基于風(fēng)險導(dǎo)向的IT外包審計研究

●江蘇省南京審計學(xué)院 崔應(yīng)留 馮國富 莊玉良

基于風(fēng)險導(dǎo)向的IT外包審計研究

●江蘇省南京審計學(xué)院 崔應(yīng)留 馮國富 莊玉良

本文從風(fēng)險的角度對IT外包審計進(jìn)行了研究。通過對IT外包過程中存在風(fēng)險的分析，將其分為立項(xiàng)階段、合同簽訂、IT外包實(shí)施和IT交付與驗(yàn)收等風(fēng)險類別。在對各風(fēng)險事項(xiàng)進(jìn)行風(fēng)險評估的基礎(chǔ)上，根據(jù)風(fēng)險量化指標(biāo)和分析等級，選擇審計重點(diǎn)，確定審計方法，進(jìn)行IT外包審計，促進(jìn)IT外包風(fēng)險管控，降低IT外包風(fēng)險。

IT 外包 IT審計 風(fēng)險評估 審計事項(xiàng)

IT外包會給企業(yè)或組織帶來很大益處，可以利用承包商的先進(jìn)技術(shù)和管理方式，提高企業(yè)或組織的信息化水平和綜合實(shí)力。同時，在一定程度上也節(jié)約了成本，提高效率，增強(qiáng)自身的競爭力①。但同時IT外包也存在各種風(fēng)險，主要由于信息不對稱②，承包方往往不能深入理解發(fā)包方的具體情況和真實(shí)意圖，處于信息的劣勢狀態(tài)，而發(fā)包方也不能了解IT項(xiàng)目開發(fā)的具體過程和技術(shù)方法，導(dǎo)致IT外包存在各種風(fēng)險③④。如何有效的辨識IT外包過程中各種可能的風(fēng)險因素是進(jìn)行風(fēng)險評估和管理的前提。為了防范IT外包風(fēng)險，提高外包質(zhì)量，必須在IT外包過程中引入IT審計⑤，以便完善IT外包風(fēng)險管理制度和措施，降低IT外包風(fēng)險。基于風(fēng)險的IT外包審計流程見圖1。

一、IT外包審計計劃⑥

制定基于風(fēng)險的IT外包審計計劃，必須與審計目標(biāo)相一致?？茖W(xué)、合理的審計計劃能夠幫助審計人員有重點(diǎn)的審查和取證，形成正確的審計結(jié)論，提高審計質(zhì)量和效率，降低審計風(fēng)險?；陲L(fēng)險的IT外包審計是以風(fēng)險評估為基礎(chǔ)的審計方式。在制定相關(guān)審計計劃時，首先要對發(fā)包方的IT發(fā)展戰(zhàn)略、IT環(huán)境、IT治理、IT運(yùn)營和維護(hù)狀況、IT外包策略和IT人員結(jié)構(gòu)等進(jìn)行初步了解，然后根據(jù)審計目標(biāo)按照一定的流程制定基于風(fēng)險的IT外包審計計劃，圖2是IT外包審計計劃具體流程。

二、基于風(fēng)險的IT外包審計實(shí)施過程⑦⑧

（一）IT外包風(fēng)險分析與識別。IT外包風(fēng)險是指IT外包實(shí)施結(jié)果相對于預(yù)期結(jié)果的負(fù)偏離度，即企業(yè)或組織實(shí)施IT外包失敗的可能性。造成IT外包風(fēng)險的因素很多，也具有不確定性。IT外包風(fēng)險根據(jù)不同的標(biāo)準(zhǔn)，分類的方法也不同。本文根據(jù)IT外包涉及事項(xiàng)，將IT外包風(fēng)險分為IT外包立項(xiàng)風(fēng)險、IT外包合同風(fēng)險、IT外包過程管理風(fēng)險、IT外包項(xiàng)目交付評審和驗(yàn)收風(fēng)險，為基于風(fēng)險的IT外包審計提供基礎(chǔ)。

1.IT外包立項(xiàng)風(fēng)險。在IT外包項(xiàng)目立項(xiàng)階段，由于信息不對稱因素而存在一定風(fēng)險，包括發(fā)包方IT外包決策風(fēng)險、IT外包項(xiàng)目選擇風(fēng)險、IT外包形式風(fēng)險、IT外包項(xiàng)目成本全面估計風(fēng)險、承包商選擇風(fēng)險等。

