刘巍 门烁 庞博 孟伟滨
[摘要]中国移动总部内审部,通过探索“定方向、细指导、强控制、送技术、促整改”具体路径,开展信息技术审计项目全覆盖,形成两级内审机构监督合力,高效实现审计对象和关注内容的全面覆盖,促进审计工作价值和质量不断提升。
[关键词]审计全覆盖 内部审计 网信安全
国有企业审计全覆盖是国有企业提质增效的加速器,是实现高质量发展的助推器。中国移动通信集团有限公司内审部(以下简称总部内审部)强化履行“管总”职能,统筹做好“管计划、管标准、管质量、管资源、管考核、管系统”,围绕“全业务”“全流程”“全要素”监督要求,对信息技术审计项目全覆盖模式进行创新探索,取得了良好效果。
一、精心论证,信息技术审计项目开展全覆盖的必要性
信息技术审计是以信息系统、网络安全为审计对象,具有监督、评价、服务公司网络安全和信息化健康发展的重要职能。通过开展信息技术审计项目全覆盖,对基础风险进行全面的评价监督,促进基础风险可管可控,从而实现以较小的投入防范信息技术领域较大的风险。
(一)信息技术是公司高质量发展的基石
创新和发展信息技术是公司实现健康高质量发展的基础,直接影响公司的风险管控能力和整体运营水平。中国移动通信集团有限公司(以下简称中国移动)作为信息通信领域的领先运营商,锚定“世界一流信息服务科技创新公司”新定位,制定实施创世界一流“力量大厦”新战略,全力推进新基建、融合新要素、激发新动能,系统打造以“5G+算力网络+智慧中台”为重点的新型信息基础设施,创新构建“连接+算力+能力”新型信息服务体系。
(二)公司面临的网络安全风险日益严峻
当前,我国网络安全态势日趋严峻复杂,关键信息基础设施遭受攻击风险日益升级,数据资源争夺愈发激烈,关键核心技术“卡脖子”风险进一步凸显,传统网络安全威胁与新型网络安全威胁相互交织。国家加快完善网络安全法律法规和政策体系,出台网络安全法、数据安全法、个人信息保护法、反电信网络诈骗法、《关键信息基础设施安全保护条例》等系列法律法规,对网络空间与非网络空间记录的信息提出全面的保护要求,从行政责任、民事责任、刑事责任方面做出严格规定,监管更加严格。
中国移动在网络安全方面从制度、流程、机制等方面开展许多具体工作,但面对复杂严峻的网络安全形势,仍然存在运营理念陈旧、运营模式被动、运营手段过时等短板,网络安全防御体系仍需持续完善和提升。
(三)信息技术管理提升需在全局发力
信息系统是信息化能力落地的重要载体,也是公司运营管理的基础,经初步统计,中国移动各单位已建设信息系统6000余套,具有复杂的网络部署架构、大量的开源软件组件、海量数据的互联互通。正是由于具有基础性、连通性、全局性等特点,信息系统有力支撑全公司的业务发展,但同时也使得信息系统风险防控面临“一点突破、全网皆失”的严峻形势,单点式信息系统的防护已无法有效防控风险。提升公司信息技术全局管理水平,重要的手段之一就是以全覆盖的模式促进公司做好全局性的基础管理。
二、直面困难,应对信息技术审计全覆盖面临的挑战
中国移动在信息技术审计工作领域的探索起步较早,历经十余年发展,在机构设置、建章立制、基础建设、实务管理、队伍建设和行业交流等方面都取得较好的成绩,为推进信息技术审计全覆盖奠定了良好的基础。
为发挥好总部“管总”作用,打造信息技术审计“一盘棋”,需深入剖析面临的困难和挑战,坚持目标导向、问题导向,统筹谋划、逐项破解,有计划、有步骤、有目标地探索出一条行之有效的实施模式。
(一)信息系统建设模式加速演进,审计对象复杂增加全覆盖实施难度
随着以数字化、网络化、智能化为突出特征的新一轮科技革命和产业变革的发展,中国移动顺应产业发展趋势、深化转型升级,构建“连接+算力+能力”新型信息服务体系,打造网、云、数、智、安、边、端、链(ABCDNETS)等多要素融合的新型信息基础设施。信息系统建设模式也随之加速演进,传统“主机+数据库+前台应用”的系统架构逐步被云化、虚拟化、智能化的架构代替,网络边界模糊难分、信息系统架构复杂多变,对信息技术审计带来一系列新的挑战。
