劉巍 曹迎春 門(mén)爍 李平良

[摘要]面對(duì)信息技術(shù)治理環(huán)境的新變化和新要求，本文提出“面向?qū)徲?jì)視角的信息系統(tǒng)地圖”工作方案，在深入分析系統(tǒng)邊界模糊、系統(tǒng)底數(shù)不清、系統(tǒng)呈現(xiàn)困難等挑戰(zhàn)的基礎(chǔ)上，圍繞公司信息技術(shù)戰(zhàn)略，積極探索解決思路，通過(guò)運(yùn)用成熟的可視化技術(shù)，實(shí)現(xiàn)了包括系統(tǒng)架構(gòu)、系統(tǒng)清單、系統(tǒng)關(guān)系和系統(tǒng)風(fēng)險(xiǎn)等多個(gè)維度的展示視圖，并拓展應(yīng)用實(shí)踐場(chǎng)景，從審計(jì)發(fā)現(xiàn)的頻次、原因和影響等方面，構(gòu)建信息技術(shù)風(fēng)險(xiǎn)分析矩陣，為企業(yè)信息技術(shù)治理工作提供借鑒思路。

[關(guān)鍵詞]系統(tǒng) 地圖? ?信息技術(shù)? ?審計(jì)

一、引言

當(dāng)前，國(guó)家大力推動(dòng)新型基礎(chǔ)設(shè)施大規(guī)模建設(shè)，5G、AICDE（AI、IoT、Cloud Computing、Big Data、Edge Computing，即人工智能、物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、邊緣計(jì)算）、區(qū)塊鏈等新一代信息技術(shù)應(yīng)用在“十四五”時(shí)期必將迎來(lái)爆發(fā)拐點(diǎn)，進(jìn)入全面擴(kuò)散時(shí)代。隨著新一代信息技術(shù)深度融入經(jīng)濟(jì)社會(huì)民生，作為信息技術(shù)審計(jì)對(duì)象的信息系統(tǒng)已經(jīng)變得越來(lái)越復(fù)雜，這也對(duì)信息技術(shù)治理工作提出了更高的要求。“十四五”規(guī)劃明確提出，要“統(tǒng)籌發(fā)展和安全”，加強(qiáng)“重要網(wǎng)絡(luò)和信息系統(tǒng)安全保障”。中共中央辦公廳、國(guó)務(wù)院辦公廳在《關(guān)于實(shí)行審計(jì)全覆蓋的實(shí)施意見(jiàn)》中提出，加強(qiáng)審計(jì)項(xiàng)目計(jì)劃統(tǒng)籌，在摸清審計(jì)對(duì)象底數(shù)的基礎(chǔ)上，建立分行業(yè)、分領(lǐng)域?qū)徲?jì)對(duì)象數(shù)據(jù)庫(kù)。實(shí)現(xiàn)有重點(diǎn)、有步驟、有深度、有成效的全覆蓋。國(guó)資委、審計(jì)署近年來(lái)相繼印發(fā)文件，進(jìn)一步強(qiáng)調(diào)了全覆蓋相關(guān)要求。COBIT2019、ITIL4等相關(guān)國(guó)際標(biāo)準(zhǔn)也陸續(xù)更新發(fā)布，指出了審計(jì)計(jì)劃階段中信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的重要性。

面對(duì)信息技術(shù)治理環(huán)境的新變化和新要求，為落實(shí)國(guó)家網(wǎng)絡(luò)信息安全戰(zhàn)略、提升信息系統(tǒng)安全防護(hù)能力、全面摸清信息系統(tǒng)家底，建立信息系統(tǒng)地圖已然成為信息技術(shù)審計(jì)人員面臨的重要任務(wù)。

二、系統(tǒng)地圖研究難點(diǎn)與解決思路

常用地理地圖具備三個(gè)基本特征，即邊界清晰、區(qū)劃完備、呈現(xiàn)便捷，然而這三個(gè)基本特征卻是建立信息系統(tǒng)地圖亟需解決的難題。

