張 興

（1.中國光大集團博士后科研工作站，北京 100033；2.中國人民大學博士后科研流動站，北京 100872）

數(shù)字化轉型背景下，企業(yè)隨著信息技術的快速發(fā)展和應用處于動態(tài)變化中，一個有效的信息科技審計框架能夠及時識別這些變化，幫助企業(yè)規(guī)避風險。信息科技審計的重要性隨著業(yè)務運營對信息科技的依賴程度的增加及監(jiān)管要求的趨嚴而不斷提高。然而，已有文獻指出，信息科技審計仍面臨較多的挑戰(zhàn)，包括審計人員與信息科技部門之間存在溝通障礙、未將信息科技審計轉化為數(shù)據(jù)驅動功能的長期戰(zhàn)略、缺乏信息科技審計專業(yè)人才及存在安全和隱私問題等。對于金融控股集團（以下簡稱“金控集團”）而言，不同企業(yè)、不同業(yè)務板塊之間差異較大，且具有一定的復雜性，對信息科技管理有效性和信息科技建設效果的評估形成巨大挑戰(zhàn)。

本文以金控集團為研究對象，將研究型審計理念和思維貫穿于信息科技審計各環(huán)節(jié)和全過程，構建了金控集團信息科技審計框架，有助于金控集團在厘清信息科技審計的難點和重點的基礎上，更好地規(guī)劃信息科技審計；也有助于金控集團進一步制定信息科技審計指南，開展信息科技審計實踐。

一、信息科技審計的主要范疇

信息科技審計的主要范疇包括以下幾個重點領域內容。

1.科技治理領域，應重點關注貫徹落實黨和國家關于信息科技重大決策部署的情況，科技戰(zhàn)略規(guī)劃的制定及執(zhí)行效果情況，科技政策和制度的制定及執(zhí)行情況，科技組織架構等情況。

2.風險管理領域，應重點關注科技風險管理政策、制度和流程的制定及執(zhí)行情況，科技風險的類別、識別、評估、監(jiān)測、應對措施及報告等管理情況，信息科技風險事件的管理機制及執(zhí)行情況等。

3.綜合管理領域，應重點關注供應商、采購、合同管理等商務規(guī)定及執(zhí)行情況，固定資產管理規(guī)定及執(zhí)行情況，科技人員的招聘、培訓、離崗等管理規(guī)定及執(zhí)行情況等。

4.系統(tǒng)開發(fā)和測試領域，應重點關注項目計劃、項目預算、費用管理情況，項目立項、實施、驗收、后評價等項目過程管理情況，系統(tǒng)需求、設計、編碼、投產等系統(tǒng)開發(fā)過程管理情況，測試過程管理情況等。

5.系統(tǒng)運維領域，應重點關注系統(tǒng)日常運維規(guī)范及執(zhí)行情況，應用變更和運維操作等運維環(huán)節(jié)的風險控制情況，系統(tǒng)日常監(jiān)測、分析和改進等執(zhí)行情況等。

6.系統(tǒng)運行領域，應重點關注生產環(huán)境中的信息技術資產、基礎設施的管理與使用的相關規(guī)定與執(zhí)行情況，重大生產事件、應急預案管理規(guī)定及執(zhí)行情況，生產數(shù)據(jù)備份、調用、驗證等管理情況等。

7.外包管理領域，應重點關注科技外包管理戰(zhàn)略及制度體系建設情況，外包供應商準入、外包人員與外包風險管理開展情況等。

8.信息安全領域，應重點關注信息安全戰(zhàn)略及安全體系建設情況，信息安全管理及安全技術應用實施情況等。

二、信息科技審計監(jiān)管要求

我國目前已基本形成了一套覆蓋法律法規(guī)和行業(yè)規(guī)范的信息科技審計體系，其中，法律法規(guī)層面主要包括《中華人民共和國審計法》《中華人民共和國網絡安全法》《中華人民共和國數(shù)據(jù)安全法》等，行業(yè)規(guī)范層面主要以金融機構為主，金融機構是信息科技審計實踐最成熟的主體，具體內容如表1所示。

表1 外部監(jiān)管制度對信息科技審計的要求

三、金控集團信息科技審計面臨的主要難點與挑戰(zhàn)

信息科技審計專業(yè)性強、范圍廣，并且金控集團具有業(yè)務板塊多、經營機構多、層級多的特點，在有限的審計資源下，信息科技審計仍面臨較大挑戰(zhàn)。

（一）難以實現(xiàn)全面覆蓋

一是難以實現(xiàn)對下屬企業(yè)信息科技審計的統(tǒng)一管理，由于金控集團下屬企業(yè)涉及不同業(yè)務板塊，面臨不同的監(jiān)管要求，并且企業(yè)之間的信息科技建設水平差異大，統(tǒng)一管理難度較大。對于信息科技審計范圍、審計頻率、審計組織形式、審計內容以及成果運用機制等有待進一步明確。二是信息科技審計涵蓋多個專業(yè)領域，對信息科技的全面審計需要大量的審計資源。

