IT審計｜某集團數據治理審計案例

案例速讀

某企業是一個綜合性跨國性的集團化公司，信息系統建設起步早，各系統各業務線智能化程度較高，在互聯網+的大形勢之下，對系統的要求會越來越高，因此，需要對集團整個系統進行全面的分析與評估。對整個系統進行全方位的評估，是內審人員的難點與重點，案例詳細介紹審計實施過程、操作方法、思考策略等，對外行審計內行，有較好的學習與參考作用。

案例背景

某企業是集軍工、消費電子、核心器件等研發與制造為一體的綜合型跨國企業集團，20世紀90年代初開始以自建的財務信息系統為基礎，逐步實現了生產、研發和營銷等各個經營管理領域的信息化。在互聯網+的新社會形態下，公司實施了集“智能研發”“智能制造”“智能營銷”三大平臺為一體的智能化戰略，產品數據和用戶數據已從傳統生產、銷售領域拓展到了智慧小區、智慧醫療等領域，從而成為企業戰略核心。

經過20多年信息化發展，公司積累了海量的業務和財務數據與經驗，為保證有效規劃、監控和執行數據資產，公司進行了專門的數據治理，發現數據質量和數據管理方面存在較多問題；歷年審計也發現數據存在維護不規范、標準不統一、清潔度低等問題，直接影響了智能化建設的順利實施。

因此，數據治理審計是在數據管理基礎上，通過對產業價值鏈的分析，對信息化建設情況和三大智能平臺上的業務流程、數據質量、關聯、交付、應用情況所開展的一項智能審計。

審計目標與思路

1.審計目標：通過對集團范圍內的信息系統建設和數據治理情況的全面審計，以問題數據為審計項目的切入點、數據標準為審計標準的基礎、數據質量問題為審計證據，全方位深入了解公司數據管理現狀，發現數據治理的漏洞，揭示公司數據治理存在的控制缺陷和系統性風險，提出可行的審計建議，促進提高信息化建設整體管理水平，建設可信任的企業級數據管理中心，打造數據共享服務典范。

2.審計標準：審計標準參照公司發布的《數據管理與治理工作思路》、《數據管理與治理工作推進計劃》、《數據管理體系》及核心制度中明確的相關單位的工作職責等規范文件

3.審計范圍和重點：通過對數據治理主要內容(安全、架構、質量、數據倉等)進行分析，數據治理審計涉及范圍寬廣、專業性強，而審計資源有限，加之公司主要是制造和銷售企業，數據治理與三大智能平臺建設緊密關聯，因此此次審計聚焦，以主數據管理為審計重點，涉及采購、銷售、研發、財務管理四個重要領域，審計客體包括數據管理部門、財務部門、信息系統開發部門及各系統應用子公司(業務單位)。

4.審計思路：通過對公司數據治理戰略目標、規劃方案和基本情況入手，了解公司數據治理的愿景、中長期目標，確定審計重點。以數據治理體系建設為起點，從數據架構，主數據管理、元數據管理和數據安全等四個角度出發；以價值鏈分析為基礎分為采購、營銷、研發、財務等子項。檢查數據治理層面的開發、應用和交互情況，分別對信息系統、業務流程、組織、角色等因素進行分析，延伸至信息安全層面，檢查數據質量、控制、合規、預防和修復機制。

結合智能審計軟件開發和應用，分析公司在數據管理、數據質量和共享分發等方面存在的問題，同時，進一步對公司三大智能平臺各子項目的藍圖規劃、開發狀況、實現效果等方面予以重點關注。

審計準備

1.組建聯合審計隊伍，取得專家支持

鑒于數據治理審計專業性較強，對信息化建設和審計能力的要求非常高，因此集IT審計、財務審計、采購審計和銷售審計人員組建聯合工作小組實施審計項目，同時，取得專家團隊支持，借助公司信息系統規劃、架構人員和軟件開發人員對重要問題進行集中討論分析。

