★ ★ ★ ★ ★ 提升企业 IT 审计能力， 助力数字化转型 实战与展望 目 录 一、时代在发展 IT 审计必然要变革 三、大数据审计能力提升与展望 二、数字化审计转型的方法论 1 、移动互联、 大数据、 云计算、 人工智能 ( 企业的核心竞争力。 这必将给审计监督和管理带来机遇 , 更带来了挑战 , 审计信息化 势在必行 , 因为它不仅仅是审计技术和方法的变革，更是一种审计 思 维的革命。 回 一、时代在发展， IT 审计必然要变革 （一）信息技术发展催生审计工作的变革 一、时代在发展， IT 审计必然要变革 2. 信息技术影响到我们社会发展的各个层面 新基建 一、时代在发展， IT 审计必然要变革 3. 新基建也会带来审计内容和审计方式方法的变 革 数据量大 需要处理更大量的数据，中石化“十二五” 期 间经营类数据已达到 80T ，“十三五” 数据将增长更迅速。 数据范围广 需要来自相关各个系统的数据，为了 适应“业财”“业审”融合，既需要

互联网 办公 PC 办公 PC 办公 PC 办公终端区 专线 互联网 VPN 汇聚交换 汇聚交换 核心交换 汇聚交换 核心交换 华为防火墙 华为防火墙 数据安全层面 • 缺乏数据库审计、 DLP 防泄密、数字水印、数据库准入等； • 无数据分类、数据加密脱敏等安全防护 云安全层面 • 缺乏云平台安全、云东西向流量安全防护 某著名企业 \ 分支安全层面 • 针对 OA\ 财务共享 供应链等应用缺乏安全防护，分支接入安 全 主机安全层面 • 安全基线管理、服务器防病毒、电脑主机防入侵层面需加强 安全管理与运营层面 • 缺乏统一的资产、威胁管理、风险管理的平台； • 无集中的日志审计、网络审计，缺乏网络管理体系。 • 安全集中监控、管理层面薄弱；没安全运营中心，可视化展示。 安全技术体系需求 已有措施 • 结合当前网络结构和安全建设结构可以分析出，将会建设阿里 的私有云、直销 技术等 • 结合数字水印 技术 • 双向内容监测 与防护 改不了 • L2-L7 层攻击攻 击防护，网页 篡改防护与预 警 • 跳板攻击隔离 赖不掉 • 基于数字证书 的行为审计技 术 • 各类审计设备 • 基于 UEBA 的 行为分析技术 查得到 • 所以的访问行、 攻击事件为具 有记录，实时 可查，本地安 全大脑，联动 机制。 安全体系框架：网络安全解决方案逻辑架构图 等保二

组织管控和授权体系的内 容 I 根据战略要求，某地集团总部未来将定位为战略设计师角色，而具体业务 运营操作将由各区域自行承担 3 个可能的角色 1 财务控制管理者 战略设计 师 / 审计 师 财务控制 管理者 2 战略设计师 • 通过加强战略架构，促进运营机构的自我发展 • 检验商业计划的思路并着手实施 • 鼓励运营机构加强自身能力 • 促成交流合作 / 投资管理，收购、兼并 • 公关 • 人才培养 • 法律 • 审计 • 品牌 • R&D • 总部组织机构的管理 • 财务 / 资产 • 集团规划 / 区域战略 • 投资管理，收购、兼并 • 公关 • 人才培养 • 法律 • 审计 • 品牌 • R&D • 采购 • 物流 • 生产 • • 销售 • 人事管理 • 总部组织机构的管理 • 公关 • 人力资源 • 法律 • 审计 • 品牌 • R&D • 采购 • 物流 • 生产 • 销售 • 区域组织机构的管理 在战略管理模式之下，某地集团总部组织职能将主要是战略管理和服务功 能，而区域组织应具备完整的营运操作性职能 • 产品导入 •

................................. 63 中央企业国有资本经营预算支出执行监督管理暂行办法 ..... 70 财政部 国务院国资委 金融监管总局关于加强审计报告查验工作 2 的通知 ............................................... 77 国有企业、上市公司选聘会计师事务所管理办法 .. （三）出资人机构或股东、股东会（包括股东大会，下同）； （四）公司党组织； （五）董事会； （六）经理层； （七）监事会（监事）； （八）职工民主管理与劳动人事制度； （九）财务、会计、审计与法律顾问制度； （十）合并、分立、解散和清算; （十一）附则。 第六条 总则条款应当根据《公司法》等法律法规要求载明公司 名称、住所、法定代表人、注册资本等基本信息。明确公司类型 职责定位和董事会组织结构、议事规则；载明出资人机构或股东会 对董事会授予的权利事项；明确董事的权利义务、董事长职责；明 确总经理、副总经理、财务负责人、总法律顾问、董事会秘书由董 事会聘任；明确董事会向出资人机构（股东会）报告、审计部门向 董事会负责、重大决策合法合规性审查、董事会决议跟踪落实以及 后评估、违规经营投资责任追究等机制。 国有独资公司、国有全资公司应当明确由出资人机构或相关股 东推荐派出的外部董事人数超过董事会全体成员的半数

