面向審計視角的信息系統地圖探索與實踐

劉巍 曹迎春 門爍 李平良

[摘要]面對信息技術治理環境的新變化和新要求，本文提出“面向審計視角的信息系統地圖”工作方案，在深入分析系統邊界模糊、系統底數不清、系統呈現困難等挑戰的基礎上，圍繞公司信息技術戰略，積極探索解決思路，通過運用成熟的可視化技術，實現了包括系統架構、系統清單、系統關系和系統風險等多個維度的展示視圖，并拓展應用實踐場景，從審計發現的頻次、原因和影響等方面，構建信息技術風險分析矩陣，為企業信息技術治理工作提供借鑒思路。

[關鍵詞]系統 地圖? ?信息技術? ?審計

一、引言

當前，國家大力推動新型基礎設施大規模建設，5G、AICDE（AI、IoT、Cloud Computing、Big Data、Edge Computing，即人工智能、物聯網、云計算、大數據、邊緣計算）、區塊鏈等新一代信息技術應用在“十四五”時期必將迎來爆發拐點，進入全面擴散時代。隨著新一代信息技術深度融入經濟社會民生，作為信息技術審計對象的信息系統已經變得越來越復雜，這也對信息技術治理工作提出了更高的要求。“十四五”規劃明確提出，要“統籌發展和安全”，加強“重要網絡和信息系統安全保障”。中共中央辦公廳、國務院辦公廳在《關于實行審計全覆蓋的實施意見》中提出，加強審計項目計劃統籌，在摸清審計對象底數的基礎上，建立分行業、分領域審計對象數據庫。實現有重點、有步驟、有深度、有成效的全覆蓋。國資委、審計署近年來相繼印發文件，進一步強調了全覆蓋相關要求。COBIT2019、ITIL4等相關國際標準也陸續更新發布，指出了審計計劃階段中信息系統風險評估的重要性。

面對信息技術治理環境的新變化和新要求，為落實國家網絡信息安全戰略、提升信息系統安全防護能力、全面摸清信息系統家底，建立信息系統地圖已然成為信息技術審計人員面臨的重要任務。

二、系統地圖研究難點與解決思路

常用地理地圖具備三個基本特征，即邊界清晰、區劃完備、呈現便捷，然而這三個基本特征卻是建立信息系統地圖亟需解決的難題。

（一）系統邊界

目前，信息系統邊界尚未發現統一標準。ISACA、中國國家標準化管理委員會等國內外權威機構資料顯示，信息系統的定義均比較宏觀，未明確系統邊界。同時，隨著信息技術發展，傳統“主機+數據庫+前臺應用”的系統架構加快向云化、虛擬化演進，相關技術已經打破了系統獨立、邊界清晰等煙囪思維。

為此，建立系統地圖要順應信息技術發展趨勢，跳出系統煙囪思維的束縛，對于獨立系統或者組件化的功能應用，都需要充分收集，并在此基礎上，圍繞組織的信息技術戰略，梳理出信息系統所支撐的業務與管理流程，提煉清晰的流程邊界，從而實現系統地圖邊界的重構。

（二）系統底數

隨著經濟社會發展中數字化轉型的深入，為支撐組織的風險管理和價值創造，各類信息系統在持續發揮核心作用的同時，相關應用功能、系統數據等信息資產“家底”也變得更加龐大，給組織的系統底數統計帶來挑戰。本文分析了所在單位近十年來所做的數次信息系統底數調查，結果顯示，因系統定義模糊、系統分布廣泛等原因，系統底數差異較大。為保障系統地圖的完備性，應圍繞公司信息技術戰略規劃，結合IT運營部門資產數據，充分收集系統清單，在此基礎上，還可以綜合運用以下方法來識別組織中的信息系統。

一是從4A（Authentication、Authorization、Account、Audit，即認證、授權、賬號、審計）系統直接獲取，該方法可收集到組織中的絕大部分信息系統。

二是運用主機的“netstat”命令，查看當前網絡狀態，獲取狀態為“LISTEN”的對端IP地址，形成網絡拓撲（如圖1所示），再根據通信端口與IP地址的分配規則等信息，識別出未納入4A管控的系統。

