在軟件供應(yīng)鏈基礎(chǔ)管理審計中開展研究型審計的實踐探索

[摘要]深入開展研究型審計是實現(xiàn)審計事業(yè)高質(zhì)量發(fā)展的必由之路。本文詳細闡述了研究型審計在審前、審中和審后三個階段具體做法，包括聚焦核心風(fēng)險，優(yōu)化審計方法，深入業(yè)務(wù)本質(zhì)，挖掘共性成因，提出針對性審計建議等關(guān)鍵環(huán)節(jié)；并結(jié)合軟件供應(yīng)鏈基礎(chǔ)管理審計的實踐案例，剖析了研究型審計如何有效促進企業(yè)的高質(zhì)量發(fā)展，并從中提煉出可供借鑒的經(jīng)驗和啟示，旨在為內(nèi)部審計工作提供有益參考。

[關(guān)鍵詞]研究型審計" "軟件供應(yīng)鏈" "審計實踐

一、研究型審計研究方向及主要內(nèi)容

2023年5月，習(xí)近平總書記在二十屆中央審計委員會第一次會議中指出：“堅持依法審計，做實研究型審計，發(fā)揚斗爭精神，增強斗爭本領(lǐng)，打造經(jīng)濟監(jiān)督的‘特種部隊’，把問題查準、查深、查透”。這一指示強調(diào)了研究型審計在提升審計質(zhì)量、深化審計監(jiān)督中的關(guān)鍵作用，要求審計人員在實踐中不斷探索和創(chuàng)新，以適應(yīng)新時代審計工作的需要。

研究型審計注重全局、科學(xué)、系統(tǒng)地謀劃，研究剖析問題表象，深入挖掘問題的本質(zhì)成因，能夠切實推動問題解決，提出建設(shè)性意見。研究型審計的總要求是堅持系統(tǒng)觀念，運用研究思維，以問題為導(dǎo)向，對審計對象、審計環(huán)境及審計項目全過程進行系統(tǒng)的調(diào)查研究，推動審計工作進一步提高政治站位，明確政策方向，增強審計監(jiān)督針對性，提高審計質(zhì)量效率和水平，更好發(fā)揮審計監(jiān)督作用。

（一）審前階段，圍繞制訂科學(xué)的審計方案開展研究

1.研究相關(guān)政策，把握審計核心立意。主要涉及審計領(lǐng)域與審計對象的相關(guān)宏觀政策法規(guī)探討、國家及行業(yè)標準分析，以及企業(yè)戰(zhàn)略研究三個部分。一是通過深入剖析審計領(lǐng)域與對象的相關(guān)宏觀政策法規(guī)、規(guī)劃、上級監(jiān)管要求，能夠精確識別當(dāng)前宏觀政策與監(jiān)管的普遍問題及發(fā)展趨勢，為后續(xù)審計工作提供指導(dǎo)。審計人員應(yīng)全方位搜集并整理與國家宏觀政策、法規(guī)、規(guī)劃及上級監(jiān)管要求相關(guān)的信息，深入學(xué)習(xí)國家層面的政策要求。同時，深入研究宏觀政策、改革方向及法律法規(guī)，把握重大決策部署的出臺背景、戰(zhàn)略意圖、改革目標等根本性和方向性問題，緊跟審計領(lǐng)域政策理論及前沿研究動態(tài)，不斷提升審計工作的政治性和前瞻性。此外，還應(yīng)結(jié)合上級監(jiān)管要求、發(fā)展趨勢和動態(tài)，深入思考背后的政策背景、戰(zhàn)略考慮和實踐要求，評估和分析當(dāng)前宏觀政策、監(jiān)管要求與公司發(fā)展戰(zhàn)略的關(guān)聯(lián)程度。圍繞審計領(lǐng)域和審計對象的業(yè)務(wù)特征，識別現(xiàn)階段的政策和監(jiān)管重點，為開展研究型審計奠定堅實基礎(chǔ)。二是研究并參照審計領(lǐng)域和審計對象的相關(guān)國家、行業(yè)標準，吸收優(yōu)秀實踐經(jīng)驗，揭示潛在不足。三是深入研究企業(yè)戰(zhàn)略的出臺背景、目標和關(guān)鍵領(lǐng)域，精準定位業(yè)務(wù)管理需要重點關(guān)注的領(lǐng)域，及時開展審計監(jiān)督。審計人員應(yīng)獲取被審計單位的相關(guān)發(fā)展戰(zhàn)略規(guī)劃，緊密圍繞公司轉(zhuǎn)型升級和改革創(chuàng)新的重點領(lǐng)域，關(guān)注公司發(fā)展的熱點、堵點。

