IT审计：某集团数据治理审计案例

某企业是一个综合性跨国性的集团化公司，信息系统建设起步早，各系统各业务线智能化程度较高，在互联网+的大形势之下，对系统的要求会越来越高，因此，需要对集团整个系统进行全面的分析与评估。对整个系统进行全方位的评估，是内审人员的难点与重点，案例详细介绍审计实施过程、操作方法、思考策略等，对外行审计内行，有较好的学习与参考作用。

 案例背景 

某企业是集军工、消费电子、核心器件等研发与制造为一体的综合型跨国企业集团，20世纪90年代初开始以自建的财务信息系统为基础，逐步实现了生产、研发和营销等各个经营管理领域的信息化。在互联网+的新社会形态下，公司实施了集“智能研发”“智能制造”“智能营销”三大平台为一体的智能化战略，产品数据和用户数据已从传统生产、销售领域拓展到了智慧小区、智慧医疗等领域，从而成为企业战略核心。

经过20多年信息化发展，公司积累了海量的业务和财务数据与经验，为保证有效规划、监控和执行数据资产，公司进行了专门的数据治理，发现数据质量和数据管理方面存在较多问题；历年审计也发现数据存在维护不规范、标准不统一、清洁度低等问题，直接影响了智能化建设的顺利实施。

因此，数据治理审计是在数据管理基础上，通过对产业价值链的分析，对信息化建设情况和三大智能平台上的业务流程、数据质量、关联、交付、应用情况所开展的一项智能审计。

 审计目标与思路 

1.审计目标：通过对集团范围内的信息系统建设和数据治理情况的全面审计，以问题数据为审计项目的切入点、数据标准为审计标准的基础、数据质量问题为审计证据，全方位深入了解公司数据管理现状，发现数据治理的漏洞，揭示公司数据治理存在的控制缺陷和系统性风险，提出可行的审计建议，促进提高信息化建设整体管理水平，建设可信任的企业级数据管理中心，打造数据共享服务典范。

2.审计标准：审计标准参照公司发布的《数据管理与治理工作思路》、《数据管理与治理工作推进计划》、《数据管理体系》及核心制度中明确的相关单位的工作职责等规范文件

3.审计范围和重点：通过对数据治理主要内容(安全、架构、质量、数据仓等)进行分析，数据治理审计涉及范围宽广、专业性强，而审计资源有限，加之公司主要是制造和销售企业，数据治理与三大智能平台建设紧密关联，因此此次审计聚焦，以主数据管理为审计重点，涉及采购、销售、研发、财务管理四个重要领域，审计客体包括数据管理部门、财务部门、信息系统开发部门及各系统应用子公司(业务单位)。

4.审计思路：通过对公司数据治理战略目标、规划方案和基本情况入手，了解公司数据治理的愿景、中长期目标，确定审计重点。以数据治理体系建设为起点，从数据架构，主数据管理、元数据管理和数据安全等四个角度出发；以价值链分析为基础分为采购、营销、研发、财务等子项。检查数据治理层面的开发、应用和交互情况，分别对信息系统、业务流程、组织、角色等因素进行分析，延伸至信息安全层面，检查数据质量、控制、合规、预防和修复机制。

结合智能审计软件开发和应用，分析公司在数据管理、数据质量和共享分发等方面存在的问题，同时，进一步对公司三大智能平台各子项目的蓝图规划、开发状况、实现效果等方面予以重点关注。

 审计准备 

1.组建联合审计队伍，取得专家支持

鉴于数据治理审计专业性较强，对信息化建设和审计能力的要求非常高，因此集IT审计、财务审计、采购审计和销售审计人员组建联合工作小组实施审计项目，同时，取得专家团队支持，借助公司信息系统规划、架构人员和软件开发人员对重要问题进行集中讨论分析。