（一）系統(tǒng)邊界

目前，信息系統(tǒng)邊界尚未發(fā)現(xiàn)統(tǒng)一標(biāo)準(zhǔn)。ISACA、中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)等國(guó)內(nèi)外權(quán)威機(jī)構(gòu)資料顯示，信息系統(tǒng)的定義均比較宏觀，未明確系統(tǒng)邊界。同時(shí)，隨著信息技術(shù)發(fā)展，傳統(tǒng)“主機(jī)+數(shù)據(jù)庫(kù)+前臺(tái)應(yīng)用”的系統(tǒng)架構(gòu)加快向云化、虛擬化演進(jìn)，相關(guān)技術(shù)已經(jīng)打破了系統(tǒng)獨(dú)立、邊界清晰等煙囪思維。

為此，建立系統(tǒng)地圖要順應(yīng)信息技術(shù)發(fā)展趨勢(shì)，跳出系統(tǒng)煙囪思維的束縛，對(duì)于獨(dú)立系統(tǒng)或者組件化的功能應(yīng)用，都需要充分收集，并在此基礎(chǔ)上，圍繞組織的信息技術(shù)戰(zhàn)略，梳理出信息系統(tǒng)所支撐的業(yè)務(wù)與管理流程，提煉清晰的流程邊界，從而實(shí)現(xiàn)系統(tǒng)地圖邊界的重構(gòu)。

（二）系統(tǒng)底數(shù)

隨著經(jīng)濟(jì)社會(huì)發(fā)展中數(shù)字化轉(zhuǎn)型的深入，為支撐組織的風(fēng)險(xiǎn)管理和價(jià)值創(chuàng)造，各類信息系統(tǒng)在持續(xù)發(fā)揮核心作用的同時(shí)，相關(guān)應(yīng)用功能、系統(tǒng)數(shù)據(jù)等信息資產(chǎn)“家底”也變得更加龐大，給組織的系統(tǒng)底數(shù)統(tǒng)計(jì)帶來(lái)挑戰(zhàn)。本文分析了所在單位近十年來(lái)所做的數(shù)次信息系統(tǒng)底數(shù)調(diào)查，結(jié)果顯示，因系統(tǒng)定義模糊、系統(tǒng)分布廣泛等原因，系統(tǒng)底數(shù)差異較大。為保障系統(tǒng)地圖的完備性，應(yīng)圍繞公司信息技術(shù)戰(zhàn)略規(guī)劃，結(jié)合IT運(yùn)營(yíng)部門(mén)資產(chǎn)數(shù)據(jù)，充分收集系統(tǒng)清單，在此基礎(chǔ)上，還可以綜合運(yùn)用以下方法來(lái)識(shí)別組織中的信息系統(tǒng)。

一是從4A（Authentication、Authorization、Account、Audit，即認(rèn)證、授權(quán)、賬號(hào)、審計(jì)）系統(tǒng)直接獲取，該方法可收集到組織中的絕大部分信息系統(tǒng)。

二是運(yùn)用主機(jī)的“netstat”命令，查看當(dāng)前網(wǎng)絡(luò)狀態(tài)，獲取狀態(tài)為“LISTEN”的對(duì)端IP地址，形成網(wǎng)絡(luò)拓?fù)洌ㄈ鐖D1所示），再根據(jù)通信端口與IP地址的分配規(guī)則等信息，識(shí)別出未納入4A管控的系統(tǒng)。

三是從組織簽訂的合同清單中，搜索“系統(tǒng)”“平臺(tái)”“應(yīng)用”“功能”等關(guān)鍵詞，識(shí)別出系統(tǒng)開(kāi)發(fā)與運(yùn)維合同，進(jìn)一步查漏補(bǔ)缺，增強(qiáng)系統(tǒng)清單的完整性。

