摘要：財產保險公司業(yè)務開展主要依賴于核心業(yè)務系統(tǒng)，實施針對核心業(yè)務系統(tǒng)內部控制專項審計可以查找內部控制缺陷、推動信息系統(tǒng)內部控制體系建設、提升保險公司信息化管理水平，還能夠堵塞管理漏洞、規(guī)避損失，增加公司價值。

關鍵詞：財險公司；核心業(yè)務系統(tǒng)；內部控制；審計

中圖分類號：F239.45 文獻識別碼：A 文章編號：1001-828X（2016）019-000-01

一、開展財險公司核心業(yè)務系統(tǒng)內部控制審計的重要意義

（一）核心業(yè)務系統(tǒng)內部控制審計的重要性

財產保險公司客戶數(shù)量多、分布地域廣、業(yè)務數(shù)據(jù)大，必須依賴信息系統(tǒng)來提高運營效率、保障服務質量。因此，財險公司對業(yè)務的內部控制的理念、方法和關鍵控制點需要植入核心業(yè)務系統(tǒng)。核心業(yè)務系統(tǒng)的內部控制是財險公司內部控制的關鍵環(huán)節(jié)，其控制效果直接影響業(yè)務運行的穩(wěn)定性、系統(tǒng)風險的高低。

（二）外部政策環(huán)境

保監(jiān)會《保險公司信息化工作管理指引（試行）》（保監(jiān)發(fā)〔2009〕133號）中規(guī)定，“各公司應建立信息化工作的風險評估機制和信息系統(tǒng)審計制度，由獨立于信息技術部門的有關部門負責審計工作，至少每兩年進行一次審計。審計結果應在審計完成后三個月內報保監(jiān)會備案。”

中國內部審計協(xié)會也于2013年頒布了《中國內部審計準則第2203號內部審計具體準則-信息系統(tǒng)審計》，對信息系統(tǒng)審計開展的一般原則、審計內容和審計方法做出了明確的規(guī)范，確保提高審計質量和效率。

二、核心業(yè)務系統(tǒng)內部控制審計特點、思路和方法

通常，內部控制審計圍繞COSO五要素開展，即控制環(huán)境、風險評估、控制活動、信息與溝通、內部監(jiān)督。要想實現(xiàn)核心業(yè)務系統(tǒng)內部控制專項審計目標，需要基于業(yè)務流程，把常規(guī)內部控制審計方法和信息系統(tǒng)審計方法結合起來。

財險公司的核心業(yè)務系統(tǒng)內部控制可分為下述三類：核心業(yè)務系統(tǒng)公司治理層面的內部控制、核心業(yè)務系統(tǒng)一般性控制、核心業(yè)務系統(tǒng)應用控制。開展審計時，可分別重點關注以下內容：

（一）核心業(yè)務系統(tǒng)公司治理層面的內部控制

重點關注：核心業(yè)務系統(tǒng)戰(zhàn)略規(guī)劃與財險公司業(yè)務目標的符合性、核心業(yè)務系統(tǒng)內部控制環(huán)境、核心業(yè)務系統(tǒng)組織管理的有效性和職責分工合理性。

常見問題：1.核心業(yè)務系統(tǒng)戰(zhàn)略規(guī)劃動態(tài)管理不到位。業(yè)務發(fā)展目標隨著市場環(huán)境、市場競爭力的變化而變化后，核心業(yè)務系統(tǒng)戰(zhàn)略規(guī)劃沒有做出相應的修訂。2.核心業(yè)務系統(tǒng)內部控制環(huán)境薄弱。管理人員和員工的內部控制意識薄弱，組織的內部控制職責劃分不清。

（二）核心業(yè)務系統(tǒng)一般性控制

重點關注：系統(tǒng)開發(fā)與實施管理、程序變更管理、系統(tǒng)與數(shù)據(jù)訪問安全，以及核心業(yè)務系統(tǒng)日常運行管理。

