11.计划完成时间:
参?考?文?献
【1】 国际内部审计专业人员协会.国际内部审计专业实务框架.2009年1月1日.
【2】 国际信息系统审计协会.IS审计和鉴证标准,.2014年.
【3】 中国内部审计协会.第2203号内部审计具体准则——信息系统审计,2013年8月28日.
【4】 财政部、证监会、审计署、银监会、保监会.关于印发企业内部控制配套指引的通知(财会〔2010〕11号).2010年4月15日.
【5】 保险公司内部审计指引(试行)(保监发〔2007〕26号)
【6】 银行业金融机构内部审计指引(银监发[2006]第51号)
中国保险监督管理委员会行业标准文件
《保险机构IT审计规范》编制说明
一、背景意义
保险机构IT审计是保险机构内部控制的重要组成部分,是对保险机构IT工作进行的一种独立、客观的监督、评价和咨询活动。IT审计工作保障保险机构信息科技和信息安全的风险控制在可接受水平,切实维护保险业信息安全,提升保险机构IT审计工作水平,促进IT工作规范化与标准化建设,提高信息化水平,改善保险机构IT服务和业务流程,增加信息化价值。
中国保险监督管理委员会为了能更好检查评价保险机构IT审计工作,提高监督有效性,保证国家有关保险法律法规、方针政策、监管部门规章的贯彻执行,2015年联合保标委启动《保险机构IT审计规范》标准制定工作。《保险机构IT审计规范》是《中国保险业标准化十二五规划》建立保险行业信息标准化体系框架的重要组成部分,是保险机构相对于《保险机构信息化风险非现场监管报表及评价体系》的评价体系与评价标准,而开展IT审计工作的具体实施细则。
二、任务来源
2015年初,中国保险监督管理委员会为了能更好检查评价保险机构IT审计工作,提高监督有效性,保证国家有关保险法律法规、方针政策、监管部门规章的贯彻执行,制订保险机构IT审计制度体系。为确保此项工作的落实,保监会联合保标委启动《保险机构IT审计规范》标准制定工作,由中国平安保险(集团)股份有限公司负责标准的起草工作。
三、起草单位
参与本标准制定的单位包括:中国保险监督管理委员会、、中国平安保险(集团)股份有限公司
四、编制原则及技术依据
1.编制原则
本规范充分借鉴国内外保险相关行业的先进理论和最佳实践,根据我国保险业的发展需求,符合我国国情的IT审计管理办法,结合保险行业的实际情况和国内外先进的管理经验而制定。
(1)符合性原则:符合保监会对保险机构有关IT审计工作的规定,如:《保险公司内部审计指引》、《保险机构信息化监管规定》《保险公司信息化工作管理指引》等规定,遵从《保险业标准化工作指南》的要求。
(2)一致性原则:本标准与保险业IT审计工作的其他文件《保险机构信息化监管规定》、《保险机构信息化风险非现场监管报表及评价体系》全面配套,协调一致,构成完整的保险业IT审计体系。
(3)科学性原则:本标准根据《保险机构信息化风险非现场监管报表及评价体系》的评价体系与评价标准,结合平安集团的实际情况,从IT审计工作的具体实施细则出发,制订本标准。标准应具有“科学性”、“系统性”、“前瞻性”和“适用性”。
2.技术依据
本标准在编写过程中参照保监会的法规文件《保险公司内部审计指引(试行)》(保监发〔2007〕26号)、《保险公司信息系统安全管理指引(试行)》(保监发〔2011〕68号)、《保险业信息系统灾难恢复管理指引》(保监发〔2008〕20号)、《保险公司信息化工作管理指引(试行)》(保监发〔2009〕133号)、《互联网保险业务监管暂行办法》(保监发〔2015〕69号)、《保险机构信息化监管规定(送审稿)》、《保险机构信息化风险监管报表及评价体系(征求意见稿)》。
本标准编写规则是按照GB/T 1.1-2009 《标准化工作导则 第一部分:标准的结构和编写》的要求进行。
四、标准制订过程
1.项目前期准备
2014年10月至11月,针对《保险机构信息化风险非现场监管报表及评价体系》的评价体系与评价标准,中国保险监督管理委员会提出《保险机构IT审计规范》标准研制项目,指导保险机构IT审计工作的实施。由中国平安保险(集团)股份有限公司负责起草工作,平安集团参阅大量中华人民共和国保险法、审计法等文件,并开始前期研究工作,探讨本标准立项目的、工作任务和结构要点,为本标准的起草打下了很好的基础。
2.成立编写组
2015年1月,根据项目需要,在中国保险监督管理委员会的指导下,平安集团组建了标准编制组,并召开编写单位专家小组会议,明确标准名称、结构要点和工作任务。建立项目管理机制,制订项目工作计划。
3.完成标准初稿