四是對(duì)于嵌入多個(gè)應(yīng)用模塊的超大系統(tǒng)，應(yīng)根據(jù)是否具有獨(dú)立的賬號(hào)登錄功能，劃分為多個(gè)系統(tǒng)，提升系統(tǒng)清單的準(zhǔn)確性。

（三）系統(tǒng)呈現(xiàn)

傳統(tǒng)地理地圖的GIS位置特征為使用者帶來(lái)了非常直觀、便捷的體驗(yàn)。而目前的大型企業(yè)大都基于“管理—支撐—執(zhí)行”的組織架構(gòu)體系，涵蓋總部職能管理部門(mén)、專業(yè)支撐單位和各級(jí)區(qū)域公司等多類機(jī)構(gòu)，這些機(jī)構(gòu)在地理位置上互有交叉，單純的GIS地圖難以直觀、便捷地呈現(xiàn)各類機(jī)構(gòu)的信息系統(tǒng)情況。

為此，對(duì)于大型集團(tuán)公司，系統(tǒng)地圖的呈現(xiàn)形式除了應(yīng)具備傳統(tǒng)地理地圖的位置特征外，還應(yīng)構(gòu)建面向總部職能管理部門(mén)、專業(yè)支撐單位與區(qū)域公司的多層次展示架構(gòu)。系統(tǒng)地圖的呈現(xiàn)方法可充分運(yùn)用成熟的可視化技術(shù)，如Python模板庫(kù)中的pyecharts開(kāi)發(fā)包，封裝了開(kāi)源的百度數(shù)據(jù)可視化產(chǎn)品Echarts，憑借著良好的交互性、精巧的圖表設(shè)計(jì)，得到了眾多開(kāi)發(fā)者的認(rèn)可。

三、面向?qū)徲?jì)視角的信息系統(tǒng)地圖探索

對(duì)于大型集團(tuán)公司，面向?qū)徲?jì)視角的信息系統(tǒng)地圖是總部統(tǒng)籌部署信息技術(shù)審計(jì)工作的重要抓手，也是全集團(tuán)信息技術(shù)審計(jì)的核心能力和工作指引，可以有效支撐信息技術(shù)審計(jì)的中長(zhǎng)期規(guī)劃和年度計(jì)劃，指導(dǎo)所屬單位開(kāi)展信息技術(shù)審計(jì)工作，并通過(guò)持續(xù)的信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估，提升公司信息系統(tǒng)“畫(huà)像”的精準(zhǔn)度，進(jìn)一步向公司管理層和職能管理部門(mén)輸出權(quán)威、專業(yè)的信息技術(shù)治理研究報(bào)告，不斷促進(jìn)公司信息技術(shù)戰(zhàn)略目標(biāo)的達(dá)成。以下是筆者在系統(tǒng)地圖方面的具體實(shí)踐情況。

（一）總體架構(gòu)

按照“架構(gòu)權(quán)威、實(shí)用開(kāi)放、便捷美觀”的總目標(biāo)，筆者團(tuán)隊(duì)積極克服系統(tǒng)邊界模糊、系統(tǒng)底數(shù)不清、系統(tǒng)呈現(xiàn)困難等挑戰(zhàn)，緊密圍繞公司信息技術(shù)戰(zhàn)略，充分總結(jié)過(guò)往審計(jì)成果，面向?qū)徲?jì)視角，覆蓋總部職能管理部門(mén)、專業(yè)支撐單位和省級(jí)區(qū)域公司，初步探索構(gòu)建了全方位的信息系統(tǒng)地圖管理架構(gòu)，如圖2所示。

該架構(gòu)在傳統(tǒng)GIS地圖的基礎(chǔ)上，進(jìn)一步疊加了“兩環(huán)”。其中，“外環(huán)”代表總部職能管理部門(mén)，“內(nèi)環(huán)”代表各專業(yè)支撐單位，GIS地圖代表具體落地執(zhí)行的省級(jí)公司。通過(guò)該架構(gòu)，采用便捷的“鉆取”方式，可以直觀、全面地呈現(xiàn)各個(gè)機(jī)構(gòu)的信息系統(tǒng)、數(shù)據(jù)關(guān)系以及問(wèn)題風(fēng)險(xiǎn)等具體情況。

