保险行业信息科技外包风险专项审计管理案例分析
北京中天恒会计师事务所(特殊普通合伙)
严宏 于芳华
某保险公司,主营财产保险、人身意外伤害保险等业务,随着行业数字化转型加速,该公司逐步扩大信息科技外包范围,先后与8家外包服务提供商建立合作关系,外包业务涵盖核心业务系统运行维护、客户信息数据处理、开发测试、安全服务等多个领域,其中核心业务系统运维、客户敏感信息处理2项为重要外包业务。
二、保险行业信息科技外包风险专项审计项目介绍
(一)保险行业信息科技外包风险专项审计的现状
为落实《银行保险机构信息科技外包风险监管办法》(银保监办发〔2021〕141号)等监管要求,防范信息科技外包风险,保障业务持续稳定运营和客户数据安全,审计组依据《保险行业信息科技外包风险专项审计工作方案》,对A保险公司2024年度信息科技外包业务开展专项审计,审计期间为2024年1月1日至2024年12月31日,必要时追溯至外包业务发起阶段及相关历史整改情况。
本次审计重点围绕外包治理、准入尽职调查、合同管理、服务实施监控、风险评估应急处置、退出管理及合规性落实等环节,全面排查风险隐患,揭示违规问题,提出整改要求,推动该公司强化外包风险管控。
(二)保险行业信息科技外包风险专项审计案例介绍
1、保险行业信息科技外包风险专项审计核心依据
(1). 法律法规:《中华人民共和国保险法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等;
(2). 监管政策:《银行保险机构信息科技外包风险监管办法》(银保监办发〔2021〕141号)、《保险机构IT审计规范》、《保险机构信息化工作管理办法》等银保监会及行业主管部门发布的相关规章、指引;
(3). 内部制度:被审计保险机构(以下简称“被审计单位”)制定的信息科技外包管理制度、风险控制流程、应急预案、服务提供商管理办法等内部文件;
(4). 审计准则:《中华人民共和国国家审计准则》《内部审计具体准则》等审计工作规范。
2、保险行业信息科技外包风险专项审计的目标
立足审计监督职能,紧扣《银行保险机构信息科技外包风险监管办法》(银保监办发〔2021〕141号)、《保险机构信息化风险非现场监管报表及评价体系》等政策要求,聚焦保险机构信息科技外包全流程,全面识别外包准入、合同管理、服务实施、风险管控、退出处置等环节的风险隐患,核查外包管理体系的健全性、合规性和有效性,揭示外包活动中存在的违规操作、管控缺失等问题,提出针对性审计建议,推动保险机构强化信息科技外包风险管控,坚守网络安全和数据安全底线,保障保险业务持续稳定运营,助力行业数字化转型健康发展。
3、保险行业信息科技外包风险专项审计范围
(1). 机构范围:被审计单位总部及所属分支机构、子公司(含直接或间接控制的境内外保险分公司和非保险子公司)涉及信息科技外包活动的相关部门(如信息科技部、风险管理部、采购部、业务部门等);
(2). 业务范围:审计期间内被审计单位开展的各类信息科技外包活动,包括但不限于咨询规划类、开发测试类、运行维护类、安全服务类、业务支持类等外包业务,重点覆盖重要外包活动(如数据中心整体外包、核心业务系统开发测试和运行维护外包、涉及重要数据和客户个人敏感信息处理的外包等);
(3). 时间范围:本次专项审计的时间范围为[具体审计期间],必要时可追溯至外包业务发起阶段,延伸核查相关历史资料和整改情况。
4、保险行业信息科技外包风险专项审计方法与技巧
结合保险行业信息科技外包的专业性、复杂性特点,综合运用多种审计方法,注重审计技巧的运用,提升审计效率和审计质量,确保审计结论准确、可靠。
(1)常规审计方法
