基于风险导向的IT外包审计研究

●江苏省南京审计学院 崔应留 冯国富 庄玉良

基于风险导向的IT外包审计研究

●江苏省南京审计学院 崔应留 冯国富 庄玉良

本文从风险的角度对IT外包审计进行了研究。通过对IT外包过程中存在风险的分析，将其分为立项阶段、合同签订、IT外包实施和IT交付与验收等风险类别。在对各风险事项进行风险评估的基础上，根据风险量化指标和分析等级，选择审计重点，确定审计方法，进行IT外包审计，促进IT外包风险管控，降低IT外包风险。

IT 外包 IT审计 风险评估 审计事项

IT外包会给企业或组织带来很大益处，可以利用承包商的先进技术和管理方式，提高企业或组织的信息化水平和综合实力。同时，在一定程度上也节约了成本，提高效率，增强自身的竞争力①。但同时IT外包也存在各种风险，主要由于信息不对称②，承包方往往不能深入理解发包方的具体情况和真实意图，处于信息的劣势状态，而发包方也不能了解IT项目开发的具体过程和技术方法，导致IT外包存在各种风险③④。如何有效的辨识IT外包过程中各种可能的风险因素是进行风险评估和管理的前提。为了防范IT外包风险，提高外包质量，必须在IT外包过程中引入IT审计⑤，以便完善IT外包风险管理制度和措施，降低IT外包风险。基于风险的IT外包审计流程见图1。

一、IT外包审计计划⑥

制定基于风险的IT外包审计计划，必须与审计目标相一致。科学、合理的审计计划能够帮助审计人员有重点的审查和取证，形成正确的审计结论，提高审计质量和效率，降低审计风险。基于风险的IT外包审计是以风险评估为基础的审计方式。在制定相关审计计划时，首先要对发包方的IT发展战略、IT环境、IT治理、IT运营和维护状况、IT外包策略和IT人员结构等进行初步了解，然后根据审计目标按照一定的流程制定基于风险的IT外包审计计划，图2是IT外包审计计划具体流程。

二、基于风险的IT外包审计实施过程⑦⑧

（一）IT外包风险分析与识别。IT外包风险是指IT外包实施结果相对于预期结果的负偏离度，即企业或组织实施IT外包失败的可能性。造成IT外包风险的因素很多，也具有不确定性。IT外包风险根据不同的标准，分类的方法也不同。本文根据IT外包涉及事项，将IT外包风险分为IT外包立项风险、IT外包合同风险、IT外包过程管理风险、IT外包项目交付评审和验收风险，为基于风险的IT外包审计提供基础。

1.IT外包立项风险。在IT外包项目立项阶段，由于信息不对称因素而存在一定风险，包括发包方IT外包决策风险、IT外包项目选择风险、IT外包形式风险、IT外包项目成本全面估计风险、承包商选择风险等。

（1）IT外包决策风险：企业在组织架构和业务流程上存在的问题使得企业对于自身的实际情况了解不够深入，造成了企业内部信息的不对称，这往往会影响企业主管做出科学合理的IT外包决策，会给企业带来巨大的经济损失。IT外包决策风险主要来源于发包方IT外包决策与自身IT发展战略的一致性、发包企业或组织自身主营业务发展状况对IT发展的影响、IT外包机制的建立、IT外包项机制的合理性、IT外包项目占整个IT项目的比例、IT技术人员和管理人员素质等方面。

（2）IT外包项目选择风险：IT外包项目包括IT核心业务项目和非核心业务项目。发包方选择将IT核心业务项目进行外包，可以依赖专业承包商的先进IT技术和管理理念，提升企业IT竞争力，同时也能节约时间和精力。但IT核心业务外包带来的风险也是严重的，如企业关键技术、关键信息的泄露风险，发包方可能失去对IT核心业务的管理和控制能力风险，即IT安全问题存在隐患等。如果企业选择将IT非核心业务项目进行外包，能够让企业或组织可以从初始的创建工作以及日后的经营管理等琐事中解脱出来，集中精力搞好核心业务。但发包方往往对IT非核心业务项目外包不够重视，调研不准确，可能导致重复建设、成本上升、交付推迟、质量不高等问题，且存在与核心业务系统接口不匹配等风险。

