基于研究型審計(jì)的企業(yè)集團(tuán)信息科技審計(jì)框架研究
——以金控集團(tuán)為例

張 興

（1.中國光大集團(tuán)博士后科研工作站，北京 100033；2.中國人民大學(xué)博士后科研流動站，北京 100872）

數(shù)字化轉(zhuǎn)型背景下，企業(yè)隨著信息技術(shù)的快速發(fā)展和應(yīng)用處于動態(tài)變化中，一個有效的信息科技審計(jì)框架能夠及時(shí)識別這些變化，幫助企業(yè)規(guī)避風(fēng)險(xiǎn)。信息科技審計(jì)的重要性隨著業(yè)務(wù)運(yùn)營對信息科技的依賴程度的增加及監(jiān)管要求的趨嚴(yán)而不斷提高。然而，已有文獻(xiàn)指出，信息科技審計(jì)仍面臨較多的挑戰(zhàn)，包括審計(jì)人員與信息科技部門之間存在溝通障礙、未將信息科技審計(jì)轉(zhuǎn)化為數(shù)據(jù)驅(qū)動功能的長期戰(zhàn)略、缺乏信息科技審計(jì)專業(yè)人才及存在安全和隱私問題等。對于金融控股集團(tuán)（以下簡稱“金控集團(tuán)”）而言，不同企業(yè)、不同業(yè)務(wù)板塊之間差異較大，且具有一定的復(fù)雜性，對信息科技管理有效性和信息科技建設(shè)效果的評估形成巨大挑戰(zhàn)。

本文以金控集團(tuán)為研究對象，將研究型審計(jì)理念和思維貫穿于信息科技審計(jì)各環(huán)節(jié)和全過程，構(gòu)建了金控集團(tuán)信息科技審計(jì)框架，有助于金控集團(tuán)在厘清信息科技審計(jì)的難點(diǎn)和重點(diǎn)的基礎(chǔ)上，更好地規(guī)劃信息科技審計(jì)；也有助于金控集團(tuán)進(jìn)一步制定信息科技審計(jì)指南，開展信息科技審計(jì)實(shí)踐。

一、信息科技審計(jì)的主要范疇

信息科技審計(jì)的主要范疇包括以下幾個重點(diǎn)領(lǐng)域內(nèi)容。

1.科技治理領(lǐng)域，應(yīng)重點(diǎn)關(guān)注貫徹落實(shí)黨和國家關(guān)于信息科技重大決策部署的情況，科技戰(zhàn)略規(guī)劃的制定及執(zhí)行效果情況，科技政策和制度的制定及執(zhí)行情況，科技組織架構(gòu)等情況。

2.風(fēng)險(xiǎn)管理領(lǐng)域，應(yīng)重點(diǎn)關(guān)注科技風(fēng)險(xiǎn)管理政策、制度和流程的制定及執(zhí)行情況，科技風(fēng)險(xiǎn)的類別、識別、評估、監(jiān)測、應(yīng)對措施及報(bào)告等管理情況，信息科技風(fēng)險(xiǎn)事件的管理機(jī)制及執(zhí)行情況等。

3.綜合管理領(lǐng)域，應(yīng)重點(diǎn)關(guān)注供應(yīng)商、采購、合同管理等商務(wù)規(guī)定及執(zhí)行情況，固定資產(chǎn)管理規(guī)定及執(zhí)行情況，科技人員的招聘、培訓(xùn)、離崗等管理規(guī)定及執(zhí)行情況等。

4.系統(tǒng)開發(fā)和測試領(lǐng)域，應(yīng)重點(diǎn)關(guān)注項(xiàng)目計(jì)劃、項(xiàng)目預(yù)算、費(fèi)用管理情況，項(xiàng)目立項(xiàng)、實(shí)施、驗(yàn)收、后評價(jià)等項(xiàng)目過程管理情況，系統(tǒng)需求、設(shè)計(jì)、編碼、投產(chǎn)等系統(tǒng)開發(fā)過程管理情況，測試過程管理情況等。

5.系統(tǒng)運(yùn)維領(lǐng)域，應(yīng)重點(diǎn)關(guān)注系統(tǒng)日常運(yùn)維規(guī)范及執(zhí)行情況，應(yīng)用變更和運(yùn)維操作等運(yùn)維環(huán)節(jié)的風(fēng)險(xiǎn)控制情況，系統(tǒng)日常監(jiān)測、分析和改進(jìn)等執(zhí)行情況等。