(二)所属公司类型数量多,差异化的信息技术管理方式增加全覆盖实施难度
中国移动顺应市场环境变化和技术演进趋势,在传统的31省公司基础上加大专业机构建设,逐步形成了“31+N”的组织体系,持续优化集团管总、区域主战、专业主建的体系。专业机构作为主建单位,是中国移动技术能力创新、产品业务创新、商业模式创新的重要引擎,分别设置不同的主业发展目标。不同的专业机构之间,对信息技术管理的方式模式存在較大差异化。
此外,中国移动所属公司在境内外分布广泛,境外不同国家之间的信息技术监管要求各不相同,境外公司适应属地监管,在信息技术管理方面也存在较大差异。
(三)所属公司信息技术审计工作发展不平衡,独立开展审计项目难以保证审计质量
信息技术审计包含IT治理、一般性控制、应用控制和信息安全等多个领域,不同领域对审计人员的技术要求存在较大差异,部分公司虽定期开展信息技术审计项目,但受限于人员能力水平,关注内容单一或间隔时间较长;所属公司拥有的信息技术审计人员数量差异也较大,信息技术审计岗位多以兼职为主,经常作为支撑其余类型审计项目的数据分析人员。所属公司信息技术审计能力不均衡,信息技术审计人才储备不充足,审计任务需要与审计能力不足的矛盾较为突出,难以独立开展信息技术审计项目。
三、扎实探索,高质量实施信息技术审计项目全覆盖
(一)指导理念
总部内审部立足监督、评价和服务职能定位,坚持系统性思维,聚焦国家重大政策和公司“十四五”发展规划,坚持目标导向、问题导向,对公司信息系统、网络与信息安全进行审计全覆盖,补齐全集团共性短板。
(二)具体实施
总部内审部统一组织管理,通过“定方向、细指导、强控制、送技术、促整改”具体路径,开展信息技术审计项目全覆盖,由总部内审部先行实施,总结经验、固化方法,形成标准做法,然后推广至各审计单位落地实施。
定方向:总部内审部坚持研究型审计理念,紧跟国家重大政策和公司战略规划,制订审计计划前与业务部门开展深入访谈,系统、客观、全面地评估公司各业务流程管理现状及存在的风险。基于对信息系统风险防控的认识,立足信息技术审计现状,瞄准基础性的常规问题,开展审计全覆盖,最大程度发挥内部审计作用,基本做到防控审计对象80%的基础风险。近年来,中国移动先后确定系统日志管理专项审计、自有APP客户信息安全专项审计、信息服务设施设备基础管理专项审计,引领全集团信息技术审计力量刀刃发力。
细指导:总部内审部成立审计组先行实施审计,明确项目实施重点和具体方法。基于审计实践,加强对全集团审计资源的调配,组建项目指导组,编写用于规范审计全过程材料(见图1),包含审前准备阶段的人员组建指引、资料收集指引,审中实施阶段的审计程序及教程、专业工具使用教程,报告阶段的审计发现统计、报告模板等。据此,所属公司审计组按要求开展审计项目过程中,实现“零基础”执行。
强控制:一是审计项目启动时开展全员培训,讲解指导材料、宣贯审计标准、明确进度要求。二是搭建“远程指导、协助核查、派员帮扶”的分级分组指导体系,为各公司审计组分配一名项目指导组对口专家,远程指导各公司审计组解决实施过程中遇到的问题与困难,解答关于指导材料的各种疑问;对于远程指导难以解决的问题,相关公司审计组可填写《协助核查需求单》,经对应内审机构负责人审批通过后,由总部人员派出专家协助核查个别关注点或执行个别审计程序;对于个别尚无审计能力开展本项目的单位,可通过OA系统的公司函形式向总部发起派员帮扶需求申请,经总部内审部领导审批后,安排专家赴现场开展帮扶工作。三是持续推进项目进度,按周跟进各单位项目进展,按月召开进度通报会,抽取个别单位讲解实施经验,营造比学赶超氛围。四是审计项目结束后抽样开展确认单审理,重点关注审计事项描述的主要事实是否清楚、相关证据是否适当充分,审计事项描述适用法律法规、制度文件是否适当,审计事项评价、定性是否恰当,从而把控审计质量。五是开展项目评分,设计评分体系直观展现各单位实施情况,项目评分指标以客观数据为主,从审前、审中、审后三个环节共10个通用指标,此外还涉及立行立改、拓展关注点2个附加指标(见图2)。