2.深度分析經(jīng)典案例，歸納識別核心風(fēng)險。主要針對審計領(lǐng)域及審計對象的關(guān)鍵風(fēng)險問題與重點案例線索展開研究，包括對歷年項目回顧研究以及典型案例研究的深入探討。一方面，通過回顧過往同類審計項目，歸納總結(jié)審計發(fā)現(xiàn)的普遍性問題，從服務(wù)發(fā)展大局和提高治理水平的視角，分析審計領(lǐng)域和對象的業(yè)務(wù)管理持續(xù)存在的風(fēng)險隱患和整改情況，挖掘相關(guān)問題線索。另一方面，通過行業(yè)和內(nèi)部的典型案例分析，聚焦主要風(fēng)險，從微觀視角全面剖析風(fēng)險敞口和風(fēng)險鏈條。

3.逐級比對管理制度，嚴格把關(guān)落實情況。通過系統(tǒng)化梳理審計領(lǐng)域和審計對象的相關(guān)管理制度，明確管理要求。首先，全面收集集團下發(fā)、?。ǚ郑┕景l(fā)布的與審計領(lǐng)域和對象相關(guān)的制度，明確集團制度要求，梳理省公司制度，形成審計制度庫。其次，將相關(guān)制度與國家政策、標準要求相對照，發(fā)掘?qū)徲嬵I(lǐng)域中的制度性漏洞。再次，對比分析省（分）公司制度與集團公司制度，梳理省（分）公司未按照集團要求制定或細化相關(guān)制度要求的情況，挖掘管理制度方面的不足。最后，為避免陷入圍繞制度而談制度的問題，需結(jié)合宏觀層面研究狀況、審計領(lǐng)域業(yè)務(wù)實際管理現(xiàn)狀和未來趨勢，分析制度制定是否符合實際情況，并具備引導(dǎo)業(yè)務(wù)高質(zhì)量合規(guī)發(fā)展的特點。

4.全面摸排工作現(xiàn)狀，促進審計數(shù)字化轉(zhuǎn)型。重點結(jié)合業(yè)務(wù)特征研究審計領(lǐng)域和審計對象的發(fā)展現(xiàn)狀和未來趨勢。首先，審計人員應(yīng)梳理審計領(lǐng)域和對象的管理流程，確定關(guān)鍵管理環(huán)節(jié)和主要責(zé)任人。其次，研究被審計單位的風(fēng)險管控措施，優(yōu)先梳理被審計單位針對固有風(fēng)險所采取的風(fēng)險管控措施，評價其設(shè)計有效性和執(zhí)行有效性。最后，通過識別固有風(fēng)險和已控制風(fēng)險，總結(jié)剩余風(fēng)險敞口，即未被管理或未被有效控制的風(fēng)險，作為后續(xù)審計的關(guān)注重點。此外，現(xiàn)狀摸排研究應(yīng)注重方法論，深化數(shù)據(jù)采集和分析管理，積極實踐數(shù)字化審計方式，全面調(diào)查梳理審計對象，多途徑多方式開展審前數(shù)據(jù)采集，促進審計工作從現(xiàn)場審計為主向后臺數(shù)據(jù)分析和現(xiàn)場審計并重轉(zhuǎn)變。

