摘要：財(cái)產(chǎn)保險(xiǎn)公司業(yè)務(wù)開(kāi)展主要依賴于核心業(yè)務(wù)系統(tǒng)，實(shí)施針對(duì)核心業(yè)務(wù)系統(tǒng)內(nèi)部控制專項(xiàng)審計(jì)可以查找內(nèi)部控制缺陷、推動(dòng)信息系統(tǒng)內(nèi)部控制體系建設(shè)、提升保險(xiǎn)公司信息化管理水平，還能夠堵塞管理漏洞、規(guī)避損失，增加公司價(jià)值。

關(guān)鍵詞：財(cái)險(xiǎn)公司；核心業(yè)務(wù)系統(tǒng)；內(nèi)部控制；審計(jì)

中圖分類號(hào)：F239.45 文獻(xiàn)識(shí)別碼：A 文章編號(hào)：1001-828X（2016）019-000-01

一、開(kāi)展財(cái)險(xiǎn)公司核心業(yè)務(wù)系統(tǒng)內(nèi)部控制審計(jì)的重要意義

（一）核心業(yè)務(wù)系統(tǒng)內(nèi)部控制審計(jì)的重要性

財(cái)產(chǎn)保險(xiǎn)公司客戶數(shù)量多、分布地域廣、業(yè)務(wù)數(shù)據(jù)大，必須依賴信息系統(tǒng)來(lái)提高運(yùn)營(yíng)效率、保障服務(wù)質(zhì)量。因此，財(cái)險(xiǎn)公司對(duì)業(yè)務(wù)的內(nèi)部控制的理念、方法和關(guān)鍵控制點(diǎn)需要植入核心業(yè)務(wù)系統(tǒng)。核心業(yè)務(wù)系統(tǒng)的內(nèi)部控制是財(cái)險(xiǎn)公司內(nèi)部控制的關(guān)鍵環(huán)節(jié)，其控制效果直接影響業(yè)務(wù)運(yùn)行的穩(wěn)定性、系統(tǒng)風(fēng)險(xiǎn)的高低。

（二）外部政策環(huán)境

保監(jiān)會(huì)《保險(xiǎn)公司信息化工作管理指引（試行）》（保監(jiān)發(fā)〔2009〕133號(hào)）中規(guī)定，“各公司應(yīng)建立信息化工作的風(fēng)險(xiǎn)評(píng)估機(jī)制和信息系統(tǒng)審計(jì)制度，由獨(dú)立于信息技術(shù)部門的有關(guān)部門負(fù)責(zé)審計(jì)工作，至少每?jī)赡赀M(jìn)行一次審計(jì)。審計(jì)結(jié)果應(yīng)在審計(jì)完成后三個(gè)月內(nèi)報(bào)保監(jiān)會(huì)備案。”

中國(guó)內(nèi)部審計(jì)協(xié)會(huì)也于2013年頒布了《中國(guó)內(nèi)部審計(jì)準(zhǔn)則第2203號(hào)內(nèi)部審計(jì)具體準(zhǔn)則-信息系統(tǒng)審計(jì)》，對(duì)信息系統(tǒng)審計(jì)開(kāi)展的一般原則、審計(jì)內(nèi)容和審計(jì)方法做出了明確的規(guī)范，確保提高審計(jì)質(zhì)量和效率。

二、核心業(yè)務(wù)系統(tǒng)內(nèi)部控制審計(jì)特點(diǎn)、思路和方法

通常，內(nèi)部控制審計(jì)圍繞COSO五要素開(kāi)展，即控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息與溝通、內(nèi)部監(jiān)督。要想實(shí)現(xiàn)核心業(yè)務(wù)系統(tǒng)內(nèi)部控制專項(xiàng)審計(jì)目標(biāo)，需要基于業(yè)務(wù)流程，把常規(guī)內(nèi)部控制審計(jì)方法和信息系統(tǒng)審計(jì)方法結(jié)合起來(lái)。

