一、引言 IT外包(IT Outsourcing)是指组织将全部或部分IT工作按照约定的方式交由其他专业性组织完成的服务模式。组织通过IT外包利用外部优秀的IT专业化资源,达到降低成本、提高效率、充分发挥核心竞争力和增强对外部环境应变能力的目的。IT外包的优点主要包括:降低运营成本、提高管理柔性、改进IT服务质量、更好掌握和应用IT前沿技术等(丛国栋,2008)。因此,IT外包在过去十几年中得到迅猛的发展。根据IDC(Internet Data Center,互联网数据中心,简称IDC)报告预测,2010年,美国IT外包服务市场规模可能达到366亿美元;2014年,全球IT外包服务市场规模可能达到1284亿美元。 IT外包虽然给组织带来巨大的利益,但不成功甚至失败的外包案例也屡见不鲜(Earl,M.J.1996; Willcocks,L.,Lacity,M.,Kern,T.1999),充分表明IT外包蕴涵巨大的风险。IT外包可能存在的风险主要包括:IT固有风险、路径依赖风险或套牢风险、信息不对称导致的不利地位风险、信息安全风险、知识产权风险、成本急剧增长风险以及企业与供应商战略、经营目标、经营理念、文化不一致导致的风险等。IT外包风险表现出复杂性高、不确定性高、动态性高、随机性强、可控性差、时效性强的特点。 为了防范和化解IT外包风险,提高IT外包的服务质量,越来越多的组织选择开展对IT外包活动的审计(ITO Audit)。IT外包审计通过收集和评估客户IT外包管理活动和供应商IT外包服务活动的样本,判断IT外包合同是否清晰定义并被遵守、过程和数据是否有保证、是否符合合规性要求、外包决策过程与组织的战略是否一致等。可以将IT外包审计分为第一方审计、第二方审计和第三方审计三种模式,如图1所示。三种模式的定义、目标、工作内容、审计过程和优缺点各有不同,通过梳理、分析和比较,为组织开展IT外包审计提供思路。 图1 三种审计模式
二、第一方审计 1、定义和目标。第一方审计也称IT外包内部审计,是由组织自己或以组织的名义对组织的IT外包活动及内部控制开展的审计活动。主要目的是通过审查和评价经营活动和内部控制的适当性、合法性和有效性来促进组织目标的实现,增加组织的价值和改善组织的经营。 2、审计依据和内容。第一方审计的审计依据主要是组织适用的法律法规、行业标准、最佳实践活动以及组织的内部制度等,如CMMI-Development、CM-MI-ACQ、ISO/IEC 27001、ISO/IEC 20000等。第一方审计关注的是组织的IT外包管理活动和控制措施,审计内容主要包括:(1)组织IT外包战略的制定。管理层是否制定了恰当的IT外包战略并以文件的形式记录、IT外包战略是否符合组织的整体发展目标。(2)组织IT外包风险评估。是否设计了IT外包风险评估程序并且有效、是否设定了可接受风险的准则和水平。(3)需求管理。需求管理流程的设计和执行的有效性。(4)发包流程管理。包括供应商选择的流程设计和执行有效性、外包合同内容的有效性。(5)开发、测试、交付、运维等过程管理。主要是管理控制流程的设计和执行的有效性。(6)IT外包信息安全管理。主要是安全管理流程的设计和执行的有效性。(7)IT外包人员管理。包括任用前期、中期、后期的管理流程和执行的有效性。 3、审计流程。第一,设定审计目标,并选择审计关注的内容,确定审计范围。第二,根据目标和范围,选择相应的审计依据,首要关注的是国家法律法规和组织内部控制制度,也可以参考行业标准和最佳实践活动,如执行软件开发外包审计可以选择CMMI-Development等作为依据。第三,识别审计范围内IT外包活动的所有风险点,并根据风险评估的结果选择关键控制点。第四,针对每个关键控制点,验证是否存在相应的控制流程、控制措施,并验证其执行的有效性。第五,根据审计结果撰写审计报告。 4、优缺点分析。IT外包管理水平对于IT外包服务质量起决定性作用。内部审计机构熟悉所在组织的情况,内部审计工作覆盖组织IT外包战略决策、风险评估、过程管理、效果评价等IT外包生命周期的各阶段,内部审计结果的跟踪有效地促进IT外包管理的持续改进,因此,内部审计能够为IT外包质量提供根本保障。但是,内部审计机构和审计对象隶属于同一个组织,其独立性可能会影响内部审计工作质量;受人力资源的限制,内部审计人员可能存在专业性不足的缺陷;内部审计对于供应商的影响是间接的,对于重要IT外包项目质量控制的影响作用可能不够有力。 三、第二方审计 1、定义、目标。第二方审计即组织或其委托机构针对IT外包服务提供方的服务活动和内部控制开展的审计活动。主要目的是为了保障IT外包的服务质量,具体包括:合格供应商的选择、供应商服务活动的控制等。一般分为对供应商履约情况的审计、对供应商履约能力的审计或是两种审计的综合审计。