★ ★ ★ ★ ★ 提升企业 IT 审计能力， 助力数字化转型 实战与展望 目 录 一、时代在发展 IT 审计必然要变革 三、大数据审计能力提升与展望 二、数字化审计转型的方法论 1 、移动互联、 大数据、 云计算、 人工智能 ( 企业的核心竞争力。 这必将给审计监督和管理带来机遇 , 更带来了挑战 , 审计信息化 势在必行 , 因为它不仅仅是审计技术和方法的变革，更是一种审计 思 维的革命。 回 一、时代在发展， IT 审计必然要变革 （一）信息技术发展催生审计工作的变革 一、时代在发展， IT 审计必然要变革 2. 信息技术影响到我们社会发展的各个层面 新基建 一、时代在发展， IT 审计必然要变革 3. 新基建也会带来审计内容和审计方式方法的变 革 数据量大 需要处理更大量的数据，中石化“十二五” 期 间经营类数据已达到 80T ，“十三五” 数据将增长更迅速。 数据范围广 需要来自相关各个系统的数据，为了 适应“业财”“业审”融合，既需要

互联网 办公 PC 办公 PC 办公 PC 办公终端区 专线 互联网 VPN 汇聚交换 汇聚交换 核心交换 汇聚交换 核心交换 华为防火墙 华为防火墙 数据安全层面 • 缺乏数据库审计、 DLP 防泄密、数字水印、数据库准入等； • 无数据分类、数据加密脱敏等安全防护 云安全层面 • 缺乏云平台安全、云东西向流量安全防护 某著名企业 \ 分支安全层面 • 针对 OA\ 财务共享 供应链等应用缺乏安全防护，分支接入安 全 主机安全层面 • 安全基线管理、服务器防病毒、电脑主机防入侵层面需加强 安全管理与运营层面 • 缺乏统一的资产、威胁管理、风险管理的平台； • 无集中的日志审计、网络审计，缺乏网络管理体系。 • 安全集中监控、管理层面薄弱；没安全运营中心，可视化展示。 安全技术体系需求 已有措施 • 结合当前网络结构和安全建设结构可以分析出，将会建设阿里 的私有云、直销 技术等 • 结合数字水印 技术 • 双向内容监测 与防护 改不了 • L2-L7 层攻击攻 击防护，网页 篡改防护与预 警 • 跳板攻击隔离 赖不掉 • 基于数字证书 的行为审计技 术 • 各类审计设备 • 基于 UEBA 的 行为分析技术 查得到 • 所以的访问行、 攻击事件为具 有记录，实时 可查，本地安 全大脑，联动 机制。 安全体系框架：网络安全解决方案逻辑架构图 等保二

组织管控和授权体系的内 容 I 根据战略要求，某地集团总部未来将定位为战略设计师角色，而具体业务 运营操作将由各区域自行承担 3 个可能的角色 1 财务控制管理者 战略设计 师 / 审计 师 财务控制 管理者 2 战略设计师 • 通过加强战略架构，促进运营机构的自我发展 • 检验商业计划的思路并着手实施 • 鼓励运营机构加强自身能力 • 促成交流合作 / 投资管理，收购、兼并 • 公关 • 人才培养 • 法律 • 审计 • 品牌 • R&D • 总部组织机构的管理 • 财务 / 资产 • 集团规划 / 区域战略 • 投资管理，收购、兼并 • 公关 • 人才培养 • 法律 • 审计 • 品牌 • R&D • 采购 • 物流 • 生产 • • 销售 • 人事管理 • 总部组织机构的管理 • 公关 • 人力资源 • 法律 • 审计 • 品牌 • R&D • 采购 • 物流 • 生产 • 销售 • 区域组织机构的管理 在战略管理模式之下，某地集团总部组织职能将主要是战略管理和服务功 能，而区域组织应具备完整的营运操作性职能 • 产品导入 •

................................. 63 中央企业国有资本经营预算支出执行监督管理暂行办法 ..... 70 财政部 国务院国资委 金融监管总局关于加强审计报告查验工作 2 的通知 ............................................... 77 国有企业、上市公司选聘会计师事务所管理办法 .. （三）出资人机构或股东、股东会（包括股东大会，下同）； （四）公司党组织； （五）董事会； （六）经理层； （七）监事会（监事）； （八）职工民主管理与劳动人事制度； （九）财务、会计、审计与法律顾问制度； （十）合并、分立、解散和清算; （十一）附则。 第六条 总则条款应当根据《公司法》等法律法规要求载明公司 名称、住所、法定代表人、注册资本等基本信息。明确公司类型 职责定位和董事会组织结构、议事规则；载明出资人机构或股东会 对董事会授予的权利事项；明确董事的权利义务、董事长职责；明 确总经理、副总经理、财务负责人、总法律顾问、董事会秘书由董 事会聘任；明确董事会向出资人机构（股东会）报告、审计部门向 董事会负责、重大决策合法合规性审查、董事会决议跟踪落实以及 后评估、违规经营投资责任追究等机制。 国有独资公司、国有全资公司应当明确由出资人机构或相关股 东推荐派出的外部董事人数超过董事会全体成员的半数

