保险业IT内部审计

保险行业上市公司不仅需要接受保监会的监督管理，而且还要面对公司发展和风险控制的内部需求。信息技术已经融入公司管理活动的各个方面，是保险行业各项管理职能的依托。

一、IT内部审计同IT治理和内部控制的关系

信息技术的重要性和复杂性使之影响到公司的决策及执行，IT管理也表现出越来越严重的问题，主要表现在：IT投资变得无法控制；风险控制与服务质量不能令其他部门满意；由于IT的专业性，IT战略规划常常同公司总体战略难以协调，可能导致影响公司总体战略的贯彻执行。IT治理就是为解决这些矛盾而引入的概念，现在IT治理已经在很多企业内实施，IT治理是公司治理的一个关键部分，它能使企业合理利用IT资源，促使IT投资收益最大化，使得IT在复杂的管理环境下有效进行相关风险管理，从而保障IT服务质量，推动企业整体目标的实现。IT内部审计是IT治理的重要组成部分，对IT治理起到促进作用。保险公司内部控制是指保险公司各层级的机构和人员依据各自的职责，采取适当措施，合理防范和有效控制经营管理中的各种风险，防止公司经营偏离发展战略的机制和过程。通过对内部控制的测评，确定系统信息的可依赖程度，评估控制风险的水平，减少审计工作量，节约审计成本，从而保障审计质量。内部审计是现代企业法人治理结构的内在需求，尤其是对于以经营风险为主的保险公司来讲，有效的内部审计对企业防范风险起到至关重要的作用。为有效节约审计成本，提高审计效率，外部审计也会使用内部审计工作成果。当然，两者在职能、地位、作用等方面都存在很大不同。内部审计部门是公司重要部门，内部审计是公司内部的一种独立、客观的监督和评价活动，它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进公司总体目标的实现。内部审计人员需要熟悉公司保险经营和投资经营的运作流程，从整体上把握企业的经营管理。

二、现阶段保险行业IT内部审计特点

1.顺应政府监管的要求保险行业上市公司除中国人寿在美国上市需要执行SOX法案之外，其他保险公司需要执行保监会《保险公司内部控制基本准则》第三十条中有关于信息技术控制的专门条款，《保险公司内部控制指导原则》第八章支持保障系统中的48~53条中关于计算机信息系统控制的要求。

2.技术标准的选择一般监管部门会就IT内部控制提出基本准则和指导原则，选择具体的审计标准来达到政府的监管要求是保险公司IT内部审计需要解决的问题，现在有关IT内部控制和IT审计的国际标准很多，这些标准各具特点。一般保险公司的做法都是按照COBIT标准，根据自身特点，结合信息系统生命周期各个阶段的不同特点有选择性地实施COBIT控制模型，COBIT将IT过程、IT资源及信息与企业的策略、目标联系起来，形成一个三维的体系结构。其中，IT准则反映了企业的战略目标，从质量、成本、时间、资源利用率、系统效率、保密性、可用性等方面来保障信息的安全性和有效性；IT资源包括专业人才、应用系统、技术、设施及数据在内的信息相关的资源；IT过程从信息技术的规划与组织、采集与实施、交付与支持、监控等四个方面，确定了34个信息技术处理过程。

3.IT审计技术与方法该方法主要包括测试数据法、平行模拟法、嵌入审计模块法、虚拟实体法、受控处理法、受控再处理法和程序代码检查法。

4.有效控制IT内部审计把对审计风险的检查控制作为IT内部审计的重要质量控制目标。审计风险分为重大错误风险和检查风险，由于IT系统复杂性，检查风险是客观存在的，为避免检查风险的出现需要对IT内部审计进行有效控制。

5.采用非现场审计的方式依靠强大的信息技术的平台，IT内部审计主要采用非现场审计的方式进行。通过远程方式对审计对象相关数据和资料的不断搜集、整理和分析，把审计由事后审计变为事前统一规范、事中监督预警、事后定期分析回顾的过程。

三、保险业IT内部审计需要关注的问题

1.业务与IT联合审计IT内部审计与其他内部审计相比在技术上有其独特之处，如今IT和业务的融合越来越紧密，IT在支撑业务同时，也利用新的技术手段引领业务发展。因而IT和业务也需要进行联合审计，交付给公司管理层一个统一、全面的审计结论，使得审计结果更好地服务于公司稳定发展的总体目标。

2.从公司治理结构上解决审计独立性问题如何加强内部审计的独立性一直是内部审计探讨的重点，现在很多保险公司IT内部审计独立性从组织结构上来说还没有得到彻底解决，成立有公司决策层参加的审计委员会、有独立于IT研发和运维IT内部审计机构以保障IT内控审计和实质性审计的客观公正，是IT内部审计独立性的必然要求。

3.提高IT内部审计人员比例和素质IT审计是IT技术和审计技术相结合的边缘学科，IT审计人才是复合型人才，需要原来的IT技术人员和内部审计人员彼此钻研对方的学科，同时掌握财务、运营、商务等管理知识，在通过CISA认证的同时还需要有CFA、CIA、CISP等认证。人员素质的提高也是通过需求拉动的，只要公司有相应的需求和激励措施，人员素质的提高是指日可待的。

4.新技术和IT审计新理念、新技术的吸收运用新技术、IT审计新理念、新技术层出不穷，新理念、新技术对提高生产力、拉动经济增长、改变生活方式等具有良好的促进作用。只有加强对新理念、新技术的了解，迅速做出应对，才能适应时代的发展变化。

5.处理好IT内部审计的关系一是IT内部审计与IT研发、运维、管理关系；二是调整好内部审计与社会审计、国家审计的关系；三是摆正IT内部审计在公司内部审计中的位置。

6.成本效益原则IT内部审计同样需要遵从成本效益原则，不能进行不计成本的投入，服务公司追求股东利益最大化的整体目标，在兼顾效益的原则下进行适度审计。

7.拓宽IT内部审计的范围IT内部审计经历了EDP审计，正处在信息系统安全性、可靠性、有效性的测试和评价的审计阶段，IT内部审计需要向咨询审计的方向发展，致力于IT治理结构和管理流程的改进，告诉公司管理层应该如何做才能符合公司总体发展的利益，改变IT内部审计在公司相对弱势的地位，依靠工作成果来加强巩固IT内部审计在公司的地位。

8.规范IT内部审计体系参照监管部门提出的监管要求、IT内部控制和IT审计的国际标准，编写更适应各保险公司自身情况的《IT内部审计准则》和具体指导IT内部审计工作的《IT内部审计指南》等IT内部审计规范性文件，开发IT内部审计工具和IT内部审计MIS系统，通过规范自身的IT内部审计体系来规范IT内部审计行为、保障IT内部审计的质量和效果。如今，观念和技术的创新是发展的主旋律，IT在保险公司的广泛应用更需要IT内部审计的保驾护航，IT内部审计在保险行业处于曙光乍现、借力待发的阶段，必将促进保险公司按照既定目标健康有序的发展，也并将随着保险这个朝阳产业在中国的发展一样有光明的未来。