1). 查阅资料法:全面查阅被审计单位的外包管理制度、流程文件、合同协议、审批记录、尽职调查报告、质量考核记录、风险评估报告、应急预案、演练记录、整改资料等,梳理外包全流程的关键节点和管控情况,识别违规问题和风险隐患。查阅过程中,重点关注资料的真实性、完整性、合规性,对关键资料进行复印、留存,作为审计证据。
2). 访谈法:围绕审计内容,有针对性地访谈被审计单位的董事会、高管层、信息科技部门、风险管理部门、采购部门、业务部门及外包执行团队的相关人员,了解外包治理、准入、合同、实施、监控、退出等环节的实际情况,核实资料反映的信息,排查隐性问题。访谈时,做好访谈记录,明确访谈对象、时间、内容,必要时要求访谈对象签字确认。
3). 现场核查法:深入被审计单位的外包服务现场(如数据中心、开发测试场地、服务提供商办公场地等),实地查看服务实施情况、监控设备运行情况、人员值守情况、数据存储情况等,核实外包服务质量、安全管控措施的落实情况,排查现场管理中的违规行为和风险隐患。现场核查时,拍摄现场照片、记录现场情况,作为审计证据。
4). 检查法:对被审计单位的外包业务相关凭证、单据、台账等进行检查,核实外包费用支付、服务质量考核、数据传输等情况,确认相关业务的合规性和真实性。例如,检查外包费用支付凭证,核实支付金额、支付时间是否与合同约定一致;检查数据传输记录,核实数据传输的安全性和规范性。
5). 分析性复核法:对被审计单位的外包业务数据进行分析,包括外包业务规模、服务提供商集中度、服务质量考核结果、风险评估结果等,通过对比分析、趋势分析、比率分析等方式,识别异常情况和风险隐患。例如,分析服务提供商的合作占比,识别集中度风险;分析服务质量考核得分的变化趋势,评估外包服务质量的稳定性。
(2)专项审计技巧
1). 穿透式审计技巧:针对重要外包业务,穿透核查服务提供商的实际运营情况,包括其资质真实性、技术实力、人员配置、安全保障能力等,排查层层转包、变相外包、资质挂靠等隐性风险。例如,通过核查服务提供商的股权结构、实际控制人,确认其是否具备相应的服务能力;通过实地核查服务提供商的技术团队,确认其是否能够满足外包服务需求。
2). 风险导向审计技巧:以风险为导向,结合行业特点和监管要求,先识别信息科技外包各环节的高风险点(如重要数据处理外包、核心系统运维外包等),重点围绕高风险点设计审计程序、开展审计核查,提升审计针对性和效率。例如,针对数据安全风险,重点核查数据传输、存储、使用、销毁等环节的管控措施,排查数据泄露风险。
3). 技术辅助审计技巧:运用计算机辅助审计工具,对被审计单位的信息系统、外包服务相关数据进行采集、分析和核查,提升审计效率和准确性。例如,通过数据抓取工具,提取外包服务相关数据,排查数据异常情况;通过漏洞扫描工具,检测外包相关系统的安全漏洞,识别安全风险。
4). 函证与问询技巧:针对服务提供商的资质、业绩、合作情况等,向相关单位(如监管部门、合作客户、第三方机构)发送函证,核实相关信息的真实性;对存在疑问的事项,向被审计单位相关人员、服务提供商进行专项问询,明确问题细节,获取补充审计证据。
5). 对比验证技巧:将被审计单位的外包管理制度、流程、合同等与监管政策要求、行业标准进行对比,核查合规性;将外包服务实际实施情况与合同约定、服务标准进行对比,核查服务质量;将以往审计发现的问题与整改情况进行对比,核查整改效果。
三、保险行业信息科技外包风险专项审计难点
结合本次专项审计实际,主要面临以下4个难点,对审计工作的专业性和实操性提出较高要求:
1. 隐性外包风险排查难度大。保险公司部分外包业务存在“表面合规、实质违规”的隐性外包行为,如部分核心系统运维外包商擅自将部分运维工作转包给无资质的第三方机构,且未向A保险公司报备,审计组需通过穿透式核查,追溯外包业务底层实施情况,才能发现此类隐性风险,核查过程耗时费力。