（二）多維呈現(xiàn)

為全面呈現(xiàn)全集團(tuán)信息系統(tǒng)的整體架構(gòu)、功能特點(diǎn)、重要關(guān)系和問(wèn)題風(fēng)險(xiǎn)等情況，從4個(gè)維度設(shè)計(jì)了系統(tǒng)地圖的展示視圖，包括系統(tǒng)架構(gòu)視圖、系統(tǒng)清單視圖、系統(tǒng)關(guān)系視圖和系統(tǒng)風(fēng)險(xiǎn)視圖，如圖3所示。

1.系統(tǒng)架構(gòu)視圖?；诠拘畔⒓夹g(shù)戰(zhàn)略的系統(tǒng)架構(gòu)視圖是系統(tǒng)地圖的基礎(chǔ)，涵蓋公司信息技術(shù)戰(zhàn)略涉及的各個(gè)業(yè)務(wù)和管理流程，又可稱為信息系統(tǒng)的標(biāo)簽。通過(guò)該視圖，審計(jì)人員能夠全面了解公司的信息技術(shù)戰(zhàn)略與架構(gòu)，可以根據(jù)審計(jì)工作需求，快速定位特定系統(tǒng)架構(gòu)下的信息系統(tǒng)情況，并通過(guò)“鉆取”方式，為進(jìn)一步摸清相關(guān)系統(tǒng)清單、功能用途、數(shù)據(jù)關(guān)系等關(guān)鍵信息提供便利，如圖4所示。

該視圖運(yùn)用了樹(shù)狀圖（Treemap），通過(guò)二次開(kāi)發(fā)，新增全局變量定義，用來(lái)存儲(chǔ)樹(shù)狀圖的初始全量數(shù)據(jù)和上一次點(diǎn)擊元素，并增加“dblclick”鼠標(biāo)雙擊消息的JS響應(yīng)代碼，在消息處理邏輯上判斷本次點(diǎn)擊元素和上一次點(diǎn)擊元素的全稱，根據(jù)名稱是否相同實(shí)現(xiàn)“雙擊下鉆至子流程或返回到父流程”的便捷操作功能。

2.系統(tǒng)清單視圖。系統(tǒng)清單視圖是系統(tǒng)架構(gòu)視圖的實(shí)例化，涵蓋了總部職能管理部門(mén)、專業(yè)支撐單位和各級(jí)區(qū)域公司的相關(guān)系統(tǒng)、平臺(tái)或功能模塊。通過(guò)該視圖，審計(jì)人員可整體掌握全集團(tuán)的系統(tǒng)清單情況，并以點(diǎn)擊“鉆取”的便捷方式，能夠查看各個(gè)機(jī)構(gòu)信息系統(tǒng)的具體分布，快速呈現(xiàn)被審計(jì)單位相關(guān)業(yè)務(wù)流程下的系統(tǒng)清單以及各個(gè)系統(tǒng)的具體功能描述，為審計(jì)方案、審計(jì)程序和審計(jì)資料需求的制定提供有力支撐，如圖5所示。

3.系統(tǒng)關(guān)系視圖。系統(tǒng)關(guān)系視圖用于展示系統(tǒng)數(shù)據(jù)間的關(guān)聯(lián)關(guān)系，通過(guò)可視化的關(guān)系圖表能夠直觀呈現(xiàn)A、Z端的數(shù)據(jù)表名稱、字段名稱、關(guān)聯(lián)條件等重要信息，如圖6所示。

