以量化風險為導向的信息科技外包審計運用與實踐

莫廣周

(柳州銀行股份有限公司，廣西 柳州 545001)

一、研究背景

隨著業務水平的不斷發展，銀行業對于信息科技的依賴不斷加深，銀行業務由傳統的線下操作逐步向信息化過渡。為支持和保障自身業務平穩、高效運作，大中型銀行紛紛建立和培養專門的信息科技團隊，但城市商業銀行由于受到資金壓力、人力資源、技術水平等因素的限制，大多數選擇了信息科技外包的道路[1]。2013年2月，銀監會正式印發了《銀行業金融機構信息科技外包風險監管指引》，對商業銀行信息科技外包給出了具體定義，并對商業銀行外包管理及非駐場外包管理提出了具體要求。2017年3月底至4月，銀監會連續發聲，要求加強信息科技風險防控，完善外包管理體系，降低外包風險，不得將信息科技管理責任外包，要確保重要時期關鍵基礎設施、重要業務系統的安全、平穩運行，堅決杜絕發生重大風險事件[2]。監管部門對信息科技外包的風險越來越重視，管控也越來越嚴，提出的要求也越來越細。

研究表明，選擇信息科技外包的道路，這是一把雙刃劍。中小商業銀行在付出一定費用后可以共享外包公司專業的服務，可以將更多的精力集中于研發核心業務產品和改善服務，但是，這把雙刃劍也可能同時在給銀行引入新的風險，如信息泄露、數據丟失、科技創新水平下降、外包集中度過高等[3-4]，基于以上背景，城商行對信息科技外包風險的管理顯得尤為重要，審計部門作為風險管理第三道防線，亟需建立一套科學合理的審計評價體系，用以加強對信息科技外包風險管理的審計監督，嚴防信息科技外包風險事件，為組織提質增效。

二、信息科技外包審計評價體系

為確保審計結果有足夠的說服力，并能客觀充分地反映被審計對象的現狀，建立評價體系的基本思路為：確定總體策略，制定評價方法，建立評價標準。

(一)總體策略

根據基本思路，先確定如下總體策略：一是要明確評價標準；二是以風險為導向；三是審計人員科學合理分工；四是降低審計風險(詳情見圖1)。

圖1 審計總體策略

(二)評價方法

以監管要求和行業最佳實踐為出發點建立風險庫，按照風險領域的不同，為存在的固有風險賦予不同的權重，其中風險領域所占權重為一級權重，風險領域中各風險點所占權重為二級權重，檢查過程中每個風險點滿分100分，根據檢查結果進行評分，檢查結果和對應分值如下：完全符合(100分)，基本符合(75分)，中(50分)，基本不符合(25分)，完全不符合(0分)。各風險領域評分結果計算公式為：

R=∑p·i1·i2， (1)

其中，p為各風險點檢查得分，i1和i2為該風險點所占的一級權重和二級權重，審計最終評價得分為各風險領域得分的總和，即W=∑Rn。

(三)評價依據

得出評分結果后，還需要對評分結果進行定性評價，設定如下評價依據：

優：R≥90分，

良：75分≤R<90分，

中：60分≤R<75分，

差：R<60分。

基于以上定性和定量相結合的評價方法論，現以信息科技外包風險審計為例，闡述如何為組織提質增效。

三、運用與實踐

(一)風險識別

以監管要求和行業最佳實踐為出發點，結合某城商行信息科技外包現狀，識別潛在風險，建立信息科技外包風險庫，梳理出5個領域共26個固有風險點，按照領域的不同，為各風險點設定一級權重和二級權重具體如表1、表2所示：

表1 固有風險點分布情況

表2 信息科技外包風險庫及權重分布

(二)風險評估

根據審計風險=固有風險×控制風險×檢查風險，對固有風險、控制風險、檢查風險分別進行評估。

1.固有風險評估。固有風險是指沒有采取任何措施來改變風險的可能性或影響的情況下所面臨的風險。根據圖2所示標準對梳理出的固有風險點等級進行評估。

圖2 固有風險等級評定標準

對于影響程度，根據該行信息科技外包實際情況,從客戶服務的影響范圍、聲譽影響的大小以及法律或者監管影響的嚴重程度3個維度進行綜合評估，將影響程度劃分為高、中、低3個等級。