三是從組織簽訂的合同清單中，搜索“系統”“平臺”“應用”“功能”等關鍵詞，識別出系統開發與運維合同，進一步查漏補缺，增強系統清單的完整性。

四是對于嵌入多個應用模塊的超大系統，應根據是否具有獨立的賬號登錄功能，劃分為多個系統，提升系統清單的準確性。

（三）系統呈現

傳統地理地圖的GIS位置特征為使用者帶來了非常直觀、便捷的體驗。而目前的大型企業大都基于“管理—支撐—執行”的組織架構體系，涵蓋總部職能管理部門、專業支撐單位和各級區域公司等多類機構，這些機構在地理位置上互有交叉，單純的GIS地圖難以直觀、便捷地呈現各類機構的信息系統情況。

為此，對于大型集團公司，系統地圖的呈現形式除了應具備傳統地理地圖的位置特征外，還應構建面向總部職能管理部門、專業支撐單位與區域公司的多層次展示架構。系統地圖的呈現方法可充分運用成熟的可視化技術，如Python模板庫中的pyecharts開發包，封裝了開源的百度數據可視化產品Echarts，憑借著良好的交互性、精巧的圖表設計，得到了眾多開發者的認可。

三、面向審計視角的信息系統地圖探索

對于大型集團公司，面向審計視角的信息系統地圖是總部統籌部署信息技術審計工作的重要抓手，也是全集團信息技術審計的核心能力和工作指引，可以有效支撐信息技術審計的中長期規劃和年度計劃，指導所屬單位開展信息技術審計工作，并通過持續的信息系統風險評估，提升公司信息系統“畫像”的精準度，進一步向公司管理層和職能管理部門輸出權威、專業的信息技術治理研究報告，不斷促進公司信息技術戰略目標的達成。以下是筆者在系統地圖方面的具體實踐情況。

（一）總體架構

按照“架構權威、實用開放、便捷美觀”的總目標，筆者團隊積極克服系統邊界模糊、系統底數不清、系統呈現困難等挑戰，緊密圍繞公司信息技術戰略，充分總結過往審計成果，面向審計視角，覆蓋總部職能管理部門、專業支撐單位和省級區域公司，初步探索構建了全方位的信息系統地圖管理架構，如圖2所示。

該架構在傳統GIS地圖的基礎上，進一步疊加了“兩環”。其中，“外環”代表總部職能管理部門，“內環”代表各專業支撐單位，GIS地圖代表具體落地執行的省級公司。通過該架構，采用便捷的“鉆取”方式，可以直觀、全面地呈現各個機構的信息系統、數據關系以及問題風險等具體情況。

（二）多維呈現

為全面呈現全集團信息系統的整體架構、功能特點、重要關系和問題風險等情況，從4個維度設計了系統地圖的展示視圖，包括系統架構視圖、系統清單視圖、系統關系視圖和系統風險視圖，如圖3所示。

1.系統架構視圖。基于公司信息技術戰略的系統架構視圖是系統地圖的基礎，涵蓋公司信息技術戰略涉及的各個業務和管理流程，又可稱為信息系統的標簽。通過該視圖，審計人員能夠全面了解公司的信息技術戰略與架構，可以根據審計工作需求，快速定位特定系統架構下的信息系統情況，并通過“鉆取”方式，為進一步摸清相關系統清單、功能用途、數據關系等關鍵信息提供便利，如圖4所示。

該視圖運用了樹狀圖（Treemap），通過二次開發，新增全局變量定義，用來存儲樹狀圖的初始全量數據和上一次點擊元素，并增加“dblclick”鼠標雙擊消息的JS響應代碼，在消息處理邏輯上判斷本次點擊元素和上一次點擊元素的全稱，根據名稱是否相同實現“雙擊下鉆至子流程或返回到父流程”的便捷操作功能。

2.系統清單視圖。系統清單視圖是系統架構視圖的實例化，涵蓋了總部職能管理部門、專業支撐單位和各級區域公司的相關系統、平臺或功能模塊。通過該視圖，審計人員可整體掌握全集團的系統清單情況，并以點擊“鉆取”的便捷方式，能夠查看各個機構信息系統的具體分布，快速呈現被審計單位相關業務流程下的系統清單以及各個系統的具體功能描述，為審計方案、審計程序和審計資料需求的制定提供有力支撐，如圖5所示。