2.制訂審計計劃和進度安排

預計審計時間為3個月，進行審計任務分工，把控關鍵節點，確保高效完成任務。

3.選取樣本

鑒于集團下屬子公司較多，而審計資源有限，前期借助智能審計軟件大數據分析功能和現場調研，以業務規模、風險程度、重要性等維度抽樣選取6家子公司

4.審計模式

建立前、中、后臺交互工作模式，以智能審計軟件(中臺)為主體，利用大數據處理技術，實施審計重點輸出，驅動審計業務(前臺)開展審計并在線反饋，審計專家(后臺)綜合分析后，對審計活動實施統一的計劃、協調、管理、控制與決策，最終形成并輸出審計成果。

另外利用智能審計系統的檔案管理功能，對前期所有審計項目發現的系統問題和數據問題，進歸集、分類、追蹤、分析，為本次審計提供更多的支持證據，得出審計結論。

5.建立信息溝通機制

(1)強化訪談和問卷調查，與各系統開發組及時溝通。

(2)審計小組以周例會形式報告和討論業務，保證信息暢通。

(3)定期匯報工作：鑒于審計開展時間太長，為保證讓公司領導能及時了解審計情況，采取階段式審計報告方式匯報工作。

實施步驟

根據前期了解到的數據治理基本情況，對審計問題進行分析、歸納和拆解，建立分工表格，關注主要風險

1.根據審計思路確定關注重點及任務分配(見表1-1)

第一，從數據治理體系層面關注數據管理體系規劃和架構信息、制度建設情況以及數據質量管理是否持續落地。

第二，了解信息系統建設情況、開發運用效率、系統間的對接情況，數據倉庫建設情況，信息系統數據一致性和信息系統開發效率。

第三，了解主數據管理平臺(MDM)建設和系統間共享數據情況，例如，客戶、供應商、賬戶和組織部門相關數據、元數據管理情況，數據倉庫和商業智能建設情況。

第四，檢查信息系統和數據安全問題表

1-1審計關注重點及任務分配表

2.問題收集與分析方法

借助智能審計軟件實現信息化審計，通過審計軟件自動提取數據，自動進行預警分析，改變原來手工提取數據，單機分析模式，同時兼顧了審計覆蓋面和效率。

通過審計軟件后臺清理不清潔、不規范數據，匯總整理審計過程中發現的數據質量問題。將整理好的錯誤數據集中推送給各開發和使用單位，要求反饋產生的原因及擬采取的修正措施，區分系統性及個性問題。與數據治理小組及各業務單位協商解決方案，發布采購數據質量報告，提出采購數據規范建議(見表1-2)

3.現場審計

在確定抽樣樣本和取份相關在線預警數據后，利用其他審計項目組的現場工作小組，直接提取有用信息。審計人員根據審計軟件在線預警結果，按照系統指示的作業流程，帶打問題進入現場審計，重點是對軟件無法直接識別的紙質資料進行審查，如各種制度、招標文件、相關簽批報告等，對在線預警結果進行深入追查，并與被審計單位達成初步共識。

審計報告反映

對于綜合性復雜的審計項目，審計報告格式非常重要。在該項目中，由于審計反映的問題涵蓋面廣、系統性問題與個性問題較多、系統間的關系復雜，因此分別從以下維度反映審計發現。

第一，全面反映公司信息平臺建設整體情況(見表1-3)。

表1-3截止審計日公司信息平臺和系統的投資運營維護情況

第二，反映數據管理體系規劃和架構情況，指出公司需加強數據管理規劃，進一步打通內外部數據。例如，公司級數據倉庫缺少管理和規劃運用效率低；未形成統一的企業級“元數據”管理，不利于提高信息系統的共享性、可讀性、實用性；主數據管理范圍及標準尚未健全；管理邊界不明確，不利于各產業共享數據信息資源，主數據標準多次頻繁修訂，影響數據治理效果:公司數據管理文化氛圍需要加強，尚未建立數據治理監控和考核體系，數據管理未形成閉環。

第三，從數據治理實施層面，反映數據管理單位數據管理意識不夠，未嚴格執行管理規范，影響數據質量。如申請入口不統一造成主數據不一致的情況。

第四，分業務類型關注主數據及業務數據的質量問題。主要針對交易界面的關鍵風險點，充分反映問題數據的細節和責任單位，如對采購(供應商)、銷售(客戶)、物料/產品主數據等管理情況分別進行反映。

例如，采購數據存在的問題：

(1)供應商歷史主數據質量問題突出:通過對MDM系統供應商主數據模塊審計分析測試，發現系統上線時從R/3遷移過來的歷史供應商主數據在唯一性、規范性、有效性、完整性等方面均存在問題(見表1-4，略)。

