如何做好數(shù)字化建設項目專項審計

隨著數(shù)字化轉型在各行業(yè)領域的不斷深入，數(shù)字技術的發(fā)展為社會和經(jīng)濟帶來了新變化與新機遇，但在數(shù)字化建設過程中也存在著缺乏戰(zhàn)略規(guī)劃、數(shù)據(jù)安全脆弱、隱私保護不當、建成后無法使用或不好用等問題，加之相關法律法規(guī)尚不完善、監(jiān)督機制尚不健全，數(shù)字化建設領域難免出現(xiàn)腐敗現(xiàn)象。為進一步推動數(shù)字化建設項目的健康發(fā)展，對數(shù)字化建設項目進行專項審計已成為必然。本文以A企業(yè)開展數(shù)字化建設項目專項審計實踐為例，對審計目標設定與查證策略使用等方面進行了有益探索，取得良好成效。

一、審計目標

通過對A企業(yè)在建與運行中的數(shù)字化項目進行從立項到?jīng)Q算等各環(huán)節(jié)業(yè)務活動的合法、合規(guī)、安全、效益性進行專項審計與摸底評估，針對存在的問題及風險，提出建議和意見，促進管理水平與風險防范能力的提升。

二、審計程序

依據(jù)《第1101號——內部審計基本準則》及相關要求，本審計項目履行了制訂審計計劃、開展審前調查、成立審計組、編制審計方案、發(fā)出審計通知書、進行現(xiàn)場審計、開展審計取證、征求意見、出具審計報告等必要審計程序。

三、審計內容及查證思路

（一）內部控制審計

主要對內控制度的建立和執(zhí)行情況進行審計，重點關注數(shù)字化項目建設、使用、運維等方面的管理制度是否健全完備，是否建立了風險評估、監(jiān)督制約機制；項目立項、預算、采購招標、重大變更等審批流程是否符合內控制度要求，監(jiān)督制約機制是否執(zhí)行到位等。

（二）頂層設計審計

主要對數(shù)字化項目頂層設計規(guī)劃、系統(tǒng)架構設計、系統(tǒng)集成規(guī)劃、安全設計方案等進行審計，重點關注立項時項目目標和范圍是否符合A企業(yè)戰(zhàn)略規(guī)劃文件，項目計劃是否符合業(yè)務或用戶需求；系統(tǒng)架構和技術方案是否合理，能否確保系統(tǒng)穩(wěn)定性、可擴展性和安全性；是否充分考慮了不同系統(tǒng)間集成問題，并合理規(guī)劃不同系統(tǒng)間數(shù)據(jù)、功能建設；安全設計方案中網(wǎng)絡安全產品選型、保密產品與服務是否符合“國產化”“信創(chuàng)”等有關規(guī)定；設計方案是否經(jīng)過專家評審論證，有無過度設計情況。

（三）信息安全審計

1.安全組織管理審計。重點關注是否制定了網(wǎng)絡安全方針與策略，是否建立了安全組織機構、配備了安全管理人員，是否遵循了不相容崗位分離原則，是否建立了操作規(guī)程及定期進行安全檢查和記錄，是否及時終止離崗人員訪問權限，是否對外來人員訪問進行有效管控。

2.網(wǎng)絡物理環(huán)境審計。重點關注物理訪問控制措施是否滿足相關要求，機房環(huán)境建設及管理是否滿足相關規(guī)定。

3.安全通信網(wǎng)絡審計。主要對網(wǎng)絡傳輸校驗技術、可信驗證、網(wǎng)絡可信認證架構設計、網(wǎng)絡區(qū)域劃分、網(wǎng)閘系統(tǒng)等進行審查，審查信息網(wǎng)絡安全防護措施、隔離措施是否有效。

4.安全區(qū)域邊界審計。主要對訪問控制設備配置、無線設備通信、訪問控制策略、日志與監(jiān)控措施、網(wǎng)絡關鍵節(jié)點監(jiān)視網(wǎng)絡攻擊行為效果等進行審查，驗證網(wǎng)絡邊界處防護措施是否有效。