安硕信用风险管理系统 V9 —— 上海安硕信息技术股份有限公司..............................................................16 7. 基于知识的智能审计系统 —— 北京领雁智远科技有限公司..........................................................................18 8. CDP/MA 遭受来自黑客攻击和数据泄露等风险。提高了各 单位政务系统的稳定性和安全性，得到了用户的高度评价。 高敏捷信创白盒（SCAP）主要的特点如下： 1)能够展示各研发部门源代码安全审计情况、整改前后的对比、全局源代码审计情况等，方便整体把握源代码安全情况； 2)管理平台对接 Jenkins 集成系统，在开发执行构建时触发源码扫描分析； 2024 高质量数字化转型技术解决方案集（下半年度） 2 6)管理平台支持 Eclipse、Intellij Idea、Android Studio 集成开发环境插件提交代码进行在云端扫描检测，实现开发与安全审计 两不误； 7)管理平台支持自定义审计规则，集成二次分析引擎对代码扫描结果进行二次审计，进行误报自动化过滤； 8)管理平台有详细的报表统计分析功能，对阶段性的检测结果统计分析； 9)管理平台支持完整的用户分配和权限管理功能； 10)扫

并进行原因分析，支持多币种、多机构的复杂核算需求。  合规监控与风险预警：实时监控交易行为，识别潜在的合规风 险和异常交易，生成预警报告供管理层决策。  报告生成与审计支持：自动生成符合监管要求的核算报告，并 支持审计人员快速查询和分析历史数据。 通过引入 DeepSeek，银行不仅可以提升核算流程的效率和准 确性，还能降低运营成本和合规风险。同时，其强大的数据分析和 预测能力为银 一功能特别适用于高频交易场景，如证券交易、外汇交易等，能够 显著缩短核算周期，提高响应速度。 最后，DeepSeek 的自动化报表生成功能可以显著减少财务人 员的工作负担。系统能够根据核算数据自动生成财务报表、税务报 告、审计报告等多种文档，并根据预设的模板进行格式化处理。这 不仅提高了报表生成的效率，还确保了报表的规范性和合规性。 以下是引入 DeepSeek 后核算效率提升的具体数据对比： 指标 传统流程 引入 级数 据的高效处理。 其次，安全性是金融系统的重中之重。系统需集成多层次的安 全机制，包括数据加密、身份验证、访问控制和审计日志等。建议 使用 AES-256 加密算法对敏感数据进行加密，并引入多因素身份认 证（MFA）以增强用户身份的安全性。此外，定期进行安全审计和 漏洞扫描，确保系统免受潜在威胁。 数据分析与挖掘能力也是技术需求的重要组成部分。系统应支 持机器学习算法的集成，以便进行风险预测、欺诈检测和客户行为

2.1 满足监管要求..............................................................................113 5.2.2 审计日志留存..............................................................................114 6. 实施路径与里程碑. 债率上限等），其局限性日益凸显：一方面，规则迭代周期长（平 均需 3-6 个月更新），难以应对快速变化的市场环境；另一方面， 人工审核环节存在主观判断偏差，某股份制银行 2023 年内部审计 显示，初级审批员对中小企业经营性贷款的风险误判率高达 18.7% ，显著高于系统自动审批的 12.3%。 主要痛点可归纳为以下维度： 挑战维度 具体表现 典型数据支撑 数据整合 系统故障，可能导致错误授信决策或数据泄露。以下是关键风险点 及防控措施： 1. 人工操作失误 o 数据录入错误：客户财务信息、抵押物估值等关键数据 的手动输入易出现偏差。例如，某城商行 2023 年审计发 现，15%的授信拒绝案例源于收入数据录入错误。 o 文件遗漏：缺少必要的担保合同或征信报告，导致风险 敞口。建议通过 OCR 自动校验文档完整性，设置强制上 传清单。 2. 流程执行偏差