3.系統關系視圖。系統關系視圖用于展示系統數據間的關聯關系，通過可視化的關系圖表能夠直觀呈現A、Z端的數據表名稱、字段名稱、關聯條件等重要信息，如圖6所示。

利用該視圖，在審前階段，可幫助審計組長編制更加可行的審計方案，提升審計程序的可操作性;在項目實施中，還可為審計組員的審計思路、分析邏輯、腳本算法等提供具體指導，減少重復訪談時間，提升審計工作效率;在審計工作結束后，對于審計過程中經過訪談、查看、穿行測試等掌握的全流程數據關系，可實現這些寶貴經驗的有效積累和固化，并為其他審計人員提供參考，從而不斷促進全集團的審計能力提升。

4.系統風險視圖。系統風險視圖用于展示全集團各機構的信息系統風險情況，包括總部職能管理部門、專業支撐單位和各級區域公司的審計發現問題，是審計成果的積淀，并通過不同顏色呈現了相關系統、流程的風險程度與覆蓋盲區，其中灰色代表尚未覆蓋，藍色代表審計中未發現問題，橙色代表審計中發現了問題，如圖7所示。

通過該視圖，在審計選題、審計覆蓋等計劃制訂工作方面，可為審計機構管理人員提供重要的決策依據;在審計項目開展中，審計人員能夠整體掌握被審計單位信息系統風險情況，并以點擊“鉆取”的便捷方式，查看具體信息系統的過往審計發現問題，可以做到有針對性地實施重點核查;在信息技術治理研究報告編制方面，可為編制人員提供豐富、詳實的素材，實現公司信息系統的精準“畫像”，提升相關分析報告的權威性。

（三）邏輯結構

為實現上述4個維度展示，系統地圖共涉及12張數據結構表，如圖8所示。

其中，系統架構視圖方面，系統架構表包括公司信息技術戰略相關的全景業務和管理流程。系統清單視圖方面，組織機構表包括“管理、支撐、執行”三級組織;系統清單表包括系統名稱、系統功能與數據描述、系統所屬部門等信息;架構實例表是系統清單與系統架構的映射關系和實例化，一個系統可以對應多個架構流程。系統關系視圖方面，系統關系表、關系節點表、關系連接表用來記錄重要的系統或數據關系。系統風險視圖方面，審計項目表、覆蓋單位表、審計發現表屬于審計項目的基礎信息;覆蓋系統表記錄了審計項目覆蓋的系統情況;系統問題表記錄了審計發現涉及的系統情況。

（四）應用實踐

為進一步完善上述系統地圖數據，探索系統地圖的應用場景，筆者團隊收集、整理了近年來實施的審計項目情況，從審計發現的頻次、原因和影響等方面，構建信息技術相關問題風險分析矩陣，深入開展多維分析，識別公司信息技術領域的重要風險，提出管理建議，推動公司IT治理水平的不斷提升，如圖9所示。

其中，發生頻次方面，業務管控問題分為一般控制和應用控制兩類，安全管控問題分為安全管理和安全技術兩類;產生原因方面，管理問題可以從制度設計和制度執行環節查找原因，系統問題可以查找功能管控和數據質量相關原因;造成影響方面，實質性影響包括可計算的資金損失浪費以及難以計算金額的客戶投訴、信息泄露等情況，風險性影響主要包括合規性等一般風險情況。

關于上述風險分析工作，其關鍵在于頻次分析過程中相關信息技術問題的具體分類。通過研究ISACA、中國內部審計協會、中國國家標準化管理委員會等國內外權威組織機構的相關信息技術治理標準、規范，結合筆者單位的業務運營實際情況，筆者團隊將信息技術問題歸納為四級、71個具體小類，如表1所示。該分類為信息系統的精準“畫像”勾勒出了具體“輪廓”，可供相關企業參考借鑒。

四、結束語

隨著國家“十四五”規劃的正式出臺，在未來數字經濟的浪潮中，信息技術戰略必將成為企業高質量發展的重要支撐。如何及時全面地識別、評估并應對信息系統控制風險，是提升信息技術治理能力的關鍵因素。本文從系統地圖入手，面向審計視角，圍繞公司信息系統整體架構，在收集整理系統底數、系統關系的基礎上，形成系統風險視圖。這些探索和實踐，可以為相關企業的信息技術治理工作提供借鑒思路，共同為全行業的信息技術治理工作貢獻力量。

（作者單位：中國移動通信集團有限公司，郵政編碼：100033，電子郵箱：lipingliang@chinamobile.com）