5.身份鑒別及安全訪問審計。重點關注用戶權限管理、賬號管理是否合規(guī)，用戶身份標識是否唯一，密碼管理是否符合相關要求，登錄失敗處理措施是否有效可控，遠程登錄通信管理是否安全。

6.入侵防范等安全管理審計。重點關注系統(tǒng)安裝情況、終端接入限制、數(shù)據(jù)有效性驗證、高風險漏洞排查、安全審計功能使用等管理是否合規(guī)、有效。

7.惡意代碼審計。重點關注防惡意代碼軟件安裝及使用情況，自研及外包軟件開發(fā)項目的代碼管理是否可控、安全責任是否明確等。

8.數(shù)據(jù)安全審計。重點關注重要數(shù)據(jù)的備份與恢復功能是否合理、可用，鑒別信息存儲空間或者分配空間是否得到完全清除。

9.信息安全等級保護測評審計。重點關注定級結果是否取得公安機關相關備案，測評時間是否合規(guī)，測評結果中安全問題整改是否閉環(huán)，使用期間若發(fā)生重大變更或級別變化，是否及時按規(guī)定進行等級測評調整。

（四）項目立項審計

重點關注項目實施的必要性、可行性、經(jīng)濟性、合理性，建設程序是否合規(guī)，批復手續(xù)是否符合A企業(yè)內部規(guī)定。

（五）招標采購審計

重點關注招標采購方式是否得當，招標文件內容的完整性、合規(guī)性、合理性；招標采購流程是否合法、合規(guī)，是否存在圍串標、弄虛作假情況，歸檔資料是否齊全。

（六）合同管理審計

重點關注合同簽訂程序是否合規(guī)，合同內容及要素是否齊全，保修期及免費運維期是否合理，有無改變招投標實質性內容，是否按合同約定進行付款、結算、關閉，合同履約是否到位，合同變更程序是否符合規(guī)定。

（七）項目實施審計

重點關注項目實施是否與設計文件、采購需求、實施方案要求一致，是否存在多建、錯建、少建情況；是否通過包括單元、系統(tǒng)、集成、性能在內的測試，并達到預計的設計要求和參數(shù)；試運行是否充分，對試運行過程中發(fā)現(xiàn)的問題是否進行了整改、閉環(huán)；是否進行了相關測評工作，是否嚴格按照驗收方案進行驗收，是否存在降低驗收標準、部分功能未實現(xiàn)而通過驗收情況；項目建設是否存在延期，延期責任是否明確。

（八）運行維護審計

重點關注運維費用計取是否合理，運維時間是否與項目建設免費提供的運維時間存在重疊；運維人員職責是否清晰，人員權限、角色是否符合“最小權限”原則，是否存在一人多角色情況；運維人員數(shù)據(jù)操作權限及賬戶管理是否符合相關規(guī)定，是否存在共用賬號情況；運維人員是否存在擅自變更、掛靠等履職不到位情況。

（九）項目成本審計

重點關注軟件開發(fā)、軟件定制和硬件采購、系統(tǒng)集成、運行維護等項目成本是否準確、合理，是否存在復用、多列項、工作量高估冒算、人工單價及測評費用不實情況；實際功能模塊、功能點、設備數(shù)量規(guī)格型號是否與合同約定一致，減少內容是否進行了價款扣減；是否存在超標準、超范圍、超概算建設未履行審批手續(xù)情況；是否存在實施范圍變小，未調整項目概算造成資金浪費情況。

（十）竣工決算審計

重點關注竣工財務決算編制是否符合基本建設財務管理規(guī)定，是否委托了具有資質的會計師事務所進行竣工決算審計；項目交付使用財產是否真實、完整、及時，是否符合交付條件，是否存在提前交付情況；通過資產盤點，檢查交付資產是否完整、賬面數(shù)量與盤點數(shù)量是否相符。