6.系統(tǒng)運(yùn)行領(lǐng)域，應(yīng)重點(diǎn)關(guān)注生產(chǎn)環(huán)境中的信息技術(shù)資產(chǎn)、基礎(chǔ)設(shè)施的管理與使用的相關(guān)規(guī)定與執(zhí)行情況，重大生產(chǎn)事件、應(yīng)急預(yù)案管理規(guī)定及執(zhí)行情況，生產(chǎn)數(shù)據(jù)備份、調(diào)用、驗(yàn)證等管理情況等。

7.外包管理領(lǐng)域，應(yīng)重點(diǎn)關(guān)注科技外包管理戰(zhàn)略及制度體系建設(shè)情況，外包供應(yīng)商準(zhǔn)入、外包人員與外包風(fēng)險(xiǎn)管理開展情況等。

8.信息安全領(lǐng)域，應(yīng)重點(diǎn)關(guān)注信息安全戰(zhàn)略及安全體系建設(shè)情況，信息安全管理及安全技術(shù)應(yīng)用實(shí)施情況等。

二、信息科技審計(jì)監(jiān)管要求

我國目前已基本形成了一套覆蓋法律法規(guī)和行業(yè)規(guī)范的信息科技審計(jì)體系，其中，法律法規(guī)層面主要包括《中華人民共和國審計(jì)法》《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》等，行業(yè)規(guī)范層面主要以金融機(jī)構(gòu)為主，金融機(jī)構(gòu)是信息科技審計(jì)實(shí)踐最成熟的主體，具體內(nèi)容如表1所示。

表1 外部監(jiān)管制度對信息科技審計(jì)的要求

三、金控集團(tuán)信息科技審計(jì)面臨的主要難點(diǎn)與挑戰(zhàn)

信息科技審計(jì)專業(yè)性強(qiáng)、范圍廣，并且金控集團(tuán)具有業(yè)務(wù)板塊多、經(jīng)營機(jī)構(gòu)多、層級多的特點(diǎn)，在有限的審計(jì)資源下，信息科技審計(jì)仍面臨較大挑戰(zhàn)。

（一）難以實(shí)現(xiàn)全面覆蓋

一是難以實(shí)現(xiàn)對下屬企業(yè)信息科技審計(jì)的統(tǒng)一管理，由于金控集團(tuán)下屬企業(yè)涉及不同業(yè)務(wù)板塊，面臨不同的監(jiān)管要求，并且企業(yè)之間的信息科技建設(shè)水平差異大，統(tǒng)一管理難度較大。對于信息科技審計(jì)范圍、審計(jì)頻率、審計(jì)組織形式、審計(jì)內(nèi)容以及成果運(yùn)用機(jī)制等有待進(jìn)一步明確。二是信息科技審計(jì)涵蓋多個專業(yè)領(lǐng)域，對信息科技的全面審計(jì)需要大量的審計(jì)資源。

（二）審計(jì)成果運(yùn)用有待加強(qiáng)

針對審計(jì)發(fā)現(xiàn)的問題，整改效率和效果仍存在參差不齊的情況，難以真正實(shí)現(xiàn)舉一反三，與整改長效機(jī)制的要求仍有一定的距離，整改的系統(tǒng)性、針對性和時(shí)效性有待進(jìn)一步增強(qiáng)。

（三）信息科技審計(jì)專業(yè)能力有待提升

信息科技審計(jì)對審計(jì)人員的知識儲備和知識結(jié)構(gòu)具有較高要求，不僅需要掌握IT運(yùn)維開發(fā)知識，還需要對具體業(yè)務(wù)有深入的了解。隨著信息科技的迅速發(fā)展，新產(chǎn)品層出不窮，應(yīng)用系統(tǒng)更迭頻繁，盡管審計(jì)人員具備一定的信息技術(shù)背景和專業(yè)能力，但知識更新速度可能難以適應(yīng)信息技術(shù)的快速發(fā)展步伐。

四、基于研究型審計(jì)的金控集團(tuán)信息科技審計(jì)理論框架

本文基于研究型審計(jì)構(gòu)建金控集團(tuán)信息科技審計(jì)理論框架，如圖1所示。

圖1 基于研究型審計(jì)的金控集團(tuán)信息科技審計(jì)理論框架

（一）審計(jì)理念上，探索向系統(tǒng)深入的研究型審計(jì)轉(zhuǎn)變

傳統(tǒng)的審計(jì)理念難以適應(yīng)數(shù)字化時(shí)代的信息科技管理，研究型審計(jì)能夠運(yùn)用整體系統(tǒng)的思維，將信息科技看作一個系統(tǒng)并進(jìn)行整體研究，探究問題產(chǎn)生的真正原因，提升審計(jì)質(zhì)量和效益。

