資源描述:
《信息系統(tǒng)審計(jì)》由會(huì)員上傳分享,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫(kù)。
1����、信息系統(tǒng)審計(jì)審計(jì)信息安全管理信息化進(jìn)程中存在操作軌跡不可見(jiàn)、操作流程缺失�、數(shù)據(jù)非法修改、生產(chǎn)系統(tǒng)故障�����、信息系統(tǒng)人為欺詐等各類風(fēng)險(xiǎn)�����。隨著數(shù)據(jù)大集中的推進(jìn)���,信息系統(tǒng)的安全����、可靠、穩(wěn)定�、有效、可信顯得更加重要����。而這些風(fēng)險(xiǎn)特別是人為因素造成的風(fēng)險(xiǎn)存在于信息技術(shù)流程管理、技術(shù)安全管理���、項(xiàng)目管理和生產(chǎn)系統(tǒng)運(yùn)行管理過(guò)程中���,因此,迫切需要對(duì)正在使用或即將投產(chǎn)的信息系統(tǒng)的安全性����、真實(shí)性、完整性���、有效性進(jìn)行鑒證�����,通過(guò)對(duì)信息系統(tǒng)的審計(jì)�����,保證信息系統(tǒng)的可信度����,以促進(jìn)保險(xiǎn)公司內(nèi)控體系的建設(shè),并對(duì)信息化建設(shè)提供必要的安全控制咨詢����?����! ∫?��、信息系統(tǒng)審計(jì)的內(nèi)容 ?。保芾砹鞒虒徲?jì) 信息技術(shù)管理流程審計(jì)主要評(píng)估與公司發(fā)
2����、展戰(zhàn)略目標(biāo)相一致的信息技術(shù)規(guī)劃,評(píng)估信息技術(shù)工作條例或工作程序����,評(píng)估信息技術(shù)部門(mén)的工作職責(zé)與工作分工,評(píng)估信息系統(tǒng)取得開(kāi)發(fā)、購(gòu)置�����、引進(jìn)的制度和流程�����,評(píng)估生產(chǎn)系統(tǒng)的運(yùn)行維護(hù)的制度和流程���,評(píng)估項(xiàng)目管理����、項(xiàng)目監(jiān)理的制度和流程�����,評(píng)估信息系統(tǒng)的安全管理制度�,評(píng)估開(kāi)發(fā)、測(cè)試�����、生產(chǎn)系統(tǒng)分崗制衡管理制度等�����。 ?�。玻夹g(shù)平臺(tái)審計(jì) 信息技術(shù)平臺(tái)審計(jì)主要評(píng)估信息技術(shù)基礎(chǔ)平臺(tái)的運(yùn)行與安全管理�����,包括網(wǎng)絡(luò)運(yùn)行與安全管理如路由器���、網(wǎng)絡(luò)設(shè)備、防火墻�����、通信線路等�����、硬件運(yùn)行與安全管理如小型機(jī)���、服務(wù)器���、前置機(jī)、打印機(jī)、掃描儀����、存儲(chǔ)設(shè)備、PC��、終端等��、操作系統(tǒng)及數(shù)據(jù)庫(kù)等運(yùn)行平臺(tái)的運(yùn)行與安全管理如Unix�、Windo
3、ws����、數(shù)據(jù)庫(kù)、中間件�、應(yīng)用開(kāi)發(fā)工具、應(yīng)用發(fā)布工具��、版本管理工具���、項(xiàng)目管理工具���、防/殺毒工具等?����! 。常畔⑾到y(tǒng)項(xiàng)目審計(jì) 信息系統(tǒng)項(xiàng)目審計(jì)主要評(píng)估信息系統(tǒng)項(xiàng)目管理與項(xiàng)目監(jiān)理的有效性����。 項(xiàng)目管理審計(jì)主要評(píng)估項(xiàng)目啟動(dòng)���、立項(xiàng)�����、需求分析�����、系統(tǒng)設(shè)計(jì)、開(kāi)發(fā)�����、測(cè)試��、試點(diǎn)�、驗(yàn)收�、推廣過(guò)程的有效性�����,評(píng)價(jià)系統(tǒng)開(kāi)發(fā)生命周期中的每一個(gè)程序是否均被嚴(yán)格執(zhí)行����,評(píng)價(jià)系統(tǒng)遷移的方案與效果,評(píng)價(jià)各類項(xiàng)目文檔是否齊全�。其目的是控制項(xiàng)目進(jìn)展過(guò)程中的風(fēng)險(xiǎn)?��! №?xiàng)目監(jiān)理審計(jì)主要評(píng)估項(xiàng)目監(jiān)理在信息系統(tǒng)建設(shè)過(guò)程中發(fā)揮的作用���,評(píng)估項(xiàng)目監(jiān)理是否有效保證了信息系統(tǒng)建設(shè)的質(zhì)量、進(jìn)度和成本符合項(xiàng)目立項(xiàng)時(shí)的要求�����。評(píng)估項(xiàng)目管理與項(xiàng)目監(jiān)理間的責(zé)職是