2. 数据安全审计取证难度高。外包服务过程中,客户敏感信息、业务核心数据的传输、存储、使用等环节涉及多方主体,部分外包商未按规定留存数据操作记录,且数据传输采用加密方式,审计组需运用专业技术工具,破解数据取证难题,核实数据安全管控措施的落实情况,防范数据泄露风险。
3. 外包服务质量量化评估难。保险公司对外包服务质量的考核指标较为笼统,缺乏科学、细化的量化标准,部分考核记录流于形式,审计组难以准确评估外包服务质量的真实性和有效性,需结合服务日志、业务反馈、现场核查等多方面信息,综合判断外包服务质量是否符合合同约定和监管要求。
4. 跨部门协同核查效率低。信息科技外包业务涉及保险公司信息科技部、采购部、风险管理部、业务部门等多个部门,各部门之间的资料传递不及时、信息共享不充分,部分部门对审计工作配合度不高,导致审计组在核查过程中需反复沟通协调,影响审计效率。
四、保险行业信息科技外包风险专项审计内容及审计程序
围绕信息科技外包全生命周期,结合监管政策要求和行业风险特点,重点审计以下内容,明确对应审计程序,确保审计工作有序推进、重点突出。
(一)信息科技外包治理审计
1. 审计内容
(1)外包治理架构:核查被审计单位是否建立覆盖董事会、高管层、信息科技外包风险主管部门、外包执行团队的组织架构,权责划分是否清晰、运转是否高效,是否明确各层级在信息科技外包管理中的职责(如董事会审批外包战略、高管层制定外包策略、主管部门统筹风险管控等);
(2)外包战略与制度:核查是否制定与自身业务战略、信息科技战略相适应的信息科技外包战略,是否明确不能外包的核心职能(如信息科技战略管理、风险管理、内部审计等);是否建立健全信息科技外包管理制度、流程,包括外包准入、尽职调查、合同管理、服务监控、风险评估、退出管理等,制度是否符合监管要求并及时更新;
(3)外包分类分级管理:核查是否建立外包活动分类管理机制,是否对重要外包和一般外包采取差异化管控措施,重要外包的识别标准是否明确、审批流程是否合规;
(4)资源配置:核查是否配备足够的具备相应能力和经验的人员负责外包管理工作,是否定期对相关人员进行专业培训和能力考核,是否为外包管理工作提供充足的预算和技术支持。
2. 审计程序
(1)查阅被审计单位的公司章程、董事会决议、高管层会议纪要,了解外包治理架构的设立及运行情况;
(2)收集并审阅信息科技外包战略、管理制度、流程文件,对比监管政策要求,核查制度的合规性、完整性和时效性;
(3)访谈信息科技外包风险主管部门、外包执行团队及相关业务部门负责人,了解外包分类分级管理实施情况、资源配置情况及存在的问题;
(4)查阅人员配备清单、培训记录、考核资料,核查外包管理团队的专业能力和履职情况;
(5)梳理外包治理相关问题,形成审计工作底稿,留存相关证据。
(二)外包准入与尽职调查审计
1. 审计内容
(1)准入标准:核查被审计单位是否明确服务提供商的准入标准,包括资质要求、技术能力、服务水平、风险管理能力、合规记录等,准入标准是否符合监管要求和自身业务需求;
(2)尽职调查:核查对备选服务提供商是否开展尽职调查,尤其是重要外包的服务提供商,是否深入核查其经营状况、资质证书、技术实力、安全保障能力、过往服务业绩、诚信记录等,尽职调查流程是否规范、内容是否全面,必要时是否聘请第三方机构协助调查;
(3)准入审批:核查外包项目的准入审批流程是否合规,是否经过相应层级的审批,重要外包是否向高管层报告并经审批,审批资料是否完整、规范;
(4)集中度管理:核查是否存在服务提供商集中度过高的情况,是否制定集中度风险管控措施,是否避免过度依赖单一服务提供商。
2. 审计程序
(1)查阅服务提供商准入标准文件、尽职调查方案及报告、审批流程记录等资料;
