劉巍 曹迎春 門爍 李平良

[摘要]面對信息技術(shù)治理環(huán)境的新變化和新要求，本文提出“面向?qū)徲嬕暯堑男畔⑾到y(tǒng)地圖”工作方案，在深入分析系統(tǒng)邊界模糊、系統(tǒng)底數(shù)不清、系統(tǒng)呈現(xiàn)困難等挑戰(zhàn)的基礎(chǔ)上，圍繞公司信息技術(shù)戰(zhàn)略，積極探索解決思路，通過運用成熟的可視化技術(shù)，實現(xiàn)了包括系統(tǒng)架構(gòu)、系統(tǒng)清單、系統(tǒng)關(guān)系和系統(tǒng)風(fēng)險等多個維度的展示視圖，并拓展應(yīng)用實踐場景，從審計發(fā)現(xiàn)的頻次、原因和影響等方面，構(gòu)建信息技術(shù)風(fēng)險分析矩陣，為企業(yè)信息技術(shù)治理工作提供借鑒思路。

[關(guān)鍵詞]系統(tǒng) 地圖? ?信息技術(shù)? ?審計

一、引言

當(dāng)前，國家大力推動新型基礎(chǔ)設(shè)施大規(guī)模建設(shè)，5G、AICDE（AI、IoT、Cloud Computing、Big Data、Edge Computing，即人工智能、物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、邊緣計算）、區(qū)塊鏈等新一代信息技術(shù)應(yīng)用在“十四五”時期必將迎來爆發(fā)拐點，進入全面擴散時代。隨著新一代信息技術(shù)深度融入經(jīng)濟社會民生，作為信息技術(shù)審計對象的信息系統(tǒng)已經(jīng)變得越來越復(fù)雜，這也對信息技術(shù)治理工作提出了更高的要求?！笆奈濉币?guī)劃明確提出，要“統(tǒng)籌發(fā)展和安全”，加強“重要網(wǎng)絡(luò)和信息系統(tǒng)安全保障”。中共中央辦公廳、國務(wù)院辦公廳在《關(guān)于實行審計全覆蓋的實施意見》中提出，加強審計項目計劃統(tǒng)籌，在摸清審計對象底數(shù)的基礎(chǔ)上，建立分行業(yè)、分領(lǐng)域?qū)徲媽ο髷?shù)據(jù)庫。實現(xiàn)有重點、有步驟、有深度、有成效的全覆蓋。國資委、審計署近年來相繼印發(fā)文件，進一步強調(diào)了全覆蓋相關(guān)要求。COBIT2019、ITIL4等相關(guān)國際標(biāo)準(zhǔn)也陸續(xù)更新發(fā)布，指出了審計計劃階段中信息系統(tǒng)風(fēng)險評估的重要性。

面對信息技術(shù)治理環(huán)境的新變化和新要求，為落實國家網(wǎng)絡(luò)信息安全戰(zhàn)略、提升信息系統(tǒng)安全防護能力、全面摸清信息系統(tǒng)家底，建立信息系統(tǒng)地圖已然成為信息技術(shù)審計人員面臨的重要任務(wù)。

二、系統(tǒng)地圖研究難點與解決思路

常用地理地圖具備三個基本特征，即邊界清晰、區(qū)劃完備、呈現(xiàn)便捷，然而這三個基本特征卻是建立信息系統(tǒng)地圖亟需解決的難題。

（一）系統(tǒng)邊界

目前，信息系統(tǒng)邊界尚未發(fā)現(xiàn)統(tǒng)一標(biāo)準(zhǔn)。ISACA、中國國家標(biāo)準(zhǔn)化管理委員會等國內(nèi)外權(quán)威機構(gòu)資料顯示，信息系統(tǒng)的定義均比較宏觀，未明確系統(tǒng)邊界。同時，隨著信息技術(shù)發(fā)展，傳統(tǒng)“主機+數(shù)據(jù)庫+前臺應(yīng)用”的系統(tǒng)架構(gòu)加快向云化、虛擬化演進，相關(guān)技術(shù)已經(jīng)打破了系統(tǒng)獨立、邊界清晰等煙囪思維。

