金融保险公司信息系统专项审计案例分享 (2)

改申请缺失相应的授权审批文件。根据此发现审计师决定对运维服务单进行具体抽样检查，用以确定经过OA审批的文件内容是否与数据修改单内容一致。审计师抽取278项运维服务单，逐一核对其OA审批文件内容，通过此步检查发现存在使用无效的过期OA审批文件顶替的情况。

最后，审计师与具体操作和复核人员面谈，确定问题存在的原因是：个别系统在上线初期变动频繁，用户及IT人员为提高工作效率而忽视和合规性，在未经过适当OA审批授权的情况下IT人员执行了运维申请;个别系统BUG造成了批量的业务数据错误，但在进行系统修复时未考虑对历史错误数据的修改，导致用户反复发现历史错误数据时就使用过期的同类型的OA审批文件进行数据修改申请，IT人员也认可此种行为并帮助执行了具体的修改。

（2）杀毒软件更新率低

在执行对公司客户端安全性检查中，审计师访谈IT技术人员了解到公司使用统一的杀毒软件，该杀毒软件设臵了自动更新程序，并将更新包设臵固定时间点自动退送至局域网内客户端。但再与用户部门的满意度调查中了解到公司的客户端电脑中存在其他品牌的杀毒软件，且用户提到了杀毒软件更新效率问题。审计师决定就对此问题进行实地走查。

首先，审计师在IT部门相关负责人电脑中查看了杀毒软件管理控制中心的数据，该中心显示公司共有898台客户端安装

6

该杀毒软件，其中仅有270台更新到最新病毒版本库，更新率仅为30.1%。

其次，审计师通过资产部门了解公司员工使用的个人电脑客户端数量与该病毒中心显示有较大出入。审计师走查附近部门员工中的台式电脑以及笔记本电脑发现台式电脑的杀毒软件安装率较高，但并未及时更新病毒库，笔记本电脑的杀毒软件安装率较低，多数未使用公司统一的杀毒软件。

根据以上情况审计师与IT负责人员访谈了解到，由于携带笔记本电脑的员工经常出差，为方便其在外地上网，公司均为其开通了管理员权限，在该权限下允许用户自行安装软件。因此携带笔记本的员工通常根据个人喜好安装个人版杀毒软件。同时，由于公司统一的杀毒软件更新时间设定为凌晨0：00，该时段客户端基本为关机状态，多数用户在次日开机后不会主动点击病毒更新，导致大部分客户端未及时更新病毒版本库。

四、审计成果及成效

通过本次审计认为该公司信息服务部内部控制基本有效，员工团结合作能够形成合力，较好的支持了公司业务发展。但存在个别应用系统权限管理制度缺失、部分数据维护未经过用户确认且未经过用户同意修改数据、客户端杀毒软件更新率较低、缺少必要信息安全监控措施等问题，给公司的信息系统环境带来一定的风险。

本案例中列举的两个问题在审计反馈阶段均得到了IT部

7

门的认同，并提出了切实的整改意见。

针对数据修改授权的问题，IT部门与用户部门共同建立了有效的规范制度，要求数据修改方案执行前IT人员必须复核OA授权审批，若遇到紧急问题可以先口头请示相关责任主管后进行执行，但需要在后续补提OA授权审批文件。

针对病毒库更新较低的问题，IT部门调整病毒版本库推送时间为中午12点，并针对开通管理员权限的用户严格相应域控策略，禁止私自安装公司白名单意外的应用软件，。同时，在新员工入司手续中增加应用软件安全使用培训以及签署相应的责任书。

五、思考及启示

对企业来说，改善其内部控制水平，就是通过设计、实施、维护和监控内部控制和风险管理体系，尤其是对IT 的控制，发现自身存在的不足，帮助企业建立起完善和细化相关的流程和制度，以确保公司所有业务策略、规程和业务流程都在自己的掌握之中，并且在合法合规的轨道上运行。

通过对企业信息系统审计可以规避企业内部存在的风险。作为企业提升自身的内部控制能力，需要对风险进行更有效的控制。信息系统审计能够对信息系统的应用状况和综合绩效状况进行全面的评估，因此，信息系统审计所包含的内容要大于信息系统治理所涵盖的内容。正因为信息系统审计所包括的范围非常的广泛和全面，如果我们只是想借助其促进企业内控水

8

平的提升，那么我们应该加强其有关信息化风险控制方面的指标，适当弱化和删除其他方面的指标，以此来达到应用的目的。

由于信息系统审计本身更强调评估，是客观、真实地反映企业信息化当前的状况，暴露出其中存在的问题。如何更好的去解决这些问题，如何更有效的规避风险还是要靠人自身来想办法解决，则是我们审计人员下一步的着眼点。当然，任何一种方法或工具都不是万能的，有它的优势和局限性，我们只有抓住问题的实质，运用适当的方法和工具才能够有效的解决。

9

附件

优秀内部审计案例推荐表

单位：

推荐案例名称 内部审计机构名称 联 系 人 办公电话 程杨 59238733 金融保险公司信息系统专项审计案例分享 长城人寿保险股份有限公司 电子邮箱 chengyang@greatlife.cn 手 机 18601994424 本单位推荐意见 （单位公章） 年 月 日 北京市西城 区内审协会 （公章） 年 月 日 意见 本单位是否同意北京市西城区内部审计协会以推广经验为目的出版、刊登案例。 （请务必写明“同意”或“不同意”） （公章） 年 月 日

10

搜索“diyifanwen.net”或“第一范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，第一范文网，提供最新高中教育金融保险公司信息系统专项审计案例分享 (2)全文阅读和word下载服务。