（二）審計(jì)內(nèi)容上，著力通過調(diào)研、試審等抓住重點(diǎn)精準(zhǔn)發(fā)力

1.深入調(diào)研。一是深入集團(tuán)下屬企業(yè)和同業(yè)企業(yè)調(diào)研。組織學(xué)習(xí)信息科技基礎(chǔ)知識，深入分析信息科技管理特點(diǎn)。二是收集整理信息科技相關(guān)法規(guī)政策及各行業(yè)監(jiān)管要求。三是與信息科技審計(jì)相關(guān)專家學(xué)者交流前沿實(shí)踐和研究情況。四是梳理以往審計(jì)資料，整理信息科技領(lǐng)域的主要問題和典型案例。

2.開展試審。通過試審測算信息科技審計(jì)項(xiàng)目工作量，研究提出統(tǒng)籌整合集團(tuán)審計(jì)和企業(yè)審計(jì)資源的具體路徑，著力突出審計(jì)重點(diǎn)。

（三）審計(jì)組織上，上下聯(lián)動步調(diào)一致推進(jìn)金控集團(tuán)審計(jì)一盤棋

1.堅(jiān)持統(tǒng)分結(jié)合上下穿透，努力做實(shí)金控集團(tuán)審計(jì)一盤棋。鑒于信息科技審計(jì)專業(yè)性較強(qiáng)，對信息化建設(shè)和審計(jì)能力的要求非常高，需要統(tǒng)籌金控集團(tuán)及企業(yè)審計(jì)力量開展信息科技審計(jì)項(xiàng)目。

2.加強(qiáng)過程指導(dǎo)和質(zhì)量控制。編制法規(guī)向?qū)Ш托畔⒖萍紝徲?jì)操作指南，提供方法指導(dǎo)。金控集團(tuán)審計(jì)部門可以組織編寫《信息科技審計(jì)操作手冊》，為開展信息科技審計(jì)取證操作提供詳細(xì)指導(dǎo)。

3.創(chuàng)新專題核查組織方式，開展“穿透式”審計(jì)工作。對于信息科技審計(jì)部分內(nèi)容，可以開展專項(xiàng)審計(jì)，如科技外包專項(xiàng)審計(jì)、信息安全專項(xiàng)審計(jì)、數(shù)據(jù)治理專項(xiàng)審計(jì)、項(xiàng)目管理專項(xiàng)審計(jì)、科技投資專項(xiàng)審計(jì)等。

（四）方式方法上，構(gòu)建金控集團(tuán)信息科技審計(jì)分級分類審計(jì)體系

考慮根據(jù)企業(yè)信息科技實(shí)踐的特征對集團(tuán)下屬企業(yè)進(jìn)行信息科技審計(jì)的分級分類，具體包括高、中、低三個等級，其中，等級越高，對信息科技審計(jì)的要求越高。具體如表2所示。

表2 金控集團(tuán)信息科技審計(jì)分級分類審計(jì)體系

（五）結(jié)果運(yùn)用上，一體化推進(jìn)揭示問題、規(guī)范信息科技管理

在全面摸清企業(yè)信息科技治理、科技風(fēng)險(xiǎn)管理、科技綜合管理、系統(tǒng)開發(fā)、系統(tǒng)測試、系統(tǒng)運(yùn)維、科技運(yùn)行等基本情況的基礎(chǔ)上，關(guān)注科技運(yùn)行的整個鏈條，對發(fā)現(xiàn)的具有普遍性、傾向性和苗頭性的問題，提出具有針對性和可操作性強(qiáng)的意見及建議。

五、結(jié)論

數(shù)字化時(shí)代背景下，企業(yè)集團(tuán)信息科技風(fēng)險(xiǎn)凸顯，信息科技審計(jì)重要性日益突出。本文通過梳理信息科技審計(jì)的主要范疇和外部監(jiān)管要求，結(jié)合金控集團(tuán)信息科技審計(jì)面臨的主要困境，基于研究型審計(jì)構(gòu)建了金控集團(tuán)信息科技審計(jì)理論框架，從審計(jì)理念、審計(jì)內(nèi)容、組織管理、方式方法、成果運(yùn)用等方面出發(fā)，系統(tǒng)地介紹了金控集團(tuán)信息科技審計(jì)的具體做法和實(shí)施路徑，希望為相關(guān)主體開展信息科技審計(jì)實(shí)踐提供一定的參考與借鑒。