5.聚焦核心風(fēng)險，制訂審計實施方案。在制訂審計實施方案的過程中，一要找準政策錨點，聚焦核心風(fēng)險。以聚焦核心風(fēng)險為出發(fā)點，確保每一項工作都緊密圍繞審計目標展開。具體而言，需要根據(jù)前述研究，聚焦政策、戰(zhàn)略本身及其落地過程中的重點、熱點、難點，錨定更加典型、更具有針對性、更亟待解決的問題方向，這樣才能確保審計實施方案的目標明確、重點突出，從而更好地指導(dǎo)后續(xù)審計工作的開展。二要立足實際情況，科學(xué)制訂方案。通過綜合研究，結(jié)合明確的審計目標和重點，科學(xué)制訂審計實施方案。方案內(nèi)容應(yīng)當(dāng)包括但不限于審計目標、范圍、重點、方法步驟、組織方式、審計框架、資料需求明細等。這些內(nèi)容的制訂需要充分考慮被審計單位或項目的實際情況，確保方案的可行性和有效性。同時，還需要在方案制訂過程中充分考慮各種可能出現(xiàn)的情況和風(fēng)險點，并制訂相應(yīng)的應(yīng)對措施，以確保審計工作的順利進行。

（二）審中階段，聚焦提高審計質(zhì)效開展研究

1.創(chuàng)優(yōu)方式方法，確保查深查透，力求“提質(zhì)增效”。

優(yōu)化審計方法，開展數(shù)智審計。審中階段應(yīng)當(dāng)注意選取適當(dāng)?shù)膶徲嫵绦蚝头椒ǎx擇相對有效、便捷和經(jīng)濟的路徑。根據(jù)審計項目類型特點，可以搭建相關(guān)的審計模型進行數(shù)據(jù)分析，及時討論審計模型的應(yīng)用范圍和適用性。同時結(jié)合項目實際，積極應(yīng)用提升審計效率和質(zhì)量的技術(shù)、工具和方法，研究適配“現(xiàn)場+遠程+云化”要求的集中數(shù)智審計模式。

深入業(yè)務(wù)本質(zhì)，上下結(jié)合審查。應(yīng)當(dāng)圍繞審計目標、審計事實，反復(fù)審視取證資料，聚焦重大風(fēng)險，充分了解被審計單位的發(fā)展?fàn)顩r、內(nèi)部控制及其執(zhí)行情況，準確定位問題根源和責(zé)任人，分析研判主要特征、突出問題、重大風(fēng)險，針對具體事項和問題，要做到證據(jù)完備、事實清楚、定性準確、建議可行。首先，“以上看下”找差距，從政策、戰(zhàn)略和制度落地的關(guān)鍵點看執(zhí)行中存在的差距和原因。其次，“以下看上”找困難，對下級難以執(zhí)行的困難之處，從上級設(shè)計層面找問題根源，推動重大決策部署順暢執(zhí)行。最后，縱向總結(jié)，橫向貫通，對查出問題進行綜合研判，既要縱向歸納提煉具有苗頭性、傾向性、普遍性的問題以及典型個案、局部問題，也要橫向貫通分析各業(yè)務(wù)管理部門的問題，打通橫向問題堵點。

把控審計質(zhì)量，提高審計效率?！疤豳|(zhì)增效”是研究型審計的重要目標之一。在提質(zhì)方面，研究型審計注重提升審計工作的專業(yè)性和精準性，通過深入分析審計對象的業(yè)務(wù)特點、風(fēng)險點以及潛在問題，制訂出更具針對性的審計計劃和方案，從而提高審計工作的質(zhì)量和效果。在增效方面，研究型審計通過優(yōu)化審計流程、提高審計效率、減少審計資源浪費等方式，實現(xiàn)審計工作的快速高效推進，進一步提升審計工作的整體效益。

