基于風險導向的IT外包審計研究

●江蘇省南京審計學院 崔應留 馮國富 莊玉良

基于風險導向的IT外包審計研究

●江蘇省南京審計學院 崔應留 馮國富 莊玉良

本文從風險的角度對IT外包審計進行了研究。通過對IT外包過程中存在風險的分析，將其分為立項階段、合同簽訂、IT外包實施和IT交付與驗收等風險類別。在對各風險事項進行風險評估的基礎上，根據風險量化指標和分析等級，選擇審計重點，確定審計方法，進行IT外包審計，促進IT外包風險管控，降低IT外包風險。

IT 外包 IT審計 風險評估 審計事項

IT外包會給企業或組織帶來很大益處，可以利用承包商的先進技術和管理方式，提高企業或組織的信息化水平和綜合實力。同時，在一定程度上也節約了成本，提高效率，增強自身的競爭力①。但同時IT外包也存在各種風險，主要由于信息不對稱②，承包方往往不能深入理解發包方的具體情況和真實意圖，處于信息的劣勢狀態，而發包方也不能了解IT項目開發的具體過程和技術方法，導致IT外包存在各種風險③④。如何有效的辨識IT外包過程中各種可能的風險因素是進行風險評估和管理的前提。為了防范IT外包風險，提高外包質量，必須在IT外包過程中引入IT審計⑤，以便完善IT外包風險管理制度和措施，降低IT外包風險。基于風險的IT外包審計流程見圖1。

一、IT外包審計計劃⑥

制定基于風險的IT外包審計計劃，必須與審計目標相一致。科學、合理的審計計劃能夠幫助審計人員有重點的審查和取證，形成正確的審計結論，提高審計質量和效率，降低審計風險。基于風險的IT外包審計是以風險評估為基礎的審計方式。在制定相關審計計劃時，首先要對發包方的IT發展戰略、IT環境、IT治理、IT運營和維護狀況、IT外包策略和IT人員結構等進行初步了解，然后根據審計目標按照一定的流程制定基于風險的IT外包審計計劃，圖2是IT外包審計計劃具體流程。

二、基于風險的IT外包審計實施過程⑦⑧

（一）IT外包風險分析與識別。IT外包風險是指IT外包實施結果相對于預期結果的負偏離度，即企業或組織實施IT外包失敗的可能性。造成IT外包風險的因素很多，也具有不確定性。IT外包風險根據不同的標準，分類的方法也不同。本文根據IT外包涉及事項，將IT外包風險分為IT外包立項風險、IT外包合同風險、IT外包過程管理風險、IT外包項目交付評審和驗收風險，為基于風險的IT外包審計提供基礎。

1.IT外包立項風險。在IT外包項目立項階段，由于信息不對稱因素而存在一定風險，包括發包方IT外包決策風險、IT外包項目選擇風險、IT外包形式風險、IT外包項目成本全面估計風險、承包商選擇風險等。

（1）IT外包決策風險：企業在組織架構和業務流程上存在的問題使得企業對于自身的實際情況了解不夠深入，造成了企業內部信息的不對稱，這往往會影響企業主管做出科學合理的IT外包決策，會給企業帶來巨大的經濟損失。IT外包決策風險主要來源于發包方IT外包決策與自身IT發展戰略的一致性、發包企業或組織自身主營業務發展狀況對IT發展的影響、IT外包機制的建立、IT外包項機制的合理性、IT外包項目占整個IT項目的比例、IT技術人員和管理人員素質等方面。

（2）IT外包項目選擇風險：IT外包項目包括IT核心業務項目和非核心業務項目。發包方選擇將IT核心業務項目進行外包，可以依賴專業承包商的先進IT技術和管理理念，提升企業IT競爭力，同時也能節約時間和精力。但IT核心業務外包帶來的風險也是嚴重的，如企業關鍵技術、關鍵信息的泄露風險，發包方可能失去對IT核心業務的管理和控制能力風險，即IT安全問題存在隱患等。如果企業選擇將IT非核心業務項目進行外包，能夠讓企業或組織可以從初始的創建工作以及日后的經營管理等瑣事中解脫出來，集中精力搞好核心業務。但發包方往往對IT非核心業務項目外包不夠重視，調研不準確，可能導致重復建設、成本上升、交付推遲、質量不高等問題，且存在與核心業務系統接口不匹配等風險。

