中國移動信息技術審計全覆蓋實施模式研究

劉巍 門爍 龐博 孟偉濱

[摘要]中國移動總部內審部，通過探索“定方向、細指導、強控制、送技術、促整改”具體路徑，開展信息技術審計項目全覆蓋，形成兩級內審機構監督合力，高效實現審計對象和關注內容的全面覆蓋，促進審計工作價值和質量不斷提升。

[關鍵詞]審計全覆蓋? 內部審計? 網信安全

國有企業審計全覆蓋是國有企業提質增效的加速器，是實現高質量發展的助推器。中國移動通信集團有限公司內審部（以下簡稱總部內審部）強化履行“管總”職能，統籌做好“管計劃、管標準、管質量、管資源、管考核、管系統”，圍繞“全業務”“全流程”“全要素”監督要求，對信息技術審計項目全覆蓋模式進行創新探索，取得了良好效果。

一、精心論證，信息技術審計項目開展全覆蓋的必要性

信息技術審計是以信息系統、網絡安全為審計對象，具有監督、評價、服務公司網絡安全和信息化健康發展的重要職能。通過開展信息技術審計項目全覆蓋，對基礎風險進行全面的評價監督，促進基礎風險可管可控，從而實現以較小的投入防范信息技術領域較大的風險。

（一）信息技術是公司高質量發展的基石

創新和發展信息技術是公司實現健康高質量發展的基礎，直接影響公司的風險管控能力和整體運營水平。中國移動通信集團有限公司（以下簡稱中國移動）作為信息通信領域的領先運營商，錨定“世界一流信息服務科技創新公司”新定位，制定實施創世界一流“力量大廈”新戰略，全力推進新基建、融合新要素、激發新動能，系統打造以“5G+算力網絡+智慧中臺”為重點的新型信息基礎設施，創新構建“連接+算力+能力”新型信息服務體系。

（二）公司面臨的網絡安全風險日益嚴峻

當前，我國網絡安全態勢日趨嚴峻復雜，關鍵信息基礎設施遭受攻擊風險日益升級，數據資源爭奪愈發激烈，關鍵核心技術“卡脖子”風險進一步凸顯，傳統網絡安全威脅與新型網絡安全威脅相互交織。國家加快完善網絡安全法律法規和政策體系，出臺網絡安全法、數據安全法、個人信息保護法、反電信網絡詐騙法、《關鍵信息基礎設施安全保護條例》等系列法律法規，對網絡空間與非網絡空間記錄的信息提出全面的保護要求，從行政責任、民事責任、刑事責任方面做出嚴格規定，監管更加嚴格。

中國移動在網絡安全方面從制度、流程、機制等方面開展許多具體工作，但面對復雜嚴峻的網絡安全形勢，仍然存在運營理念陳舊、運營模式被動、運營手段過時等短板，網絡安全防御體系仍需持續完善和提升。

（三）信息技術管理提升需在全局發力

信息系統是信息化能力落地的重要載體，也是公司運營管理的基礎，經初步統計，中國移動各單位已建設信息系統6000余套，具有復雜的網絡部署架構、大量的開源軟件組件、海量數據的互聯互通。正是由于具有基礎性、連通性、全局性等特點，信息系統有力支撐全公司的業務發展，但同時也使得信息系統風險防控面臨“一點突破、全網皆失”的嚴峻形勢，單點式信息系統的防護已無法有效防控風險。提升公司信息技術全局管理水平，重要的手段之一就是以全覆蓋的模式促進公司做好全局性的基礎管理。

二、直面困難，應對信息技術審計全覆蓋面臨的挑戰

中國移動在信息技術審計工作領域的探索起步較早，歷經十余年發展，在機構設置、建章立制、基礎建設、實務管理、隊伍建設和行業交流等方面都取得較好的成績，為推進信息技術審計全覆蓋奠定了良好的基礎。

為發揮好總部“管總”作用，打造信息技術審計“一盤棋”，需深入剖析面臨的困難和挑戰，堅持目標導向、問題導向，統籌謀劃、逐項破解，有計劃、有步驟、有目標地探索出一條行之有效的實施模式。

（一）信息系統建設模式加速演進，審計對象復雜增加全覆蓋實施難度

隨著以數字化、網絡化、智能化為突出特征的新一輪科技革命和產業變革的發展，中國移動順應產業發展趨勢、深化轉型升級，構建“連接+算力+能力”新型信息服務體系，打造網、云、數、智、安、邊、端、鏈（ABCDNETS）等多要素融合的新型信息基礎設施。信息系統建設模式也隨之加速演進，傳統“主機+數據庫+前臺應用”的系統架構逐步被云化、虛擬化、智能化的架構代替，網絡邊界模糊難分、信息系統架構復雜多變，對信息技術審計帶來一系列新的挑戰。