常見問題：1.系統(tǒng)開發(fā)與實施管理不到位。存在業(yè)務需求與系統(tǒng)實現(xiàn)功能不匹配，未實現(xiàn)預期管理目標，系統(tǒng)上線前測試不充分，系統(tǒng)初始配置錯誤等情況。2.程序變更管理不到位。存在未經授權、用戶測試不充分導致系統(tǒng)錯誤，從而產生業(yè)務數(shù)據(jù)錯誤的情況。3.系統(tǒng)與數(shù)據(jù)訪問安全管理不到位。存在未經授權的物理和邏輯訪問，導致發(fā)生數(shù)據(jù)丟失、數(shù)據(jù)被錯誤修改或破壞的情況。

（三）核心業(yè)務系統(tǒng)應用控制

重點關注：輸入控制、驗證控制、權限控制、處理控制和輸出控制。

常見問題：1.系統(tǒng)內部控制關鍵環(huán)節(jié)的職責分離執(zhí)行不到位。存在數(shù)據(jù)輸入、數(shù)據(jù)處理和數(shù)據(jù)輸出環(huán)節(jié)未有效執(zhí)行不相容職責分離的情況，如：理賠業(yè)務流程中核保崗位兼任核損、核價、核賠崗位。2.系統(tǒng)權限配置管理不到位。存在系統(tǒng)權限配置調整不及時，權限配置不適當?shù)那闆r，如：權限分配與崗位職責不匹配、已離職員工權限未及時關閉、員工崗位變動權限未及時調整。在開展核心業(yè)務系統(tǒng)的一般性控制和應用控制的審計過程中，審計人員需要結合關鍵的控制活動來實施。

三、項目成功經驗分享

（一）信息系統(tǒng)審計方法與內部控制審計方法結合

財險公司核心業(yè)務系統(tǒng)是業(yè)務開展的基石，針對其進行專項內部控制審計，只有同時靈活應用常規(guī)內部控制審計方法和信息系統(tǒng)審計方法，才能既可以找到業(yè)務流程中的控制缺陷，又能夠查找核心業(yè)務系統(tǒng)本身的缺陷。

（二）熟悉關鍵業(yè)務流程，把握關鍵控制點

財險公司核心業(yè)務系統(tǒng)內部控制審計的效果好壞，重點在于審計人員對財險公司業(yè)務的了解程度。是否熟悉關鍵業(yè)務流程，是否能準確定位流程中的關鍵控制節(jié)點，是審計項目成敗的關鍵。

（三）表格化的審計成果展示方式

審計人員可基于業(yè)務流程，對關鍵控制節(jié)點繪制內部控制缺陷表，能夠達到直觀、簡明、清晰、易懂的效果，提高審計工作效率。

說明：缺陷類型：包括設計缺陷和運行缺陷。

缺陷影響程度：包括重大缺陷、重要缺陷和一般缺陷。

參考文獻：

[1]《中國內部審計準則第2201號內部審計具體準則—內部控制審計》（中國內部審計協(xié)會[2013]）.

[2]《中國內部審計準則第2203號內部審計具體準則—信息系統(tǒng)審計》（中國內部審計協(xié)會[2013]）.

[3]《關于印發(fā)<保險公司內部控制基本準則>的通知》（保監(jiān)發(fā)〔2010〕69號）.

[4]《保險公司信息化工作管理指引（試行）》（保監(jiān)發(fā)〔2009〕133號）.

[5]《保險公司內部審計指引（試行）》（保監(jiān)發(fā)[2007]26號）.

作者簡介：閆治國，吉林人。國際注冊信息系統(tǒng)審計師（CISA）和國際注冊內部審計師（CIA）等相關執(zhí)業(yè)資格證書?，F(xiàn)供職于國網英大國際控股集團有限公司審計部，具有10年以上審計相關工作經驗，多次擔任大型審計項目主審、在信息系統(tǒng)審計、金融業(yè)務審計、內部控制審計、財務審計、稅務審計等領域擁有豐富的實踐經驗。