保险公司非寿险业务信息系统审计的方法研究
2012-10-09吉林省审计信息中心矫幸宋成武
吉林省审计信息中心 矫幸 宋成武
目前,我国非寿险业保险公司基本上形成了一套具有行业特色、满足非寿险业特殊业务需要和发展要求,融先进技术平台与成熟应用方案于一体,融合国际先进的科学管理机制与各非寿险公司管理模式现状的、性能较为优良的信息技术平台,基本形成了“全险种、全流程、大集中、共平台、宽网络、同标准”的体系架构,有效保证了基础数据的完整性、真实性、准确性、规范性、一致性和及时性,最大限度地规范了公司管理和业务发展。2010年,笔者参与了对某保险公司的审计项目,以《保险法》和《保险公司管理规定》为主要依据尝试开展了信息系统审计,取得了一定成果,现将审计中采用的审计方法总结如下:
一、授权管理审计
承保控制中授权管理部分主要风险有两个方面:是否对信息系统采取口令管理和权限管理,用户使用的口令和密码是否定期更换;业务处理系统中承保环节的用户设置是否遵循相互监督、相互制约、协调运作的原则,关键不相容岗位是否分离。如授予展业人员在业务处理系统中进行投保录入、投保审核、核保、批改、付费等操作权限是不符合规定要求的。
在授权管理审计中,我们主要采取了以下审计方法:调阅资料,包括用户、操作权限、系统用户名、密码等;调阅保险公司人员岗位设置清单,与系统中权限设置情况比对,看是否存在关键岗位未分离的情况;检查用户口令是否定期更换。
二、产品管理审计
产品管理风险主要包括以下几个方面:业务处理系统是否涵盖所有险种,是否实现全险种、全流程的信息系统控制与管理;业务处理系统中涵盖的险种与费率是否审批或备案;业务处理系统中涵盖的险种和费率与经审批或备案的条款费率是否一致;在业务处理系统中是否单方面强制设置保险条款以外的责任免除、费用扣除等规定。
在产品管理审计中,我们采取了以下审计方法:调阅保险公司开展的所有险种清单,与系统中的产品对照;对系统中的产品的基础费率进行抽查,重点抽查车险产品和定额保单的费率,看与审批和备案的费率是否一致,如不一致,设定条件,在数据库中提取数据,计算汇总出多收或少收保费的笔数及总金额;检查车险承保处理系统,抽取部分车型,在系统中对其费率优惠系数使用情况与费率规章对照,看是否存在对部分车型或投保人少给或多给优惠的情况;抽查部分险种的业务处理系统,检查系统有无事先设定的保险条款以外的责任免除、费用扣除等规定。
三、承保系统运行审计
承保系统运行风险主要包括以下方面:车险业务处理系统是否能实行业务全流程处理;业务处理系统对投保人告知内容要求是否完整。如财产险业务不要求提供保险标的座落地址及投保单位类别、车辆保险业务不要求投保人提供车架号、发动机号、使用年限也可以核保通过并打印保险单等;对于非定额保单是否设置系统自动核保,放弃风险管控;业务处理系统是否能满足业务运行管理的需要,如对部分批改类型不能涵盖;业务处理系统中退保、解除合同等退还保费公式是否设置正确;系统批改设置中是否存在关联漏洞,如进行不涉及保额、费率、保费变动的文字批改的,却导致保额、费率、保费变动;对保险单批改后,不能反映批改前与批改后的保单信息;非补录业务保险责任起始日期是否可以在补录日期之前的;车险业务是否实行明折明扣,是否允许高收高返。如先按照标准保费出单,再使用优惠系数批改退费;承保系统与财务系统是否对接;系统数据是否不能反篡改,如批单生成后可以对批改申请单及批单的内容进行直接更改;系统内大量的垃圾数据是否及时清理。
在承保系统运行审计中,我们采取了以下审计方法:检查车险承保处理系统,看其能否完成业务全流程的操作;抽查部分险种的承保录入界面,了解其必须录入的项目和可不录入的项目;抽查部分险种的核保处理界面,了解有无自动核保的现象;抽查部分险种的批改界面,了解其批改类型的全面性;对部分险种的批改处理中对短期费率的计算与条款或费率规章的计算方法及结果进行验算;抽查部分险种的批改处理界面。分别验证文字批改与涉及保额、保费增减批改,检查文字批改项下对保费、费率、保额的批改能否实现。如在车险业务处理系统中对投保人、车牌号进行批改项目下增加文字说明“因以上批改保费、保额、费率因此增加或减少XXX元”,系统能否通过;抽查部分险种的投保录入和核保界面,看其起保日期能否前移至投保录入或核保通过之前;检查车险承保系统中的优惠系数使用情况;分别从承保系统、财务系统中提取承保件数、保险金额、签单保费收入、实收保费等数据,看其是否一致;在系统投保录入、核保、批改、查询等界面对系统数据进行反篡改测试;从承保系统中提起承保件数、保险金额、保费收入等数据,看其与监管报表相应数据是否一致。
[1]张金城.信息系统审计[M].北京.清华大学出版社,2009