(2)采購業務數據存在部分質量問題(見表1-5，略)。

(3)ERP系統下的采購組織、采購組、價格有效期、付款方式等存在控制缺陷(略)

第五，單獨反映重要的信息平臺或信息系統存在的主要風險，如對財務、供應鏈、營銷等主要業務管理平臺的設計、應用、交互和控制情況分別進行評價，充分反映各重要系統業務模塊上存在漏項、功能不足的情況。

例如，某子公司xx系統長遠規劃不足，投資總額xx萬元，后期每年支付xx萬元運維費。模塊設計存在局限，已不能滿足現有業務和未來業務發展需要，經統計在結算、風控等相關業務上系統模塊至少存在26項功能缺陷（見表1-6)。

第六，反映信息系統和數據安全，一是反映系統控制缺陷，評價風險控制功能是否有效，二是評價信息平臺和系統本身安全性。例如，部分系統存在審核流程設置控制失效的情況:2016年對某子公司例行審計時，發現該公司信用系統后臺配置未能對標準訂單進行信用發貨控制，存在重大控制缺陷；MDM系統審批流程設置存在數據申請、審核、審批可以是同一人的情況，存在風險未隔離情況。

創新與反思

通過數據治理審計，系統性梳理了公司現有信息平臺的管理狀況和數據治理及對業務的支持情況，一是向決策層全面展示了公司數據管理的現狀和水平，二是從宏觀和微觀兩個維度反映了數據治理過程中存在的問題和風險，促進公司完善數據管理體系，提升數據治理質量，真正實現統一管理、共享和分發公司主數據，實現數據全生命周期管理，同時完善統一、準確的數據治理有助于公司價值的提升。

1.審計方式創新

一是成立聯合工作小組和借助專家力量，保證數據治理審計的專業水平；二是利用前期所有審計項目中檢查發現的同類問題支撐審計結論，在有限審計資源下高效完成大型綜合審計項目。

2.審計工具創新

借助智能審計系統實現對全業務鏈的持續監控和預警，在重點檢查審計樣本的情況下，從縱橫兩個維度全面檢查數據管理情況。

3.審計模式和技術創新

針對全新的審計對象，審計布局創新，通過前、中、后臺交互式的審計模式，利用智能審計軟件(中臺)，運用大數據處理技術和交易界面動態預警審計技術，對可能存在重要風險的業務數據進行全量掃描分析，由審計專家(后臺)分析找出檢查重點，推送至現場審計人員(前臺)，從而提高審計效率，避免審計漏項。

4審計報告方式的創新

多維度反映不同的審計重點，便于不同受眾使用審計報告內容；審計問題表格化.附件式列表既可全面展示所有審計抽查問題，又可清晰反映問題類別，以簡單方式反映復雜性問題。

5.審計成果推廣創新

此案屬首次對數據治理進行審計:一是在公司范圍內對數據治理工作全面應用審計結果；二是在審計實踐中進行了全新的業務拓展和嘗試。

案例微評

數據信息安全是個大問題，可以說她關系到組織的生死存亡。集團公司的IT審計一要確認審計數據，二要審計信息系統，三要評估操作流程風險。

本案從內審業界來看，此類審計項目無歷史經驗可借鑒，專業性極強，審計能力存在局限性，在發現問題和反映問題的廣度和深度上有所欠缺。但本案能全面說明整個審計范圍、審計策略與審計目標重點，并對每個關鍵點作了審計操作說明，對內審人員審計有一定的指導意義。

集團公司的信息系統架構龐大復雜，系統性梳理和重點關注可能仍然存在漏項。我們可以在審計時考慮(包括但不限于):硬件設施的采購、軟件系統的采購與使用；部門的安全管理、數據的備份等，均應納入整個系統進行評價。

- END -

來源：信息系統審計搬運工、內審之友，審計之家編輯整理。版權歸原作者所有（如有轉載，請注明以上信息）。

【小會福利時間到】

小會又來送福利啦！

【工資標準表】

【變更工資申請表】

關注+私信小編：資料

即可領取以上資料哦！

因領取人數太多，若是不能及時回復，請大家耐心等待哦~