（3）IT外包方式選擇風險分析：企業或組織根據實際情況，可能會選擇IT整體外包和IT部分外包。IT整體外包的組織形式是發包方將絕大部分提供信息服務的設備、員工和職責移交給承包商，外包的職能至少占IT預算的80%以上。整體外包形式在一定程度上能夠提升企業的競爭力，但發包方內部的IT專業能力流失，失去對IT項目全面控制，也難以對承包方的職能與安排進行控制，存在損失戰略信息的風險，造成過分依賴承包商，發包方失去主動性和靈活性；另外，企業也喪失了學習新技術的機會。

（4）承包方選擇風險：選擇承包商需要考慮其經驗、技術能力、財政能力、創新能力、可持續發展能力、企業文化以及管理思想。承包商選擇風險表現在：選擇標準機制不完善，對承包商的專業人員、技術優勢、財務狀況、綜合服務水平、信譽程度等狀況沒有進行全面和深入評估，或者對地域特點、文化背景、價值觀念及管理方法上的差異缺乏充分理解，就會導致判斷錯誤而選擇了不合格的承包商，造成承包商選擇風險；另外需考慮IT承包商選擇集中度的風險。

2.IT外包合同風險：IT外包合同管理主要涉及簽訂外包合同、執行外包合同、更新或終止外包合同等事項。雙方在簽訂IT外包合同時，由于IT外包關系的自身特點導致雙方權、責、利沒有在事先界定清楚，有可能引發合同糾紛、合同提前終止等問題；在執行合同時，由于管理不當，造成關鍵技術人員流失、財務周轉問題，輕則會影響IT外包項目的進度、質量和成本，重則會導致外包失敗。同時，承包商（特別是國外公司）從降低成本、分散風險、獲取本土實施經驗等方面出發，可能將項目分包給一個或者幾個分包商。雖然分包具有一定的優勢，但是分包畢竟給項目的執行增加了一個中間環節，如果管理不善，這個環節的存在對系統的建設可能造成一些潛在的不利影響。另外，當外部環境或組織的IT戰略發生變化時，前期簽訂的外包合同不能適應變換的需求，造成合同無法按照原來的計劃實施的不靈活風險。

3.IT外包過程管理風險：主要來源于IT外包實施階段，可從外包雙方分別分析。對于發包方來說，必須制定IT外包過程管理規范，包括對承包方人員、過程文件、技術成果、進度安排、過程監督等管理，與承包方建立合作的關系。這個階段如果發包方沒有完善的外包過程管理制度、沒有仔細審核承包方關于實施階段的計劃、不能很好地監督IT外包實施過程等，必然存在嚴重的外包風險，如生產成本增加、信息安全受到威脅、人員流動頻繁而使項目質量受損、進度太快導致質量粗糙、進度緩慢導致項目延期或失敗、IT項目流程混亂等。IT外包實施過程主要由承包方完成，可能存在制定的實施計劃不夠具體和全面的風險、缺乏多次測試和檢驗風險、沒有即時提交進度報告風險，以及不能全面掌握發包方真實需求而產生理解偏差的風險、因不可預測因素影響導致IT外包項目變更風險等。

4.IT外包項目交付和驗收風險：項目結束階段主要是進行評審驗收，但由于驗收程序、策略和組織不當可能產生不可忽視的風險。主要表現在：

（1）驗收流程不規范風險：IT外包項目驗收應該有相應的規范和流程。如果企業沒有制定規范的IT外包項目評審和驗收程序，責任不明確、要求不具體、驗收通過的標準不統一、驗收過程簡單等，將導致項目質量無法保證；另外，對于一個較大的IT項目，如果沒有制定階段性的評審和驗收方案，僅僅在項目結束階段進行評審和驗收，可能會出現項目偏離發包方的要求而無法整改的風險。

（2）驗收策略風險：在評審和驗收時，發包方只注重IT功能測試，而不重視完整性、可靠性等方面的測試。雖然IT滿足了發包方業務功能方面的需求，但性能較差、安全性無保證，則該IT項目仍然是不合格的；對于復雜、多用戶和大數據容量IT系統只進行少量用戶和數據測試是無法得到完整性要求；對于可靠性測試如果不詳盡，則可能無法識別存在的漏洞；另外，還存在過短的開發周期的風險。

（3）IT交付附后運維風險：對于IT系統，由于技術及功能復雜，系統日常維護環節多、難度高的風險，如果沒有規定運維方面的要求，同時沒有進行可維護性測試，則IT項目交付后將由發包方自己進行日常維護，難度很大，必然存在很大風險。