（3）IT外包方式选择风险分析：企业或组织根据实际情况，可能会选择IT整体外包和IT部分外包。IT整体外包的组织形式是发包方将绝大部分提供信息服务的设备、员工和职责移交给承包商，外包的职能至少占IT预算的80%以上。整体外包形式在一定程度上能够提升企业的竞争力，但发包方内部的IT专业能力流失，失去对IT项目全面控制，也难以对承包方的职能与安排进行控制，存在损失战略信息的风险，造成过分依赖承包商，发包方失去主动性和灵活性；另外，企业也丧失了学习新技术的机会。

（4）承包方选择风险：选择承包商需要考虑其经验、技术能力、财政能力、创新能力、可持续发展能力、企业文化以及管理思想。承包商选择风险表现在：选择标准机制不完善，对承包商的专业人员、技术优势、财务状况、综合服务水平、信誉程度等状况没有进行全面和深入评估，或者对地域特点、文化背景、价值观念及管理方法上的差异缺乏充分理解，就会导致判断错误而选择了不合格的承包商，造成承包商选择风险；另外需考虑IT承包商选择集中度的风险。

2.IT外包合同风险：IT外包合同管理主要涉及签订外包合同、执行外包合同、更新或终止外包合同等事项。双方在签订IT外包合同时，由于IT外包关系的自身特点导致双方权、责、利没有在事先界定清楚，有可能引发合同纠纷、合同提前终止等问题；在执行合同时，由于管理不当，造成关键技术人员流失、财务周转问题，轻则会影响IT外包项目的进度、质量和成本，重则会导致外包失败。同时，承包商（特别是国外公司）从降低成本、分散风险、获取本土实施经验等方面出发，可能将项目分包给一个或者几个分包商。虽然分包具有一定的优势，但是分包毕竟给项目的执行增加了一个中间环节，如果管理不善，这个环节的存在对系统的建设可能造成一些潜在的不利影响。另外，当外部环境或组织的IT战略发生变化时，前期签订的外包合同不能适应变换的需求，造成合同无法按照原来的计划实施的不灵活风险。

3.IT外包过程管理风险：主要来源于IT外包实施阶段，可从外包双方分别分析。对于发包方来说，必须制定IT外包过程管理规范，包括对承包方人员、过程文件、技术成果、进度安排、过程监督等管理，与承包方建立合作的关系。这个阶段如果发包方没有完善的外包过程管理制度、没有仔细审核承包方关于实施阶段的计划、不能很好地监督IT外包实施过程等，必然存在严重的外包风险，如生产成本增加、信息安全受到威胁、人员流动频繁而使项目质量受损、进度太快导致质量粗糙、进度缓慢导致项目延期或失败、IT项目流程混乱等。IT外包实施过程主要由承包方完成，可能存在制定的实施计划不够具体和全面的风险、缺乏多次测试和检验风险、没有即时提交进度报告风险，以及不能全面掌握发包方真实需求而产生理解偏差的风险、因不可预测因素影响导致IT外包项目变更风险等。

4.IT外包项目交付和验收风险：项目结束阶段主要是进行评审验收，但由于验收程序、策略和组织不当可能产生不可忽视的风险。主要表现在：

（1）验收流程不规范风险：IT外包项目验收应该有相应的规范和流程。如果企业没有制定规范的IT外包项目评审和验收程序，责任不明确、要求不具体、验收通过的标准不统一、验收过程简单等，将导致项目质量无法保证；另外，对于一个较大的IT项目，如果没有制定阶段性的评审和验收方案，仅仅在项目结束阶段进行评审和验收，可能会出现项目偏离发包方的要求而无法整改的风险。

（2）验收策略风险：在评审和验收时，发包方只注重IT功能测试，而不重视完整性、可靠性等方面的测试。虽然IT满足了发包方业务功能方面的需求，但性能较差、安全性无保证，则该IT项目仍然是不合格的；对于复杂、多用户和大数据容量IT系统只进行少量用户和数据测试是无法得到完整性要求；对于可靠性测试如果不详尽，则可能无法识别存在的漏洞；另外，还存在过短的开发周期的风险。

（3）IT交付附后运维风险：对于IT系统，由于技术及功能复杂，系统日常维护环节多、难度高的风险，如果没有规定运维方面的要求，同时没有进行可维护性测试，则IT项目交付后将由发包方自己进行日常维护，难度很大，必然存在很大风险。

