★ ★ ★ ★ ★ 提升企业 IT 审计能力， 助力数字化转型 实战与展望 目 录 一、时代在发展 IT 审计必然要变革 三、大数据审计能力提升与展望 二、数字化审计转型的方法论 1 、移动互联、 大数据、 云计算、 人工智能 ( 企业的核心竞争力。 这必将给审计监督和管理带来机遇 , 更带来了挑战 , 审计信息化 势在必行 , 因为它不仅仅是审计技术和方法的变革，更是一种审计 思 维的革命。 回 一、时代在发展， IT 审计必然要变革 （一）信息技术发展催生审计工作的变革 一、时代在发展， IT 审计必然要变革 2. 信息技术影响到我们社会发展的各个层面 新基建 一、时代在发展， IT 审计必然要变革 3. 新基建也会带来审计内容和审计方式方法的变 革 数据量大 需要处理更大量的数据，中石化“十二五” 期 间经营类数据已达到 80T ，“十三五” 数据将增长更迅速。 数据范围广 需要来自相关各个系统的数据，为了 适应“业财”“业审”融合，既需要

互联网 办公 PC 办公 PC 办公 PC 办公终端区 专线 互联网 VPN 汇聚交换 汇聚交换 核心交换 汇聚交换 核心交换 华为防火墙 华为防火墙 数据安全层面 • 缺乏数据库审计、 DLP 防泄密、数字水印、数据库准入等； • 无数据分类、数据加密脱敏等安全防护 云安全层面 • 缺乏云平台安全、云东西向流量安全防护 某著名企业 \ 分支安全层面 • 针对 OA\ 财务共享 供应链等应用缺乏安全防护，分支接入安 全 主机安全层面 • 安全基线管理、服务器防病毒、电脑主机防入侵层面需加强 安全管理与运营层面 • 缺乏统一的资产、威胁管理、风险管理的平台； • 无集中的日志审计、网络审计，缺乏网络管理体系。 • 安全集中监控、管理层面薄弱；没安全运营中心，可视化展示。 安全技术体系需求 已有措施 • 结合当前网络结构和安全建设结构可以分析出，将会建设阿里 的私有云、直销 技术等 • 结合数字水印 技术 • 双向内容监测 与防护 改不了 • L2-L7 层攻击攻 击防护，网页 篡改防护与预 警 • 跳板攻击隔离 赖不掉 • 基于数字证书 的行为审计技 术 • 各类审计设备 • 基于 UEBA 的 行为分析技术 查得到 • 所以的访问行、 攻击事件为具 有记录，实时 可查，本地安 全大脑，联动 机制。 安全体系框架：网络安全解决方案逻辑架构图 等保二

组织管控和授权体系的内 容 I 根据战略要求，某地集团总部未来将定位为战略设计师角色，而具体业务 运营操作将由各区域自行承担 3 个可能的角色 1 财务控制管理者 战略设计 师 / 审计 师 财务控制 管理者 2 战略设计师 • 通过加强战略架构，促进运营机构的自我发展 • 检验商业计划的思路并着手实施 • 鼓励运营机构加强自身能力 • 促成交流合作 / 投资管理，收购、兼并 • 公关 • 人才培养 • 法律 • 审计 • 品牌 • R&D • 总部组织机构的管理 • 财务 / 资产 • 集团规划 / 区域战略 • 投资管理，收购、兼并 • 公关 • 人才培养 • 法律 • 审计 • 品牌 • R&D • 采购 • 物流 • 生产 • • 销售 • 人事管理 • 总部组织机构的管理 • 公关 • 人力资源 • 法律 • 审计 • 品牌 • R&D • 采购 • 物流 • 生产 • 销售 • 区域组织机构的管理 在战略管理模式之下，某地集团总部组织职能将主要是战略管理和服务功 能，而区域组织应具备完整的营运操作性职能 • 产品导入 •

................................. 63 中央企业国有资本经营预算支出执行监督管理暂行办法 ..... 70 财政部 国务院国资委 金融监管总局关于加强审计报告查验工作 2 的通知 ............................................... 77 国有企业、上市公司选聘会计师事务所管理办法 .. （三）出资人机构或股东、股东会（包括股东大会，下同）； （四）公司党组织； （五）董事会； （六）经理层； （七）监事会（监事）； （八）职工民主管理与劳动人事制度； （九）财务、会计、审计与法律顾问制度； （十）合并、分立、解散和清算; （十一）附则。 第六条 总则条款应当根据《公司法》等法律法规要求载明公司 名称、住所、法定代表人、注册资本等基本信息。明确公司类型 职责定位和董事会组织结构、议事规则；载明出资人机构或股东会 对董事会授予的权利事项；明确董事的权利义务、董事长职责；明 确总经理、副总经理、财务负责人、总法律顾问、董事会秘书由董 事会聘任；明确董事会向出资人机构（股东会）报告、审计部门向 董事会负责、重大决策合法合规性审查、董事会决议跟踪落实以及 后评估、违规经营投资责任追究等机制。 国有独资公司、国有全资公司应当明确由出资人机构或相关股 东推荐派出的外部董事人数超过董事会全体成员的半数

