张斌

摘 要 长久以来，中国移动在运营的过程中对信息技术的审计工作非常重视。中国移动紧紧围绕信息技术整体战略，加强对信息技术的管理和控制，积极拓宽审计工作领域，探索新的审计方法，从而推动内部信息技术审计工作的开展。本文对中国移动信息技术的审计工作进行了研究，希望为我国信息技术审计工作的发展提供帮助。

关键词 中国移动；信息技术审计探索；实践解析

中图分类号 TP3 文献标识码 A 文章编号 1674-6708（2016）163-0081-01

伴随经济建设速度的加快，我国信息行业的发展也取得了很大的成就。在信息行业中，中国移动通信集团是我国重要的基础通信集团。长久以来，中国移动在运营的过程中对信息技术的审计工作非常重视。在中国移动设计部专门设立了信息技术审计处来对中国移动的信息技术工作进行审计，对技术风险进行评估。根据资料显示，当前我国各个省的移动公司都专门设置了信息技术审计人员，在总的审计人员中，信息技术审计人员的比例已经超过了12%。而良好的信息技术审计工作也为中国移动的可持续发展提供了保障。

1 中国移动信息技术审计概述

信息技术审计工作主要指的是利用科学的方法和手段对企业的内控有效性和工作流程进行检查和评价的活动，在中国移动的信息技术审查工作中，主要是对信息技术应用、信息安全以及信息系统等进行审查。从整体角度来说，可以对信息技术审计工作进行进一步的扩展，信息审计工作可以概括为对一切和信息系统、信息技术相关的审计活动[1]。而对于中国移动的信息技术审计工作来说，包括以下审计内容：公司信息系统的获取、开发和实施，信息系统的运行、维护与支持，以及信息资产的保护等。

2 信息技术的审计架构分析

2.1 对公司信息资产开展全面梳理工作

中国移动集团的规模非常大，在中国移动的日常运营中涉及到较多的信息系统，而内部信息技术审计工作能够对公司的信息系统进行有效的梳理，并对公司的信息资产进行分类。对于中国移动的信息资产来说主要分为网络运营方式、管理数据信息以及业务支撑等3方面，而信息技术审计工作正是对这3方面的软硬件情况、数据网络情况以及人员工作情况进行审计。

2.2 对审计领域进行有效划分

在信息审计工作中，中国移动依照我国《内部审计具体准则第28号——信息系统审计》的规定，对COBIT框架进行分析，在信息技术审计工作中明确了以下3种重要的审计类型。

2.2.1 信息技术治理审计分析

在信息技术治理审计的工作中，主要对以下内容进行审计工作。首先是对控制环境的审计。在该审计工作中，内审部门主要对中国移动的信息技术规划、权力职责、组织架构、制度建设以及相关的人力资源等进行审计工作。其次是信息与沟通的审计。在该审计过程中，审计部门对公司业务的工作流程和日常管理情况进行审计，审计的内容主要是上述工作对信息技术的需要程度和中国移动信息技术规章制度的传达与沟通的有效性。再次是风险评估的审计。该审计过程主要对信息技术的风险评估和管理进行审计工作。最后是对监控管理的审计。审计部门对中国移动公司的信息监管技术以及反馈和处理机制的有效性进行审计。

2.2.2 信息系统安全及一般性控制审计

该审计工作的进行主要是为了保证中国移动公司信息系统安全性和稳定性而进行的，同时要检查应用控制的有效性。在实际工作中，信息系统安全及一般控制审计工作的主要容包括对信息安全、系统变更、系统运行以及系统开发进行审计工作。

2.2.3 信息系统应用控制审计

信息系统应用控制审计工作开展的目的是为了对中国移动公司业务的支撑系统有效性进行合理保证，同时对业务数据可靠性和完整性进行审查。审计的主要内容是对系统数据输入、输出和管理工作的审计。

3 全方位信息技术审计的实践

3.1 优化信息技术治理环境

中国移动内部审计工作能够对公司的信息技术进行全面的梳理，并以COBIT模型为基础，对公司的信息技术风险进行全方位的评估和审查工作。同时，信息技术审计的工作内容还包括对公司信息资产、业务影响程度、信息技术的满意度以及管理保密性等的审计，同时对信息技术的风险管理的有效性进行评估，保证中国移动信息工作能够良好的发展[2]。

早在2011年，中国移动集团总部就对内审部门的信息系统规划和风险审查进行规定，要求内审部对数据管理的有效性、信息沟通的通畅性、风险评估和管理的科学性等开展审计工作，并对中国移动公司的数据治理水平进行客观评价。在中国移动的风险评估和审核工作中，对信息系统和信息数据进行有效的评估和检查，检查的信息系统数量超过了100个。同时对系统的维度展开了评估工作，评估审查的结果有效的提高了中国移动对信息数据的管控效果。

3.2 加强信息系统安全及一般性控制审计的持续性

在中国移动信息系统的管理和控制工作中，加强数据技术的基础管理工作非常重要。因此，中国移动内审部对一般性控制领域进行了有效的管理。管理的内容包括对规章制度进行重新的更新和完善，加强密码认证工作，中心设置账号管理权限等。经过管理后，内审部门对49个可能产生风险的环节加强了控制，并建立良好的审计机制，使相关的审计工作常态化。

3.3 加强信息技术应用审计工作

中国移动从日常运营角度出发，对业务风险进行分析和评估工作，实现了从单一系统审计到综合审计的转变，有效的建立起了跨系统、跨部门的审计模式，对运营资金、促销礼品、工作合同等进行了科学的审计工作，提高了中国移动公司的运营效率。

例如，在对有价卡的专项审计过程中，内审部门主要对有价卡的周期流程进行冲洗竖立，同时对销售、报废等重点环节可能发生的高风险进行分析。另外，内审部门对数据之间的隔阂进行了分析，并通过数据分析矩阵和数据仓储技术等开展深入的数据挖掘工作，并对数据挖掘的有效性进行了审计。中国移动以审计结果为基础，有效的加强了有价卡的管理工作，提高了有价卡应用系统的合理性。

3.4 强化信息技术安全工作

中国移动内审部对信息技术的安全工作非常重视，对信息技术的安全性进行科学审计工作。在信息安全的审计过车工中，对客户信息进行有效分析，对客户信息的生成、访问、管理和存档情况进行了有效的梳理，利用制度审阅、日志分析、系统安全监测等手段，对重点的客户信息进行有效的安全管理审计。经过审计工作，中国移动制定了信息安全管理制度，有效的提高了公司信息安全工作的有效性[3]。

4 结论

中国移动信息技术审计工作对于移动公司的发展非常重要。中国移动加强对信息技术审计工作的重视，紧紧围绕信息技术整体战略，加强对信息技术的管理和控制，积极拓宽审计工作领域，探索新的审计方法，从而有效的提高信息技术审计的工作质量。

参考文献

[1]张宏，徐士元，赵芳芳，等.移动互联网安全审计云[J].信息安全与通信保密，2014（2）：80-84.

[2]梁秀根，黄邓秋，应鸿伟，等.基于风险网格构建信息系统审计模型的实践[J].中国内部审计，2014（3）：70-77.

[3]秦荣生.大数据、云计算技术对审计的影响研究[J].审计研究，2014（6）：23-28.