刘巍 曹迎春 门烁 李平良

[摘要]面对信息技术治理环境的新变化和新要求，本文提出“面向审计视角的信息系统地图”工作方案，在深入分析系统边界模糊、系统底数不清、系统呈现困难等挑战的基础上，围绕公司信息技术战略，积极探索解决思路，通过运用成熟的可视化技术，实现了包括系统架构、系统清单、系统关系和系统风险等多个维度的展示视图，并拓展应用实践场景，从审计发现的频次、原因和影响等方面，构建信息技术风险分析矩阵，为企业信息技术治理工作提供借鉴思路。

[关键词]系统 地图   信息技术   审计

一、引言

当前，国家大力推动新型基础设施大规模建设，5G、AICDE（AI、IoT、Cloud Computing、Big Data、Edge Computing，即人工智能、物联网、云计算、大数据、边缘计算）、区块链等新一代信息技术应用在“十四五”时期必将迎来爆发拐点，进入全面扩散时代。随着新一代信息技术深度融入经济社会民生，作为信息技术审计对象的信息系统已经变得越来越复杂，这也对信息技术治理工作提出了更高的要求。“十四五”规划明确提出，要“统筹发展和安全”，加强“重要网络和信息系统安全保障”。中共中央办公厅、国务院办公厅在《关于实行审计全覆盖的实施意见》中提出，加强审计项目计划统筹，在摸清审计对象底数的基础上，建立分行业、分领域审计对象数据库。实现有重点、有步骤、有深度、有成效的全覆盖。国资委、审计署近年来相继印发文件，进一步强调了全覆盖相关要求。COBIT2019、ITIL4等相关国际标准也陆续更新发布，指出了审计计划阶段中信息系统风险评估的重要性。

面对信息技术治理环境的新变化和新要求，为落实国家网络信息安全战略、提升信息系统安全防护能力、全面摸清信息系统家底，建立信息系统地图已然成为信息技术审计人員面临的重要任务。

二、系统地图研究难点与解决思路

常用地理地图具备三个基本特征，即边界清晰、区划完备、呈现便捷，然而这三个基本特征却是建立信息系统地图亟需解决的难题。

（一）系统边界

目前，信息系统边界尚未发现统一标准。ISACA、中国国家标准化管理委员会等国内外权威机构资料显示，信息系统的定义均比较宏观，未明确系统边界。同时，随着信息技术发展，传统“主机+数据库+前台应用”的系统架构加快向云化、虚拟化演进，相关技术已经打破了系统独立、边界清晰等烟囱思维。

为此，建立系统地图要顺应信息技术发展趋势，跳出系统烟囱思维的束缚，对于独立系统或者组件化的功能应用，都需要充分收集，并在此基础上，围绕组织的信息技术战略，梳理出信息系统所支撑的业务与管理流程，提炼清晰的流程边界，从而实现系统地图边界的重构。

（二）系统底数

随着经济社会发展中数字化转型的深入，为支撑组织的风险管理和价值创造，各类信息系统在持续发挥核心作用的同时，相关应用功能、系统数据等信息资产“家底”也变得更加庞大，给组织的系统底数统计带来挑战。本文分析了所在单位近十年来所做的数次信息系统底数调查，结果显示，因系统定义模糊、系统分布广泛等原因，系统底数差异较大。为保障系统地图的完备性，应围绕公司信息技术战略规划，结合IT运营部门资产数据，充分收集系统清单，在此基础上，还可以综合运用以下方法来识别组织中的信息系统。

一是从4A（Authentication、Authorization、Account、Audit，即认证、授权、账号、审计）系统直接获取，该方法可收集到组织中的绝大部分信息系统。

二是运用主机的“netstat”命令，查看当前网络状态，获取状态为“LISTEN”的对端IP地址，形成网络拓扑（如图1所示），再根据通信端口与IP地址的分配规则等信息，识别出未纳入4A管控的系统。

