全国内部审计数智化转型发展研究报告 （2025） 中国内部审计协会 中国信息通信研究院 2025 年 12 月 目 录 前言.................................................................................................................................... .......................1 第一章 内部审计数智化转型背景与调研目的.................................................................................1 一、 转型背景：政策、技术与需求驱动下的必然选择............................................... .........1 (一) 政策指引：指明内部审计数智化转型的发展方向.....................................................1 (二) 技术赋能：内部审计新质生产力的实现路径.............................................................. 2 (三) 需求主导：国家治理体系和治理能力现代化的迫切需求

历史数据保存周期长，可追溯历史事件，协助公安破取连环案 u 实质性： • 产品质量有保障且形式多样，个体 + 群体 + 定制解决方案丰富，有满足公安实战业务 的模 型，不单单是简单的查询，满足公安多警种的需求 u 安全性：授权审计体系完善，和公安内部 PKI 系统对接，安全有保障 u 实用性： • 运营商数据价值高，定位到人，是公安迫切需要的 • 全国数据集中，可在公安界提供连续的追逃服务，公安内部技侦部门目前不能做到 跨区域能力 • 围栏灵活定义和覆盖能力 • 信令理解、解析和应用能 力 实时 实质 安全 实用 产品优势 2 应用 场景 标准 接口 统一授权接口 统一应用接口 统一审计接口 》应用场景丰富 热点识别 治安管理 电子围栏 社区警务 嫌犯追踪 人流监测 轨迹监测 趋势分析 涉黄赌毒 电信诈骗 社区矫正 人口管理 防恐防暴 非法聚集 经济诈骗 系统 中国联通 IT 和 网络 审计系统 数据处理体系 PKI 授权体系 审计服务平台 系统 LOG 系 统 授权系统 > 应用接 口 > 审计接 口 研判 / 大数 据 应用系统 认证 接口 应用接口 认证接口 数据接口 数据接口 审计接口 PKI 公钥、情报、综合研判、指挥 授权 服务 双方的操作日志稽核 审计 公安部门 联通省公司 大数据公司

规 范。负责全校的弱电系统、信息化基础平台的建设、运行、管理，和全校网络、信息 化系统、日常办公设备的运维工作。负责全校信息化系统规划、建设、运行。负责信 息安全技术保障，包括安全规划、授权、审计、防护、备份、服务备案等，与信息安 全主管部门及机构沟通。 3．国内高校-深圳北理莫斯科大学 北理莫斯科校园整体分为三个区域：行政教学区域（包括前广场建筑群、中心广 场建筑群）、生活运动区和山水景观区。用地面积约 无线网络提升 物联网专网建设与融合 2 智能数据中心系统 服务及存储系统 3 信息安全系统 出口网络安全及 IT 机房网络安全： 包括上网行为、WAF、防火墙、IPS、DDoS 防 护、终端审计、防病毒、漏洞扫描等安全设备 及系统。 4 智能数据中心机房工 程 模块化机房建设 5 汇聚机房动力环境监 控 数据中心环境监控及管理系统 （四） 校园智慧化环境建设 1 校园校区基础设施智 数据服务：数据建模、主题数据库等； 4、 物联网服务； 5、 地理位置信息呈现； 6、 基于位置的服务能力； 7、 统一服务门户：服务接入管理、运行监控； 8、 身份能力：访问控制、身份管理、统一授权、安全审计； 41 XX 大学智慧校园项目规划方案 9、 流程管理； 10、 消息推送能力：多终端； 11、 应用集成能力； 智慧校园管理服务平台作为校园数字化运营的统一融合平台，打通校园各个垂直