財(cái)險(xiǎn)公司的核心業(yè)務(wù)系統(tǒng)內(nèi)部控制可分為下述三類：核心業(yè)務(wù)系統(tǒng)公司治理層面的內(nèi)部控制、核心業(yè)務(wù)系統(tǒng)一般性控制、核心業(yè)務(wù)系統(tǒng)應(yīng)用控制。開(kāi)展審計(jì)時(shí)，可分別重點(diǎn)關(guān)注以下內(nèi)容：

（一）核心業(yè)務(wù)系統(tǒng)公司治理層面的內(nèi)部控制

重點(diǎn)關(guān)注：核心業(yè)務(wù)系統(tǒng)戰(zhàn)略規(guī)劃與財(cái)險(xiǎn)公司業(yè)務(wù)目標(biāo)的符合性、核心業(yè)務(wù)系統(tǒng)內(nèi)部控制環(huán)境、核心業(yè)務(wù)系統(tǒng)組織管理的有效性和職責(zé)分工合理性。

常見(jiàn)問(wèn)題：1.核心業(yè)務(wù)系統(tǒng)戰(zhàn)略規(guī)劃動(dòng)態(tài)管理不到位。業(yè)務(wù)發(fā)展目標(biāo)隨著市場(chǎng)環(huán)境、市場(chǎng)競(jìng)爭(zhēng)力的變化而變化后，核心業(yè)務(wù)系統(tǒng)戰(zhàn)略規(guī)劃沒(méi)有做出相應(yīng)的修訂。2.核心業(yè)務(wù)系統(tǒng)內(nèi)部控制環(huán)境薄弱。管理人員和員工的內(nèi)部控制意識(shí)薄弱，組織的內(nèi)部控制職責(zé)劃分不清。

（二）核心業(yè)務(wù)系統(tǒng)一般性控制

重點(diǎn)關(guān)注：系統(tǒng)開(kāi)發(fā)與實(shí)施管理、程序變更管理、系統(tǒng)與數(shù)據(jù)訪問(wèn)安全，以及核心業(yè)務(wù)系統(tǒng)日常運(yùn)行管理。

常見(jiàn)問(wèn)題：1.系統(tǒng)開(kāi)發(fā)與實(shí)施管理不到位。存在業(yè)務(wù)需求與系統(tǒng)實(shí)現(xiàn)功能不匹配，未實(shí)現(xiàn)預(yù)期管理目標(biāo)，系統(tǒng)上線前測(cè)試不充分，系統(tǒng)初始配置錯(cuò)誤等情況。2.程序變更管理不到位。存在未經(jīng)授權(quán)、用戶測(cè)試不充分導(dǎo)致系統(tǒng)錯(cuò)誤，從而產(chǎn)生業(yè)務(wù)數(shù)據(jù)錯(cuò)誤的情況。3.系統(tǒng)與數(shù)據(jù)訪問(wèn)安全管理不到位。存在未經(jīng)授權(quán)的物理和邏輯訪問(wèn)，導(dǎo)致發(fā)生數(shù)據(jù)丟失、數(shù)據(jù)被錯(cuò)誤修改或破壞的情況。

（三）核心業(yè)務(wù)系統(tǒng)應(yīng)用控制

重點(diǎn)關(guān)注：輸入控制、驗(yàn)證控制、權(quán)限控制、處理控制和輸出控制。

常見(jiàn)問(wèn)題：1.系統(tǒng)內(nèi)部控制關(guān)鍵環(huán)節(jié)的職責(zé)分離執(zhí)行不到位。存在數(shù)據(jù)輸入、數(shù)據(jù)處理和數(shù)據(jù)輸出環(huán)節(jié)未有效執(zhí)行不相容職責(zé)分離的情況，如：理賠業(yè)務(wù)流程中核保崗位兼任核損、核價(jià)、核賠崗位。2.系統(tǒng)權(quán)限配置管理不到位。存在系統(tǒng)權(quán)限配置調(diào)整不及時(shí)，權(quán)限配置不適當(dāng)?shù)那闆r，如：權(quán)限分配與崗位職責(zé)不匹配、已離職員工權(quán)限未及時(shí)關(guān)閉、員工崗位變動(dòng)權(quán)限未及時(shí)調(diào)整。在開(kāi)展核心業(yè)務(wù)系統(tǒng)的一般性控制和應(yīng)用控制的審計(jì)過(guò)程中，審計(jì)人員需要結(jié)合關(guān)鍵的控制活動(dòng)來(lái)實(shí)施。