（1）IT外包決策風(fēng)險：企業(yè)在組織架構(gòu)和業(yè)務(wù)流程上存在的問題使得企業(yè)對于自身的實(shí)際情況了解不夠深入，造成了企業(yè)內(nèi)部信息的不對稱，這往往會影響企業(yè)主管做出科學(xué)合理的IT外包決策，會給企業(yè)帶來巨大的經(jīng)濟(jì)損失。IT外包決策風(fēng)險主要來源于發(fā)包方IT外包決策與自身IT發(fā)展戰(zhàn)略的一致性、發(fā)包企業(yè)或組織自身主營業(yè)務(wù)發(fā)展?fàn)顩r對IT發(fā)展的影響、IT外包機(jī)制的建立、IT外包項(xiàng)機(jī)制的合理性、IT外包項(xiàng)目占整個IT項(xiàng)目的比例、IT技術(shù)人員和管理人員素質(zhì)等方面。

（2）IT外包項(xiàng)目選擇風(fēng)險：IT外包項(xiàng)目包括IT核心業(yè)務(wù)項(xiàng)目和非核心業(yè)務(wù)項(xiàng)目。發(fā)包方選擇將IT核心業(yè)務(wù)項(xiàng)目進(jìn)行外包，可以依賴專業(yè)承包商的先進(jìn)IT技術(shù)和管理理念，提升企業(yè)IT競爭力，同時也能節(jié)約時間和精力。但I(xiàn)T核心業(yè)務(wù)外包帶來的風(fēng)險也是嚴(yán)重的，如企業(yè)關(guān)鍵技術(shù)、關(guān)鍵信息的泄露風(fēng)險，發(fā)包方可能失去對IT核心業(yè)務(wù)的管理和控制能力風(fēng)險，即IT安全問題存在隱患等。如果企業(yè)選擇將IT非核心業(yè)務(wù)項(xiàng)目進(jìn)行外包，能夠讓企業(yè)或組織可以從初始的創(chuàng)建工作以及日后的經(jīng)營管理等瑣事中解脫出來，集中精力搞好核心業(yè)務(wù)。但發(fā)包方往往對IT非核心業(yè)務(wù)項(xiàng)目外包不夠重視，調(diào)研不準(zhǔn)確，可能導(dǎo)致重復(fù)建設(shè)、成本上升、交付推遲、質(zhì)量不高等問題，且存在與核心業(yè)務(wù)系統(tǒng)接口不匹配等風(fēng)險。

（3）IT外包方式選擇風(fēng)險分析：企業(yè)或組織根據(jù)實(shí)際情況，可能會選擇IT整體外包和IT部分外包。IT整體外包的組織形式是發(fā)包方將絕大部分提供信息服務(wù)的設(shè)備、員工和職責(zé)移交給承包商，外包的職能至少占IT預(yù)算的80%以上。整體外包形式在一定程度上能夠提升企業(yè)的競爭力，但發(fā)包方內(nèi)部的IT專業(yè)能力流失，失去對IT項(xiàng)目全面控制，也難以對承包方的職能與安排進(jìn)行控制，存在損失戰(zhàn)略信息的風(fēng)險，造成過分依賴承包商，發(fā)包方失去主動性和靈活性；另外，企業(yè)也喪失了學(xué)習(xí)新技術(shù)的機(jī)會。

（4）承包方選擇風(fēng)險：選擇承包商需要考慮其經(jīng)驗(yàn)、技術(shù)能力、財政能力、創(chuàng)新能力、可持續(xù)發(fā)展能力、企業(yè)文化以及管理思想。承包商選擇風(fēng)險表現(xiàn)在：選擇標(biāo)準(zhǔn)機(jī)制不完善，對承包商的專業(yè)人員、技術(shù)優(yōu)勢、財務(wù)狀況、綜合服務(wù)水平、信譽(yù)程度等狀況沒有進(jìn)行全面和深入評估，或者對地域特點(diǎn)、文化背景、價值觀念及管理方法上的差異缺乏充分理解，就會導(dǎo)致判斷錯誤而選擇了不合格的承包商，造成承包商選擇風(fēng)險；另外需考慮IT承包商選擇集中度的風(fēng)險。