实现预算数据的共享，保证预算数据的可追溯性和充分再利用；  能够及时的把握企业业务执行情况与预算的差异，实现与实际 业务的适时匹比，为企业运营提供有效的决策依据和建议；  能够实现对业务活动、数据安全性的跟踪与审计，完全满足企 业内控的要求；  能够实现对预算数据的积累，在改进的过程中保持对历史方案 与经验的有效连续和继承，实现预算管理的动态循环。 多视角分析的预算管理模式  能够从多个维度进行企业预算管理和分析； 集团内控管理现状， 通过信息上传下达、风险收集、风险评价、整改与反馈等功能， 实现全面风险管理工作的系统化、规范化、标准化，以及对风险 的事前防范、事中控制和事后监督改进的全过程管理；  并可辅助内部审计工作的开展。 风险与内控管理系统 门户 信息发布 资料上传 风险收集 风险评估结果 评价整改与反馈 文档中心 风险管理 风险识别管理 风险评估管理 风险数据库管理 风险解决方案管 理 风险识别管理 风险评估管理 风险数据库管理 缺陷分析管理 内控评价 工作底稿 自我测试 管理层测试 缺陷管理 评价报告 统计分析 预警 风险设置 指标设置 预警方案 预警报告 审计项目管理 辅助审计 风险与内控管理系统主要应包括下列功能（一）  门户  信息发布 集团内控手册、风险更新、案例等信息的发布  资料上传 各级企业内控手册、评价报告的上传  风险收集

异常数据自动触发三级告警机制：一级告警（临时性画质下 降）启动自清洁程序；二级告警（持续性参数超标）切换备用设 备；三级告警（硬件故障）触发人工检修流程。所有质量参数实时 写入区块链存证系统，确保审计溯源的不可篡改性。 3.2 目标检测与特征提取 目标检测与特征提取是视频智能识别系统的核心模块，通过计 算机视觉技术实现对视频中特定目标的定位、分类及特征编码。系 统采用 YOLOv5s 作为基础检测框架，在保持实时性（处理速度 过引入 联邦学习技术，在保障数据隐私前提下，实现不同辖区间的经验模 型共享。实际运行数据显示，试点区域重复报警率下降 28%，公众 安全感测评得分提升 15.6 个百分点。所有操作留痕可追溯，审计 日志保存期限严格符合《公安机关信息安全管理规定》要求。 4.1 群众线索上报模块 群众线索上报模块是警民协同治理平台的核心功能入口，通过 移动端应用和 Web 端双渠道实现公众安全事件的快速提报。该模 系统部署采用双活架构，主数据中心与灾备中心实时同 步，RPO ≤15 秒，RTO 5 ≤ 分钟。安全防护满足等保 2.0 三级要 求，具备防 SQL 注入、CC 攻击等 16 类安全防护能力，日志审计 留存周期不少于 180 天。 4.2.1 智能分派规则 智能分派规则是警务工单处理系统的核心功能模块，通过多维 度数据分析与预设策略实现工单的自动化精准分配。系统采用规则 引擎与机器学习

。 * 组织架构：公司下设项目管理办公室（PMO）、技术研发中心、财务审计部、安全合 规部及运维保障部。现有员工 120 余人，其中具备高级系统架构师、高级信息系统项目管 理师（高项）职称的人员占比超过 15%。 2. 财务状况与投融资能力 建设单位财务状况稳健，具备极强的资金募集与项目管控能力。根据近三年经审计的财务 报告显示： * 资产规模：截至 2024 年底，总资产规模达到 * 效益指标：单位面积化肥使用量减幅（≥10%）、农业生产效率提升率（≥15%）。 * 满意度指标：农户及新型农业经营主体满意度（≥90%）。 4. 资金合规性检查清单： 为应对后续的审计与专项检查，本项目在设计阶段即建立了合规性对照表： 序号 合规性维度 引用法规/要求 本项目落实措施 1 资金用途 财农〔2023〕11 号 100%用于农业信息 化基础设施及软件 平台建设 2 《中华人民共和国 政府采购法》 采用公开招标方 式，严格执行政采 云平台流程 3 资产归属 《行政事业单位资 产管理条例》 建立资产台账，明 确建设单位与运维 单位移交边界 4 审计追踪 《审计法》及其实 施条例 系统内置财务审计 模块，实现资金流 与工程进度流匹配 5 绩效评价 《第三方绩效评价 业务规范》 预留数据接口，支 持第三方机构实时 提取绩效指标 5. 信息化项目建设管理办法：

