基于研究型審計的企業集團信息科技審計框架研究
——以金控集團為例

張 興

（1.中國光大集團博士后科研工作站，北京 100033；2.中國人民大學博士后科研流動站，北京 100872）

數字化轉型背景下，企業隨著信息技術的快速發展和應用處于動態變化中，一個有效的信息科技審計框架能夠及時識別這些變化，幫助企業規避風險。信息科技審計的重要性隨著業務運營對信息科技的依賴程度的增加及監管要求的趨嚴而不斷提高。然而，已有文獻指出，信息科技審計仍面臨較多的挑戰，包括審計人員與信息科技部門之間存在溝通障礙、未將信息科技審計轉化為數據驅動功能的長期戰略、缺乏信息科技審計專業人才及存在安全和隱私問題等。對于金融控股集團（以下簡稱“金控集團”）而言，不同企業、不同業務板塊之間差異較大，且具有一定的復雜性，對信息科技管理有效性和信息科技建設效果的評估形成巨大挑戰。

本文以金控集團為研究對象，將研究型審計理念和思維貫穿于信息科技審計各環節和全過程，構建了金控集團信息科技審計框架，有助于金控集團在厘清信息科技審計的難點和重點的基礎上，更好地規劃信息科技審計；也有助于金控集團進一步制定信息科技審計指南，開展信息科技審計實踐。

一、信息科技審計的主要范疇

信息科技審計的主要范疇包括以下幾個重點領域內容。

1.科技治理領域，應重點關注貫徹落實黨和國家關于信息科技重大決策部署的情況，科技戰略規劃的制定及執行效果情況，科技政策和制度的制定及執行情況，科技組織架構等情況。

2.風險管理領域，應重點關注科技風險管理政策、制度和流程的制定及執行情況，科技風險的類別、識別、評估、監測、應對措施及報告等管理情況，信息科技風險事件的管理機制及執行情況等。

3.綜合管理領域，應重點關注供應商、采購、合同管理等商務規定及執行情況，固定資產管理規定及執行情況，科技人員的招聘、培訓、離崗等管理規定及執行情況等。

4.系統開發和測試領域，應重點關注項目計劃、項目預算、費用管理情況，項目立項、實施、驗收、后評價等項目過程管理情況，系統需求、設計、編碼、投產等系統開發過程管理情況，測試過程管理情況等。

5.系統運維領域，應重點關注系統日常運維規范及執行情況，應用變更和運維操作等運維環節的風險控制情況，系統日常監測、分析和改進等執行情況等。

6.系統運行領域，應重點關注生產環境中的信息技術資產、基礎設施的管理與使用的相關規定與執行情況，重大生產事件、應急預案管理規定及執行情況，生產數據備份、調用、驗證等管理情況等。

7.外包管理領域，應重點關注科技外包管理戰略及制度體系建設情況，外包供應商準入、外包人員與外包風險管理開展情況等。

8.信息安全領域，應重點關注信息安全戰略及安全體系建設情況，信息安全管理及安全技術應用實施情況等。

二、信息科技審計監管要求

我國目前已基本形成了一套覆蓋法律法規和行業規范的信息科技審計體系，其中，法律法規層面主要包括《中華人民共和國審計法》《中華人民共和國網絡安全法》《中華人民共和國數據安全法》等，行業規范層面主要以金融機構為主，金融機構是信息科技審計實踐最成熟的主體，具體內容如表1所示。

表1 外部監管制度對信息科技審計的要求

三、金控集團信息科技審計面臨的主要難點與挑戰

信息科技審計專業性強、范圍廣，并且金控集團具有業務板塊多、經營機構多、層級多的特點，在有限的審計資源下，信息科技審計仍面臨較大挑戰。

（一）難以實現全面覆蓋

一是難以實現對下屬企業信息科技審計的統一管理，由于金控集團下屬企業涉及不同業務板塊，面臨不同的監管要求，并且企業之間的信息科技建設水平差異大，統一管理難度較大。對于信息科技審計范圍、審計頻率、審計組織形式、審計內容以及成果運用機制等有待進一步明確。二是信息科技審計涵蓋多個專業領域，對信息科技的全面審計需要大量的審計資源。