根據上述標準，對固有風險點的評估結果為高風險7個，中風險13個，低風險6個。

2.控制風險評估。控制有效性是指可以通過內部控制結構、政策或程序及時預防和控制風險。接下來對信息科技外包風險管理的關鍵控制節點實施控制測試，并根據圖3所示標準對控制有效性進行評估：

圖3 控制有效性綜合評定標準

發生頻率評定標準如表3所示：

表3 發生頻率評定標準

控制設計評估標準如表4所示：

表4 控制設計評估標準

控制執行評估標準如下表5所示：

表5 控制執行評估標準

3.檢查風險評估。為將審計風險控制在可接受的范圍內，需對檢查風險進行評估，并采取相關風險應對措施，見表6：

表6 檢查風險及應對措施

(三)確定審計重點

根據風險評估結果，繪制剩余風險分布圖(見圖4)，并將剩余風險為“中”以上的項目列為審計重點，一共包括12項，如未建立清晰完整的信息科技外包管理組織架構、未制定招投標相關制度等。

圖4 剩余風險分布圖

(四)審計方法

1.外包風險管理組織架構的完整性

(1)調閱相關制度文件，查看是否建立了信息科技外包風險管理組織架構，是否明確信息科技外包風險管理的主管部門，是否明確各方職責。

(2)對分管信息科技的高管人員進行訪談，了解其與信息科技相關的從業背景以及對信息科技外包的認識，并查閱董事會、高管層履行信息科技外包風險管理職責的相關記錄，如議事規則、會議紀要或者對于外包重大事項的審批流程等。

(3)調閱部門職責和崗位說明，確定行內是否建立了信息科技外包管理執行團隊，并配備足夠人員，要求其提供相關材料證明履行以下職責：實施信息科技外包戰略；制定并執行信息科技外包管理制度與流程；執行供應商準入、評價、退出管理，建立并維護供應商關系管理策略；制定保障外包服務持續性的應急管理方案，并組織實施定期演練；對外包過程中的各項管理活動進行監控及分析，定期向信息科技及外包風險管理的主管部門報告外包活動情況等。

2.外包風險總體控制的有效性

(1)調閱相關文件，確認是否制定了信息科技外包戰略，包括：不能外包的職能、資源能力建設方案、供應商關系管理策略和外包分級管理策略等，是否明確了信息科技外包的定義、范圍、目標和原則等。

(2)抽取部分員工進行訪談，觀察其對外包風險的認知程度，以及行內對于相關策略、制度的宣貫程度。

(3)調閱風險管理部開展全面外包風險管理評估的相關記錄，確認其是否保持相對獨立性，并獲取其向高管人員提交評估報告的記錄以及高管人員的批示。

(4)調閱信息科技外包相關制度，并抽取重要環節進行測試，確認是否得到有效執行。

(5)對已發生的重要風險事件進行再評估，以確認信息科技部等部門應對風險所采取措施的合理性、及時性。

3.對外包商管理的有效性

(1)厘清信息科技外包活動流程的各個環節，識別風險主要集中存在的環節。

(2)調閱外包發起部門對于供應商的盡職調查報告，確認以下方面內容：一是相關審批手續是否完備，是否在發起外包前做過可行性分析，是否闡明必須外包的原因；二是盡職調查是否建立在現場調研、分析的基礎上，并有多個職能部門的參與，如財務、法規、后勤、紀檢等；三是是否對服務商的評價進行量化。

(3)查看相關文件或IT系統，了解發起部門對于外包商的監控是否合理及時，并查閱外包項目任務的跟蹤手段，了解異常處理機制，抽取部分流程進行穿行測試，確認控制點是否有效。