2.積極溝通反饋，挖掘共性成因。

加強溝通交流，多方獲取信息。為了更全面地發(fā)現(xiàn)問題，審計人員應(yīng)當(dāng)積極主動與被審計單位相關(guān)人員溝通，從而能夠廣泛聽取各方面意見，深入了解問題產(chǎn)生的深層次原因，尤其要對被審計單位的反饋意見認真研究，站在不同角度審視這些問題和結(jié)論，必要時還應(yīng)當(dāng)征求監(jiān)管部門等外部專家意見。

逐層解構(gòu)問題，把握共性成因。為了更精準地揭示問題、更高效地解決問題，審計人員應(yīng)當(dāng)由表及里更深入地剖析原因，從而推動問題標本兼治。審計人員應(yīng)當(dāng)透過現(xiàn)象看本質(zhì)，通過成因?qū)訉咏鈽?gòu)，明確問題產(chǎn)生的原因、過程。問題的成因主要有直接原因、深層原因、根本原因三個層次。直接原因通常指的是導(dǎo)致事件發(fā)生的近期的、直接的誘導(dǎo)性因素，是時間關(guān)系或邏輯關(guān)系上最為接近的因素，直接原因往往與制度設(shè)計和流程、機制原因等制度因素相關(guān)；深層原因指與事物有關(guān)的多種原因中起決定性作用的原因，是直接原因的進一步深化和具體化，深層原因可能涉及能力建設(shè)等各個方面，它們對事件的發(fā)展起到了更為關(guān)鍵的作用；根本原因則是導(dǎo)致事物發(fā)生變化的根源或者最本質(zhì)的原因，通常隱藏在深層原因之后。根本原因常常涉及更為宏觀、更為長遠的因素，如風(fēng)險合規(guī)意識、企業(yè)文化建設(shè)等。通過問題成因分析，審計人員可以更完整地掌握被審計單位的體制性障礙、機制性缺陷、制度性漏洞、管理性松軟、執(zhí)行性偏差等情況。

（三）審后階段，以高質(zhì)量審計成果為核心開展研究

1.嚴把審計報告質(zhì)量關(guān)，促進項目整改提升。

全面總結(jié)成果，提升報告質(zhì)量。研究型審計報告不僅要關(guān)注企業(yè)的合規(guī)性，還應(yīng)注重企業(yè)的內(nèi)部運營、風(fēng)險管理、績效評估和戰(zhàn)略規(guī)劃等方面。從總體上研究分析審計發(fā)現(xiàn)問題的規(guī)律、趨勢、特征以及重要性程度，為被審計單位精準畫像。研究型審計報告應(yīng)當(dāng)系統(tǒng)梳理問題，多角度、多層次的歸納、提煉審計發(fā)現(xiàn)問題，分清問題的主次，揭示問題的本質(zhì)，力求視角全面、重點突出、分析有力，對審計事項作出全面、恰如其分的反映。

做好審后管理，督促部門整改。重視審后階段問題整改也是研究型審計與傳統(tǒng)審計的主要區(qū)別之一，研究型審計把審計整改作為研究的關(guān)鍵點，推進審計整改，促進審計質(zhì)效提升。一是要明確整改要求，加強審計成果的橫向、縱向總結(jié)提煉，預(yù)先研究整改效果，提出具體整改意見，明確審計整改措施、標準和整改要求，關(guān)注整改的有效性、長效性。二是在督促整改提升過程中，將相關(guān)問題納入被審計單位審計成果庫，實行動態(tài)管理機制，確保問題整改到位，審計成果落到實處。

2.提出針對性審計建議，沉淀審計成果。

提出審計建議，聚焦重點問題。發(fā)現(xiàn)問題、分析原因都是為了更好地解決問題，研究型審計要求結(jié)合問題成因分析情況，在摸準問題情況和吃透政策的基礎(chǔ)上，提出有針對性的對策建議，形成長效機制。一方面針對普遍共性問題，可從治理層面提出體系化的管理提升建議為戰(zhàn)略決策提供依據(jù)，發(fā)揮審計的建設(shè)性作用；另一方面針對典型個性問題，可從執(zhí)行層面提出落地性的整改舉措建議，聚焦公司重點領(lǐng)域和問題，做好問題分類處置，針對問題性質(zhì)提出分類移送意見。