2.IT外包合同風(fēng)險：IT外包合同管理主要涉及簽訂外包合同、執(zhí)行外包合同、更新或終止外包合同等事項(xiàng)。雙方在簽訂IT外包合同時，由于IT外包關(guān)系的自身特點(diǎn)導(dǎo)致雙方權(quán)、責(zé)、利沒有在事先界定清楚，有可能引發(fā)合同糾紛、合同提前終止等問題；在執(zhí)行合同時，由于管理不當(dāng)，造成關(guān)鍵技術(shù)人員流失、財務(wù)周轉(zhuǎn)問題，輕則會影響IT外包項(xiàng)目的進(jìn)度、質(zhì)量和成本，重則會導(dǎo)致外包失敗。同時，承包商（特別是國外公司）從降低成本、分散風(fēng)險、獲取本土實(shí)施經(jīng)驗(yàn)等方面出發(fā)，可能將項(xiàng)目分包給一個或者幾個分包商。雖然分包具有一定的優(yōu)勢，但是分包畢竟給項(xiàng)目的執(zhí)行增加了一個中間環(huán)節(jié)，如果管理不善，這個環(huán)節(jié)的存在對系統(tǒng)的建設(shè)可能造成一些潛在的不利影響。另外，當(dāng)外部環(huán)境或組織的IT戰(zhàn)略發(fā)生變化時，前期簽訂的外包合同不能適應(yīng)變換的需求，造成合同無法按照原來的計劃實(shí)施的不靈活風(fēng)險。

3.IT外包過程管理風(fēng)險：主要來源于IT外包實(shí)施階段，可從外包雙方分別分析。對于發(fā)包方來說，必須制定IT外包過程管理規(guī)范，包括對承包方人員、過程文件、技術(shù)成果、進(jìn)度安排、過程監(jiān)督等管理，與承包方建立合作的關(guān)系。這個階段如果發(fā)包方?jīng)]有完善的外包過程管理制度、沒有仔細(xì)審核承包方關(guān)于實(shí)施階段的計劃、不能很好地監(jiān)督IT外包實(shí)施過程等，必然存在嚴(yán)重的外包風(fēng)險，如生產(chǎn)成本增加、信息安全受到威脅、人員流動頻繁而使項(xiàng)目質(zhì)量受損、進(jìn)度太快導(dǎo)致質(zhì)量粗糙、進(jìn)度緩慢導(dǎo)致項(xiàng)目延期或失敗、IT項(xiàng)目流程混亂等。IT外包實(shí)施過程主要由承包方完成，可能存在制定的實(shí)施計劃不夠具體和全面的風(fēng)險、缺乏多次測試和檢驗(yàn)風(fēng)險、沒有即時提交進(jìn)度報告風(fēng)險，以及不能全面掌握發(fā)包方真實(shí)需求而產(chǎn)生理解偏差的風(fēng)險、因不可預(yù)測因素影響導(dǎo)致IT外包項(xiàng)目變更風(fēng)險等。

4.IT外包項(xiàng)目交付和驗(yàn)收風(fēng)險：項(xiàng)目結(jié)束階段主要是進(jìn)行評審驗(yàn)收，但由于驗(yàn)收程序、策略和組織不當(dāng)可能產(chǎn)生不可忽視的風(fēng)險。主要表現(xiàn)在：

（1）驗(yàn)收流程不規(guī)范風(fēng)險：IT外包項(xiàng)目驗(yàn)收應(yīng)該有相應(yīng)的規(guī)范和流程。如果企業(yè)沒有制定規(guī)范的IT外包項(xiàng)目評審和驗(yàn)收程序，責(zé)任不明確、要求不具體、驗(yàn)收通過的標(biāo)準(zhǔn)不統(tǒng)一、驗(yàn)收過程簡單等，將導(dǎo)致項(xiàng)目質(zhì)量無法保證；另外，對于一個較大的IT項(xiàng)目，如果沒有制定階段性的評審和驗(yàn)收方案，僅僅在項(xiàng)目結(jié)束階段進(jìn)行評審和驗(yàn)收，可能會出現(xiàn)項(xiàng)目偏離發(fā)包方的要求而無法整改的風(fēng)險。

