随着数字化转型在各行业领域的不断深入，数字技术的发展为社会和经济带来了新变化与新机遇，但在数字化建设过程中也存在着缺乏战略规划、数据安全脆弱、隐私保护不当、建成后没办法使用或不好用等问题，加之有关规定法律法规尚不完善、监督机制尚不健全，数字化建设领域难免出现腐败现象。为进一步推动数字化建设项目的健康发展，对数字化建设项目进行专项审计已成为必然。本文以A企业开展数字化建设项目专项审计实践为例，对审计目标设定与查证策略使用等方面进行了有益探索，取得良好成效。

　　通过对A企业在建与运行中的数字化项目进行从立项到决算等各环节业务活动的合法、合规、安全、效益性进行专项审计与摸底评估，针对存在的问题及风险，提出建议和意见，促进管理水平与风险防范能力的提升。

　　依据《第1101号——内部审计基本准则》及相关要求，本审计项目履行了制订审计计划、开展审前调查、成立审计组、编制审计方案、发出审计通知书、进行现场审计、开展审计取证、征求意见、出具审计报告等必要审计程序。

　　主要对内控制度的建立和执行情况进行审计，重点关注数字化项目建设、使用、运维等方面的管理制度是否健全完备，是否建立了风险评估、监督制约机制；项目立项、预算、采购招标、重大变更等审批流程是否符合内控制度要求，监督制约机制是否执行到位等。

　　主要对数字化项目顶层设计规划、系统架构设计、系统集成规划、安全设计方案等进行审计，重点关注立项时项目目标和范围是否符合A企业战略规划文件，项目计划是否符合业务或用户需求；系统架构和技术方案是否合理，能否确保系统稳定性、可扩展性和安全性；是否充分考虑了不同系统间集成问题，并合理规划不同系统间数据、功能建设；安全设计方案中网络安全产品选型、保密产品与服务是否符合“国产化”“信创”等有关规定；设计方案是否经过专家评审论证，有无过度设计情况。

　　1.安全组织管理审计。重点关注是否制定了网络安全方针与策略，是否建立了安全组织机构、配备了安全管理人员，是否遵循了不相容岗位分离原则，是否建立了操作规程及定期进行安全检查和记录，是否及时终止离岗人员访问权限，是否对外来人员访问进行有效管控。

　　2.网络物理环境审计。重点关注物理访问控制措施是否满足相关要求，机房环境建设及管理是否满足相关规定。

　　3.安全通信网络审计。主要对网络传输校验技术、可信验证、网络可信认证架构设计、网络区域划分、网闸系统等进行审查，审查信息网络安全防护措施、隔离措施是否有效。

　　4.安全区域边界审计。主要对访问控制设备配置、无线设备通信、访问控制策略、日志与监控措施、网络关键节点监视网络攻击行为效果等进行审查，验证网络边界处防护措施是否有效。

　　5.身份鉴别及安全访问审计。重点关注用户权限管理、账号管理是否合规，用户身份标识是否唯一，密码管理是否符合相关要求，登录失败处理措施是否有效可控，远程登录通信管理是否安全。

　　6.入侵防范等安全管理审计。重点关注系统安装情况、终端接入限制、数据有效性验证、高风险漏洞排查、安全审计功能使用等管理是否合规、有效。

　　7.恶意代码审计。重点关注防恶意代码软件安装及使用情况，自研及外包软件开发项目的代码管理是否可控、安全责任是否明确等。

　　8.数据安全审计。重点关注重要数据的备份与恢复功能是否合理、可用，鉴别信息存储空间或者分配空间是否得到完全清除。

　　9.信息安全等级保护测评审计。重点关注定级结果是否取得公安机关相关备案，测评时间是否合规，测评结果中安全问题整改是否闭环，使用期间若发生重大变更或级别变化，是否及时按规定进行等级测评调整。

　　重点关注项目实施的必要性、可行性、经济性、合理性，建设程序是否合规，批复手续是否符合A企业内部规定。

　　重点关注招标采购方式是否得当，招标文件内容的完整性、合规性、合理性；招标采购流程是否合法、合规，是否存在围串标、弄虚作假情况，归档资料是否齐全。

　　重点关注合同签订程序是否合规，合同内容及要素是否齐全，保修期及免费运维期是否合理，有无改变招投标实质性内容，是否按合同约定进行付款、结算、关闭，合同履约是否到位，合同变更程序是否符合规定。

