以量化風險為導向的信息科技外包審計運用與實踐

莫廣周

(柳州銀行股份有限公司，廣西 柳州 545001)

一、研究背景

隨著業(yè)務水平的不斷發(fā)展，銀行業(yè)對于信息科技的依賴不斷加深，銀行業(yè)務由傳統(tǒng)的線下操作逐步向信息化過渡。為支持和保障自身業(yè)務平穩(wěn)、高效運作，大中型銀行紛紛建立和培養(yǎng)專門的信息科技團隊，但城市商業(yè)銀行由于受到資金壓力、人力資源、技術水平等因素的限制，大多數(shù)選擇了信息科技外包的道路[1]。2013年2月，銀監(jiān)會正式印發(fā)了《銀行業(yè)金融機構信息科技外包風險監(jiān)管指引》，對商業(yè)銀行信息科技外包給出了具體定義，并對商業(yè)銀行外包管理及非駐場外包管理提出了具體要求。2017年3月底至4月，銀監(jiān)會連續(xù)發(fā)聲，要求加強信息科技風險防控，完善外包管理體系，降低外包風險，不得將信息科技管理責任外包，要確保重要時期關鍵基礎設施、重要業(yè)務系統(tǒng)的安全、平穩(wěn)運行，堅決杜絕發(fā)生重大風險事件[2]。監(jiān)管部門對信息科技外包的風險越來越重視，管控也越來越嚴，提出的要求也越來越細。

研究表明，選擇信息科技外包的道路，這是一把雙刃劍。中小商業(yè)銀行在付出一定費用后可以共享外包公司專業(yè)的服務，可以將更多的精力集中于研發(fā)核心業(yè)務產(chǎn)品和改善服務，但是，這把雙刃劍也可能同時在給銀行引入新的風險，如信息泄露、數(shù)據(jù)丟失、科技創(chuàng)新水平下降、外包集中度過高等[3-4]，基于以上背景，城商行對信息科技外包風險的管理顯得尤為重要，審計部門作為風險管理第三道防線，亟需建立一套科學合理的審計評價體系，用以加強對信息科技外包風險管理的審計監(jiān)督，嚴防信息科技外包風險事件，為組織提質(zhì)增效。

二、信息科技外包審計評價體系

為確保審計結果有足夠的說服力，并能客觀充分地反映被審計對象的現(xiàn)狀，建立評價體系的基本思路為：確定總體策略，制定評價方法，建立評價標準。

(一)總體策略

根據(jù)基本思路，先確定如下總體策略：一是要明確評價標準；二是以風險為導向；三是審計人員科學合理分工；四是降低審計風險(詳情見圖1)。

圖1 審計總體策略

(二)評價方法

以監(jiān)管要求和行業(yè)最佳實踐為出發(fā)點建立風險庫，按照風險領域的不同，為存在的固有風險賦予不同的權重，其中風險領域所占權重為一級權重，風險領域中各風險點所占權重為二級權重，檢查過程中每個風險點滿分100分，根據(jù)檢查結果進行評分，檢查結果和對應分值如下：完全符合(100分)，基本符合(75分)，中(50分)，基本不符合(25分)，完全不符合(0分)。各風險領域評分結果計算公式為：

R=∑p·i1·i2， (1)

其中，p為各風險點檢查得分，i1和i2為該風險點所占的一級權重和二級權重，審計最終評價得分為各風險領域得分的總和，即W=∑Rn。

(三)評價依據(jù)

得出評分結果后，還需要對評分結果進行定性評價，設定如下評價依據(jù)：

優(yōu)：R≥90分，

良：75分≤R<90分，

中：60分≤R<75分，

差：R<60分。

基于以上定性和定量相結合的評價方法論，現(xiàn)以信息科技外包風險審計為例，闡述如何為組織提質(zhì)增效。

三、運用與實踐

(一)風險識別

以監(jiān)管要求和行業(yè)最佳實踐為出發(fā)點，結合某城商行信息科技外包現(xiàn)狀，識別潛在風險，建立信息科技外包風險庫，梳理出5個領域共26個固有風險點，按照領域的不同，為各風險點設定一級權重和二級權重具體如表1、表2所示：

表1 固有風險點分布情況

表2 信息科技外包風險庫及權重分布

(二)風險評估

根據(jù)審計風險=固有風險×控制風險×檢查風險，對固有風險、控制風險、檢查風險分別進行評估。

1.固有風險評估。固有風險是指沒有采取任何措施來改變風險的可能性或影響的情況下所面臨的風險。根據(jù)圖2所示標準對梳理出的固有風險點等級進行評估。

圖2 固有風險等級評定標準

對于影響程度，根據(jù)該行信息科技外包實際情況,從客戶服務的影響范圍、聲譽影響的大小以及法律或者監(jiān)管影響的嚴重程度3個維度進行綜合評估，將影響程度劃分為高、中、低3個等級。

