保险行业IT内部审计探讨

保险行业上市公司不仅需要接受保监会的监督管理，而且还要面对公司发展和风险控制的内部需求。信息技术已经融入公司管理活动的各个方面，是保险行业各项管理职能的依托。

一、IT内部审计同IT治理和内部控制的关系
        信息技术的重要性和复杂性使之影响到公司的决策及执行，IT管理也表现出越来越严重的问题，主要表现在：IT投资变得无法控制；风险控制与服务质量不能令其他部门满意；由于IT的专业性，IT战略规划常常同公司总体战略难以协调，可能导致影响公司总体战略的贯彻执行。IT治理就是为解决这些矛盾而引入的概念，现在IT治理已经在很多企业内实施，IT治理是公司治理的一个关键部分，它能使企业合理利用IT资源，促使IT投资收益最大化，使得IT在复杂的管理环境下有效进行相关风险管理，从而保障IT服务质量．推动企业整体目标的实现。IT内部审计是IT治理为重要组成部分，对IT治理起到促进作用。

        保险公司内部控制是指保险公司各层级的机构和人员依据各自的职责，采取适当措施，合理防范和有效控制经营管理中的各种风险，防止公司经营偏离发展战略的机制和过程。通过对内部控制的测评，确定系统信息的可依赖程度，评估控制风险的水平，减少审计工作量，节约审计成本，从而保障审计质量。

        内部审计是现代企业法人治理结构的内在需求，尤其是对于以经营风险为主的保险公司来讲，有效的内部审计对企业防范风险起到至关重要的作用。为有效节约审计成本，提高审计效率，外部审计也会使用内部审计工作成果。当然，两者在职能、地位、作用等方面都存在很大不同。内部审计部门是公司重要部门，内部审计是公司内部的一种独立、客观的监督和评价活动，它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进公司总体目标的实现。内部审计人员需要熟悉公司保险经营和投资经营的运作流程，从整体上把握企业的经营管理。

二、现阶段保险行业IT内部审计特点
        1．顺应政府监管的要求
        保险行业上市公司除中国人寿在美国上市需要执行SOX法案之外，其他保险公司需要执行保监会《保险公司内部控制基本准则》第三十条中有关于信息技术控制的专门条款，《保险公司内部控制指导原则》第八章支持保障系统中的48～53条中关于计算机信息系统控制的要求。

        2．技术标准的选择
        一般监管部门会就IT内部控制提出基本准则和指导原则，选择具体的审计标准来达到政府的监管要求是保险公司IT内部审计需要解决的问题，现在有关IT内部控制和IT审计的国际标准很多，这些标准各具特点。一般保险公司的做法都是按照COBIT标准，根据自身特点，结合信息系统生命周期各个阶段的不同特点有选择性地实施COBIT控制模型，COBIT将IT过程、IT资源及信息与企业的策略、目标联系起来，形成一个三维的体系结构。其中，IT准则反映了企业的战略目标，从质量、成本、时间、资源利用率、系统效率、保密性、可用性等方面来保障信息的安全性和有效性；IT资源包括专业人才、应用系统、技术、设施及数据在内的信息相关的资源；IT过程从信息技术的规划与组织、采集与实施、交付与支持、监控等四个方面，确定了34个信息技术处理过程。

        3．1T审计技术与方法
        该方法主要包括测试数据法、平行模拟法、嵌入审计模块法、虚拟实体法、受控处理法、受控再处理法和程序代码检查法。

        4．有效控制IT内部审计
        把对审计风险的检查控制作为IT内部审计的重要质量控制目标。审计风险分为重大错误风险和检查风险，由于IT系统复杂性，检查风险是客观存在的，为避免检查风险的出现需要对IT内部审计进行有效控制。

 1 2 下一页 尾页

扫码即可手机
阅读转发此文