　　重点关注项目实施是否与设计文件、采购需求、实施方案要求一致，是否存在多建、错建、少建情况；是否通过包括单元、系统、集成、性能在内的测试，并达到预计的设计要求和参数；试运行是否充分，对试运行过程中发现的问题是否进行了整改、闭环；是否进行了相关测评工作，是否严格按照验收方案进行验收，是否存在降低验收标准、部分功能未实现而通过验收情况；项目建设是否存在延期，延期责任是否明确。

　　重点关注运维费用计取是否合理，运维时间是否与项目建设免费提供的运维时间存在重叠；运维人员职责是否清晰，人员权限、角色是否符合“最小权限”原则，是否存在一人多角色情况；运维人员数据操作权限及账户管理是否符合相关规定，是否存在共用账号情况；运维人员是否存在擅自变更、挂靠等履职不到位情况。

　　重点关注软件开发、软件定制和硬件采购、系统集成、运行维护等项目成本是否准确、合理，是否存在复用、多列项、工作量高估冒算、人工单价及测评费用不实情况；实际功能模块、功能点、设备数量规格型号是否与合同约定一致，减少内容是否进行了价款扣减；是否存在超标准、超范围、超概算建设未履行审批手续情况；是否存在实施范围变小，未调整项目概算造成资金浪费情况。

　　重点关注竣工财务决算编制是否符合基本建设财务管理规定，是否委托了具有资质的会计师事务所进行竣工决算审计；项目交付使用财产是否真实、完整、及时，是否符合交付条件，是否存在提前交付情况；通过资产盘点，检查交付资产是否完整、账面数量与盘点数量是否相符。

　　主要对系统功能实现情况、运行情况、数据质量、性能情况等进行审计，重点关注系统功能实现、性能指标是否达到设计需求，开发功能是否实现了全部有效应用，不同系统间是否存在同一业务功能重复运行情况，不同系统业务衔接是否畅通；数据是否准确，数据备份措施是否合理，数据质量是否达到预期；评估系统响应速度、稳定性、可靠性等性能指标实现情况，识别潜在性能瓶颈、异常行为等。

　　通过本次专项审计，A企业针对数字化建设项目进行了全面梳理和“体检”。审计组发现了企业目前存在的数字化建设项目需求前瞻性不足、系统间存在“信息孤岛”、安全防御措施落实不到位、依赖人工录入、已开发功能未得到有效利用、新旧系统间业务过渡不顺畅、数据备份不满足业务连续性需要等问题，并在加强系统顶层设计，推动数字化、数智化转型，实现互联互通、信息共享和业务协同统一，构建综合性安全防御体系等方面提出了管理优化提升建议，为企业数字化转型奠定了良好基础。

　　数字化建设项目专项审计是随着信息技术发展而兴起的一种新型审计，需要不断探索和创新，为实现数字化建设项目审计的持续发展，应做好以下几个方面。

　　一是完善法规体系。相关部门应制定与数字化建设项目审计相关的法律和法规标准体系，确保审计工作有据可依，并结合信息技术快速发展适时调整，以满足实际工作需要。

　　二是提升人员素质。审计人员需要不断提升自身的数字素养和综合能力，主动掌握新技术、新方法，以适应数字化建设项目专项审计的复杂需求。各单位审计部门应建立持续教育与培训机制，不断更新审计人员的知识结构，提高技术水平和职业判断能力。

　　三是拓展审计范围。除了传统的财务、成本和技术方面，审计将涵盖更多领域，如数据安全、隐私保护、业务流程优化以及数字化战略执行效果等。

　　四是创新审计手段。利用大数据技术处理海量数据，发现异常模式和潜在风险；引入人工智能技术，使用AI工具自动执行重复性任务，提高审计效率；探索区块链技术在审计证据链中的应用，提高审计结果的可信度；发展远程审计技术，提高远程审计能力，以减少对现场审计的依赖，降低审计成本。

　　五是实现持续审计。借助数字化技术，实现对项目全过程的动态跟踪和审计，及时有效地发现问题并进行干预，降低风险和损失。

　　六是探索绿色审计。随着可持续发展理念慢慢的变成为共识，对于数字化建设项目的能源消耗、环境影响等方面的审计也应逐渐受到重视和关注。