三是从组织签订的合同清单中，搜索“系统”“平台”“应用”“功能”等关键词，识别出系统开发与运维合同，进一步查漏补缺，增强系统清单的完整性。

四是对于嵌入多个应用模块的超大系统，应根据是否具有独立的账号登录功能，划分为多个系统，提升系统清单的准确性。

（三）系统呈现

传统地理地图的GIS位置特征为使用者带来了非常直观、便捷的体验。而目前的大型企业大都基于“管理—支撑—执行”的组织架构体系，涵盖总部职能管理部门、专业支撑单位和各级区域公司等多类机构，这些机构在地理位置上互有交叉，单纯的GIS地图难以直观、便捷地呈现各类机构的信息系统情况。

为此，对于大型集团公司，系统地图的呈现形式除了应具备传统地理地图的位置特征外，还应构建面向总部职能管理部门、专业支撑单位与区域公司的多层次展示架构。系统地图的呈现方法可充分运用成熟的可视化技术，如Python模板库中的pyecharts开发包，封装了开源的百度数据可视化产品Echarts，凭借着良好的交互性、精巧的图表设计，得到了众多开发者的认可。

三、面向审计视角的信息系统地图探索

对于大型集团公司，面向审计视角的信息系统地图是总部统筹部署信息技术审计工作的重要抓手，也是全集团信息技术审计的核心能力和工作指引，可以有效支撑信息技术审计的中长期规划和年度计划，指导所属单位开展信息技术审计工作，并通过持续的信息系统风险评估，提升公司信息系统“画像”的精准度，进一步向公司管理层和职能管理部门输出权威、专业的信息技术治理研究报告，不断促进公司信息技术战略目标的达成。以下是笔者在系统地图方面的具体实践情况。

（一）总体架构

按照“架构权威、实用开放、便捷美观”的总目标，笔者团队积极克服系统边界模糊、系统底数不清、系统呈现困难等挑战，紧密围绕公司信息技术战略，充分总结过往审计成果，面向审计视角，覆盖总部职能管理部门、专业支撑单位和省级区域公司，初步探索构建了全方位的信息系统地图管理架构，如图2所示。

该架构在传统GIS地图的基础上，进一步叠加了“两环”。其中，“外环”代表总部职能管理部门，“内环”代表各专业支撑单位，GIS地图代表具体落地执行的省级公司。通过该架构，采用便捷的“钻取”方式，可以直观、全面地呈现各个机构的信息系统、数据关系以及问题风险等具体情况。

（二）多维呈现

为全面呈现全集团信息系统的整体架构、功能特点、重要关系和问题风险等情况，从4个维度设计了系统地图的展示视图，包括系统架构视图、系统清单视图、系统关系视图和系统风险视图，如图3所示。

1.系统架构视图。基于公司信息技术战略的系统架构视图是系统地图的基础，涵盖公司信息技术战略涉及的各个业务和管理流程，又可称为信息系统的标签。通过该视图，审计人员能够全面了解公司的信息技术战略与架构，可以根据审计工作需求，快速定位特定系统架构下的信息系统情况，并通过“钻取”方式，为进一步摸清相关系统清单、功能用途、数据关系等关键信息提供便利，如图4所示。

该视图运用了树状图（Treemap），通过二次开发，新增全局变量定义，用来存储树状图的初始全量数据和上一次点击元素，并增加“dblclick”鼠标双击消息的JS响应代码，在消息处理逻辑上判断本次点击元素和上一次点击元素的全称，根据名称是否相同实现“双击下钻至子流程或返回到父流程”的便捷操作功能。

2.系统清单视图。系统清单视图是系统架构视图的实例化，涵盖了总部职能管理部门、专业支撑单位和各级区域公司的相关系统、平台或功能模块。通过该视图，审计人员可整体掌握全集团的系统清单情况，并以点击“钻取”的便捷方式，能够查看各个机构信息系统的具体分布，快速呈现被审计单位相关业务流程下的系统清单以及各个系统的具体功能描述，为审计方案、审计程序和审计资料需求的制定提供有力支撑，如图5所示。