安全技术措施 安全运行 终端 应用 系统 网络 物理 身份认证 访问控制 内容安全 监控审计 备份恢复 数字证书 CA 生物特征 用户名密码 终端控制软件的访问控制 操作系统访问控制 恶意代码防范 终端加密 终端数据防泄漏 软件资产管理 (SAM) 桌面监控审计 终端数据备份 终端系统备份 数字证书 CA 用户名密码 RSA 双因素 统一身份及授权管理 应用系统的授权管理 加密技术 (SSL\PKI) WEB 防护技术 数据库安全审计 源代码安全控制 应用系统日志监控 应用程序 备份恢复 数据库 备份恢复 数字证书 CA 用户名密码 RSA 双因素 操作系统的安全特性 系统安全内容的访问控制 主机恶意代码防范 文件加密技术 主机入侵防护 HIPS 主机漏洞扫描 系统安全审计 主机入侵检测 系统安全加固 本地数据 与日志备份 远程数据 过程质量异常通知 过程抽检清单 批量监控抽检清单 过程检查记录 批量监控抽检记录 过程检查缺陷记录 监控检查缺陷记录 终检检查结果 产品下线反馈 终检检查记录 终检缺陷记录 产品评审计划 产品评审问题记录 产品评审报告 过程审核计划 过程审核问题记录 过程审核报告 售后问题反馈 现生产问题反馈 质量问题跟踪记录 质量问题记录 围堵控制通知 围堵控制点记录 问题初步调查报告

应进行加密处理，并采用分布式存储架构，将数据分散存储在多个 物理位置，以降低单点故障的风险。对于敏感数据，可以采用零知 识证明技术，确保即使存储服务器被攻破，攻击者也无法获取有效 信息。此外，应定期对存储系统进行安全审计，检测潜在的安全漏 洞并及时修复。 为了应对网络攻击和数据泄露的风险，系统应部署多层次的安 全防护机制。例如，在网络边界部署防火墙和入侵检测系统 （IDS），实时监控网络流量并阻断异常行为。同时，系统应具备 制。包括但不限于：  每季度对无人机硬件进行全面检查和维护，确保设备处于最佳 状态。  每月对 AI 识别算法进行性能评估，根据评估结果进行必要的 调整和优化。  每半年对系统进行一次全面的安全审计，确保数据安全和系统 稳定性。 通过上述措施，确保低空无人机消防部署 AI 识别项目在实际 应用中能够发挥最大效能，为火灾预防和应急响应提供强有力的技 术支持。 4.2 时间表 项目的时 据可能包含敏感信息，如火灾现场的实时图像和视频。为保障数据 安全，项目团队应采用加密传输技术，确保数据在传输过程中不被 窃取或篡改。同时，建立严格的数据访问权限管理制度，仅授权人 员可以访问和处理相关数据。此外，定期进行数据安全审计，及时 发现并修复潜在的安全漏洞。 最后，法律与合规风险也需要引起重视。无人机在城市空域的 飞行可能受到相关法律法规的限制，特别是在火灾等紧急情况下， 飞行许可的获取可能面临时间压力。为此，项目团队应与当地政府

设备安 全 灾难备份系统 领域 技术方面 物理方面 组织方面 计算机 网 络 软件 数据 审计 安 全 审计、安 全 漏洞检 查 信息保护 ( 机密性和完整性 ) 可用性保证 容灾业务持续性保证 安 全 组织架构 安 全 意 识 安 全操 质量 管理 在途 数据共享和交换平台 经 营 管 理 数 据 非 结 构 化 数 据 综合管理 审计管理 思 政宜 教 纪 检监 察 国际合作 法律事务 生 产 运 行 施工计划 管理 运行管理 运行分析 环保管理 专业系 统 工程实时 信息采集 施工信息采集

5 、数据服务 统计类服务集 分析类服务集 定制类服务集 2 、数据管控 非结构化数据（全息信息库） 数据沙盘（ Sand Box ） 4 、 数 据 挖 掘 数据质量 数据安全 日志审计 数据标准 生命周期 数据等级 检索类服务集 数据发布 / 订阅 互联网数据 银行数据 政务数据 历史 数据 实时 数据 原始数据 结果数据 全 局 索 敏感信息加密 链路安全 访问控制、权限管理 数据加密 备份恢复 分类识别 责任人、权限 数据生命周期 数据使用 靠的数据保障。 销毁净 加密传 授权用 数据创建 合规进 保险存 审计出 数据存储 数据存档 数据传输 数据共享 …… 警务大数据应用服务 应用服务（第三方提供商） 警务大数据平台能够向上层应用提供快速、可靠、开放的数据智能分析接口 ， 使警务指 挥调