為此，建立系統(tǒng)地圖要順應(yīng)信息技術(shù)發(fā)展趨勢，跳出系統(tǒng)煙囪思維的束縛，對于獨立系統(tǒng)或者組件化的功能應(yīng)用，都需要充分收集，并在此基礎(chǔ)上，圍繞組織的信息技術(shù)戰(zhàn)略，梳理出信息系統(tǒng)所支撐的業(yè)務(wù)與管理流程，提煉清晰的流程邊界，從而實現(xiàn)系統(tǒng)地圖邊界的重構(gòu)。

（二）系統(tǒng)底數(shù)

隨著經(jīng)濟社會發(fā)展中數(shù)字化轉(zhuǎn)型的深入，為支撐組織的風(fēng)險管理和價值創(chuàng)造，各類信息系統(tǒng)在持續(xù)發(fā)揮核心作用的同時，相關(guān)應(yīng)用功能、系統(tǒng)數(shù)據(jù)等信息資產(chǎn)“家底”也變得更加龐大，給組織的系統(tǒng)底數(shù)統(tǒng)計帶來挑戰(zhàn)。本文分析了所在單位近十年來所做的數(shù)次信息系統(tǒng)底數(shù)調(diào)查，結(jié)果顯示，因系統(tǒng)定義模糊、系統(tǒng)分布廣泛等原因，系統(tǒng)底數(shù)差異較大。為保障系統(tǒng)地圖的完備性，應(yīng)圍繞公司信息技術(shù)戰(zhàn)略規(guī)劃，結(jié)合IT運營部門資產(chǎn)數(shù)據(jù)，充分收集系統(tǒng)清單，在此基礎(chǔ)上，還可以綜合運用以下方法來識別組織中的信息系統(tǒng)。

一是從4A（Authentication、Authorization、Account、Audit，即認(rèn)證、授權(quán)、賬號、審計）系統(tǒng)直接獲取，該方法可收集到組織中的絕大部分信息系統(tǒng)。

二是運用主機的“netstat”命令，查看當(dāng)前網(wǎng)絡(luò)狀態(tài)，獲取狀態(tài)為“LISTEN”的對端IP地址，形成網(wǎng)絡(luò)拓?fù)洌ㄈ鐖D1所示），再根據(jù)通信端口與IP地址的分配規(guī)則等信息，識別出未納入4A管控的系統(tǒng)。

三是從組織簽訂的合同清單中，搜索“系統(tǒng)”“平臺”“應(yīng)用”“功能”等關(guān)鍵詞，識別出系統(tǒng)開發(fā)與運維合同，進一步查漏補缺，增強系統(tǒng)清單的完整性。

四是對于嵌入多個應(yīng)用模塊的超大系統(tǒng)，應(yīng)根據(jù)是否具有獨立的賬號登錄功能，劃分為多個系統(tǒng)，提升系統(tǒng)清單的準(zhǔn)確性。

（三）系統(tǒng)呈現(xiàn)

傳統(tǒng)地理地圖的GIS位置特征為使用者帶來了非常直觀、便捷的體驗。而目前的大型企業(yè)大都基于“管理—支撐—執(zhí)行”的組織架構(gòu)體系，涵蓋總部職能管理部門、專業(yè)支撐單位和各級區(qū)域公司等多類機構(gòu)，這些機構(gòu)在地理位置上互有交叉，單純的GIS地圖難以直觀、便捷地呈現(xiàn)各類機構(gòu)的信息系統(tǒng)情況。

為此，對于大型集團公司，系統(tǒng)地圖的呈現(xiàn)形式除了應(yīng)具備傳統(tǒng)地理地圖的位置特征外，還應(yīng)構(gòu)建面向總部職能管理部門、專業(yè)支撐單位與區(qū)域公司的多層次展示架構(gòu)。系統(tǒng)地圖的呈現(xiàn)方法可充分運用成熟的可視化技術(shù)，如Python模板庫中的pyecharts開發(fā)包，封裝了開源的百度數(shù)據(jù)可視化產(chǎn)品Echarts，憑借著良好的交互性、精巧的圖表設(shè)計，得到了眾多開發(fā)者的認(rèn)可。

