信息系统建设审计应关注的6个风险审计处

企业的迅速发展离不开反应灵活、数据精准、使用便捷的管理系统，信息系统已成为企业打造核心竞争力的重要手段。

一、系统规划与设计风险

各个业务管理层根据各自管理的需要进行信息系统建设，缺乏系统架构的统一规划，或者系统架构规划未能充分考虑企业发展中长期需求，导致系统规划与设计不合理，导致出现以下问题：

（一）信息孤岛

各信息系统数据混乱，难以协调统一，后期数据治理成本居高不下。

例如，某集团在发展过程中，各个业务部门各自主导分别上线了财务系统、客户管理系统、生产系统、采购系统，但是由于缺乏系统架构的前期统一规划，各业务模块分批分次开发上线，导致最先上线财务系统的组织架构、物料、客户代码等关键字段与业务模块字段不统一不匹配，在后期的数据中台建设中花费大量成本对数据进行标准化处理以打通数据流。

（二）重复开发

由于规划缺乏中长期考虑，仅看重短期利益，系统仓促上线，虽然能满足一时需求，但带来的后果是无法适应用户需求的发展，导致二次建设、重复建设，甚至系统弃用。

例如某公司自行开发费用报销系统，由于着急上线，该系统未能对接人力系统，而是直接将人力系统架构用于设置审批流，导致公司组织架构调整后，费用报销系统审批流与组织架构不匹配，无法继续使用。

二、组织架构风险

在集团型的企业中，尤其是非互联网型的企业，可能存在缺乏信息系统建设的统一管理组织，各事业线为了满足自己的需求各自进行管理系统建设。各自分别建设可能带来以下风险：

（一）系统重复建设

由于缺乏统一的系统管理主人，因此也没有完整的信息系统清单，缺少统一的管理造成无法准确掌握完整准确的系统清单，导致系统重复建设。

例如，某集团由于前期系统建设没有统一的牵头部门，经审计排查各个事业群同功能系统建设重复，服务器没有统一管理，各个系统服务器利用率低，造成IT费用浪费。

（二）系统盲目建设

例如，审计发现某系统模块上线后运行的两年中，平均使用用户不足10人/月，峰值用户仅仅15人，经核实该模块上线并未经过充分论证，审计发现该问题后管理层决定下线该系统，导致系统建设资源浪费。

（三）系统状态不透明

系统状态不透明增加管理成本，缺乏统一管理组织，无法对应用系统的运行状态（如：可用性监测、用户访问统计监测等）进行统一监控，导致系统信息不透明，增加系统管理成本。

例如，由于集团缺乏系统管理的牵头部门，缺少统一的系统管理规范，在审计团队汇总集团信息系统清单，并将其与系统实际状况进行对比发现，清单中系统信息不准确，包括系统实际已停用但系统清单仍显示运行中、业务负责人信息不准确、系统负责人已离职未更新等问题。系统缺少统一的监控导致无法及时获取系统关键运行指标，系统异常时不能及时主动告警。

三、需求论证及变更风险

新建系统需要进行充分的需求论证，而实际上往往立项需求及开发过程中的需求变更论证并不充分，这可能导致系统开发过程中频繁修改，增加项目开发成本，影响系统上下进度。需求论证不充分产生的原因可能有：

（二）用户未充分参与系统需求论证，用户测试时发现功能不满足，导致开发变更；

（三）架构师未能充分参与论证，导致需求未充分考虑与其他系统的对接；

（四）项目组未能充分理解用户需求，尤其在成品软件包开发中，项目开发人员依赖过往开发实施经验，未能充分理解用户的真正需求；

（五）未能充分论证该系统的投入产出，导致系统上线后使用率极低，资源浪费。

四、项目外包采购风险

作为采购业务的一种，信息系统建设采购也存在采购的共性风险，主要表现在以下方面：

（一）供应商资质与经验不足

由于企业可能缺少系统开发方面的专家，在系统开发的供应商选择上，不能充分评估开发供应商的能力和经验，导致出现项目开发过程中技术问题不能解决、上线后bug频现、系统运行不稳定等问题。

（二）围串标风险

例如投标使用相似的方案、IP地址相同、关联方投标、长期固定几家供应商联合投标等。

（三）舞弊风险

例如供应商与内部人员勾结，投标价格紧贴预算价格。

（四）合同风险

合同约定不清晰不完整，带来潜在的项目风险，例如合同中缺少工作说明书（SOW）,导致开发出现问题难以划分责任，难以索赔。

五、项目验收风险

系统开发上线前，要进行一系列的测试验收，验收作为系统上线前的重要环节，如果执行不到位，很可能带来系统上线后无法使用、运行不稳定等问题。

（一）文档、代码审核不到位

（二）用户UAT测试不到位

包括但不限于不进行UAT测试、开发项目组代实际用户进行测试、关键功能点测试不完整等，导致UAT测试未能真正发现系统使用中的问题。

（三）压力测试未有效执行

六、项目过程管理风险

在项目开发的过程中，面临着诸多风险，以下仅列举几个常见风险。

（一）文档管理风险

项目开发过程中会产生许多管理文档，例如立项需求说明书、工作说明书、验收标准、测试报告等等，这些文档应当完整、准确、版本明晰并恰当保存。

但实际开发过程中，经常出现文档不完整、版本混乱等问题，给整改开发过程增加不必要的管理成本，甚至带来甲乙双方责任不清晰导致纠纷等问题。

（二）代码管理风险

代码的风险主要在于代码的完整性、安全性，不同团队开发代码可能不一致。

例如，需要检验代码中可能留有后门，影响系统安全；代码交付版本与系统版本不一致，影响系统后续开发运维等等。

（三）开发环境管理风险

开发环境应独立于生产环境，各个项目应该有自己的开发环境，避免混用影响生产业务运行。但是有些企业没有独立的开发环境，或者项目之间开发环境管理混乱，导致项目开发过程中问题频出。

（四）开发团队管理风险

系统开发实施往往是内外部团队合作完成项目，项目现场是多团队共同工作，如果没有做好外部团队的入场以及现场管理，可能带来信息安全风险。此外，有些企业在项目开发中没有设置PMO，导致多团队的协同和项目执行出现问题，影响项目交付。

以上仅对信息系统项目建设可能出现的风险进行了列示，抛砖引玉，还希望更多的小伙伴与我共同探讨。

地址：西安市未央区辛王路1号邮编：710021备案号：XA12275