（4）验收文档保存风险：IT项目开发文档、技术参数、软件说明，系统维护说明等文件和资料必须保存完整，以便系统使用、维护和升级。

综上所述，对IT外包各个阶段风险的分析，可明确IT外包过程中存在各种风险，表1给出具体风险事项及风险指标。

（二）IT外包风险估计。IT外包风险评估是在对IT外包风险识别的基础上，对各种风险进行细化，特别对关键风险点风险程度进行判别和估计，不同的风险种类其评估方法可能不一样，为了明确审计重点和合理制定审计计划，需根据表1中风险因素及关键风险指标构建各个风险事项的二维风险矩阵，计算各个风险因素的风险值。

表1 IT外包风险实现及关键指标

表2 风险影响程度表

其次，定义风险发生的概率函数P(xij)，用于评估风险发生的可能性，也分为五个层次：0—10%为极不可能发生、11%—45%为不可能发生、46%—65%为可能发生、66%—90%为很可能发生、91%—100%为极可能发生。

表3 风险评估矩阵

（三）IT审计取证及评价

在风险评估的基础上，针对不同的风险领域，采用个性化的审计程序，实现审计取证和评价。

首先，制定详细的审计实施计划，依据是IT外包风险事项、关键风险指标及风险评估值的等级，对于风险等级为“高”的风险事项给予特别关注，分配最好的审计资源，包括时间、资金和技术人员，甚至可以借助专家的力量，采用多种审计技术和测试方法进行全面审计取证和评价，涉及所有关键风险指标；风险等级为“中”的风险事项时给予一定关注，采用适当的方法和技术进行审计取证和评价，特别是对风险影响程度较大的关键风险指标进行重点审计；风险等级为“低”的风险事项给予较低关注，可以采用审计抽样的方法进行审计取证和评价，重点关注较大和关键风险指标。

其次，根据不同的风险事项及关键风险指标，初步给出各种审计事项，并在此基础上给出各个风险事项的审计要点，进行基于风险的IT外包审计，表4给出各个审计事项中的审计要点，以便进一步明确审计重点，采用科学的审计方法，完成审计取证。

最后，审计取证完成之后，进行审计评价，即对各个审计事项的风险管理进行审计判断，给出评价意见，并提出合理的规避风险的管理措施，达到加强风险管理目的。

三、IT外包审计报告

在审计实施结束后，审计人员应以充分、可靠及完善的审计证据为依据形成审计结论与建议，出具审计报告，形成审计结果。IT审计报告是对基于风险的IT外包审计实施的最终总结，目的是让发包方和承包方明白IT外包存在的各种风险及产生重大问题所在，以便加强风险管理和控制，减少因风险事件发生而产生的损失。报告包含总体审计意见和个别审计意见，总体审计意见是审计的概括，一般包括基于风险的IT外包审计目标、对象和范围及实施过程的总体情况、对发现的严重风险事项和重大事件的叙述、及审计的综合评价；而个别意见是对个别风险事件的评价及发表的意见，包括个别风险事件及其所反映的风险控制情况、风险事件发生而产生的危害及影响、审计人员给出的评价及改进建议等。

表4 基于风险的IT外包审计事项及审计要点

四、结论

文章从IT外包分析风险事项角度识别和分析各种关键风险指标，在此基础上，对各风险实现进行风险评估，判断风险高低，最后根据风险情况，列出审计要点，采用灵活的审计方法进行审计取证和评价，并出具审计报告，提出审计意见。能够给被审计单位提供风险管控参考建议，规范被审计单位的IT活动，为其在未来的市场竞争中争取主动创造条件。

1.王永庆.企业IT外包决策研究[D].吉林大学学位论文，2006年。

2.黄宜，王长伟，王艳伟.内部信息不对称下IT项目外包决策风险测度[J].武汉理工大学学报（信息与管理工程版），2010,32（1）：126-128。

3.沈桂兰，陈冬梅，朱英华.基于承包商视角的IT服务外包项目风险因素的辨识[J].科技管理研究，2013（8）：190-193。

4.雷吉川，袁清清.基于生命周期的IT服务外包项目风险控制研究[J].信息系统工程，2011，20（12）：70-72。

5.张玮.软件外包的IT审计探讨[J].郑州航空工业管理学院学报，2006，24（1）：67-70。

6.刘祥，赵庆亮.IT外包审计模式分析与研究[J].中国内部审计，2010（9）：24-26。

7.胡尚可.风险导向IT审计在通信企业中的应用[J].中国内部审计，2010（11）：60-62。

8.程润.风险导向审计在公共事业单位内部审计中的应用研究[J].皖西学院学报，2009，25（6）：55-57。

江苏省教育厅社科项目【2013SJD630036】；江苏省公共工程审计重点实验室项目【20201201211】。）