利用該視圖，在審前階段，可幫助審計(jì)組長(zhǎng)編制更加可行的審計(jì)方案，提升審計(jì)程序的可操作性;在項(xiàng)目實(shí)施中，還可為審計(jì)組員的審計(jì)思路、分析邏輯、腳本算法等提供具體指導(dǎo)，減少重復(fù)訪談時(shí)間，提升審計(jì)工作效率;在審計(jì)工作結(jié)束后，對(duì)于審計(jì)過(guò)程中經(jīng)過(guò)訪談、查看、穿行測(cè)試等掌握的全流程數(shù)據(jù)關(guān)系，可實(shí)現(xiàn)這些寶貴經(jīng)驗(yàn)的有效積累和固化，并為其他審計(jì)人員提供參考，從而不斷促進(jìn)全集團(tuán)的審計(jì)能力提升。

4.系統(tǒng)風(fēng)險(xiǎn)視圖。系統(tǒng)風(fēng)險(xiǎn)視圖用于展示全集團(tuán)各機(jī)構(gòu)的信息系統(tǒng)風(fēng)險(xiǎn)情況，包括總部職能管理部門(mén)、專業(yè)支撐單位和各級(jí)區(qū)域公司的審計(jì)發(fā)現(xiàn)問(wèn)題，是審計(jì)成果的積淀，并通過(guò)不同顏色呈現(xiàn)了相關(guān)系統(tǒng)、流程的風(fēng)險(xiǎn)程度與覆蓋盲區(qū)，其中灰色代表尚未覆蓋，藍(lán)色代表審計(jì)中未發(fā)現(xiàn)問(wèn)題，橙色代表審計(jì)中發(fā)現(xiàn)了問(wèn)題，如圖7所示。

通過(guò)該視圖，在審計(jì)選題、審計(jì)覆蓋等計(jì)劃制訂工作方面，可為審計(jì)機(jī)構(gòu)管理人員提供重要的決策依據(jù);在審計(jì)項(xiàng)目開(kāi)展中，審計(jì)人員能夠整體掌握被審計(jì)單位信息系統(tǒng)風(fēng)險(xiǎn)情況，并以點(diǎn)擊“鉆取”的便捷方式，查看具體信息系統(tǒng)的過(guò)往審計(jì)發(fā)現(xiàn)問(wèn)題，可以做到有針對(duì)性地實(shí)施重點(diǎn)核查;在信息技術(shù)治理研究報(bào)告編制方面，可為編制人員提供豐富、詳實(shí)的素材，實(shí)現(xiàn)公司信息系統(tǒng)的精準(zhǔn)“畫(huà)像”，提升相關(guān)分析報(bào)告的權(quán)威性。

（三）邏輯結(jié)構(gòu)

為實(shí)現(xiàn)上述4個(gè)維度展示，系統(tǒng)地圖共涉及12張數(shù)據(jù)結(jié)構(gòu)表，如圖8所示。

其中，系統(tǒng)架構(gòu)視圖方面，系統(tǒng)架構(gòu)表包括公司信息技術(shù)戰(zhàn)略相關(guān)的全景業(yè)務(wù)和管理流程。系統(tǒng)清單視圖方面，組織機(jī)構(gòu)表包括“管理、支撐、執(zhí)行”三級(jí)組織;系統(tǒng)清單表包括系統(tǒng)名稱、系統(tǒng)功能與數(shù)據(jù)描述、系統(tǒng)所屬部門(mén)等信息;架構(gòu)實(shí)例表是系統(tǒng)清單與系統(tǒng)架構(gòu)的映射關(guān)系和實(shí)例化，一個(gè)系統(tǒng)可以對(duì)應(yīng)多個(gè)架構(gòu)流程。系統(tǒng)關(guān)系視圖方面，系統(tǒng)關(guān)系表、關(guān)系節(jié)點(diǎn)表、關(guān)系連接表用來(lái)記錄重要的系統(tǒng)或數(shù)據(jù)關(guān)系。系統(tǒng)風(fēng)險(xiǎn)視圖方面，審計(jì)項(xiàng)目表、覆蓋單位表、審計(jì)發(fā)現(xiàn)表屬于審計(jì)項(xiàng)目的基礎(chǔ)信息;覆蓋系統(tǒng)表記錄了審計(jì)項(xiàng)目覆蓋的系統(tǒng)情況;系統(tǒng)問(wèn)題表記錄了審計(jì)發(fā)現(xiàn)涉及的系統(tǒng)情況。