（2）驗(yàn)收策略風(fēng)險：在評審和驗(yàn)收時，發(fā)包方只注重IT功能測試，而不重視完整性、可靠性等方面的測試。雖然IT滿足了發(fā)包方業(yè)務(wù)功能方面的需求，但性能較差、安全性無保證，則該IT項(xiàng)目仍然是不合格的；對于復(fù)雜、多用戶和大數(shù)據(jù)容量IT系統(tǒng)只進(jìn)行少量用戶和數(shù)據(jù)測試是無法得到完整性要求；對于可靠性測試如果不詳盡，則可能無法識別存在的漏洞；另外，還存在過短的開發(fā)周期的風(fēng)險。

（3）IT交付附后運(yùn)維風(fēng)險：對于IT系統(tǒng)，由于技術(shù)及功能復(fù)雜，系統(tǒng)日常維護(hù)環(huán)節(jié)多、難度高的風(fēng)險，如果沒有規(guī)定運(yùn)維方面的要求，同時沒有進(jìn)行可維護(hù)性測試，則IT項(xiàng)目交付后將由發(fā)包方自己進(jìn)行日常維護(hù)，難度很大，必然存在很大風(fēng)險。

（4）驗(yàn)收文檔保存風(fēng)險：IT項(xiàng)目開發(fā)文檔、技術(shù)參數(shù)、軟件說明，系統(tǒng)維護(hù)說明等文件和資料必須保存完整，以便系統(tǒng)使用、維護(hù)和升級。

綜上所述，對IT外包各個階段風(fēng)險的分析，可明確IT外包過程中存在各種風(fēng)險，表1給出具體風(fēng)險事項(xiàng)及風(fēng)險指標(biāo)。

（二）IT外包風(fēng)險估計。IT外包風(fēng)險評估是在對IT外包風(fēng)險識別的基礎(chǔ)上，對各種風(fēng)險進(jìn)行細(xì)化，特別對關(guān)鍵風(fēng)險點(diǎn)風(fēng)險程度進(jìn)行判別和估計，不同的風(fēng)險種類其評估方法可能不一樣，為了明確審計重點(diǎn)和合理制定審計計劃，需根據(jù)表1中風(fēng)險因素及關(guān)鍵風(fēng)險指標(biāo)構(gòu)建各個風(fēng)險事項(xiàng)的二維風(fēng)險矩陣，計算各個風(fēng)險因素的風(fēng)險值。

表1 IT外包風(fēng)險實(shí)現(xiàn)及關(guān)鍵指標(biāo)

表2 風(fēng)險影響程度表

其次，定義風(fēng)險發(fā)生的概率函數(shù)P(xij)，用于評估風(fēng)險發(fā)生的可能性，也分為五個層次：0—10%為極不可能發(fā)生、11%—45%為不可能發(fā)生、46%—65%為可能發(fā)生、66%—90%為很可能發(fā)生、91%—100%為極可能發(fā)生。

表3 風(fēng)險評估矩陣

（三）IT審計取證及評價

在風(fēng)險評估的基礎(chǔ)上，針對不同的風(fēng)險領(lǐng)域，采用個性化的審計程序，實(shí)現(xiàn)審計取證和評價。

首先，制定詳細(xì)的審計實(shí)施計劃，依據(jù)是IT外包風(fēng)險事項(xiàng)、關(guān)鍵風(fēng)險指標(biāo)及風(fēng)險評估值的等級，對于風(fēng)險等級為“高”的風(fēng)險事項(xiàng)給予特別關(guān)注，分配最好的審計資源，包括時間、資金和技術(shù)人員，甚至可以借助專家的力量，采用多種審計技術(shù)和測試方法進(jìn)行全面審計取證和評價，涉及所有關(guān)鍵風(fēng)險指標(biāo)；風(fēng)險等級為“中”的風(fēng)險事項(xiàng)時給予一定關(guān)注，采用適當(dāng)?shù)姆椒ê图夹g(shù)進(jìn)行審計取證和評價，特別是對風(fēng)險影響程度較大的關(guān)鍵風(fēng)險指標(biāo)進(jìn)行重點(diǎn)審計；風(fēng)險等級為“低”的風(fēng)險事項(xiàng)給予較低關(guān)注，可以采用審計抽樣的方法進(jìn)行審計取證和評價，重點(diǎn)關(guān)注較大和關(guān)鍵風(fēng)險指標(biāo)。