4�����、否清晰��,分工是否明確?! 。矗a(chǎn)系統(tǒng)審計(jì) 信息系統(tǒng)的上線與投產(chǎn)�����,僅僅是信息化的開(kāi)始����,大量的風(fēng)險(xiǎn)與問(wèn)題將出現(xiàn)在信息系統(tǒng)的生產(chǎn)運(yùn)行與維護(hù)階段。保險(xiǎn)公司內(nèi)部一般均建立了核心業(yè)務(wù)系統(tǒng)����、人員營(yíng)銷員等管理系統(tǒng)、財(cái)務(wù)系統(tǒng)���、精算系統(tǒng)�、再保系統(tǒng)等生產(chǎn)系統(tǒng)���,公司的生產(chǎn)經(jīng)營(yíng)活動(dòng)大多要通過(guò)生產(chǎn)系統(tǒng)進(jìn)行,生產(chǎn)系統(tǒng)審計(jì)便顯得更為重要���?�! ∩a(chǎn)系統(tǒng)的審計(jì)首先是信息系統(tǒng)與業(yè)務(wù)流程吻合審計(jì)�,主要評(píng)估實(shí)際業(yè)務(wù)操作流程與信息系統(tǒng)操作流程的吻合情況,評(píng)估信息系統(tǒng)對(duì)需求的滿足度及信息系統(tǒng)操作流程與業(yè)務(wù)操作流程的吻合度�����。以退保操作流程為例���,退保的典型處理方式是在信息系統(tǒng)中產(chǎn)生應(yīng)付信息����,而財(cái)務(wù)支付退?��?詈蟛辉僭谙到y(tǒng)中確認(rèn)已付款����,
5�����、這就導(dǎo)致系統(tǒng)信息與實(shí)際情況不一致��,致使流程與數(shù)據(jù)均不完整�����,流程被短路、數(shù)據(jù)被割裂����,最終導(dǎo)致數(shù)據(jù)可用性差,并留下安全隱患��。其次是評(píng)估與信息系統(tǒng)相關(guān)的風(fēng)險(xiǎn)�����。評(píng)估數(shù)據(jù)訪問(wèn)授權(quán)����、系統(tǒng)功能授權(quán)、業(yè)務(wù)操作授權(quán)�����、業(yè)務(wù)審批決定授權(quán)是否有效�����,是否擁有防止非法進(jìn)行數(shù)據(jù)修改的措施����。評(píng)估或測(cè)試信息系統(tǒng)中的關(guān)鍵控制點(diǎn)是否得到有效控制,如核賠中結(jié)案環(huán)節(jié)控制����,需評(píng)估結(jié)案前的賠案信息狀況,如資料是否完整��,計(jì)算是否正確��,會(huì)簽��、審批是否完成����。同時(shí)需評(píng)估結(jié)案后的流程執(zhí)行是否完整,如數(shù)據(jù)流是否與業(yè)務(wù)單證流一致�����。也可評(píng)估結(jié)案后對(duì)保單承保如結(jié)案后要求限制承保����、保全如結(jié)案后要求扣還保單質(zhì)押借款、生存給付如結(jié)案后要求中止生存
6、給付或確保再給付幾年等的影響�,測(cè)試該關(guān)鍵點(diǎn)對(duì)保單生命周期各環(huán)節(jié)的影響是否合理與正確。二���、信息系統(tǒng)審計(jì)流程 信息系統(tǒng)審計(jì)的工作流程主要包括確定審計(jì)范圍���、做好審計(jì)準(zhǔn)備、進(jìn)行審計(jì)評(píng)估�、出具審計(jì)報(bào)告、提供管理咨詢等過(guò)程���?��! 】筛鶕?jù)審計(jì)目標(biāo),確定審計(jì)范圍���。例如�����,是進(jìn)行全面審計(jì)還是專項(xiàng)審計(jì)��;是進(jìn)行全公司審計(jì)還是部分分公司審計(jì)��。在此基礎(chǔ)上制定審計(jì)預(yù)案��,審計(jì)預(yù)案中要確定審計(jì)依據(jù)�����、人員分工�����、審計(jì)工作程序��、方法技巧��、審計(jì)工作文檔模板與案例���、審計(jì)時(shí)間表,并注明需重點(diǎn)關(guān)注的地方�,也可以將審計(jì)預(yù)案制作成審計(jì)工作手冊(cè),讓每一個(gè)審計(jì)人員得到同樣的信息�。 進(jìn)行審計(jì)評(píng)估時(shí)�,應(yīng)對(duì)照審計(jì)依據(jù),了解被審計(jì)單位的信息技術(shù)管理流
7�、程、技術(shù)基礎(chǔ)平臺(tái)、生產(chǎn)系統(tǒng)運(yùn)行環(huán)境與管理制度����,通過(guò)關(guān)鍵點(diǎn)測(cè)試等方式做出公正、合理的評(píng)估�����。完成后還需出具詳細(xì)的審計(jì)報(bào)告�����,對(duì)被審計(jì)信息系統(tǒng)或?qū)m?xiàng)被審計(jì)對(duì)象進(jìn)行鑒證���,并提出必要的管理建議書(shū)����,也可主動(dòng)為被審計(jì)單位提供管理咨詢���,促進(jìn)或幫助被審計(jì)單位提高信息系統(tǒng)管理水平����。對(duì)于公司內(nèi)部審計(jì)���,還有一個(gè)通過(guò)提供管理咨詢幫助其提高管理水平的過(guò)程�����,如總公司對(duì)分公司的審計(jì)�,或公司內(nèi)部對(duì)信息系統(tǒng)的審計(jì),更多的責(zé)任或義務(wù)是通過(guò)內(nèi)部審計(jì)發(fā)