2015年2月,按照标准制定原则,项目组在进行文献调研的基础上,学习项目团队的标准化方法、确定标准的编写方案、确定编写依据,收集资料,拟定标准的制定范围和标准框架,完成标准的初稿。
4.编制组召开讨论会,形成征求意见稿
2015年3月至8月,标准编制组召开多次讨论会,对标准草案逐条、逐字进行了讨论,几经修改,充分交换意见,标准草案得到进一步完善。其间项目团队到北京向保监会汇报,根据保监会和相关方意见修改,形成了《保险机构IT审计规范(征求意见稿)》。
五、本标准的主要说明
1.定位说明
本标准《中国保险业标准化十二五规划》建立保险行业信息标准化体系框架的重要组成部分,是保险机构IT审计体系的有效补充。《保险机构信息化监管规定》是保监会对保险机构的信息化工作的规定要求,切实维护保险机构信息安全,加强对保险机构信息化工作的监督管理,促进信息化工作规范化与标准化建设。《保险机构信息化风险非现场监管报表及评价体系》是保监会对保险机构信息化工作的评价标准,明确规定对保险机构IT工作的评价方法和标准,而《保险机构IT审计规范》则是保险机构相对评价体系中的八大评价内容而具体落实的工作细则,两者相辅相成,协调一致。
2.内容说明
本标准分为IT审计内容、审计机构、审计过程以及质量控制,最后以规范性附录的形式,详细规定IT审计项,其中包括保险机构信息化治理、信息化风险管理、信息管理安全、信息系统建设与运行维护、信息系统开发与测试、信息系统运行、灾难恢复管理、外包与采购、互联网保险管理要求等内容。
3.适用范围说明
本标准依据《保险机构信息化风险非现场监管报表及评价体系》的评价内容和评价标准,规定了保险机构开展IT审计工作的具体实施细则,主要包括信息化治理审计、信息化风险管理审计、信息安全管理审计、信息系统开发与测试审计、信息化系统运行审计、灾难恢复管理审计、外包与采购审计、互联网保险审计等细则。
本标准适用于保险机构信息科技审计活动。
4.定义
对保险机构涉及的IT审计、审计项、专业能力、第三方审计机构等进行定义解释。
5.基本原则
保险机构IT审计必须符合“在计划、实施及报告的审计全过程中,均应秉持职业怀疑态度,并遵循诚信、客观、保密及胜任的行为准则”的原则,推行遵守国家法律法规、行业监管规定以及职业要求,诚实、勤恳执行审计工作,同时不得参与可能损害或被认为会损害其客观性和公正性的活动,不得接受可能损害或被认为会损害其职业谨慎的任何物品,避免任何利益冲突。
6.审计内容
保险机构信息化治理、信息化风险管理、信息管理安全、信息系统建设与运行维护、信息系统开发与测试、信息系统运行、灾难恢复管理、外包与采购、互联网保险管理要求等内容;
7.审计机构
从实际工作出发,规范审计机构的基本要求,审计责任部门的设定要求,审计专业人员的资格资质和如何更好利用外部服务提供工作服务。
8.审计过程
保险机构,必须制订完整可行的审计计划,保证各种审计资源充分并得到合理有效配置,规定详细合理的审计实施方法,全程进行实施方法的监控。审计工作完成后,要做好审计报告向管理层进行工作汇报、归档以及后续的工作跟踪。
9.质量控制
审计责任部门应当严格而全面地对审计活动的效率效果进行质量控制,主要包括质量控制责任、质量控制程序、结果汇报等工作。
10.本标准的维护和管理
本标准编制完成后,由作为归口管理单位,负责统筹本标准的推广使用、扩充、修订等管理工作。管理内容包括标准的培训和宣导、标准的推行使用、标准复审、提出标准修订安排等。
11. 参考文献
本标准起草过程中,参阅了大量文档资料,主要资料包括如下:
(1)中华人民共和国保险法
(2)中华人民共和国标准化法
(3)中华人民共和国审计法
(4)中华人民共和国计算机信息系统安全保护条例
(5)保险公司内部审计指引(试行)(保监发〔2007〕26号)
(6)保险公司信息系统安全管理指引(试行)(保监发〔2011〕68号)
(7)保险业信息系统灾难恢复管理指引 (保监发〔2008〕20号)
(8)保险公司信息化工作管理指引(试行)(保监发〔2009〕133号)
(9)互联网保险业务监管暂行办法(保监发〔2015〕69号)
(10)保险机构信息化监管规定(送审稿)
(11)保险机构信息化风险监管报表及评价体系(征求意见稿)
(12)关于印发企业内部控制配套指引的通知(财会〔2010〕11号). 财政部、证监会、审计署、银监会、保监会. 2010.4.15
(13)信息安全技术 信息系统安全等级保护基本要求(GB/T 22239-2008)
(14)国际内部审计师协会.国际内部审计专业实务框架.2009.1.1
(15)国际信息系统审计协会.IS审计和鉴证标准.2014
(16)中国内部审计协会.第2203号内部审计具体准则——信息系统审计, 2013.8.28