其次，根據(jù)不同的風(fēng)險事項(xiàng)及關(guān)鍵風(fēng)險指標(biāo)，初步給出各種審計事項(xiàng)，并在此基礎(chǔ)上給出各個風(fēng)險事項(xiàng)的審計要點(diǎn)，進(jìn)行基于風(fēng)險的IT外包審計，表4給出各個審計事項(xiàng)中的審計要點(diǎn)，以便進(jìn)一步明確審計重點(diǎn)，采用科學(xué)的審計方法，完成審計取證。

最后，審計取證完成之后，進(jìn)行審計評價，即對各個審計事項(xiàng)的風(fēng)險管理進(jìn)行審計判斷，給出評價意見，并提出合理的規(guī)避風(fēng)險的管理措施，達(dá)到加強(qiáng)風(fēng)險管理目的。

三、IT外包審計報告

在審計實(shí)施結(jié)束后，審計人員應(yīng)以充分、可靠及完善的審計證據(jù)為依據(jù)形成審計結(jié)論與建議，出具審計報告，形成審計結(jié)果。IT審計報告是對基于風(fēng)險的IT外包審計實(shí)施的最終總結(jié)，目的是讓發(fā)包方和承包方明白IT外包存在的各種風(fēng)險及產(chǎn)生重大問題所在，以便加強(qiáng)風(fēng)險管理和控制，減少因風(fēng)險事件發(fā)生而產(chǎn)生的損失。報告包含總體審計意見和個別審計意見，總體審計意見是審計的概括，一般包括基于風(fēng)險的IT外包審計目標(biāo)、對象和范圍及實(shí)施過程的總體情況、對發(fā)現(xiàn)的嚴(yán)重風(fēng)險事項(xiàng)和重大事件的敘述、及審計的綜合評價；而個別意見是對個別風(fēng)險事件的評價及發(fā)表的意見，包括個別風(fēng)險事件及其所反映的風(fēng)險控制情況、風(fēng)險事件發(fā)生而產(chǎn)生的危害及影響、審計人員給出的評價及改進(jìn)建議等。

表4 基于風(fēng)險的IT外包審計事項(xiàng)及審計要點(diǎn)

四、結(jié)論

文章從IT外包分析風(fēng)險事項(xiàng)角度識別和分析各種關(guān)鍵風(fēng)險指標(biāo)，在此基礎(chǔ)上，對各風(fēng)險實(shí)現(xiàn)進(jìn)行風(fēng)險評估，判斷風(fēng)險高低，最后根據(jù)風(fēng)險情況，列出審計要點(diǎn)，采用靈活的審計方法進(jìn)行審計取證和評價，并出具審計報告，提出審計意見。能夠給被審計單位提供風(fēng)險管控參考建議，規(guī)范被審計單位的IT活動，為其在未來的市場競爭中爭取主動創(chuàng)造條件。

1.王永慶.企業(yè)IT外包決策研究[D].吉林大學(xué)學(xué)位論文，2006年。

2.黃宜，王長偉，王艷偉.內(nèi)部信息不對稱下IT項(xiàng)目外包決策風(fēng)險測度[J].武漢理工大學(xué)學(xué)報（信息與管理工程版），2010,32（1）：126-128。

3.沈桂蘭，陳冬梅，朱英華.基于承包商視角的IT服務(wù)外包項(xiàng)目風(fēng)險因素的辨識[J].科技管理研究，2013（8）：190-193。

4.雷吉川，袁清清.基于生命周期的IT服務(wù)外包項(xiàng)目風(fēng)險控制研究[J].信息系統(tǒng)工程，2011，20（12）：70-72。

5.張瑋.軟件外包的IT審計探討[J].鄭州航空工業(yè)管理學(xué)院學(xué)報，2006，24（1）：67-70。

6.劉祥，趙慶亮.IT外包審計模式分析與研究[J].中國內(nèi)部審計，2010（9）：24-26。

7.胡尚可.風(fēng)險導(dǎo)向IT審計在通信企業(yè)中的應(yīng)用[J].中國內(nèi)部審計，2010（11）：60-62。

8.程潤.風(fēng)險導(dǎo)向?qū)徲嬙诠彩聵I(yè)單位內(nèi)部審計中的應(yīng)用研究[J].皖西學(xué)院學(xué)報，2009，25（6）：55-57。

江蘇省教育廳社科項(xiàng)目【2013SJD630036】；江蘇省公共工程審計重點(diǎn)實(shí)驗(yàn)室項(xiàng)目【20201201211】。）