(2)随机抽取部分服务提供商,核查其资质证书、经营许可证、过往服务合同、业绩证明等资料,核实尽职调查内容的真实性和完整性;
(3)访谈外包执行团队,了解尽职调查的实施过程、重点关注事项及遇到的问题;
(4)统计服务提供商的合作规模、合作期限,分析集中度风险,核查集中度管控措施的落实情况;
(5)核查准入审批资料的完整性,确认审批流程的合规性,对不符合要求的情况进行记录。
(三)外包合同管理审计
1. 审计内容
(1)合同签订:核查外包合同是否采用规范的合同文本,签订流程是否合规,合同主体是否合法有效,是否明确双方的权利和义务;
(2)合同内容:核查合同内容是否完整,是否包含服务范围、服务标准、服务期限、费用支付、质量考核、保密条款、数据安全条款、知识产权条款、违约责任、争议解决、退出机制、应急处置等核心内容,是否符合监管政策要求(如明确禁止将网络安全主体责任外包、明确重要数据和个人信息保护要求等);
(3)合同变更与续签:核查合同变更、续签的流程是否合规,是否经过审批,变更、续签的理由是否充分,相关资料是否完整;
(4)合同备案:核查重要外包合同是否按监管要求进行备案,备案资料是否完整、及时。
2. 审计程序
(1)收集审计期间内所有信息科技外包合同及相关附件(如补充协议、变更协议等);
(2)逐份审阅合同内容,对比监管政策和内部制度要求,核查合同内容的完整性、合规性;
(3)查阅合同签订、变更、续签的审批记录,核实流程的合规性;
(4)查阅监管备案资料,核查重要外包合同的备案情况;
(5)访谈合同管理部门和外包执行团队,了解合同履行过程中存在的问题,核实合同条款的执行情况。
(四)外包服务实施与监控审计
1. 审计内容
(1)服务质量管控:核查被审计单位是否建立外包服务质量考核机制,是否定期对服务提供商的服务质量进行评估,考核指标是否科学、合理,考核结果是否与服务费用、续签决策挂钩;
(2)现场与远程监控:核查是否对服务提供商的服务实施过程进行有效监控,包括现场监控、远程监测等,是否及时发现并处理服务过程中的异常情况;
(3)数据安全与保密:核查外包服务过程中,被审计单位的重要数据、客户个人信息是否得到有效保护,服务提供商是否严格遵守保密条款,是否存在数据泄露、滥用、篡改等风险;是否落实数据安全分级分类管理要求,是否规范数据传输、存储、使用、销毁等环节的管理;
(4)人员管理:核查服务提供商派驻现场的人员资质、背景是否符合要求,是否经过安全培训和背景审查,是否签订保密协议,人员变动是否及时告知被审计单位并办理相关手续;
(5)违规外包核查:核查是否存在未经审批擅自外包、层层转包、变相外包等违规行为,是否存在将核心职能外包的情况。
2. 审计程序
(1)查阅外包服务质量考核制度、考核记录、评估报告等资料,核实考核机制的有效性和执行情况;
(2)实地核查服务提供商的服务现场(如数据中心、开发测试场地等),查看监控设备运行情况、人员值守情况,了解服务实施过程;
(3)查阅数据安全管理制度、保密协议、数据传输记录、存储介质管理记录等,核查数据安全管控措施的落实情况;
(4)抽查服务提供商派驻人员的资质证明、背景审查记录、培训记录、保密协议等资料;
(5)通过访谈、现场核查等方式,排查违规外包行为,核实相关情况并留存证据。
(五)外包风险评估与应急处置审计
1. 审计内容
(1)风险评估:核查被审计单位是否建立信息科技外包风险评估机制,是否定期对外包业务的风险进行识别、评估和分析,风险评估的范围是否全面,评估结果是否用于优化外包管理策略和管控措施;
(2)应急预案:核查是否制定外包服务中断、数据泄露、服务提供商违约等突发事件的应急预案,应急预案是否科学、可行,是否明确应急处置流程、责任分工、应急资源等;