2.制订审计计划和进度安排

预计审计时间为3个月，进行审计任务分工，把控关键节点，确保高效完成任务。

3.选取样本

鉴于集团下属子公司较多，而审计资源有限，前期借助智能审计软件大数据分析功能和现场调研，以业务规模、风险程度、重要性等维度抽样选取6家子公司

4.审计模式

建立前、中、后台交互工作模式，以智能审计软件(中台)为主体，利用大数据处理技术，实施审计重点输出，驱动审计业务(前台)开展审计并在线反馈，审计专家(后台)综合分析后，对审计活动实施统一的计划、协调、管理、控制与决策，最终形成并输出审计成果。

另外利用智能审计系统的档案管理功能，对前期所有审计项目发现的系统问题和数据问题，进归集、分类、追踪、分析，为本次审计提供更多的支持证据，得出审计结论。

5.建立信息沟通机制

(1)强化访谈和问卷调查，与各系统开发组及时沟通。

(2)审计小组以周例会形式报告和讨论业务，保证信息畅通。

(3)定期汇报工作：鉴于审计开展时间太长，为保证让公司领导能及时了解审计情况，采取阶段式审计报告方式汇报工作。

 实施步骤 

根据前期了解到的数据治理基本情况，对审计问题进行分析、归纳和拆解，建立分工表格，关注主要风险

1.根据审计思路确定关注重点及任务分配(见表1-1)

第一，从数据治理体系层面关注数据管理体系规划和架构信息、制度建设情况以及数据质量管理是否持续落地。

第二，了解信息系统建设情况、开发运用效率、系统间的对接情况，数据仓库建设情况，信息系统数据一致性和信息系统开发效率。

第三，了解主数据管理平台(MDM)建设和系统间共享数据情况，例如，客户、供应商、账户和组织部门相关数据、元数据管理情况，数据仓库和商业智能建设情况。

第四，检查信息系统和数据安全问题表

1-1审计关注重点及任务分配表

2.问题收集与分析方法

借助智能审计软件实现信息化审计，通过审计软件自动提取数据，自动进行预警分析，改变原来手工提取数据，单机分析模式，同时兼顾了审计覆盖面和效率。

通过审计软件后台清理不清洁、不规范数据，汇总整理审计过程中发现的数据质量问题。将整理好的错误数据集中推送给各开发和使用单位，要求反馈产生的原因及拟采取的修正措施，区分系统性及个性问题。与数据治理小组及各业务单位协商解决方案，发布采购数据质量报告，提出采购数据规范建议(见表1-2)

3.现场审计

在确定抽样样本和取份相关在线预警数据后，利用其他审计项目组的现场工作小组，直接提取有用信息。审计人员根据审计软件在线预警结果，按照系统指示的作业流程，带打问题进入现场审计，重点是对软件无法直接识别的纸质资料进行审查，如各种制度、招标文件、相关签批报告等，对在线预警结果进行深入追查，并与被审计单位达成初步共识。

 审计报告反映 

对于综合性复杂的审计项目，审计报告格式非常重要。在该项目中，由于审计反映的问题涵盖面广、系统性问题与个性问题较多、系统间的关系复杂，因此分别从以下维度反映审计发现。

第一，全面反映公司信息平台建设整体情况(见表1-3)。

表1-3截止审计日公司信息平台和系统的投资运营维护情况

第二，反映数据管理体系规划和架构情况，指出公司需加强数据管理规划，进一步打通内外部数据。例如，公司级数据仓库缺少管理和规划运用效率低；未形成统一的企业级“元数据”管理，不利于提高信息系统的共享性、可读性、实用性；主数据管理范围及标准尚未健全；管理边界不明确，不利于各产业共享数据信息资源，主数据标准多次频繁修订，影响数据治理效果:公司数据管理文化氛围需要加强，尚未建立数据治理监控和考核体系，数据管理未形成闭环。

第三，从数据治理实施层面，反映数据管理单位数据管理意识不够，未严格执行管理规范，影响数据质量。如申请入口不统一造成主数据不一致的情况。

第四，分业务类型关注主数据及业务数据的质量问题。主要针对交易界面的关键风险点，充分反映问题数据的细节和责任单位，如对采购(供应商)、销售(客户)、物料/产品主数据等管理情况分别进行反映。