沉淀審計成果，總結(jié)審計方法。審后階段審計人員還應(yīng)當(dāng)注重審計成果的沉淀與轉(zhuǎn)化。首先，應(yīng)當(dāng)注重項目積淀，積累項目政策法規(guī)、行業(yè)標準、制度規(guī)范等審計文檔庫，持續(xù)積累在多項目中運用。其次，從審計背景、審計線索、解決辦法等方面認真回顧梳理，對審計過程中的方法思路、信息化審計技巧、疑難問題突破等方面進行歸納。最后，總結(jié)提煉優(yōu)秀成果、審計方式方法、審計技術(shù)、工具等，在實踐中不斷固化和優(yōu)化，持續(xù)加以運用，做到“一審多果”“一果多用”。

二、研究型審計下開展軟件供應(yīng)鏈基礎(chǔ)管理審計的實踐

習(xí)近平總書記在黨的二十大報告中強調(diào)，推進國家安全體系和能力現(xiàn)代化，堅決維護國家安全和社會穩(wěn)定。軟件供應(yīng)鏈安全是國家安全的重要組成部分，也是推動企業(yè)高質(zhì)量發(fā)展的重要基礎(chǔ)，因此備受國家和行業(yè)的關(guān)注。

中國移動內(nèi)審部始終站在黨和國家工作支持者的立場上，在集團全部單位開展軟件供應(yīng)鏈基礎(chǔ)管理審計，檢查已有軟件供應(yīng)鏈相關(guān)管理領(lǐng)域的各項要求執(zhí)行情況，以提高中國移動網(wǎng)絡(luò)與信息安全整體水平，為公司健康發(fā)展筑牢根基。云南移動內(nèi)審部和中國信息通信研究院的專家組成審計組，結(jié)合研究型審計方法，貫徹研究型審計思維，開展軟件供應(yīng)鏈基礎(chǔ)管理審計，總結(jié)出一套貫徹審前、審中、審后切實可行的研究型審計實踐方法。

（一）審前階段，開展“4+1”審前研究工作，細化拓展審計框架

結(jié)合供應(yīng)鏈管理實踐，研究宏觀政策與公司發(fā)展戰(zhàn)略。為全面落實上級監(jiān)管部門要求，服務(wù)公司轉(zhuǎn)型升級大局，在宏觀上把握審計對象及領(lǐng)域的共性、趨勢性問題。審計組的審前第一項研究工作是對國內(nèi)外的政策、標準，以及公司上層戰(zhàn)略規(guī)劃等開展研究。工信部《“十四五”軟件和信息技術(shù)服務(wù)業(yè)發(fā)展規(guī)劃》提出，軟件是新一代信息技術(shù)的靈魂，是數(shù)字經(jīng)濟發(fā)展的基礎(chǔ)，是制造強國、網(wǎng)絡(luò)強國、數(shù)字中國建設(shè)的關(guān)鍵支撐。軟件拓展數(shù)字化發(fā)展新空間，新發(fā)展格局賦予產(chǎn)業(yè)新使命，軟件定義賦能實體經(jīng)濟新變革，開源重塑軟件發(fā)展新生態(tài)。此外，對國內(nèi)外政策和標準研究發(fā)現(xiàn)當(dāng)前軟件供應(yīng)鏈主要聚焦在安全及合規(guī)兩個方面，安全方面主要包括對供應(yīng)鏈安全審查、軟件供應(yīng)鏈攻擊、代碼安全、軟件物料清單SBOM、開源安全、軟件供應(yīng)商安全能力等；合規(guī)方面主要集中在軟件知識產(chǎn)權(quán)、開源知識產(chǎn)權(quán)和法律合規(guī)、開源出口管制等。審前開展政策理論研究為識別審計重點提供了方向性指引，準確定位審計重點，服務(wù)公司發(fā)展大局，助力高質(zhì)量發(fā)展。