(3)应急演练:核查是否定期组织应急演练,演练的频率、内容是否符合要求,演练效果是否进行评估,是否根据演练结果优化应急预案和处置措施;
(4)风险报告:核查外包风险信息是否及时向高管层、董事会及监管部门报告,报告内容是否真实、完整,是否存在隐瞒不报、迟报等情况。
2. 审计程序
(1)查阅外包风险评估制度、风险评估报告、风险台账等资料,核实风险评估机制的执行情况;
(2)审阅应急预案、应急演练方案、演练记录、演练评估报告等,核查应急预案的可行性和应急演练的有效性;
(3)访谈风险管理部门、信息科技部门,了解外包风险识别、评估、处置及报告情况;
(4)查阅风险报告记录,核实报告的及时性、真实性和完整性,对比监管要求,排查违规报告行为。
(六)外包退出管理审计
1. 审计内容
(1)退出策略:核查被审计单位是否制定外包退出策略,退出策略是否明确可能造成外包终止的情形、业务影响分析、终止交接安排等内容;
(2)退出审批:核查外包业务终止、服务提供商退出的审批流程是否合规,审批资料是否完整,退出理由是否充分;
(3)交接管理:核查外包终止时,是否与服务提供商做好业务交接、数据交接、系统交接等工作,交接流程是否规范,交接资料是否完整,是否确保业务连续性和数据安全性;
(4)后续管理:核查外包退出后,是否对服务提供商进行后续评估,是否及时清理相关合同、资料,是否存在遗留风险。
2. 审计程序
(1)查阅外包退出策略、退出审批记录、交接协议、交接记录等资料;
(2)访谈外包执行团队、信息科技部门,了解外包退出的实施过程、交接情况及后续管理情况;
(3)核查交接资料的完整性和规范性,确认交接工作是否符合要求,是否存在遗留风险;
(4)查阅外包退出后的评估报告、资料清理记录等,核实后续管理工作的落实情况。
(七)外包合规性与监管要求落实审计
1. 审计内容
(1)监管政策落实:核查被审计单位的信息科技外包活动是否严格遵守银保监会等监管部门的相关政策要求,是否存在违反监管规定的行为(如违规外包核心职能、未落实数据安全保护要求等);
(2)内部审计与整改:核查被审计单位内部审计部门是否定期开展信息科技外包风险审计,审计发现的问题是否及时整改,整改效果是否达标;
(3)监管检查整改:核查被审计单位是否落实监管部门以往检查中提出的外包风险相关整改要求,整改措施是否到位,整改结果是否通过监管验收。
2. 审计程序
(1)对比监管政策要求,梳理被审计单位外包管理的合规性要点,逐项核查落实情况;
(2)查阅内部审计报告、整改记录、整改评估报告等资料,核实内部审计及整改情况;
(3)查阅监管检查报告、整改通知、整改回复等资料,核实监管整改要求的落实情况;
(4)访谈内部审计部门、合规管理部门,了解合规性管控及整改工作中存在的问题。
五、保险行业信息科技外包风险专项审计问题与建议
(一)保险行业信息科技外包风险专项审计问题
结合审计方案核心审计内容,本次审计共发现6类主要问题,均违反《银行保险机构信息科技外包风险监管办法》等监管政策及A保险公司内部外包管理制度,具体如下:
1、外包治理存在短板。一是未建立完善的外包分类分级管理机制,未明确重要外包与一般外包的识别标准,对核心业务系统运维、客户敏感信息处理等重要外包业务,未采取差异化管控措施;二是外包管理团队人员配备不足,且部分人员缺乏信息科技外包风险管控专业能力,未定期开展专业培训和能力考核;三是外包战略与公司信息科技战略衔接不够紧密,未根据数字化转型需求及时更新外包战略。
2、准入与尽职调查不规范。一是对外包服务提供商的准入标准不够明确,未将数据安全资质、过往合规记录作为核心准入条件;二是对3家重要外包服务提供商开展的尽职调查流于形式,未深入核查其实际经营状况、技术实力及安全保障能力,未聘请第三方机构协助开展尽职调查;三是存在服务提供商集中度过高的问题,其中1家外包商承担了该公司60%以上的核心系统运维业务,未制定集中度风险管控措施,过度依赖单一外包商。