三、面向?qū)徲嬕暯堑男畔⑾到y(tǒng)地圖探索

對于大型集團公司，面向?qū)徲嬕暯堑男畔⑾到y(tǒng)地圖是總部統(tǒng)籌部署信息技術(shù)審計工作的重要抓手，也是全集團信息技術(shù)審計的核心能力和工作指引，可以有效支撐信息技術(shù)審計的中長期規(guī)劃和年度計劃，指導(dǎo)所屬單位開展信息技術(shù)審計工作，并通過持續(xù)的信息系統(tǒng)風(fēng)險評估，提升公司信息系統(tǒng)“畫像”的精準(zhǔn)度，進一步向公司管理層和職能管理部門輸出權(quán)威、專業(yè)的信息技術(shù)治理研究報告，不斷促進公司信息技術(shù)戰(zhàn)略目標(biāo)的達成。以下是筆者在系統(tǒng)地圖方面的具體實踐情況。

（一）總體架構(gòu)

按照“架構(gòu)權(quán)威、實用開放、便捷美觀”的總目標(biāo)，筆者團隊積極克服系統(tǒng)邊界模糊、系統(tǒng)底數(shù)不清、系統(tǒng)呈現(xiàn)困難等挑戰(zhàn)，緊密圍繞公司信息技術(shù)戰(zhàn)略，充分總結(jié)過往審計成果，面向?qū)徲嬕暯?，覆蓋總部職能管理部門、專業(yè)支撐單位和省級區(qū)域公司，初步探索構(gòu)建了全方位的信息系統(tǒng)地圖管理架構(gòu)，如圖2所示。

該架構(gòu)在傳統(tǒng)GIS地圖的基礎(chǔ)上，進一步疊加了“兩環(huán)”。其中，“外環(huán)”代表總部職能管理部門，“內(nèi)環(huán)”代表各專業(yè)支撐單位，GIS地圖代表具體落地執(zhí)行的省級公司。通過該架構(gòu)，采用便捷的“鉆取”方式，可以直觀、全面地呈現(xiàn)各個機構(gòu)的信息系統(tǒng)、數(shù)據(jù)關(guān)系以及問題風(fēng)險等具體情況。

（二）多維呈現(xiàn)

為全面呈現(xiàn)全集團信息系統(tǒng)的整體架構(gòu)、功能特點、重要關(guān)系和問題風(fēng)險等情況，從4個維度設(shè)計了系統(tǒng)地圖的展示視圖，包括系統(tǒng)架構(gòu)視圖、系統(tǒng)清單視圖、系統(tǒng)關(guān)系視圖和系統(tǒng)風(fēng)險視圖，如圖3所示。

1.系統(tǒng)架構(gòu)視圖?；诠拘畔⒓夹g(shù)戰(zhàn)略的系統(tǒng)架構(gòu)視圖是系統(tǒng)地圖的基礎(chǔ)，涵蓋公司信息技術(shù)戰(zhàn)略涉及的各個業(yè)務(wù)和管理流程，又可稱為信息系統(tǒng)的標(biāo)簽。通過該視圖，審計人員能夠全面了解公司的信息技術(shù)戰(zhàn)略與架構(gòu)，可以根據(jù)審計工作需求，快速定位特定系統(tǒng)架構(gòu)下的信息系統(tǒng)情況，并通過“鉆取”方式，為進一步摸清相關(guān)系統(tǒng)清單、功能用途、數(shù)據(jù)關(guān)系等關(guān)鍵信息提供便利，如圖4所示。