安硕信用风险管理系统 V9 —— 上海安硕信息技术股份有限公司..............................................................16 7. 基于知识的智能审计系统 —— 北京领雁智远科技有限公司..........................................................................18 8. CDP/MA 遭受来自黑客攻击和数据泄露等风险。提高了各 单位政务系统的稳定性和安全性，得到了用户的高度评价。 高敏捷信创白盒（SCAP）主要的特点如下： 1)能够展示各研发部门源代码安全审计情况、整改前后的对比、全局源代码审计情况等，方便整体把握源代码安全情况； 2)管理平台对接 Jenkins 集成系统，在开发执行构建时触发源码扫描分析； 2024 高质量数字化转型技术解决方案集（下半年度） 2 6)管理平台支持 Eclipse、Intellij Idea、Android Studio 集成开发环境插件提交代码进行在云端扫描检测，实现开发与安全审计 两不误； 7)管理平台支持自定义审计规则，集成二次分析引擎对代码扫描结果进行二次审计，进行误报自动化过滤； 8)管理平台有详细的报表统计分析功能，对阶段性的检测结果统计分析； 9)管理平台支持完整的用户分配和权限管理功能； 10)扫

需要加强安全意识、隐私保护意识，需要建立数据隐私保护制度和 安全审查制度。推动完善适用于大数据环境下的数据分类分级安全 保护制度，加强对 Z 务数据、企业商业秘密和个人数据的保护。建 设数据安全管理系统，包含数据审计、数据安全体系建设、数据脱 敏（动态、静态）等功能。对数据泄露、误操作、非法访问等异常 行为监测预警、日志多维分析、红黑名单管控。通过数据流转溯源 监控，优化数据分类分级，跟踪数据来源，对数据来源进行溯源跟 户资源隔 58 / 309 大数据能力平台建设项目方案建议书 离，防止资源非授权访问；建立数据加密存储和传输机制，保障数 据存储和传输安全。 五、Z 务云管理及审计安全需求 Z 务云管理及审计面临以下安全威胁： 1、密钥管理面临的安全威胁。密钥是用户身份认证、数据安全 传输和存储的重要保障。密钥管理是云安全环境下数据安全的重要 组成部分，如果密钥被窃取，将导致大量用户数据面临泄露的威胁； 59 / 309 大数据能力平台建设项目方案建议书 3、审计面临的威胁。云安全环境中，发生事故时，需要对事件 进行回放，对管理员操作进行追溯，找出事故发生的原因，杜绝同 类事故再次发生。大量用户共用云安全提供的服务，用户行为审计 数据非常巨大；大量应用部署在云端，应用资源访问审计数据同样 非常巨大。海量数据给审计带来了巨大挑战；云安全分布式部署， 各地物理环境、管理人员不同，容易出现物理环境和人为破坏威胁，

•集团对房地产这一特殊行业尚未形成即与市场接轨、又适合于集团目前状况的管理体系 •缺少专业人员，核心能力不足 •有一定的 ** 关系。 •力争所操作项目的成功，未来发展视情况而定 •加强管理，完善业务流程与监控、审计体系 •优化人力资源，改善薪酬体系 •北京的房地产市场需求强劲， 2018 年北京全市累计销售商品房屋 ****** 万平方米。专家预测北京房地产市场还有 **** 万平方米的空间。 •近年来北京的房地产业一直保持较快的发展速度， 集团海外机构以及其他业务公司这四大块 ** 技术集团 广 * 公 司 房 地 产 项 目 公 司 储 运 公 司 京外机构 海外机构 集团财务总部 集团人力资源总部 集团战略策划总部 集团风险管理总部 集团审计总部 集团办公室 集团企业管理总部 集团资产管理总部 集团法律总部 集团电脑中心 集团纪检监察室 金 融 事 业 本 部 医 药 公 司 中 技 招 标 公 司 中 机 招 标 公 司 组织宣传部 纪检监察室 信访室 审理室 党风建设办 综合室 集团总务部 集团法律事 务总部 诉讼仲裁部 业务合同咨 询管理部 投资法律 咨询部 综合岗 审计部 综合岗 审计 I 部 审计 II 部 审计 III 部 106 集团办公室的使命和主要职能 •为集团高 层领导提供优 质高效的文秘 服务 •成为集团 内外公关宣传 的喉舌 •规范集团