3、合同管理存在漏洞。一是部分外包合同内容不完整,未明确数据安全条款、应急处置条款及退出机制,其中4份客户信息处理外包合同未约定数据泄露的违约责任;二是2份重要外包合同变更未履行审批流程,擅自变更外包服务范围和服务标准;三是3份重要外包合同未按监管要求进行备案,备案资料不完整、不及时。
4、服务实施与监控不到位。一是未建立完善的外包服务质量考核机制,考核指标笼统,考核结果未与服务费用、续签决策挂钩;二是对核心外包服务提供商的服务实施过程缺乏有效监控,未开展常态化现场核查,未及时发现外包商擅自转包、人员资质不符等问题;三是数据安全管控存在薄弱环节,外包商在数据传输、存储过程中未严格遵守保密条款,存在客户敏感信息泄露隐患;四是外包商派驻现场的3名技术人员未经过背景审查,未签订保密协议,人员变动未及时告知A保险公司。
5、风险评估与应急处置不完善。一是未建立常态化的外包风险评估机制,未定期对外包业务风险进行识别、评估和分析,风险评估结果未用于优化外包管控措施;二是未制定针对外包服务中断、数据泄露等突发事件的应急预案,未明确应急处置流程和责任分工;三是未定期组织应急演练,无法有效应对外包业务突发风险。
6、合规性与监管要求落实不到位。一是未严格落实监管部门关于信息科技外包的相关要求,存在违规将部分核心职能外包的情况;二是内部审计部门未定期开展信息科技外包风险审计,以往审计发现的2项外包风险问题未及时整改;三是未落实监管部门以往检查中提出的外包合同备案、数据安全管控等整改要求,整改措施不到位。
(二)保险行业信息科技外包风险专项审计建议
本次保险公司信息科技外包风险专项审计案例,反映出当前保险行业部分机构在信息科技外包风险管控中存在的共性问题,结合专项审计工作方案要求,提出以下审计建议:
1. 强化外包治理,筑牢风险管控基础。保险机构应建立健全覆盖董事会、高管层、主管部门、执行团队的外包治理架构,明确各层级权责分工,完善外包分类分级管理机制,结合行业数字化转型需求,制定科学合理的外包战略,配备专业的外包管理团队,定期开展培训,提升外包风险管控专业能力,从源头防范外包风险。
2. 规范全流程管控,防范重点环节风险。信息科技外包风险贯穿准入、合同、实施、退出全生命周期,保险机构应重点规范准入尽职调查,严格审核外包商资质和能力;完善合同管理,明确核心条款,规范合同签订、变更、备案流程;强化服务实施监控,加强现场核查和数据安全管控,及时发现和处置违规行为;健全退出管理机制,规范交接流程,防范遗留风险。
3. 聚焦数据安全,坚守合规底线。随着保险行业数字化转型加速,客户敏感信息、业务核心数据成为外包风险管控的核心重点,保险机构应严格落实《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规要求,将数据安全管控贯穿外包全流程,明确外包商数据安全责任,加强数据传输、存储、使用等环节的监控,防范数据泄露、滥用等风险,坚守合规底线。
4. 健全风险防控体系,提升应急处置能力。保险机构应建立常态化外包风险评估机制,定期识别、评估外包风险,优化管控措施;制定完善的应急预案,明确应急处置流程和责任分工,定期组织应急演练,提升应对外包业务突发风险的能力,确保业务持续稳定运营。
5. 强化审计监督,推动整改落地见效。审计部门应发挥审计监督职能,严格按照专项审计工作方案要求,运用多种审计方法和技巧,深入排查外包风险隐患,精准揭示违规问题;建立健全审计整改闭环管理机制,强化整改跟踪督办,督促被审计单位落实整改要求,完善长效管控机制,同时总结审计经验和典型案例,推动整个保险行业提升信息科技外包风险管控水平。