（十一）應用效果審計

主要對系統(tǒng)功能實現(xiàn)情況、運行情況、數(shù)據(jù)質量、性能情況等進行審計，重點關注系統(tǒng)功能實現(xiàn)、性能指標是否達到設計需求，開發(fā)功能是否實現(xiàn)了全部有效應用，不同系統(tǒng)間是否存在同一業(yè)務功能重復運行情況，不同系統(tǒng)業(yè)務銜接是否暢通；數(shù)據(jù)是否準確，數(shù)據(jù)備份措施是否合理，數(shù)據(jù)質量是否達到預期；評估系統(tǒng)響應速度、穩(wěn)定性、可靠性等性能指標實現(xiàn)情況，識別潛在性能瓶頸、異常行為等。

四、審計成果

通過本次專項審計，A企業(yè)針對數(shù)字化建設項目進行了全面梳理和“體檢”。審計組發(fā)現(xiàn)了企業(yè)目前存在的數(shù)字化建設項目需求前瞻性不足、系統(tǒng)間存在“信息孤島”、安全防御措施落實不到位、依賴人工錄入、已開發(fā)功能未得到有效利用、新舊系統(tǒng)間業(yè)務過渡不順暢、數(shù)據(jù)備份不滿足業(yè)務連續(xù)性需要等問題，并在加強系統(tǒng)頂層設計，推動數(shù)字化、數(shù)智化轉型，實現(xiàn)互聯(lián)互通、信息共享和業(yè)務協(xié)同統(tǒng)一，構建綜合性安全防御體系等方面提出了管理優(yōu)化提升建議，為企業(yè)數(shù)字化轉型奠定了良好基礎。

五、幾點建議

數(shù)字化建設項目專項審計是隨著信息技術發(fā)展而興起的一種新型審計，需要不斷探索和創(chuàng)新，為實現(xiàn)數(shù)字化建設項目審計的持續(xù)發(fā)展，應做好以下幾個方面。

一是完善法規(guī)體系。相關部門應制定與數(shù)字化建設項目審計相關的法律法規(guī)標準體系，確保審計工作有據(jù)可依，并結合信息技術快速發(fā)展適時調整，以滿足實際工作需要。

二是提升人員素質。審計人員需要不斷提升自身的數(shù)字素養(yǎng)和綜合能力，主動掌握新技術、新方法，以適應數(shù)字化建設項目專項審計的復雜需求。各單位審計部門應建立持續(xù)教育與培訓機制，不斷更新審計人員的知識結構，提高技術水平和職業(yè)判斷能力。

三是拓展審計范圍。除了傳統(tǒng)的財務、成本和技術方面，審計將涵蓋更多領域，如數(shù)據(jù)安全、隱私保護、業(yè)務流程優(yōu)化以及數(shù)字化戰(zhàn)略執(zhí)行效果等。

四是創(chuàng)新審計手段。利用大數(shù)據(jù)技術處理海量數(shù)據(jù)，發(fā)現(xiàn)異常模式和潛在風險；引入人工智能技術，使用AI工具自動執(zhí)行重復性任務，提高審計效率；探索區(qū)塊鏈技術在審計證據(jù)鏈中的應用，提高審計結果的可信度；發(fā)展遠程審計技術，提高遠程審計能力，以減少對現(xiàn)場審計的依賴，降低審計成本。

五是實現(xiàn)持續(xù)審計。借助數(shù)字化技術，實現(xiàn)對項目全過程的動態(tài)跟蹤和審計，及時發(fā)現(xiàn)問題并進行干預，降低風險和損失。

六是探索綠色審計。隨著可持續(xù)發(fā)展理念逐漸成為共識，對于數(shù)字化建設項目的能源消耗、環(huán)境影響等方面的審計也應逐漸受到重視和關注。

（作者單位：華電煤業(yè)集團有限公司，郵政編碼：100032，電子郵箱：zhjk2010@163.com）