送技术:统筹识别审计程序中的关键环节、审计难度较高的关注点,创新研发专业工具固化审计核查能力,通过统一的工具、统一的核查方法,在同一尺度上识别风险。在总部先行实施审计环节,时刻识别可用技术或工具提高审计质量和效率的着力点,主动研究并验证所用技术或工具的有效性,并编制配套的工具安装文档、工具操作文档,按步骤录制使用视频。所属公司拿到工具及对应指导材料后,可无障碍地安装及使用工具,通过技术或工具保障各个所属公司的审计质量及工作效率。信息服务设施设备基础管理审计的技术方法见图3。
促整改:高标站位、守正创新,扎实推进整改闭环管控、推动有效整改,通过审计整改提高公司管理水平、增加审计工作价值。在全覆盖审计项目中,建立各单位审计组整改复核、总部抽核的两级核查机制,由总部明确整改验收标准、流程和上报模板,由各单位审计组督促、复核业务部门整改效果,形成监督合力,促进问题整改。
(三)应用成效
践行总体国家安全观,总部内审部统筹组织,强化履行“管总”职能,以审计全覆盖方式开展自有App客户信息安全审计、信息服务设施设备基础管理审计。
对于全社会广泛关注的App违法违规收集个人信息问题,2021年中国移动组织开展自有App客户信息安全审计,覆盖全部涉及自有App的省公司及专业公司、覆盖公司全量自有App。总部先行审计6个公司,总结实施经验,组建项目指导组,编制指导材料71份,运用自然语言处理技术研制隐私政策分析工具并推广至全集团应用,开展远程指导500余次,现场督导与帮扶2个公司,跟进项目进展及召开进度沟通会14次,抽核6个公司的审计质量,全过程指导和支撑37公司的自主审计工作,提升项目实施的深度和质量管控。
项目审计共发现问题891项,推动330项立行立改、561项按期整改,围绕App管理全生命周期,基于审计发现问题,通过多层多维访谈、核查数据、审阅资料等方式,应用冰山模型,逐层深入,挖掘出问题产生的根本性原因,提出审计建议,促进问题得到机制性整改,助力公司合规运营。
2022年,中国移动聚焦国家重大政策和公司“十四五”发展规划中新基建的政治要求,关注网信基础管理风险,以全覆盖形式,对公司49家单位的所有机楼机房数据中心,以及提供内外服务的所有信息设备和配套设备开展了信息服务设施设备基础管理审计项目。
总部内审部进一步创新审计组织模式,探索共治,将49单位划分6个小组,总部与各小组组长单位分级指导,共计远程指导350余次、现场督导4个单位;编制发布指导材料24份,召開培训及进度沟通会3次;应用计算机视觉处理技术,自研机房出入视频分析工具,智能识别视频监控中人员出入机房事件,实现关键机房的视频监控内容全量分析;认真开展确认单审理,抽核5个单位的确认单,审核事实描述、制度引用、定性程度等事项内容,提出改进建议。项目在制度、数据、节能、运维4类16个关注点中,审计发现问题352个,推进23个单位第一时间清理易燃品、调整机房出入监控等,立行立改,及时消除安全隐患,切实保障国家重大活动期间的网络稳定运行。
四、务实进取,持续高质量推进审计全覆盖
高质量推进审计全覆盖,既要注重审计质量,也需兼顾效率,实现审计对象和关注内容的无一遗漏、无一例外、全面覆盖,同时逐步整体提高全集团审计人员的水平和能力,形成常态化、动态化震慑,保障审计工作质量不断提升。
中国移动将继续深入探索完善信息技术审计全覆盖模式,按照信息系统的“硬件、软件、数据、应用”划分维度,提前研究、提前布局,制订科学的工作规划,在项目全覆盖基础上,逐步实现审计对象的全业务、全流程、全要素监督,构建业界一流的信息技术审计工作体系。
(作者单位:中国移动通信集团有限公司,邮政编码:100033,电子邮箱:mengweibin@chinamobile.com)