該視圖運用了樹狀圖（Treemap），通過二次開發(fā)，新增全局變量定義，用來存儲樹狀圖的初始全量數(shù)據(jù)和上一次點擊元素，并增加“dblclick”鼠標(biāo)雙擊消息的JS響應(yīng)代碼，在消息處理邏輯上判斷本次點擊元素和上一次點擊元素的全稱，根據(jù)名稱是否相同實現(xiàn)“雙擊下鉆至子流程或返回到父流程”的便捷操作功能。

2.系統(tǒng)清單視圖。系統(tǒng)清單視圖是系統(tǒng)架構(gòu)視圖的實例化，涵蓋了總部職能管理部門、專業(yè)支撐單位和各級區(qū)域公司的相關(guān)系統(tǒng)、平臺或功能模塊。通過該視圖，審計人員可整體掌握全集團的系統(tǒng)清單情況，并以點擊“鉆取”的便捷方式，能夠查看各個機構(gòu)信息系統(tǒng)的具體分布，快速呈現(xiàn)被審計單位相關(guān)業(yè)務(wù)流程下的系統(tǒng)清單以及各個系統(tǒng)的具體功能描述，為審計方案、審計程序和審計資料需求的制定提供有力支撐，如圖5所示。

3.系統(tǒng)關(guān)系視圖。系統(tǒng)關(guān)系視圖用于展示系統(tǒng)數(shù)據(jù)間的關(guān)聯(lián)關(guān)系，通過可視化的關(guān)系圖表能夠直觀呈現(xiàn)A、Z端的數(shù)據(jù)表名稱、字段名稱、關(guān)聯(lián)條件等重要信息，如圖6所示。

利用該視圖，在審前階段，可幫助審計組長編制更加可行的審計方案，提升審計程序的可操作性;在項目實施中，還可為審計組員的審計思路、分析邏輯、腳本算法等提供具體指導(dǎo)，減少重復(fù)訪談時間，提升審計工作效率;在審計工作結(jié)束后，對于審計過程中經(jīng)過訪談、查看、穿行測試等掌握的全流程數(shù)據(jù)關(guān)系，可實現(xiàn)這些寶貴經(jīng)驗的有效積累和固化，并為其他審計人員提供參考，從而不斷促進全集團的審計能力提升。

4.系統(tǒng)風(fēng)險視圖。系統(tǒng)風(fēng)險視圖用于展示全集團各機構(gòu)的信息系統(tǒng)風(fēng)險情況，包括總部職能管理部門、專業(yè)支撐單位和各級區(qū)域公司的審計發(fā)現(xiàn)問題，是審計成果的積淀，并通過不同顏色呈現(xiàn)了相關(guān)系統(tǒng)、流程的風(fēng)險程度與覆蓋盲區(qū)，其中灰色代表尚未覆蓋，藍色代表審計中未發(fā)現(xiàn)問題，橙色代表審計中發(fā)現(xiàn)了問題，如圖7所示。

通過該視圖，在審計選題、審計覆蓋等計劃制訂工作方面，可為審計機構(gòu)管理人員提供重要的決策依據(jù);在審計項目開展中，審計人員能夠整體掌握被審計單位信息系統(tǒng)風(fēng)險情況，并以點擊“鉆取”的便捷方式，查看具體信息系統(tǒng)的過往審計發(fā)現(xiàn)問題，可以做到有針對性地實施重點核查;在信息技術(shù)治理研究報告編制方面，可為編制人員提供豐富、詳實的素材，實現(xiàn)公司信息系統(tǒng)的精準(zhǔn)“畫像”，提升相關(guān)分析報告的權(quán)威性。

（三）邏輯結(jié)構(gòu)