（4）驗收文檔保存風險：IT項目開發文檔、技術參數、軟件說明，系統維護說明等文件和資料必須保存完整，以便系統使用、維護和升級。

綜上所述，對IT外包各個階段風險的分析，可明確IT外包過程中存在各種風險，表1給出具體風險事項及風險指標。

（二）IT外包風險估計。IT外包風險評估是在對IT外包風險識別的基礎上，對各種風險進行細化，特別對關鍵風險點風險程度進行判別和估計，不同的風險種類其評估方法可能不一樣，為了明確審計重點和合理制定審計計劃，需根據表1中風險因素及關鍵風險指標構建各個風險事項的二維風險矩陣，計算各個風險因素的風險值。

表1 IT外包風險實現及關鍵指標

表2 風險影響程度表

其次，定義風險發生的概率函數P(xij)，用于評估風險發生的可能性，也分為五個層次：0—10%為極不可能發生、11%—45%為不可能發生、46%—65%為可能發生、66%—90%為很可能發生、91%—100%為極可能發生。

表3 風險評估矩陣

（三）IT審計取證及評價

在風險評估的基礎上，針對不同的風險領域，采用個性化的審計程序，實現審計取證和評價。

首先，制定詳細的審計實施計劃，依據是IT外包風險事項、關鍵風險指標及風險評估值的等級，對于風險等級為“高”的風險事項給予特別關注，分配最好的審計資源，包括時間、資金和技術人員，甚至可以借助專家的力量，采用多種審計技術和測試方法進行全面審計取證和評價，涉及所有關鍵風險指標；風險等級為“中”的風險事項時給予一定關注，采用適當的方法和技術進行審計取證和評價，特別是對風險影響程度較大的關鍵風險指標進行重點審計；風險等級為“低”的風險事項給予較低關注，可以采用審計抽樣的方法進行審計取證和評價，重點關注較大和關鍵風險指標。

其次，根據不同的風險事項及關鍵風險指標，初步給出各種審計事項，并在此基礎上給出各個風險事項的審計要點，進行基于風險的IT外包審計，表4給出各個審計事項中的審計要點，以便進一步明確審計重點，采用科學的審計方法，完成審計取證。

最后，審計取證完成之后，進行審計評價，即對各個審計事項的風險管理進行審計判斷，給出評價意見，并提出合理的規避風險的管理措施，達到加強風險管理目的。

三、IT外包審計報告

在審計實施結束后，審計人員應以充分、可靠及完善的審計證據為依據形成審計結論與建議，出具審計報告，形成審計結果。IT審計報告是對基于風險的IT外包審計實施的最終總結，目的是讓發包方和承包方明白IT外包存在的各種風險及產生重大問題所在，以便加強風險管理和控制，減少因風險事件發生而產生的損失。報告包含總體審計意見和個別審計意見，總體審計意見是審計的概括，一般包括基于風險的IT外包審計目標、對象和范圍及實施過程的總體情況、對發現的嚴重風險事項和重大事件的敘述、及審計的綜合評價；而個別意見是對個別風險事件的評價及發表的意見，包括個別風險事件及其所反映的風險控制情況、風險事件發生而產生的危害及影響、審計人員給出的評價及改進建議等。

表4 基于風險的IT外包審計事項及審計要點

四、結論

文章從IT外包分析風險事項角度識別和分析各種關鍵風險指標，在此基礎上，對各風險實現進行風險評估，判斷風險高低，最后根據風險情況，列出審計要點，采用靈活的審計方法進行審計取證和評價，并出具審計報告，提出審計意見。能夠給被審計單位提供風險管控參考建議，規范被審計單位的IT活動，為其在未來的市場競爭中爭取主動創造條件。

1.王永慶.企業IT外包決策研究[D].吉林大學學位論文，2006年。

2.黃宜，王長偉，王艷偉.內部信息不對稱下IT項目外包決策風險測度[J].武漢理工大學學報（信息與管理工程版），2010,32（1）：126-128。

3.沈桂蘭，陳冬梅，朱英華.基于承包商視角的IT服務外包項目風險因素的辨識[J].科技管理研究，2013（8）：190-193。

4.雷吉川，袁清清.基于生命周期的IT服務外包項目風險控制研究[J].信息系統工程，2011，20（12）：70-72。

5.張瑋.軟件外包的IT審計探討[J].鄭州航空工業管理學院學報，2006，24（1）：67-70。

6.劉祥，趙慶亮.IT外包審計模式分析與研究[J].中國內部審計，2010（9）：24-26。

7.胡尚可.風險導向IT審計在通信企業中的應用[J].中國內部審計，2010（11）：60-62。

8.程潤.風險導向審計在公共事業單位內部審計中的應用研究[J].皖西學院學報，2009，25（6）：55-57。

江蘇省教育廳社科項目【2013SJD630036】；江蘇省公共工程審計重點實驗室項目【20201201211】。）