分析供應(yīng)鏈安全案例，識別安全風(fēng)險敞口。除了研究宏觀政策與發(fā)展戰(zhàn)略，審前工作還需要開展軟件供應(yīng)鏈典型案例剖析，從微觀視角分析審計對象及領(lǐng)域的具體風(fēng)險敞口，進一步細化軟件開發(fā)、交付、使用過程的各環(huán)節(jié)，深入分析軟件供應(yīng)鏈安全風(fēng)險敞口。審計組針對30余起典型軟件供應(yīng)鏈攻擊事件進行剖析，發(fā)現(xiàn)過往安全事件主要集中在研發(fā)工具及環(huán)境管理、軟件代碼管理、開源軟件管理以及軟件供應(yīng)商管理領(lǐng)域，因此將以上4個易受攻擊的風(fēng)險敞口作為本次審計關(guān)注的重點。審前通過開展軟件供應(yīng)鏈典型案例剖析，深入了解被審計單位，識別審計重點領(lǐng)域，聚焦核心風(fēng)險。

梳理主要制度，加強頂層設(shè)計。為全面了解被審計單位的制度要求，審計組全面梳理公司主要制度，自上而下進行集團省內(nèi)制度對比，通過對比國家政策及標準要求，梳理共90余個制度文件，發(fā)現(xiàn)軟件供應(yīng)鏈制度體系頂層設(shè)計待加強，軟件供應(yīng)鏈關(guān)聯(lián)制度眾多且較為分散，核心風(fēng)險領(lǐng)域制度有待完善。

了解供應(yīng)鏈現(xiàn)狀，防范重要風(fēng)險。為充分了解被審計單位的發(fā)展現(xiàn)狀、內(nèi)部控制及其執(zhí)行情況，分析研判主要特征、突出問題、重大風(fēng)險，需自下而上開展供應(yīng)鏈現(xiàn)狀摸排，包括系統(tǒng)摸排、供應(yīng)商摸排與剩余風(fēng)險摸排。系統(tǒng)摸排通過全面梳理信息系統(tǒng)地圖、認證系統(tǒng)、備案系統(tǒng)等平臺，整理補充云南移動軟件系統(tǒng)清單，通過多渠道交叉驗證的方式提升了系統(tǒng)梳理的準確性和質(zhì)量，并且合理確定系統(tǒng)抽樣原則。由于云南移動的軟件供應(yīng)鏈主要由供應(yīng)商負責(zé)搭建，因此在審前階段對軟件供應(yīng)商開展摸排，識別分析系統(tǒng)開發(fā)運維服務(wù)等情況，為審中對供應(yīng)商進行訪談及檢查做好前置分析。最后，通過對省內(nèi)軟件類項目從立項到下線整個生命周期的管理流程進行梳理，識別出剩余風(fēng)險敞口較大的環(huán)節(jié)予以重點關(guān)注。

通過審前分析研究，審計組識別聚焦軟件供應(yīng)鏈核心風(fēng)險，結(jié)合省內(nèi)安全管理實際情況，編制和完善新的審計框架。依照拓展后的審計框架，聚焦核心領(lǐng)域，對公司軟件供應(yīng)鏈基礎(chǔ)管理現(xiàn)狀開展審計核查。該審計框架一方面充分考慮到組織機構(gòu)的完整性、制度的健全性與軟件正版化、備案、軟件資產(chǎn)的梳理，另一方面考慮到了戰(zhàn)略和管理的前瞻性，提出軟件供應(yīng)鏈四大核心管理領(lǐng)域：軟件供應(yīng)商管理、軟件研發(fā)工具及環(huán)境管理、開源軟件管理和軟件代碼管理，以確保審計框架發(fā)揮應(yīng)有的效力。