為實現(xiàn)上述4個維度展示，系統(tǒng)地圖共涉及12張數(shù)據(jù)結(jié)構(gòu)表，如圖8所示。

其中，系統(tǒng)架構(gòu)視圖方面，系統(tǒng)架構(gòu)表包括公司信息技術(shù)戰(zhàn)略相關(guān)的全景業(yè)務(wù)和管理流程。系統(tǒng)清單視圖方面，組織機構(gòu)表包括“管理、支撐、執(zhí)行”三級組織;系統(tǒng)清單表包括系統(tǒng)名稱、系統(tǒng)功能與數(shù)據(jù)描述、系統(tǒng)所屬部門等信息;架構(gòu)實例表是系統(tǒng)清單與系統(tǒng)架構(gòu)的映射關(guān)系和實例化，一個系統(tǒng)可以對應(yīng)多個架構(gòu)流程。系統(tǒng)關(guān)系視圖方面，系統(tǒng)關(guān)系表、關(guān)系節(jié)點表、關(guān)系連接表用來記錄重要的系統(tǒng)或數(shù)據(jù)關(guān)系。系統(tǒng)風(fēng)險視圖方面，審計項目表、覆蓋單位表、審計發(fā)現(xiàn)表屬于審計項目的基礎(chǔ)信息;覆蓋系統(tǒng)表記錄了審計項目覆蓋的系統(tǒng)情況;系統(tǒng)問題表記錄了審計發(fā)現(xiàn)涉及的系統(tǒng)情況。

（四）應(yīng)用實踐

為進一步完善上述系統(tǒng)地圖數(shù)據(jù)，探索系統(tǒng)地圖的應(yīng)用場景，筆者團隊收集、整理了近年來實施的審計項目情況，從審計發(fā)現(xiàn)的頻次、原因和影響等方面，構(gòu)建信息技術(shù)相關(guān)問題風(fēng)險分析矩陣，深入開展多維分析，識別公司信息技術(shù)領(lǐng)域的重要風(fēng)險，提出管理建議，推動公司IT治理水平的不斷提升，如圖9所示。

其中，發(fā)生頻次方面，業(yè)務(wù)管控問題分為一般控制和應(yīng)用控制兩類，安全管控問題分為安全管理和安全技術(shù)兩類;產(chǎn)生原因方面，管理問題可以從制度設(shè)計和制度執(zhí)行環(huán)節(jié)查找原因，系統(tǒng)問題可以查找功能管控和數(shù)據(jù)質(zhì)量相關(guān)原因;造成影響方面，實質(zhì)性影響包括可計算的資金損失浪費以及難以計算金額的客戶投訴、信息泄露等情況，風(fēng)險性影響主要包括合規(guī)性等一般風(fēng)險情況。

關(guān)于上述風(fēng)險分析工作，其關(guān)鍵在于頻次分析過程中相關(guān)信息技術(shù)問題的具體分類。通過研究ISACA、中國內(nèi)部審計協(xié)會、中國國家標(biāo)準(zhǔn)化管理委員會等國內(nèi)外權(quán)威組織機構(gòu)的相關(guān)信息技術(shù)治理標(biāo)準(zhǔn)、規(guī)范，結(jié)合筆者單位的業(yè)務(wù)運營實際情況，筆者團隊將信息技術(shù)問題歸納為四級、71個具體小類，如表1所示。該分類為信息系統(tǒng)的精準(zhǔn)“畫像”勾勒出了具體“輪廓”，可供相關(guān)企業(yè)參考借鑒。

四、結(jié)束語

隨著國家“十四五”規(guī)劃的正式出臺，在未來數(shù)字經(jīng)濟的浪潮中，信息技術(shù)戰(zhàn)略必將成為企業(yè)高質(zhì)量發(fā)展的重要支撐。如何及時全面地識別、評估并應(yīng)對信息系統(tǒng)控制風(fēng)險，是提升信息技術(shù)治理能力的關(guān)鍵因素。本文從系統(tǒng)地圖入手，面向?qū)徲嬕暯?，圍繞公司信息系統(tǒng)整體架構(gòu)，在收集整理系統(tǒng)底數(shù)、系統(tǒng)關(guān)系的基礎(chǔ)上，形成系統(tǒng)風(fēng)險視圖。這些探索和實踐，可以為相關(guān)企業(yè)的信息技術(shù)治理工作提供借鑒思路，共同為全行業(yè)的信息技術(shù)治理工作貢獻力量。

（作者單位：中國移動通信集團有限公司，郵政編碼：100033，電子郵箱：lipingliang@chinamobile.com）