3.系统關系视图。系统关系视图用于展示系统数据间的关联关系，通过可视化的关系图表能够直观呈现A、Z端的数据表名称、字段名称、关联条件等重要信息，如图6所示。

利用该视图，在审前阶段，可帮助审计组长编制更加可行的审计方案，提升审计程序的可操作性;在项目实施中，还可为审计组员的审计思路、分析逻辑、脚本算法等提供具体指导，减少重复访谈时间，提升审计工作效率;在审计工作结束后，对于审计过程中经过访谈、查看、穿行测试等掌握的全流程数据关系，可实现这些宝贵经验的有效积累和固化，并为其他审计人员提供参考，从而不断促进全集团的审计能力提升。

4.系统风险视图。系统风险视图用于展示全集团各机构的信息系统风险情况，包括总部职能管理部门、专业支撑单位和各级区域公司的审计发现问题，是审计成果的积淀，并通过不同颜色呈现了相关系统、流程的风险程度与覆盖盲区，其中灰色代表尚未覆盖，蓝色代表审计中未发现问题，橙色代表审计中发现了问题，如图7所示。

通过该视图，在审计选题、审计覆盖等计划制订工作方面，可为审计机构管理人员提供重要的决策依据;在审计项目开展中，审计人员能够整体掌握被审计单位信息系统风险情况，并以点击“钻取”的便捷方式，查看具体信息系统的过往审计发现问题，可以做到有针对性地实施重点核查;在信息技术治理研究报告编制方面，可为编制人员提供丰富、详实的素材，实现公司信息系统的精准“画像”，提升相关分析报告的权威性。

（三）逻辑结构

为实现上述4个维度展示，系统地图共涉及12张数据结构表，如图8所示。

其中，系统架构视图方面，系统架构表包括公司信息技术战略相关的全景业务和管理流程。系统清单视图方面，组织机构表包括“管理、支撑、执行”三级组织;系统清单表包括系统名称、系统功能与数据描述、系统所属部门等信息;架构实例表是系统清单与系统架构的映射关系和实例化，一个系统可以对应多个架构流程。系统关系视图方面，系统关系表、关系节点表、关系连接表用来记录重要的系统或数据关系。系统风险视图方面，审计项目表、覆盖单位表、审计发现表属于审计项目的基础信息;覆盖系统表记录了审计项目覆盖的系统情况;系统问题表记录了审计发现涉及的系统情况。

（四）应用实践

为进一步完善上述系统地图数据，探索系统地图的应用场景，笔者团队收集、整理了近年来实施的审计项目情况，从审计发现的频次、原因和影响等方面，构建信息技术相关问题风险分析矩阵，深入开展多维分析，识别公司信息技术领域的重要风险，提出管理建议，推动公司IT治理水平的不断提升，如图9所示。

其中，发生频次方面，业务管控问题分为一般控制和应用控制两类，安全管控问题分为安全管理和安全技术两类;产生原因方面，管理问题可以从制度设计和制度执行环节查找原因，系统问题可以查找功能管控和数据质量相关原因;造成影响方面，实质性影响包括可计算的资金损失浪费以及难以计算金额的客户投诉、信息泄露等情况，风险性影响主要包括合规性等一般风险情况。

关于上述风险分析工作，其关键在于频次分析过程中相关信息技术问题的具体分类。通过研究ISACA、中国内部审计协会、中国国家标准化管理委员会等国内外权威组织机构的相关信息技术治理标准、规范，结合笔者单位的业务运营实际情况，笔者团队将信息技术问题归纳为四级、71个具体小类，如表1所示。该分类为信息系统的精准“画像”勾勒出了具体“轮廓”，可供相关企业参考借鉴。

四、结束语

随着国家“十四五”规划的正式出台，在未来数字经济的浪潮中，信息技术战略必将成为企业高质量发展的重要支撑。如何及时全面地识别、评估并应对信息系统控制风险，是提升信息技术治理能力的关键因素。本文从系统地图入手，面向审计视角，围绕公司信息系统整体架构，在收集整理系统底数、系统关系的基础上，形成系统风险视图。这些探索和实践，可以为相关企业的信息技术治理工作提供借鉴思路，共同为全行业的信息技术治理工作贡献力量。

（作者单位：中国移动通信集团有限公司，邮政编码：100033，电子邮箱：lipingliang@chinamobile.com）