实现预算数据的共享，保证预算数据的可追溯性和充分再利用；  能够及时的把握企业业务执行情况与预算的差异，实现与实际 业务的适时匹比，为企业运营提供有效的决策依据和建议；  能够实现对业务活动、数据安全性的跟踪与审计，完全满足企 业内控的要求；  能够实现对预算数据的积累，在改进的过程中保持对历史方案 与经验的有效连续和继承，实现预算管理的动态循环。 多视角分析的预算管理模式  能够从多个维度进行企业预算管理和分析； 集团内控管理现状，通过 信息上传下达、风险收集、风险评价、整改与反馈等功能，实现全面 风险管理工作的系统化、规范化、标准化，以及对风险的事前防范、 事中控制和事后监督改进的全过程管理；  并可辅助内部审计工作的开展。 风险与内控管理系统 门户 信息发布 资料上传 风险收集 风险评估结果 评价整改与反馈 文档中心 风险管理 风险识别管理 风险评估管理 风险数据库管理 风险解决方案管理 内控框架 风险识别管理 风险评估管理 风险数据库管理 缺陷分析管理 内控评价 工作底稿 自我测试 管理层测试 缺陷管理 评价报告 统计分析 预警 风险设置 指标设置 预警方案 预警报告 审计项目管理 辅助审计 风险与内控管理系统主要应包括下列功能（一）  门户  信息发布 集团内控手册、风险更新、案例等信息的发布  资料上传 各级企业内控手册、评价报告的上传  风险收集

安全等技术，在保障传输效率的同时 实现“可用不可见”的可信流通，建立安全可控、全链路可追溯的信任体系。它既 通过量子加密、防APT攻击等技术筑牢国家数据安全与个人隐私保护屏障，又依托 动态合规审计机制，为数据跨域流动、跨境传输提供技术适配与制度衔接条件，实 现安全与效率的动态平衡。 可信高速数据网研究报告 03 (二) 促进数算网安融合创新发展 数据、算力和网络是数字经济发展的三大关键要素，安全则是其长期健康发展 资源分散问题。无论是公共数据的跨区域共享，还是产业数据的跨链条整合，都能 够在可信高速数据网的支撑下实现安全高效流动。 可信高速数据网能够推动建立统一标准，提升市场规则一致性。在数据分类分 级、接口规范、确权登记和安全审计等方面，助力形成全国统一的标准体系，使得 数据要素在不同地区和行业间能够“同标准、可对接、可追溯”。这不仅能提升数 据要素市场的透明度和公信力，更为跨区域交易、跨行业协同提供制度化保障。 可信 政务数据网可信访问；计划 部署6G试验网，支持100Gbps级低时延传输；开发AI驱动的网络操作系统，故障预 可信高速数据网研究报告 10 测准确率达92%；部署区块链网络审计平台，实现所有网络操作上链存证，审计效 率提升70%。三是推动跨领域高速数据协同。通过“数据银行”模式整合分散数据 资源，依托高速网络实现跨主体数据高效匹配；DSA主导的“DATA-EX”平台，依 托低延迟网络

Authentication、账号 Account、授权 Authorization、审计 Audit，即将身份 认证、授权、审计和账号。通过 LDAP 管理用户账号，Kerberos 作为用户身份 认证 Identity Store，同时大数据平台配合 LDAP 实现角色访问权限控制（Role Based Access Control），最后所有的安全访问审计都会记录在数据平台的日 志 中 。 大 数 据 平 台 中 Control），权限与角色相关联，用户在管理平台上被赋予若干角色从而得到这 些角色的权限。最后所有的安全访问审计都会记录在数据平台的日志中。 访问权限认证为会话级别，在单个会话的范围之内，用户通过验证即可执 行所有已授权操作，一旦会话中断，用户需要再次进行权限验证。 具备超级用户模式，超级用户具备对角色授权、用户审计、集群配置、集 群扩展等一系列高等级权限。同时，平台开启 Secure WebHCat 设置，方面网 3.3 安全审计 支持充分的审计管理能力，能与 4a 系统无缝集成，运维用户的登录成功失 败均支持纪录；用户运维访问会话均支持纪录；运维用户访问的数据支持访问 纪录，需要与会话日志关联起来；运维用户对敏感信息访问应纪录并特别标识； 对应用写入的敏感数据应支持日志纪录；应用查询的敏感数据应该支持日志纪 录；任务管理命令应该支持日志纪录；每个模块运行和安全状况应该具备日志 或审计功能；当审计