三、項(xiàng)目成功經(jīng)驗(yàn)分享

（一）信息系統(tǒng)審計(jì)方法與內(nèi)部控制審計(jì)方法結(jié)合

財(cái)險(xiǎn)公司核心業(yè)務(wù)系統(tǒng)是業(yè)務(wù)開(kāi)展的基石，針對(duì)其進(jìn)行專項(xiàng)內(nèi)部控制審計(jì)，只有同時(shí)靈活應(yīng)用常規(guī)內(nèi)部控制審計(jì)方法和信息系統(tǒng)審計(jì)方法，才能既可以找到業(yè)務(wù)流程中的控制缺陷，又能夠查找核心業(yè)務(wù)系統(tǒng)本身的缺陷。

（二）熟悉關(guān)鍵業(yè)務(wù)流程，把握關(guān)鍵控制點(diǎn)

財(cái)險(xiǎn)公司核心業(yè)務(wù)系統(tǒng)內(nèi)部控制審計(jì)的效果好壞，重點(diǎn)在于審計(jì)人員對(duì)財(cái)險(xiǎn)公司業(yè)務(wù)的了解程度。是否熟悉關(guān)鍵業(yè)務(wù)流程，是否能準(zhǔn)確定位流程中的關(guān)鍵控制節(jié)點(diǎn)，是審計(jì)項(xiàng)目成敗的關(guān)鍵。

（三）表格化的審計(jì)成果展示方式

審計(jì)人員可基于業(yè)務(wù)流程，對(duì)關(guān)鍵控制節(jié)點(diǎn)繪制內(nèi)部控制缺陷表，能夠達(dá)到直觀、簡(jiǎn)明、清晰、易懂的效果，提高審計(jì)工作效率。

說(shuō)明：缺陷類型：包括設(shè)計(jì)缺陷和運(yùn)行缺陷。

缺陷影響程度：包括重大缺陷、重要缺陷和一般缺陷。

參考文獻(xiàn)：

[1]《中國(guó)內(nèi)部審計(jì)準(zhǔn)則第2201號(hào)內(nèi)部審計(jì)具體準(zhǔn)則—內(nèi)部控制審計(jì)》（中國(guó)內(nèi)部審計(jì)協(xié)會(huì)[2013]）.

[2]《中國(guó)內(nèi)部審計(jì)準(zhǔn)則第2203號(hào)內(nèi)部審計(jì)具體準(zhǔn)則—信息系統(tǒng)審計(jì)》（中國(guó)內(nèi)部審計(jì)協(xié)會(huì)[2013]）.

[3]《關(guān)于印發(fā)<保險(xiǎn)公司內(nèi)部控制基本準(zhǔn)則>的通知》（保監(jiān)發(fā)〔2010〕69號(hào)）.

[4]《保險(xiǎn)公司信息化工作管理指引（試行）》（保監(jiān)發(fā)〔2009〕133號(hào)）.

[5]《保險(xiǎn)公司內(nèi)部審計(jì)指引（試行）》（保監(jiān)發(fā)[2007]26號(hào)）.

作者簡(jiǎn)介：閆治國(guó)，吉林人。國(guó)際注冊(cè)信息系統(tǒng)審計(jì)師（CISA）和國(guó)際注冊(cè)內(nèi)部審計(jì)師（CIA）等相關(guān)執(zhí)業(yè)資格證書。現(xiàn)供職于國(guó)網(wǎng)英大國(guó)際控股集團(tuán)有限公司審計(jì)部，具有10年以上審計(jì)相關(guān)工作經(jīng)驗(yàn)，多次擔(dān)任大型審計(jì)項(xiàng)目主審、在信息系統(tǒng)審計(jì)、金融業(yè)務(wù)審計(jì)、內(nèi)部控制審計(jì)、財(cái)務(wù)審計(jì)、稅務(wù)審計(jì)等領(lǐng)域擁有豐富的實(shí)踐經(jīng)驗(yàn)。