（二）審中階段，聚焦軟件供應(yīng)鏈核心領(lǐng)域管理，挖掘共性成因

檢查機制有效性，保證制度合規(guī)性。審中階段在集團公司的審計框架基礎(chǔ)上，全面采用研究型審計方法，審查公司軟件供應(yīng)鏈的基礎(chǔ)管理情況，深入了解公司的軟件規(guī)模與管理現(xiàn)狀，檢查公司在軟件采購、開發(fā)、交付、上線、運維等環(huán)節(jié)相關(guān)管理機制的健全性、執(zhí)行有效性，以及國家和公司在網(wǎng)絡(luò)信息安全方面的要求的貫徹情況。

發(fā)掘管理堵點，分層探求原因。依照拓展后的審計框架，審計組聚焦核心領(lǐng)域，對公司軟件供應(yīng)鏈基礎(chǔ)管理現(xiàn)狀開展審計核查，揭示公司在軟件供應(yīng)商管理、軟件研發(fā)工具及其環(huán)境管理、開源軟件管理、軟件代碼管理、軟件安全運營管理、組織管理及機制建設(shè)等領(lǐng)域存在的提升改進點。在深入研究問題成因方面，通過系統(tǒng)地分析和梳理，逐步深入挖掘問題的直接原因、深層原因、根本原因，揭示問題現(xiàn)象背后公司對于軟件供應(yīng)鏈基礎(chǔ)管理的重要性及潛在風(fēng)險存在認識不足的情況。例如，審計組發(fā)現(xiàn)公司需要加強供應(yīng)商服務(wù)連續(xù)性管理，目前公司對具有機構(gòu)集中度、外資介入、缺少信息安全管理認證特點的供應(yīng)商的持續(xù)監(jiān)控仍有待加強。造成這一問題的直接原因為相關(guān)部門對供應(yīng)商的管控程序和要求有待完善。而該問題的深層原因為公司對軟件開發(fā)服務(wù)供應(yīng)商的管理策略尚需細化。造成這一問題的根本原因為公司需進一步加強軟件供應(yīng)鏈風(fēng)險的宣傳和關(guān)注。

（三）審后階段，歸集痛點和需求，提出軟件供應(yīng)鏈針對性建議，沉淀審計成果

歸集痛點需求，明確改進方向。在軟件供應(yīng)鏈管理方面，存在一系列痛點和需求，需要著重關(guān)注和解決。首先，軟件供應(yīng)鏈管理要求存在優(yōu)化的空間，需要建立更清晰的管理制度和流程。其次，開發(fā)優(yōu)化需求量大，上線前的測試和評估工作需要更加注重質(zhì)量控制。再次，軟件供應(yīng)鏈中的風(fēng)險管理依賴上線后的安全管控。此外，需要更完善的供應(yīng)商管理機制。最后，軟件資產(chǎn)統(tǒng)一管理和定期梳理有待加強。整體看來，解決這些痛點和需求對于改進軟件供應(yīng)鏈管理的有效性和安全性至關(guān)重要，有助于提升公司的整體效率和穩(wěn)定性。

提出改進建議，總結(jié)實踐方法。審計的目的不僅在于識別和揭示問題，更重要的是通過深入分析問題的本質(zhì)，提出行之有效的改進建議，從而促使公司提高管理水平。在審后階段，審計組秉承研究型審計方法，提出切實可行的改進建議，如，加強軟件供應(yīng)鏈組織及制度頂層設(shè)計，實施軟件供應(yīng)商管理分類分級管理，提升軟件代碼安全管理等，推動審計問題整改，確保問題得到全面解決。審計組注重審計成果沉淀并深化運用，著重在以下方面開展工作：一是注重審計項目成果沉淀，形成了“軟件供應(yīng)鏈審計制度庫、軟件供應(yīng)鏈典型案例庫、軟件供應(yīng)商信息庫”等審計成果；二是促進研究型審計成果轉(zhuǎn)化，將研究型審計實踐經(jīng)驗進行提煉總結(jié)，固化形成研究型審計操作指引，進一步為其他審計項目賦能，切實運用研究型審計理念指導(dǎo)審計質(zhì)量、效率和水平提升。