（四）應(yīng)用實(shí)踐

為進(jìn)一步完善上述系統(tǒng)地圖數(shù)據(jù)，探索系統(tǒng)地圖的應(yīng)用場(chǎng)景，筆者團(tuán)隊(duì)收集、整理了近年來(lái)實(shí)施的審計(jì)項(xiàng)目情況，從審計(jì)發(fā)現(xiàn)的頻次、原因和影響等方面，構(gòu)建信息技術(shù)相關(guān)問(wèn)題風(fēng)險(xiǎn)分析矩陣，深入開(kāi)展多維分析，識(shí)別公司信息技術(shù)領(lǐng)域的重要風(fēng)險(xiǎn)，提出管理建議，推動(dòng)公司IT治理水平的不斷提升，如圖9所示。

其中，發(fā)生頻次方面，業(yè)務(wù)管控問(wèn)題分為一般控制和應(yīng)用控制兩類，安全管控問(wèn)題分為安全管理和安全技術(shù)兩類;產(chǎn)生原因方面，管理問(wèn)題可以從制度設(shè)計(jì)和制度執(zhí)行環(huán)節(jié)查找原因，系統(tǒng)問(wèn)題可以查找功能管控和數(shù)據(jù)質(zhì)量相關(guān)原因;造成影響方面，實(shí)質(zhì)性影響包括可計(jì)算的資金損失浪費(fèi)以及難以計(jì)算金額的客戶投訴、信息泄露等情況，風(fēng)險(xiǎn)性影響主要包括合規(guī)性等一般風(fēng)險(xiǎn)情況。

關(guān)于上述風(fēng)險(xiǎn)分析工作，其關(guān)鍵在于頻次分析過(guò)程中相關(guān)信息技術(shù)問(wèn)題的具體分類。通過(guò)研究ISACA、中國(guó)內(nèi)部審計(jì)協(xié)會(huì)、中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)等國(guó)內(nèi)外權(quán)威組織機(jī)構(gòu)的相關(guān)信息技術(shù)治理標(biāo)準(zhǔn)、規(guī)范，結(jié)合筆者單位的業(yè)務(wù)運(yùn)營(yíng)實(shí)際情況，筆者團(tuán)隊(duì)將信息技術(shù)問(wèn)題歸納為四級(jí)、71個(gè)具體小類，如表1所示。該分類為信息系統(tǒng)的精準(zhǔn)“畫(huà)像”勾勒出了具體“輪廓”，可供相關(guān)企業(yè)參考借鑒。

四、結(jié)束語(yǔ)

隨著國(guó)家“十四五”規(guī)劃的正式出臺(tái)，在未來(lái)數(shù)字經(jīng)濟(jì)的浪潮中，信息技術(shù)戰(zhàn)略必將成為企業(yè)高質(zhì)量發(fā)展的重要支撐。如何及時(shí)全面地識(shí)別、評(píng)估并應(yīng)對(duì)信息系統(tǒng)控制風(fēng)險(xiǎn)，是提升信息技術(shù)治理能力的關(guān)鍵因素。本文從系統(tǒng)地圖入手，面向?qū)徲?jì)視角，圍繞公司信息系統(tǒng)整體架構(gòu)，在收集整理系統(tǒng)底數(shù)、系統(tǒng)關(guān)系的基礎(chǔ)上，形成系統(tǒng)風(fēng)險(xiǎn)視圖。這些探索和實(shí)踐，可以為相關(guān)企業(yè)的信息技術(shù)治理工作提供借鑒思路，共同為全行業(yè)的信息技術(shù)治理工作貢獻(xiàn)力量。

（作者單位：中國(guó)移動(dòng)通信集團(tuán)有限公司，郵政編碼：100033，電子郵箱：lipingliang@chinamobile.com）