安硕信用风险管理系统 V9 —— 上海安硕信息技术股份有限公司..............................................................16 7. 基于知识的智能审计系统 —— 北京领雁智远科技有限公司..........................................................................18 8. CDP/MA 遭受来自黑客攻击和数据泄露等风险。提高了各 单位政务系统的稳定性和安全性，得到了用户的高度评价。 高敏捷信创白盒（SCAP）主要的特点如下： 1)能够展示各研发部门源代码安全审计情况、整改前后的对比、全局源代码审计情况等，方便整体把握源代码安全情况； 2)管理平台对接 Jenkins 集成系统，在开发执行构建时触发源码扫描分析； 2024 高质量数字化转型技术解决方案集（下半年度） 2 6)管理平台支持 Eclipse、Intellij Idea、Android Studio 集成开发环境插件提交代码进行在云端扫描检测，实现开发与安全审计 两不误； 7)管理平台支持自定义审计规则，集成二次分析引擎对代码扫描结果进行二次审计，进行误报自动化过滤； 8)管理平台有详细的报表统计分析功能，对阶段性的检测结果统计分析； 9)管理平台支持完整的用户分配和权限管理功能； 10)扫

•集团对房地产这一特殊行业尚未形成即与市场接轨、又适合于集团目前状况的管理体系 •缺少专业人员，核心能力不足 •有一定的 ** 关系。 •力争所操作项目的成功，未来发展视情况而定 •加强管理，完善业务流程与监控、审计体系 •优化人力资源，改善薪酬体系 •北京的房地产市场需求强劲， 2018 年北京全市累计销售商品房屋 ****** 万平方米。专家预测北京房地产市场还有 **** 万平方米的空间。 •近年来北京的房地产业一直保持较快的发展速度， 集团海外机构以及其他业务公司这四大块 ** 技术集团 广 * 公 司 房 地 产 项 目 公 司 储 运 公 司 京外机构 海外机构 集团财务总部 集团人力资源总部 集团战略策划总部 集团风险管理总部 集团审计总部 集团办公室 集团企业管理总部 集团资产管理总部 集团法律总部 集团电脑中心 集团纪检监察室 金 融 事 业 本 部 医 药 公 司 中 技 招 标 公 司 中 机 招 标 公 司 组织宣传部 纪检监察室 信访室 审理室 党风建设办 综合室 集团总务部 集团法律事 务总部 诉讼仲裁部 业务合同咨 询管理部 投资法律 咨询部 综合岗 审计部 综合岗 审计 I 部 审计 II 部 审计 III 部 106 集团办公室的使命和主要职能 •为集团高 层领导提供优 质高效的文秘 服务 •成为集团 内外公关宣传 的喉舌 •规范集团

安全等技术，在保障传输效率的同时 实现“可用不可见”的可信流通，建立安全可控、全链路可追溯的信任体系。它既 通过量子加密、防APT攻击等技术筑牢国家数据安全与个人隐私保护屏障，又依托 动态合规审计机制，为数据跨域流动、跨境传输提供技术适配与制度衔接条件，实 现安全与效率的动态平衡。 可信高速数据网研究报告 03 (二) 促进数算网安融合创新发展 数据、算力和网络是数字经济发展的三大关键要素，安全则是其长期健康发展 资源分散问题。无论是公共数据的跨区域共享，还是产业数据的跨链条整合，都能 够在可信高速数据网的支撑下实现安全高效流动。 可信高速数据网能够推动建立统一标准，提升市场规则一致性。在数据分类分 级、接口规范、确权登记和安全审计等方面，助力形成全国统一的标准体系，使得 数据要素在不同地区和行业间能够“同标准、可对接、可追溯”。这不仅能提升数 据要素市场的透明度和公信力，更为跨区域交易、跨行业协同提供制度化保障。 可信 政务数据网可信访问；计划 部署6G试验网，支持100Gbps级低时延传输；开发AI驱动的网络操作系统，故障预 可信高速数据网研究报告 10 测准确率达92%；部署区块链网络审计平台，实现所有网络操作上链存证，审计效 率提升70%。三是推动跨领域高速数据协同。通过“数据银行”模式整合分散数据 资源，依托高速网络实现跨主体数据高效匹配；DSA主导的“DATA-EX”平台，依 托低延迟网络

