在软件供应链基础管理审计中开展研究型审计的实践探索

一

研究型审计研究方向及主要内容

研究型审计注重全局、科学、系统地谋划，研究剖析问题表象，深入挖掘问题的本质成因，能够切实推动问题解决，提出建设性意见。研究型审计的总要求是坚持系统观念，运用研究思维，以问题为导向，对审计对象、审计环境及审计项目全过程进行系统的调查研究，推动审计工作进一步提高政治站位，明确政策方向，增强审计监督针对性，提高审计质量效率和水平，更好发挥审计监督作用。

（一）审前阶段，围绕制订科学的审计方案开展研究

1 研究相关政策，把握审计核心立意。主要涉及审计领域与审计对象的相关宏观政策法规探讨、国家及行业标准分析，以及企业战略研究三个部分。

2 深度分析经典案例，归纳识别核心风险。主要针对审计领域及审计对象的关键风险问题与重点案例线索展开研究，包括对历年项目回顾研究以及典型案例研究的深入探讨。

3 逐级比对管理制度，严格把关落实情况。通过系统化梳理审计领域和审计对象的相关管理制度，明确管理要求。

4 全面摸排工作现状，促进审计数字化转型。重点结合业务特征研究审计领域和审计对象的发展现状和未来趋势。

5 聚焦核心风险，制订审计实施方案。在制订审计实施方案的过程中，一要找准政策锚点，聚焦核心风险。二要立足实际情况，科学制订方案。

（二）审中阶段，聚焦提高审计质效开展研究

1 创优方式方法，确保查深查透，力求“提质增效”。一要优化审计方法，开展数智审计；二要深入业务本质，上下结合审查；三要把控审计质量，提高审计效率。

2 积极沟通反馈，挖掘共性成因。一要加强沟通交流，多方获取信息；二要逐层解构问题，把握共性成因。

（三）审后阶段，以高质量审计成果为核心开展研究

1 严把审计报告质量关，促进项目整改提升。一要全面总结成果，提升报告质量；二要做好审后管理，督促部门整改。

2 提出针对性审计建议，沉淀审计成果。一要提出审计建议，聚焦重点问题；二要沉淀审计成果，总结审计方法。

二

研究型审计下开展软件供应链基础管理审计的实践

（一）审前阶段，开展“4+1”审前研究工作，细化拓展审计框架

1 结合供应链管理实践，研究宏观政策与公司发展战略。为全面落实上级监管部门要求，服务公司转型升级大局，在宏观上把握审计对象及领域的共性、趋势性问题。审计组的审前第一项研究工作是对国内外的政策、标准，以及公司上层战略规划等开展研究。审前开展政策理论研究为识别审计重点提供了方向性指引，准确定位审计重点，服务公司发展大局，助力高质量发展。

2 分析供应链安全案例，识别安全风险敞口。审前工作还需要开展软件供应链典型案例剖析，从微观视角分析审计对象及领域的具体风险敞口，进一步细化软件开发、交付、使用过程的各环节，深入分析软件供应链安全风险敞口。审前通过开展软件供应链典型案例剖析，深入了解被审计单位，识别审计重点领域，聚焦核心风险。

3 梳理主要制度，加强顶层设计。进行集团省内制度对比，通过对比国家政策及标准要求，梳理共90余个制度文件，发现软件供应链制度体系顶层设计待加强，软件供应链关联制度众多且较为分散，核心风险领域制度有待完善。

4 了解供应链现状，防范重要风险。开展供应链现状摸排，包括系统摸排、供应商摸排与剩余风险摸排。为审中对供应商进行访谈及检查做好前置分析。最后，通过对省内软件类项目从立项到下线整个生命周期的管理流程进行梳理，识别出剩余风险敞口较大的环节予以重点关注。

5 通过审前分析研究，审计组识别聚焦软件供应链核心风险，结合省内安全管理实际情况，编制和完善新的审计框架。依照拓展后的审计框架，聚焦核心领域，对公司软件供应链基础管理现状开展审计核查。

（二）审中阶段，聚焦软件供应链核心领域管理，挖掘共性成因

1 检查机制有效性，保证制度合规性。审中阶段在集团公司的审计框架基础上，全面采用研究型审计方法，审查公司软件供应链的基础管理情况，深入了解公司的软件规模与管理现状，检查公司在软件采购、开发、交付、上线、运维等环节相关管理机制的健全性、执行有效性，以及国家和公司在网络信息安全方面的要求的贯彻情况。

2 发掘管理堵点，分层探求原因。依照拓展后的审计框架，审计组聚焦核心领域，对公司软件供应链基础管理现状开展审计核查，揭示公司在软件供应商管理、软件研发工具及其环境管理、开源软件管理、软件代码管理、软件安全运营管理、组织管理及机制建设等领域存在的提升改进点。在深入研究问题成因方面，通过系统地分析和梳理，逐步深入挖掘问题的直接原因、深层原因、根本原因，揭示问题现象背后公司对于软件供应链基础管理的重要性及潜在风险存在认识不足的情况。

（三）审后阶段，归集痛点和需求，提出软件供应链针对性建议，沉淀审计成果

1 归集痛点需求，明确改进方向。解决这些痛点和需求对于改进软件供应链管理的有效性和安全性至关重要，有助于提升公司的整体效率和稳定性。

2 提出改进建议，总结实践方法。在审后阶段，审计组秉承研究型审计方法，提出切实可行的改进建议，推动审计问题整改，确保问题得到全面解决。审计组注重审计成果沉淀并深化运用，着重在以下方面开展工作：一是注重审计项目成果沉淀，形成了“软件供应链审计制度库、软件供应链典型案例库、软件供应商信息库”等审计成果；二是促进研究型审计成果转化，将研究型审计实践经验进行提炼总结，固化形成研究型审计操作指引，进一步为其他审计项目赋能，切实运用研究型审计理念指导审计质量、效率和水平提升。

三

研究型审计在实践案例中的成效与启示

（一）始终秉持并贯彻研究型审计理念

研究型审计理念通过更深入的剖析、更广泛的数据应用以及更综合的方法，不仅提升了审计人员的专业胜任能力，还为企业提供了更为全面和深刻的审计建议，有助于企业更好地管控风险、优化运营和实现可持续发展。

（二）倡导最佳实践，积极落实审计成果

审计成果的落地应用能够助力组织参照行业标准与规范，提升治理及运营能力，将审计成果有效落实是实现最佳实践的核心环节。

（三）问题深层次分析，提高审计建议针对性

深入问题的核心，进行深层次分析，以精准度为目标，使审计建议更具针对性。这种分析方法旨在揭示问题的根本原因，并识别与之相关的关键因素。

（四）通过实践不断完善研究型审计理论

研究型审计方法与审计项目形成互补，这种实践中的反馈和调整使得研究型审计方法更加贴近实际需求，更加具有针对性和可操作性。

文章摘自《中国内部审计》杂志2024年第11期，内容有删减。

作者：杨文松 杨玲玲 陈杨 鄢皓 彭小渭 甘泉 梁叶

单位：中国移动通信集团云南有限公司 中国信息通信研究院

编辑：孙哲

目前180000+人已关注我们，您还等什么？