需要加强安全意识、隐私保护意识，需要建立数据隐私保护制度和 安全审查制度。推动完善适用于大数据环境下的数据分类分级安全 保护制度，加强对 Z 务数据、企业商业秘密和个人数据的保护。建 设数据安全管理系统，包含数据审计、数据安全体系建设、数据脱 敏（动态、静态）等功能。对数据泄露、误操作、非法访问等异常 行为监测预警、日志多维分析、红黑名单管控。通过数据流转溯源 监控，优化数据分类分级，跟踪数据来源，对数据来源进行溯源跟 户资源隔 58 / 309 大数据能力平台建设项目方案建议书 离，防止资源非授权访问；建立数据加密存储和传输机制，保障数 据存储和传输安全。 五、Z 务云管理及审计安全需求 Z 务云管理及审计面临以下安全威胁： 1、密钥管理面临的安全威胁。密钥是用户身份认证、数据安全 传输和存储的重要保障。密钥管理是云安全环境下数据安全的重要 组成部分，如果密钥被窃取，将导致大量用户数据面临泄露的威胁； 59 / 309 大数据能力平台建设项目方案建议书 3、审计面临的威胁。云安全环境中，发生事故时，需要对事件 进行回放，对管理员操作进行追溯，找出事故发生的原因，杜绝同 类事故再次发生。大量用户共用云安全提供的服务，用户行为审计 数据非常巨大；大量应用部署在云端，应用资源访问审计数据同样 非常巨大。海量数据给审计带来了巨大挑战；云安全分布式部署， 各地物理环境、管理人员不同，容易出现物理环境和人为破坏威胁，

•集团对房地产这一特殊行业尚未形成即与市场接轨、又适合于集团目前状况的管理体系 •缺少专业人员，核心能力不足 •有一定的 ** 关系。 •力争所操作项目的成功，未来发展视情况而定 •加强管理，完善业务流程与监控、审计体系 •优化人力资源，改善薪酬体系 •北京的房地产市场需求强劲， 2018 年北京全市累计销售商品房屋 ****** 万平方米。专家预测北京房地产市场还有 **** 万平方米的空间。 •近年来北京的房地产业一直保持较快的发展速度， 集团海外机构以及其他业务公司这四大块 ** 技术集团 广 * 公 司 房 地 产 项 目 公 司 储 运 公 司 京外机构 海外机构 集团财务总部 集团人力资源总部 集团战略策划总部 集团风险管理总部 集团审计总部 集团办公室 集团企业管理总部 集团资产管理总部 集团法律总部 集团电脑中心 集团纪检监察室 金 融 事 业 本 部 医 药 公 司 中 技 招 标 公 司 中 机 招 标 公 司 组织宣传部 纪检监察室 信访室 审理室 党风建设办 综合室 集团总务部 集团法律事 务总部 诉讼仲裁部 业务合同咨 询管理部 投资法律 咨询部 综合岗 审计部 综合岗 审计 I 部 审计 II 部 审计 III 部 106 集团办公室的使命和主要职能 •为集团高 层领导提供优 质高效的文秘 服务 •成为集团 内外公关宣传 的喉舌 •规范集团

实现预算数据的共享，保证预算数据的可追溯性和充分再利用；  能够及时的把握企业业务执行情况与预算的差异，实现与实际 业务的适时匹比，为企业运营提供有效的决策依据和建议；  能够实现对业务活动、数据安全性的跟踪与审计，完全满足企 业内控的要求；  能够实现对预算数据的积累，在改进的过程中保持对历史方案 与经验的有效连续和继承，实现预算管理的动态循环。 多视角分析的预算管理模式  能够从多个维度进行企业预算管理和分析； 集团内控管理现状，通过 信息上传下达、风险收集、风险评价、整改与反馈等功能，实现全面 风险管理工作的系统化、规范化、标准化，以及对风险的事前防范、 事中控制和事后监督改进的全过程管理；  并可辅助内部审计工作的开展。 风险与内控管理系统 门户 信息发布 资料上传 风险收集 风险评估结果 评价整改与反馈 文档中心 风险管理 风险识别管理 风险评估管理 风险数据库管理 风险解决方案管理 内控框架 风险识别管理 风险评估管理 风险数据库管理 缺陷分析管理 内控评价 工作底稿 自我测试 管理层测试 缺陷管理 评价报告 统计分析 预警 风险设置 指标设置 预警方案 预警报告 审计项目管理 辅助审计 风险与内控管理系统主要应包括下列功能（一）  门户  信息发布 集团内控手册、风险更新、案例等信息的发布  资料上传 各级企业内控手册、评价报告的上传  风险收集