(4)調閱外包項目招投標、后評價等相關制度要求及執行情況。

(5)調閱信息安全培訓記錄、機房進出記錄、變更申請記錄、巡檢記錄、保密協議等，確認外包日常管理的有效性。

(6)調閱對外包人員的監控和考核記錄。

4.外包集中度和外包依賴性

(1)調閱外包合同清單，抽取樣本進行數據分析，分別從簽訂筆數和金額角度進行統計，以確認是否存在外包集中度過高的情況。如存在，訪談相關負責人是否針對集中度過高的外包商進行重點監控，并獲取相關證據，證明其內部控制和管理能力、持續運營能力等。

(2)對于外包依賴性的問題，了解關鍵崗位的配備情況、核心系統運維團隊的技能配備，查看IT項目管理系統，確認實現對開發項目進度的集中管理等。

5.合同管理

(1)調閱信息科技外包項目合同，核實合同在雙方的權利、義務、安全、保密、知識產權方面有否明確的界定，是否包含服務外包的期限、中止的條件和善后處理的事宜以及服務外包商應承擔的責任等內容。

(2)確認外包合同審批流程的合規性。

(3)查看外包合同，確認是否明確轉包和變相轉包相應條款，是否包含明確的定性、定量績效指標。

(五)審計評價

根據評價細則，“信息科技外包管理組織架構”領域共包含4個檢查要點(見表7)，則該領域得分為：75×15%×30%+100×15%×25%+100×15%×25%+50×15%×20%=12.375分。

表7 檢查評價表

同理，將5大領域評分結果進行匯總得到：

12.375+16.000+33.188+7.000+8.500=77.063分

因此本次審計評價結果為“良”，為便于決策者和被審計單位直觀地了解各領域得分情況，設計如下雷達圖(圖5)，各領域深色區域越靠近外部頂點，則說明該領域控制措施越有效：

圖5 各領域評分雷達圖

(六)結果與成效

本次審計在改善該行信息科技外包風險管理、加強內部控制方面取得了良好的成效。

1.提升高管意識，推動策略調整。在出具正式的審計結果之前，審計組對分管信息科技的高管人員進行了訪談。該高管具有多年的信息科技相關從業背景，對于信息科技外包也有非常深刻的理解。在聽取了審計組對于重大問題的匯報之后，該高管闡述了對于今后的信息科技外包工作的若干想法和改進方向。

2.促進內控建設，完善制度流程。被審計單位在接到正式審計報告之后，相繼制定了信息科技外包管理辦法、信息科技項目管理辦法等，并對原有的招投標等制度進行了修訂，董事會辦公室也對相關的專門委員會議事規則進行了補充和完善。

3.警示外包風險，督促加強管理。信息科技部在整改計劃中提到，將進一步加強對外包服務人員的管理，重新梳理信息科技外包相關管理規范，嚴格執行數據中心機房審批制度，重申“必需知道”和“最小授權”兩大原則，加強信息安全管理，確保信息科技外包日常工作安全平穩運作。

4.量化審計結果，提升認可水平。被審計單位往往對簡單定性結果不能做到心服口服，本次評價體系的評分量化為審計組和被審計單位之間確定了透明化的評價標準，哪些檢查點存在不足以及不足的程度如何，讓被審計單位能夠充分知曉和接受，提升了審計部門的權威性。

四、啟示與總結

以量化風險為導向的審計評價體系，為審計部門提供了較為合理可行的評價標準，審計部門以該體系為方法論開展信息科技外包風險審計，取得了預期的成效，為組織提質增效。同時，本次研究也得到了如下啟示：一是由于信息科技領域專業性較強，內審部門應注重IT審計人才的儲備，必要時引進外部專家協助工作，以保證該項目審計人員的專業勝任能力，切實履行內部審計的監督職能。二是信息科技風險往往具有隱蔽性和突發性，因此切不可將信息科技風險局限于事后審計，審計人員應適時投身于信息科技重大事項當中，充分發揮事前和事中的監督職能，提出合理化建議，有助于信息科技風險防患于未然。三是審計組在實施完審計工作之后，可以將在審計過程中使用的信息科技外包風險庫、風險評定等級標準等風險評估工具交付給被審計單位，促使其明確管理標準，在日常管理中通過自我評估達到持續完善信息科技外包風險管理水平的目的。