（二）所屬公司類型數量多，差異化的信息技術管理方式增加全覆蓋實施難度

中國移動順應市場環境變化和技術演進趨勢，在傳統的31省公司基礎上加大專業機構建設，逐步形成了“31+N”的組織體系，持續優化集團管總、區域主戰、專業主建的體系。專業機構作為主建單位，是中國移動技術能力創新、產品業務創新、商業模式創新的重要引擎，分別設置不同的主業發展目標。不同的專業機構之間，對信息技術管理的方式模式存在較大差異化。

此外，中國移動所屬公司在境內外分布廣泛，境外不同國家之間的信息技術監管要求各不相同，境外公司適應屬地監管，在信息技術管理方面也存在較大差異。

（三）所屬公司信息技術審計工作發展不平衡，獨立開展審計項目難以保證審計質量

信息技術審計包含IT治理、一般性控制、應用控制和信息安全等多個領域，不同領域對審計人員的技術要求存在較大差異，部分公司雖定期開展信息技術審計項目，但受限于人員能力水平，關注內容單一或間隔時間較長；所屬公司擁有的信息技術審計人員數量差異也較大，信息技術審計崗位多以兼職為主，經常作為支撐其余類型審計項目的數據分析人員。所屬公司信息技術審計能力不均衡，信息技術審計人才儲備不充足，審計任務需要與審計能力不足的矛盾較為突出，難以獨立開展信息技術審計項目。

三、扎實探索，高質量實施信息技術審計項目全覆蓋

（一）指導理念

總部內審部立足監督、評價和服務職能定位，堅持系統性思維，聚焦國家重大政策和公司“十四五”發展規劃，堅持目標導向、問題導向，對公司信息系統、網絡與信息安全進行審計全覆蓋，補齊全集團共性短板。

（二）具體實施

總部內審部統一組織管理，通過“定方向、細指導、強控制、送技術、促整改”具體路徑，開展信息技術審計項目全覆蓋，由總部內審部先行實施，總結經驗、固化方法，形成標準做法，然后推廣至各審計單位落地實施。

定方向：總部內審部堅持研究型審計理念，緊跟國家重大政策和公司戰略規劃，制訂審計計劃前與業務部門開展深入訪談，系統、客觀、全面地評估公司各業務流程管理現狀及存在的風險。基于對信息系統風險防控的認識，立足信息技術審計現狀，瞄準基礎性的常規問題，開展審計全覆蓋，最大程度發揮內部審計作用，基本做到防控審計對象80%的基礎風險。近年來，中國移動先后確定系統日志管理專項審計、自有APP客戶信息安全專項審計、信息服務設施設備基礎管理專項審計，引領全集團信息技術審計力量刀刃發力。

細指導：總部內審部成立審計組先行實施審計，明確項目實施重點和具體方法?；趯徲媽嵺`，加強對全集團審計資源的調配，組建項目指導組，編寫用于規范審計全過程材料（見圖1），包含審前準備階段的人員組建指引、資料收集指引，審中實施階段的審計程序及教程、專業工具使用教程，報告階段的審計發現統計、報告模板等。據此，所屬公司審計組按要求開展審計項目過程中，實現“零基礎”執行。

強控制：一是審計項目啟動時開展全員培訓，講解指導材料、宣貫審計標準、明確進度要求。二是搭建“遠程指導、協助核查、派員幫扶”的分級分組指導體系，為各公司審計組分配一名項目指導組對口專家，遠程指導各公司審計組解決實施過程中遇到的問題與困難，解答關于指導材料的各種疑問；對于遠程指導難以解決的問題，相關公司審計組可填寫《協助核查需求單》，經對應內審機構負責人審批通過后，由總部人員派出專家協助核查個別關注點或執行個別審計程序；對于個別尚無審計能力開展本項目的單位，可通過OA系統的公司函形式向總部發起派員幫扶需求申請，經總部內審部領導審批后，安排專家赴現場開展幫扶工作。三是持續推進項目進度，按周跟進各單位項目進展，按月召開進度通報會，抽取個別單位講解實施經驗，營造比學趕超氛圍。四是審計項目結束后抽樣開展確認單審理，重點關注審計事項描述的主要事實是否清楚、相關證據是否適當充分，審計事項描述適用法律法規、制度文件是否適當，審計事項評價、定性是否恰當，從而把控審計質量。五是開展項目評分，設計評分體系直觀展現各單位實施情況，項目評分指標以客觀數據為主，從審前、審中、審后三個環節共10個通用指標，此外還涉及立行立改、拓展關注點2個附加指標（見圖2）。