（二）審計成果運用有待加強

針對審計發(fā)現(xiàn)的問題，整改效率和效果仍存在參差不齊的情況，難以真正實現(xiàn)舉一反三，與整改長效機制的要求仍有一定的距離，整改的系統(tǒng)性、針對性和時效性有待進一步增強。

（三）信息科技審計專業(yè)能力有待提升

信息科技審計對審計人員的知識儲備和知識結構具有較高要求，不僅需要掌握IT運維開發(fā)知識，還需要對具體業(yè)務有深入的了解。隨著信息科技的迅速發(fā)展，新產品層出不窮，應用系統(tǒng)更迭頻繁，盡管審計人員具備一定的信息技術背景和專業(yè)能力，但知識更新速度可能難以適應信息技術的快速發(fā)展步伐。

四、基于研究型審計的金控集團信息科技審計理論框架

本文基于研究型審計構建金控集團信息科技審計理論框架，如圖1所示。

圖1 基于研究型審計的金控集團信息科技審計理論框架

（一）審計理念上，探索向系統(tǒng)深入的研究型審計轉變

傳統(tǒng)的審計理念難以適應數(shù)字化時代的信息科技管理，研究型審計能夠運用整體系統(tǒng)的思維，將信息科技看作一個系統(tǒng)并進行整體研究，探究問題產生的真正原因，提升審計質量和效益。

（二）審計內容上，著力通過調研、試審等抓住重點精準發(fā)力

1.深入調研。一是深入集團下屬企業(yè)和同業(yè)企業(yè)調研。組織學習信息科技基礎知識，深入分析信息科技管理特點。二是收集整理信息科技相關法規(guī)政策及各行業(yè)監(jiān)管要求。三是與信息科技審計相關專家學者交流前沿實踐和研究情況。四是梳理以往審計資料，整理信息科技領域的主要問題和典型案例。

2.開展試審。通過試審測算信息科技審計項目工作量，研究提出統(tǒng)籌整合集團審計和企業(yè)審計資源的具體路徑，著力突出審計重點。

（三）審計組織上，上下聯(lián)動步調一致推進金控集團審計一盤棋

1.堅持統(tǒng)分結合上下穿透，努力做實金控集團審計一盤棋。鑒于信息科技審計專業(yè)性較強，對信息化建設和審計能力的要求非常高，需要統(tǒng)籌金控集團及企業(yè)審計力量開展信息科技審計項目。

2.加強過程指導和質量控制。編制法規(guī)向導和信息科技審計操作指南，提供方法指導。金控集團審計部門可以組織編寫《信息科技審計操作手冊》，為開展信息科技審計取證操作提供詳細指導。

3.創(chuàng)新專題核查組織方式，開展“穿透式”審計工作。對于信息科技審計部分內容，可以開展專項審計，如科技外包專項審計、信息安全專項審計、數(shù)據(jù)治理專項審計、項目管理專項審計、科技投資專項審計等。

（四）方式方法上，構建金控集團信息科技審計分級分類審計體系

考慮根據(jù)企業(yè)信息科技實踐的特征對集團下屬企業(yè)進行信息科技審計的分級分類，具體包括高、中、低三個等級，其中，等級越高，對信息科技審計的要求越高。具體如表2所示。

表2 金控集團信息科技審計分級分類審計體系

（五）結果運用上，一體化推進揭示問題、規(guī)范信息科技管理

在全面摸清企業(yè)信息科技治理、科技風險管理、科技綜合管理、系統(tǒng)開發(fā)、系統(tǒng)測試、系統(tǒng)運維、科技運行等基本情況的基礎上，關注科技運行的整個鏈條，對發(fā)現(xiàn)的具有普遍性、傾向性和苗頭性的問題，提出具有針對性和可操作性強的意見及建議。

五、結論

數(shù)字化時代背景下，企業(yè)集團信息科技風險凸顯，信息科技審計重要性日益突出。本文通過梳理信息科技審計的主要范疇和外部監(jiān)管要求，結合金控集團信息科技審計面臨的主要困境，基于研究型審計構建了金控集團信息科技審計理論框架，從審計理念、審計內容、組織管理、方式方法、成果運用等方面出發(fā)，系統(tǒng)地介紹了金控集團信息科技審計的具體做法和實施路徑，希望為相關主體開展信息科技審計實踐提供一定的參考與借鑒。