例如，采购数据存在的问题：

(1)供应商历史主数据质量问题突出:通过对MDM系统供应商主数据模块审计分析测试，发现系统上线时从R/3迁移过来的历史供应商主数据在唯一性、规范性、有效性、完整性等方面均存在问题(见表1-4，略)。

(2)采购业务数据存在部分质量问题(见表1-5，略)。

(3)ERP系统下的采购组织、采购组、价格有效期、付款方式等存在控制缺陷(略)

第五，单独反映重要的信息平台或信息系统存在的主要风险，如对财务、供应链、营销等主要业务管理平台的设计、应用、交互和控制情况分别进行评价，充分反映各重要系统业务模块上存在漏项、功能不足的情况。

例如，某子公司xx系统长远规划不足，投资总额xx万元，后期每年支付xx万元运维费。模块设计存在局限，已不能满足现有业务和未来业务发展需要，经统计在结算、风控等相关业务上系统模块至少存在26项功能缺陷（见表1-6)。

第六，反映信息系统和数据安全，一是反映系统控制缺陷，评价风险控制功能是否有效，二是评价信息平台和系统本身安全性。例如，部分系统存在审核流程设置控制失效的情况:2016年对某子公司例行审计时，发现该公司信用系统后台配置未能对标准订单进行信用发货控制，存在重大控制缺陷；MDM系统审批流程设置存在数据申请、审核、审批可以是同一人的情况，存在风险未隔离情况。

 创新与反思 

通过数据治理审计，系统性梳理了公司现有信息平台的管理状况和数据治理及对业务的支持情况，一是向决策层全面展示了公司数据管理的现状和水平，二是从宏观和微观两个维度反映了数据治理过程中存在的问题和风险，促进公司完善数据管理体系，提升数据治理质量，真正实现统一管理、共享和分发公司主数据，实现数据全生命周期管理，同时完善统一、准确的数据治理有助于公司价值的提升。

1.审计方式创新

一是成立联合工作小组和借助专家力量，保证数据治理审计的专业水平；二是利用前期所有审计项目中检查发现的同类问题支撑审计结论，在有限审计资源下高效完成大型综合审计项目。

2.审计工具创新

借助智能审计系统实现对全业务链的持续监控和预警，在重点检查审计样本的情况下，从纵横两个维度全面检查数据管理情况。

3.审计模式和技术创新

针对全新的审计对象，审计布局创新，通过前、中、后台交互式的审计模式，利用智能审计软件(中台)，运用大数据处理技术和交易界面动态预警审计技术，对可能存在重要风险的业务数据进行全量扫描分析，由审计专家(后台)分析找出检查重点，推送至现场审计人员(前台)，从而提高审计效率，避免审计漏项。

4.审计报告方式的创新

多维度反映不同的审计重点，便于不同受众使用审计报告内容；审计问题表格化.附件式列表既可全面展示所有审计抽查问题，又可清晰反映问题类别，以简单方式反映复杂性问题。

5.审计成果推广创新

此案属首次对数据治理进行审计:一是在公司范围内对数据治理工作全面应用审计结果；二是在审计实践中进行了全新的业务拓展和尝试。

 案例微评 

数据信息安全是个大问题，可以说它关系到组织的生死存亡。集团公司的IT审计一要确认审计数据，二要审计信息系统，三要评估操作流程风险。

本案从内审业界来看，此类审计项目无历史经验可借鉴，专业性极强，审计能力存在局限性，在发现问题和反映问题的广度和深度上有所欠缺。但本案能全面说明整个审计范围、审计策略与审计目标重点，并对每个关键点作了审计操作说明，对内审人员审计有一定的指导意义。

集团公司的信息系统架构庞大复杂，系统性梳理和重点关注可能仍然存在漏项。我们可以在审计时考虑(包括但不限于)：硬件设施的采购、软件系统的采购与使用；部门的安全管理、数据的备份等，均应纳入整个系统进行评价。

来源：信息系统审计搬运工，审计实践，审计之家