三、研究型審計在實踐案例中的成效與啟示

軟件供應(yīng)鏈基礎(chǔ)管理審計項目是云南移動內(nèi)部審計在實踐中深入做實研究型審計的初步探索，取得了顯著的成效，證明了研究型審計理念對于實現(xiàn)審計高質(zhì)量發(fā)展具有重要指導(dǎo)意義，通過實踐案例獲得以下幾點啟示。

（一）始終秉持并貫徹研究型審計理念

研究型審計理念強調(diào)以嚴謹?shù)难芯繎B(tài)度進行審計，通過持續(xù)地探索和創(chuàng)新，不斷提升審計工作的質(zhì)量和效率。審計人員不斷追蹤最新的審計理論和研究成果，以實時更新審計方法和技巧，這一過程不僅是研究型審計工作的重要環(huán)節(jié)，也是審計人員專業(yè)素質(zhì)不斷提升的體現(xiàn)。研究型審計理念通過更深入的剖析、更廣泛的數(shù)據(jù)應(yīng)用以及更綜合的方法，不僅提升了審計人員的專業(yè)勝任能力，還為企業(yè)提供了更為全面和深刻的審計建議，有助于企業(yè)更好地管控風(fēng)險、優(yōu)化運營和實現(xiàn)可持續(xù)發(fā)展。

（二）倡導(dǎo)最佳實踐，積極落實審計成果

審計成果的落地應(yīng)用能夠助力組織參照行業(yè)標準與規(guī)范，提升治理及運營能力，將審計成果有效落實是實現(xiàn)最佳實踐的核心環(huán)節(jié)。審計人員既要提供精準的審計報告與建議，還需與被審計單位保持積極溝通，制定更有針對性的改進措施并推動實施。倡導(dǎo)并踐行最佳實踐，致力于將審計成果融入實際工作，這包括推動組織內(nèi)部積極采納審計建議，構(gòu)建高效改進機制，注重將審計項目成果以制度庫、案例庫和信息庫等形式沉淀，更致力于將研究型審計的實踐經(jīng)驗提煉總結(jié)，確保問題得到根本解決，并持續(xù)提高審計工作質(zhì)量。

（三）問題深層次分析，提高審計建議針對性

深入問題的核心，進行深層次分析，以精準度為目標，使審計建議更具針對性。這種分析方法旨在揭示問題的根本原因，并識別與之相關(guān)的關(guān)鍵因素。通過深刻理解根本問題，審計團隊能夠提供更具體、更有效的建議，以解決問題的根本。這種深入分析的方法有助于提高審計建議的實際可行性和針對性，確保問題得到徹底解決，為組織的改進和提升提供更有力的支持。

（四）通過實踐不斷完善研究型審計理論

審計人員在審計項目實踐過程中，不可避免地會遇到各種復(fù)雜的情況和問題，這些情況需要審計人員根據(jù)實際情況進行靈活應(yīng)對和調(diào)整，不斷補充完善研究型審計方法，這一過程也是研究型審計的一個重要特點，是其不斷適應(yīng)市場變化和業(yè)務(wù)需求的重要保障。研究型審計方法與審計項目形成互補，這種實踐中的反饋和調(diào)整使得研究型審計方法更加貼近實際需求，更加具有針對性和可操作性。

主要參考文獻

[1]寇明風(fēng)，王翰博.遼寧軟件產(chǎn)業(yè)發(fā)展路徑探析：趨勢、定位與路徑[J].遼寧經(jīng)濟， 2022（2）：7-12

[2]劉巍，潘欣怡，葉宇航.在統(tǒng)籌發(fā)展和安全中發(fā)揮內(nèi)部審計作用：構(gòu)建中國移動基于目標的審計分類監(jiān)督模型[J].中國內(nèi)部審計， 2022（5）：28-34

[3]苗培讓.研究型審計視角下內(nèi)部審計發(fā)展路徑探析[J].國際商務(wù)財會， 2024（4）：71-74+79

[4]翟國森，馮麗英.對研究型審計的幾點思考[J].財務(wù)與會計， 2022（12）：80-81