基于研究型审计的企业集团信息科技审计框架研究
——以金控集团为例

张 兴

（1.中国光大集团博士后科研工作站，北京 100033；2.中国人民大学博士后科研流动站，北京 100872）

数字化转型背景下，企业随着信息技术的快速发展和应用处于动态变化中，一个有效的信息科技审计框架能够及时识别这些变化，帮助企业规避风险。信息科技审计的重要性随着业务运营对信息科技的依赖程度的增加及监管要求的趋严而不断提高。然而，已有文献指出，信息科技审计仍面临较多的挑战，包括审计人员与信息科技部门之间存在沟通障碍、未将信息科技审计转化为数据驱动功能的长期战略、缺乏信息科技审计专业人才及存在安全和隐私问题等。对于金融控股集团（以下简称“金控集团”）而言，不同企业、不同业务板块之间差异较大，且具有一定的复杂性，对信息科技管理有效性和信息科技建设效果的评估形成巨大挑战。

本文以金控集团为研究对象，将研究型审计理念和思维贯穿于信息科技审计各环节和全过程，构建了金控集团信息科技审计框架，有助于金控集团在厘清信息科技审计的难点和重点的基础上，更好地规划信息科技审计；也有助于金控集团进一步制定信息科技审计指南，开展信息科技审计实践。

一、信息科技审计的主要范畴

信息科技审计的主要范畴包括以下几个重点领域内容。

1.科技治理领域，应重点关注贯彻落实党和国家关于信息科技重大决策部署的情况，科技战略规划的制定及执行效果情况，科技政策和制度的制定及执行情况，科技组织架构等情况。

2.风险管理领域，应重点关注科技风险管理政策、制度和流程的制定及执行情况，科技风险的类别、识别、评估、监测、应对措施及报告等管理情况，信息科技风险事件的管理机制及执行情况等。

3.综合管理领域，应重点关注供应商、采购、合同管理等商务规定及执行情况，固定资产管理规定及执行情况，科技人员的招聘、培训、离岗等管理规定及执行情况等。

4.系统开发和测试领域，应重点关注项目计划、项目预算、费用管理情况，项目立项、实施、验收、后评价等项目过程管理情况，系统需求、设计、编码、投产等系统开发过程管理情况，测试过程管理情况等。

5.系统运维领域，应重点关注系统日常运维规范及执行情况，应用变更和运维操作等运维环节的风险控制情况，系统日常监测、分析和改进等执行情况等。

6.系统运行领域，应重点关注生产环境中的信息技术资产、基础设施的管理与使用的相关规定与执行情况，重大生产事件、应急预案管理规定及执行情况，生产数据备份、调用、验证等管理情况等。

7.外包管理领域，应重点关注科技外包管理战略及制度体系建设情况，外包供应商准入、外包人员与外包风险管理开展情况等。

8.信息安全领域，应重点关注信息安全战略及安全体系建设情况，信息安全管理及安全技术应用实施情况等。

二、信息科技审计监管要求

我国目前已基本形成了一套覆盖法律法规和行业规范的信息科技审计体系，其中，法律法规层面主要包括《中华人民共和国审计法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》等，行业规范层面主要以金融机构为主，金融机构是信息科技审计实践最成熟的主体，具体内容如表1所示。

表1 外部监管制度对信息科技审计的要求

三、金控集团信息科技审计面临的主要难点与挑战

信息科技审计专业性强、范围广，并且金控集团具有业务板块多、经营机构多、层级多的特点，在有限的审计资源下，信息科技审计仍面临较大挑战。

（一）难以实现全面覆盖

一是难以实现对下属企业信息科技审计的统一管理，由于金控集团下属企业涉及不同业务板块，面临不同的监管要求，并且企业之间的信息科技建设水平差异大，统一管理难度较大。对于信息科技审计范围、审计频率、审计组织形式、审计内容以及成果运用机制等有待进一步明确。二是信息科技审计涵盖多个专业领域，对信息科技的全面审计需要大量的审计资源。

（二）审计成果运用有待加强

针对审计发现的问题，整改效率和效果仍存在参差不齐的情况，难以真正实现举一反三，与整改长效机制的要求仍有一定的距离，整改的系统性、针对性和时效性有待进一步增强。

（三）信息科技审计专业能力有待提升

信息科技审计对审计人员的知识储备和知识结构具有较高要求，不仅需要掌握IT运维开发知识，还需要对具体业务有深入的了解。随着信息科技的迅速发展，新产品层出不穷，应用系统更迭频繁，尽管审计人员具备一定的信息技术背景和专业能力，但知识更新速度可能难以适应信息技术的快速发展步伐。

四、基于研究型审计的金控集团信息科技审计理论框架

本文基于研究型审计构建金控集团信息科技审计理论框架，如图1所示。

图1 基于研究型审计的金控集团信息科技审计理论框架

（一）审计理念上，探索向系统深入的研究型审计转变

传统的审计理念难以适应数字化时代的信息科技管理，研究型审计能够运用整体系统的思维，将信息科技看作一个系统并进行整体研究，探究问题产生的真正原因，提升审计质量和效益。

（二）审计内容上，着力通过调研、试审等抓住重点精准发力

1.深入调研。一是深入集团下属企业和同业企业调研。组织学习信息科技基础知识，深入分析信息科技管理特点。二是收集整理信息科技相关法规政策及各行业监管要求。三是与信息科技审计相关专家学者交流前沿实践和研究情况。四是梳理以往审计资料，整理信息科技领域的主要问题和典型案例。

2.开展试审。通过试审测算信息科技审计项目工作量，研究提出统筹整合集团审计和企业审计资源的具体路径，着力突出审计重点。

（三）审计组织上，上下联动步调一致推进金控集团审计一盘棋

1.坚持统分结合上下穿透，努力做实金控集团审计一盘棋。鉴于信息科技审计专业性较强，对信息化建设和审计能力的要求非常高，需要统筹金控集团及企业审计力量开展信息科技审计项目。

2.加强过程指导和质量控制。编制法规向导和信息科技审计操作指南，提供方法指导。金控集团审计部门可以组织编写《信息科技审计操作手册》，为开展信息科技审计取证操作提供详细指导。

3.创新专题核查组织方式，开展“穿透式”审计工作。对于信息科技审计部分内容，可以开展专项审计，如科技外包专项审计、信息安全专项审计、数据治理专项审计、项目管理专项审计、科技投资专项审计等。

（四）方式方法上，构建金控集团信息科技审计分级分类审计体系

考虑根据企业信息科技实践的特征对集团下属企业进行信息科技审计的分级分类，具体包括高、中、低三个等级，其中，等级越高，对信息科技审计的要求越高。具体如表2所示。

表2 金控集团信息科技审计分级分类审计体系

（五）结果运用上，一体化推进揭示问题、规范信息科技管理

在全面摸清企业信息科技治理、科技风险管理、科技综合管理、系统开发、系统测试、系统运维、科技运行等基本情况的基础上，关注科技运行的整个链条，对发现的具有普遍性、倾向性和苗头性的问题，提出具有针对性和可操作性强的意见及建议。

五、结论

数字化时代背景下，企业集团信息科技风险凸显，信息科技审计重要性日益突出。本文通过梳理信息科技审计的主要范畴和外部监管要求，结合金控集团信息科技审计面临的主要困境，基于研究型审计构建了金控集团信息科技审计理论框架，从审计理念、审计内容、组织管理、方式方法、成果运用等方面出发，系统地介绍了金控集团信息科技审计的具体做法和实施路径，希望为相关主体开展信息科技审计实践提供一定的参考与借鉴。