送技術：統籌識別審計程序中的關鍵環節、審計難度較高的關注點，創新研發專業工具固化審計核查能力，通過統一的工具、統一的核查方法，在同一尺度上識別風險。在總部先行實施審計環節，時刻識別可用技術或工具提高審計質量和效率的著力點，主動研究并驗證所用技術或工具的有效性，并編制配套的工具安裝文檔、工具操作文檔，按步驟錄制使用視頻。所屬公司拿到工具及對應指導材料后，可無障礙地安裝及使用工具，通過技術或工具保障各個所屬公司的審計質量及工作效率。信息服務設施設備基礎管理審計的技術方法見圖3。

促整改：高標站位、守正創新，扎實推進整改閉環管控、推動有效整改，通過審計整改提高公司管理水平、增加審計工作價值。在全覆蓋審計項目中，建立各單位審計組整改復核、總部抽核的兩級核查機制，由總部明確整改驗收標準、流程和上報模板，由各單位審計組督促、復核業務部門整改效果，形成監督合力，促進問題整改。

（三）應用成效

踐行總體國家安全觀，總部內審部統籌組織，強化履行“管總”職能，以審計全覆蓋方式開展自有App客戶信息安全審計、信息服務設施設備基礎管理審計。

對于全社會廣泛關注的App違法違規收集個人信息問題，2021年中國移動組織開展自有App客戶信息安全審計，覆蓋全部涉及自有App的省公司及專業公司、覆蓋公司全量自有App?？偛肯刃袑徲?個公司，總結實施經驗，組建項目指導組，編制指導材料71份，運用自然語言處理技術研制隱私政策分析工具并推廣至全集團應用，開展遠程指導500余次，現場督導與幫扶2個公司，跟進項目進展及召開進度溝通會14次，抽核6個公司的審計質量，全過程指導和支撐37公司的自主審計工作，提升項目實施的深度和質量管控。

項目審計共發現問題891項，推動330項立行立改、561項按期整改，圍繞App管理全生命周期，基于審計發現問題，通過多層多維訪談、核查數據、審閱資料等方式，應用冰山模型，逐層深入，挖掘出問題產生的根本性原因，提出審計建議，促進問題得到機制性整改，助力公司合規運營。

2022年，中國移動聚焦國家重大政策和公司“十四五”發展規劃中新基建的政治要求，關注網信基礎管理風險，以全覆蓋形式，對公司49家單位的所有機樓機房數據中心，以及提供內外服務的所有信息設備和配套設備開展了信息服務設施設備基礎管理審計項目。

總部內審部進一步創新審計組織模式，探索共治，將49單位劃分6個小組，總部與各小組組長單位分級指導，共計遠程指導350余次、現場督導4個單位；編制發布指導材料24份，召開培訓及進度溝通會3次；應用計算機視覺處理技術，自研機房出入視頻分析工具，智能識別視頻監控中人員出入機房事件，實現關鍵機房的視頻監控內容全量分析；認真開展確認單審理，抽核5個單位的確認單，審核事實描述、制度引用、定性程度等事項內容，提出改進建議。項目在制度、數據、節能、運維4類16個關注點中，審計發現問題352個，推進23個單位第一時間清理易燃品、調整機房出入監控等，立行立改，及時消除安全隱患，切實保障國家重大活動期間的網絡穩定運行。

四、務實進取，持續高質量推進審計全覆蓋

高質量推進審計全覆蓋，既要注重審計質量，也需兼顧效率，實現審計對象和關注內容的無一遺漏、無一例外、全面覆蓋，同時逐步整體提高全集團審計人員的水平和能力，形成常態化、動態化震懾，保障審計工作質量不斷提升。

中國移動將繼續深入探索完善信息技術審計全覆蓋模式，按照信息系統的“硬件、軟件、數據、應用”劃分維度，提前研究、提前布局，制訂科學的工作規劃，在項目全覆蓋基礎上，逐步實現審計對象的全業務、全流程、全要素監督，構建業界一流的信息技術審計工作體系。

（作者單位：中國移動通信集團有限公司，郵政編碼：100033，電子郵箱：mengweibin@chinamobile.com）