔细检查分析，涉及报价、采购评审、开发运维管理等多个环节，审计人员需要判断文件的真实性和准确性。例如，审计人员审查某外部厂商投标资料中提供的以往成功案例时，注意到案例中的印章模糊不清，通过在招投标信息公开网站中检索，发现该案例的中标厂商另有其人，从而揭露了该厂商伪造虚假资料投标的问题。

三、运用审计成果，体现审计创造价值

审计人员发现了不同子公司科技投入效能方面的突出性、典型性问题，为公司科技投入决策与管理提供有力支持。

（一）堵塞费用管控漏洞，优化成本管控制度

审计人员利用大数据技术，分析了外包人员近三年的出勤记录，对比合同中的工作量计算标准以及工时结算单，发现了个别项目组的部分人员结算工作量多于出勤天数、超合同标准结算工作量、工作量人工计算错误、未剔除外包人员年休假和调休假等情况，导致了超额支付外包人力费用的问题。审计人员在项目实施过程中及时指出相关问题，促进被审计单位边查边改，收回了超额支付的费用，为公司挽回了损失。同时，审计人员督促被审计单位完善外包人员管理制度，规范外包人员招聘、考勤，工作量统计，费用结算等环节管控，进一步加强成本管控，减少利益漏损。

（二）揭示低效投入风险，促进资源高效利用

审计人员从产出数据量化分析面向客户系统的功能达成情况和应用效果，发现部分移动端APP的产出效能较低，不能覆盖研发费用投入，以及个别信息系统投入较大但应用效果较差，近半数功能模块使用率非常低，大量新增注册用户姓名或手机号为空等问题。审计人员通过对比各系统之间的外购软件或数据的应用效果，发现两个信息系统为满足自动化图像识别的功能，在不同时期分别购买不同公司的OCR（光学字符识别）产品，而其中一个产品从未使用导致资源浪费的问题。审计人员推动被审计单位深刻剖析低效投入的原因，强化科技项目立项评估，针对审计发现的问题，逐条逐项落实整改，为提高后续项目资源利用率打好基础。

（三）找准项目管控短板，提升项目管理效能

审计人员通过在企业信息查询网站上查询与公司合作的外部厂商，发现部分信息系统被个别厂商抢先注册软件著作权的问题，违反了合同中关于信息系统知识产权归属的要求。审计人员持续跟进相关问题的整改，督促相关公司要求合作厂商注销软件著作权，强化了公司对信息科技项目的管控力度，保障公司利益。审计人员通过审计发现管理机制和流程的短板，并提出改进建议，推动公司提升信息科技管理精细化水平。

四、总结审计经验，提升审计项目质量

通过在开展科技投入效能审计项目中的探索，形成了保险公司科技投入效能审计的非现场分析、抽查项目选择、审计要点、审计方法、督促整改等实施方案体系，取得了良好的审计成效。通过该项目，本文对于如何提升科技类审计项目的质量，总结了以下经验。

（一）重视人才培养

科技领域的发展日新月异，开展科技类审计项目需要有信息技术专业的审计人员。审计部门应重视培养这类人才，使其不断提升专业技能，了解前沿科技趋势、新技术新方法、科技创新和应用案例，以及面临的风险和挑战，保持专业知识的广度和前沿性。同时，还要锻炼科技审计人才跨领域的综合能力，深入了解公司的战略规划、业务模式、运营流程和信息系统，全面理解和分析公司的信息科技建设环境，更好地理解和满足各方的审计需求。

（二）加强业审融合

审计人员应与公司内各相关部门建立合作与沟通机制，包括业务部门、信息科技部门、法律合规和风险管理等部门，注重加强业审融合，有助于确保审计活动的全面性和准确性。通过与科技部门合作，可以使审计人员深入理解公司的技术架构、系统功能和数据流程，识别技术隐患和风险。通过与一二道防线相关部门保持密切合作，审计人员可以获得更宽阔的审计视野。

（三）引入科技手段

科技审计项目通常涉及复杂的科技系统，为了提高审计质量，审计人员应积极引入科技手段，如大数据分析、人工智能和数据挖掘等技术工具，以更加全面地掌握审计对象的情况，有效识别风险和问题，并提供更准确的审计结论和意见。审计人员可以使用大数据技术快速处理大量日志数据、交易数据、用户数据等，可以使用人工智能技术分析文本数据、抽取关键信息、进行语义分析等，可以使用机器学习算法构建模型、训练模型并识别异常和规律，从而准确判断风险和问题。

主要参考文献

[1]何立春.我国财政科技投入绩效评价研究[D].大连：东北财经大学， 2014

[2]王颖，张珂，赵蔚等.基于Damp;M模型的IT系统效能评估审计评价模型[J].中国内部审计， 2021（1）：58-61

[3]吴泽慧.基于COBIT的大型企业IT绩效审计指标研究[D].南京：南京审计大学， 2021

[4]赵海东.研发费加计扣除税收政策实施问题探讨[J].中国乡镇企业会计， 2020（5）：31-32