根據(jù)上述標準，對固有風險點的評估結果為高風險7個，中風險13個，低風險6個。

2.控制風險評估?？刂朴行允侵缚梢酝ㄟ^內(nèi)部控制結構、政策或程序及時預防和控制風險。接下來對信息科技外包風險管理的關鍵控制節(jié)點實施控制測試，并根據(jù)圖3所示標準對控制有效性進行評估：

圖3 控制有效性綜合評定標準

發(fā)生頻率評定標準如表3所示：

表3 發(fā)生頻率評定標準

控制設計評估標準如表4所示：

表4 控制設計評估標準

控制執(zhí)行評估標準如下表5所示：

表5 控制執(zhí)行評估標準

3.檢查風險評估。為將審計風險控制在可接受的范圍內(nèi)，需對檢查風險進行評估，并采取相關風險應對措施，見表6：

表6 檢查風險及應對措施

(三)確定審計重點

根據(jù)風險評估結果，繪制剩余風險分布圖(見圖4)，并將剩余風險為“中”以上的項目列為審計重點，一共包括12項，如未建立清晰完整的信息科技外包管理組織架構、未制定招投標相關制度等。

圖4 剩余風險分布圖

(四)審計方法

1.外包風險管理組織架構的完整性

(1)調(diào)閱相關制度文件，查看是否建立了信息科技外包風險管理組織架構，是否明確信息科技外包風險管理的主管部門，是否明確各方職責。

(2)對分管信息科技的高管人員進行訪談，了解其與信息科技相關的從業(yè)背景以及對信息科技外包的認識，并查閱董事會、高管層履行信息科技外包風險管理職責的相關記錄，如議事規(guī)則、會議紀要或者對于外包重大事項的審批流程等。

(3)調(diào)閱部門職責和崗位說明，確定行內(nèi)是否建立了信息科技外包管理執(zhí)行團隊，并配備足夠人員，要求其提供相關材料證明履行以下職責：實施信息科技外包戰(zhàn)略；制定并執(zhí)行信息科技外包管理制度與流程；執(zhí)行供應商準入、評價、退出管理，建立并維護供應商關系管理策略；制定保障外包服務持續(xù)性的應急管理方案，并組織實施定期演練；對外包過程中的各項管理活動進行監(jiān)控及分析，定期向信息科技及外包風險管理的主管部門報告外包活動情況等。

2.外包風險總體控制的有效性

(1)調(diào)閱相關文件，確認是否制定了信息科技外包戰(zhàn)略，包括：不能外包的職能、資源能力建設方案、供應商關系管理策略和外包分級管理策略等，是否明確了信息科技外包的定義、范圍、目標和原則等。

(2)抽取部分員工進行訪談，觀察其對外包風險的認知程度，以及行內(nèi)對于相關策略、制度的宣貫程度。

(3)調(diào)閱風險管理部開展全面外包風險管理評估的相關記錄，確認其是否保持相對獨立性，并獲取其向高管人員提交評估報告的記錄以及高管人員的批示。

(4)調(diào)閱信息科技外包相關制度，并抽取重要環(huán)節(jié)進行測試，確認是否得到有效執(zhí)行。

(5)對已發(fā)生的重要風險事件進行再評估，以確認信息科技部等部門應對風險所采取措施的合理性、及時性。

3.對外包商管理的有效性

(1)厘清信息科技外包活動流程的各個環(huán)節(jié)，識別風險主要集中存在的環(huán)節(jié)。

(2)調(diào)閱外包發(fā)起部門對于供應商的盡職調(diào)查報告，確認以下方面內(nèi)容：一是相關審批手續(xù)是否完備，是否在發(fā)起外包前做過可行性分析，是否闡明必須外包的原因；二是盡職調(diào)查是否建立在現(xiàn)場調(diào)研、分析的基礎上，并有多個職能部門的參與，如財務、法規(guī)、后勤、紀檢等；三是是否對服務商的評價進行量化。

(3)查看相關文件或IT系統(tǒng)，了解發(fā)起部門對于外包商的監(jiān)控是否合理及時，并查閱外包項目任務的跟蹤手段，了解異常處理機制，抽取部分流程進行穿行測試，確認控制點是否有效。