实现预算数据的共享，保证预算数据的可追溯性和充分再利用；  能够及时的把握企业业务执行情况与预算的差异，实现与实际 业务的适时匹比，为企业运营提供有效的决策依据和建议；  能够实现对业务活动、数据安全性的跟踪与审计，完全满足企 业内控的要求；  能够实现对预算数据的积累，在改进的过程中保持对历史方案 与经验的有效连续和继承，实现预算管理的动态循环。 多视角分析的预算管理模式  能够从多个维度进行企业预算管理和分析； 集团内控管理现状，通过 信息上传下达、风险收集、风险评价、整改与反馈等功能，实现全面 风险管理工作的系统化、规范化、标准化，以及对风险的事前防范、 事中控制和事后监督改进的全过程管理；  并可辅助内部审计工作的开展。 风险与内控管理系统 门户 信息发布 资料上传 风险收集 风险评估结果 评价整改与反馈 文档中心 风险管理 风险识别管理 风险评估管理 风险数据库管理 风险解决方案管理 内控框架 风险识别管理 风险评估管理 风险数据库管理 缺陷分析管理 内控评价 工作底稿 自我测试 管理层测试 缺陷管理 评价报告 统计分析 预警 风险设置 指标设置 预警方案 预警报告 审计项目管理 辅助审计 ： 制作时间： 2023 年 睿利而行 ： 制作时间： 2023 年 睿利而行 ： 制作时间： 2023 年 睿利而行 于 2022 年 8 月，碳排放数字化建设及数字化驾驶舱建设综合解决方案

满足数据备份与恢复的需求。数据清洗与整合是确保数据质量的关 键，需通过 ETL 工具或数据湖技术，对原始数据进行去重、补全、 转换等操作，形成高质量的数据资产。数据安全与隐私保护则需遵 循相关法律法规，实施数据加密、访问控制、审计跟踪等措施，确 保数据在存储、传输和使用过程中的安全性。 在数据分析需求方面，企业需要构建智能化分析平台，支持多 样化的分析场景。具体包括：  描述性分析：通过数据可视化工具，生成业务运营的关键指标 场景，提供定制化的 AI 解决方案，涵盖智能客服、智能推荐、异常检测等多个领域，满 足企业不同业务需求。为了确保系统的安全性，架构中还引入了多 层次的安全防护机制，包括数据加密、访问控制和安全审计等。以 下为整体架构的关键技术组件：  数据层：采用 Hadoop 分布式文件系统（HDFS）进行大数据 存储，结合 Spark 进行实时数据处理与分析。  模型层：基于 TensorFlow 等功能，构建统一的数据目录和元数据仓库，便于数据的发现与使 用。通过数据血缘追踪技术，记录数据的来源、流转路径和使用情 况，确保数据的可追溯性和合规性。同时，数据层需集成数据安全 与隐私保护机制，包括数据加密、访问控制、数据脱敏和审计日志 等功能，确保数据在传输、存储和使用过程中的安全性。 为实现数据的高效管理和分析，数据层还需集成以下功能： - 数据服务化：通过 RESTful API、GraphQL 等方式，将数据以服务

工 企业应用架构，规划未来的国际化的应用架构（紫色 对应国际化趋势主要应用架构） 规划和 企业管理 企业 运营 管理 服务 支持 经营 管理 综合分析与决策 支持系统 战略规划系统 内控审计系统 ERP （采购） ERP （质量） ERP （项目） 协同办公系统 客户关系管理（ CRM ） 人资管理系统 主数据平台 全面预 算 管理系 统 ERP （财务） 资金管理 风险识别 • 作业许可 • 环境管理 • 安全管理 • 职业健康管理 • 合规性管理 • 风险管理 • HSE 绩效考核 • HSE 报表 • 应急响应 • 风险知识库 • 风险评估工具 • 评估与审计 • HSE 知识管理及共 享 • HSE 业务数据分析 • 动态实时的 HSE 信息 • 业务流程协同 • 运输安全 • 装卸安全 • 供应商管理 • 危化品管理 • MSDS • 客户服务 物料定位 … 30 . 能源管理：强调循环改进、全过程追踪、全流程优化 能源生产 运行管理 能源计划 能源运行 能源统计 能源绩效分析 能源计量 能效改 进管理 能源优化 能源评价 能源审计 能源项目管理 能源监测 能源绩 效监控 能源优化方案 能源运行情况 用能绩效 控制 实时能源绩效指标 动态能源绩效目标 能效改 进管理 能源生产 运行管理 应用场景 智能温控 系统