（二）審計成果運用有待加強

針對審計發現的問題，整改效率和效果仍存在參差不齊的情況，難以真正實現舉一反三，與整改長效機制的要求仍有一定的距離，整改的系統性、針對性和時效性有待進一步增強。

（三）信息科技審計專業能力有待提升

信息科技審計對審計人員的知識儲備和知識結構具有較高要求，不僅需要掌握IT運維開發知識，還需要對具體業務有深入的了解。隨著信息科技的迅速發展，新產品層出不窮，應用系統更迭頻繁，盡管審計人員具備一定的信息技術背景和專業能力，但知識更新速度可能難以適應信息技術的快速發展步伐。

四、基于研究型審計的金控集團信息科技審計理論框架

本文基于研究型審計構建金控集團信息科技審計理論框架，如圖1所示。

圖1 基于研究型審計的金控集團信息科技審計理論框架

（一）審計理念上，探索向系統深入的研究型審計轉變

傳統的審計理念難以適應數字化時代的信息科技管理，研究型審計能夠運用整體系統的思維，將信息科技看作一個系統并進行整體研究，探究問題產生的真正原因，提升審計質量和效益。

（二）審計內容上，著力通過調研、試審等抓住重點精準發力

1.深入調研。一是深入集團下屬企業和同業企業調研。組織學習信息科技基礎知識，深入分析信息科技管理特點。二是收集整理信息科技相關法規政策及各行業監管要求。三是與信息科技審計相關專家學者交流前沿實踐和研究情況。四是梳理以往審計資料，整理信息科技領域的主要問題和典型案例。

2.開展試審。通過試審測算信息科技審計項目工作量，研究提出統籌整合集團審計和企業審計資源的具體路徑，著力突出審計重點。

（三）審計組織上，上下聯動步調一致推進金控集團審計一盤棋

1.堅持統分結合上下穿透，努力做實金控集團審計一盤棋。鑒于信息科技審計專業性較強，對信息化建設和審計能力的要求非常高，需要統籌金控集團及企業審計力量開展信息科技審計項目。

2.加強過程指導和質量控制。編制法規向導和信息科技審計操作指南，提供方法指導。金控集團審計部門可以組織編寫《信息科技審計操作手冊》，為開展信息科技審計取證操作提供詳細指導。

3.創新專題核查組織方式，開展“穿透式”審計工作。對于信息科技審計部分內容，可以開展專項審計，如科技外包專項審計、信息安全專項審計、數據治理專項審計、項目管理專項審計、科技投資專項審計等。

（四）方式方法上，構建金控集團信息科技審計分級分類審計體系

考慮根據企業信息科技實踐的特征對集團下屬企業進行信息科技審計的分級分類，具體包括高、中、低三個等級，其中，等級越高，對信息科技審計的要求越高。具體如表2所示。

表2 金控集團信息科技審計分級分類審計體系

（五）結果運用上，一體化推進揭示問題、規范信息科技管理

在全面摸清企業信息科技治理、科技風險管理、科技綜合管理、系統開發、系統測試、系統運維、科技運行等基本情況的基礎上，關注科技運行的整個鏈條，對發現的具有普遍性、傾向性和苗頭性的問題，提出具有針對性和可操作性強的意見及建議。

五、結論

數字化時代背景下，企業集團信息科技風險凸顯，信息科技審計重要性日益突出。本文通過梳理信息科技審計的主要范疇和外部監管要求，結合金控集團信息科技審計面臨的主要困境，基于研究型審計構建了金控集團信息科技審計理論框架，從審計理念、審計內容、組織管理、方式方法、成果運用等方面出發，系統地介紹了金控集團信息科技審計的具體做法和實施路徑，希望為相關主體開展信息科技審計實踐提供一定的參考與借鑒。