(4)調(diào)閱外包項目招投標、后評價等相關制度要求及執(zhí)行情況。

(5)調(diào)閱信息安全培訓記錄、機房進出記錄、變更申請記錄、巡檢記錄、保密協(xié)議等，確認外包日常管理的有效性。

(6)調(diào)閱對外包人員的監(jiān)控和考核記錄。

4.外包集中度和外包依賴性

(1)調(diào)閱外包合同清單，抽取樣本進行數(shù)據(jù)分析，分別從簽訂筆數(shù)和金額角度進行統(tǒng)計，以確認是否存在外包集中度過高的情況。如存在，訪談相關負責人是否針對集中度過高的外包商進行重點監(jiān)控，并獲取相關證據(jù)，證明其內(nèi)部控制和管理能力、持續(xù)運營能力等。

(2)對于外包依賴性的問題，了解關鍵崗位的配備情況、核心系統(tǒng)運維團隊的技能配備，查看IT項目管理系統(tǒng)，確認實現(xiàn)對開發(fā)項目進度的集中管理等。

5.合同管理

(1)調(diào)閱信息科技外包項目合同，核實合同在雙方的權利、義務、安全、保密、知識產(chǎn)權方面有否明確的界定，是否包含服務外包的期限、中止的條件和善后處理的事宜以及服務外包商應承擔的責任等內(nèi)容。

(2)確認外包合同審批流程的合規(guī)性。

(3)查看外包合同，確認是否明確轉包和變相轉包相應條款，是否包含明確的定性、定量績效指標。

(五)審計評價

根據(jù)評價細則，“信息科技外包管理組織架構”領域共包含4個檢查要點(見表7)，則該領域得分為：75×15%×30%+100×15%×25%+100×15%×25%+50×15%×20%=12.375分。

表7 檢查評價表

同理，將5大領域評分結果進行匯總得到：

12.375+16.000+33.188+7.000+8.500=77.063分

因此本次審計評價結果為“良”，為便于決策者和被審計單位直觀地了解各領域得分情況，設計如下雷達圖(圖5)，各領域深色區(qū)域越靠近外部頂點，則說明該領域控制措施越有效：

圖5 各領域評分雷達圖

(六)結果與成效

本次審計在改善該行信息科技外包風險管理、加強內(nèi)部控制方面取得了良好的成效。

1.提升高管意識，推動策略調(diào)整。在出具正式的審計結果之前，審計組對分管信息科技的高管人員進行了訪談。該高管具有多年的信息科技相關從業(yè)背景，對于信息科技外包也有非常深刻的理解。在聽取了審計組對于重大問題的匯報之后，該高管闡述了對于今后的信息科技外包工作的若干想法和改進方向。

2.促進內(nèi)控建設，完善制度流程。被審計單位在接到正式審計報告之后，相繼制定了信息科技外包管理辦法、信息科技項目管理辦法等，并對原有的招投標等制度進行了修訂，董事會辦公室也對相關的專門委員會議事規(guī)則進行了補充和完善。

3.警示外包風險，督促加強管理。信息科技部在整改計劃中提到，將進一步加強對外包服務人員的管理，重新梳理信息科技外包相關管理規(guī)范，嚴格執(zhí)行數(shù)據(jù)中心機房審批制度，重申“必需知道”和“最小授權”兩大原則，加強信息安全管理，確保信息科技外包日常工作安全平穩(wěn)運作。

4.量化審計結果，提升認可水平。被審計單位往往對簡單定性結果不能做到心服口服，本次評價體系的評分量化為審計組和被審計單位之間確定了透明化的評價標準，哪些檢查點存在不足以及不足的程度如何，讓被審計單位能夠充分知曉和接受，提升了審計部門的權威性。

四、啟示與總結

以量化風險為導向的審計評價體系，為審計部門提供了較為合理可行的評價標準，審計部門以該體系為方法論開展信息科技外包風險審計，取得了預期的成效，為組織提質(zhì)增效。同時，本次研究也得到了如下啟示：一是由于信息科技領域專業(yè)性較強，內(nèi)審部門應注重IT審計人才的儲備，必要時引進外部專家協(xié)助工作，以保證該項目審計人員的專業(yè)勝任能力，切實履行內(nèi)部審計的監(jiān)督職能。二是信息科技風險往往具有隱蔽性和突發(fā)性，因此切不可將信息科技風險局限于事后審計，審計人員應適時投身于信息科技重大事項當中，充分發(fā)揮事前和事中的監(jiān)督職能，提出合理化建議，有助于信息科技風險防患于未然。三是審計組在實施完審計工作之后，可以將在審計過程中使用的信息科技外包風險庫、風險評定等級標準等風險評估工具交付給被審計單位，促使其明確管理標準，在日常管理中通過自我評估達到持續(xù)完善信息科技外包風險管理水平的目的。