IT外包(ITO)是指组织将原来由自身提供的具有基础性、共性、非核心的IT业务和基于IT的业务流程剥离出来,全部或部分交由组织外部的专业服务提供商完成的经济活动。一个组织通过IT外包,可以充分利用外部专业化IT资源,实现一系列目标:降低IT运营成本,提高IT运行效率,改进IT服务质量;更好应用IT前沿技术,增强对外部环境应变能力;培养IT专业人才,便利组织人事安排;增强组织核心竞争力,提高组织管理柔性等。根据互联网数据中心(IDC)统计,2012年,全球离岸服务外包市场规模为1217.2亿美元,同比增长18.6%,其中,ITO占53.3%,BPO(业务流程外包)占21.9%,KPO(知识流程外包)占24.8%。ITO是服务外包产业中规模最大,发展最成熟的行业。 IT外包在给组织带来极大的便利与收益的同时,也隐含了巨大的风险。因此,本文将结合国际内部审计师协会(ILA)的Globe Technology Audit Guide 7 “Information Technology Outsourcing”及世界最高审计组织(International Organization of Supreme Audit Institutions,简称INTOSAI)的IT审计工作小组发布的“Handbook on IT Audit”,对IT外包的风险、IT外包的关键控制以及IT外包审计策略进行阐述。 二、IT外包业务的风险分析 1.业务知识与业务流程的知识转移风险。IT外包是一种知识性行业,IT外包服务过程中发包方与服务商之间的知识转移是影响IT外包能否成功的关键因素。而知识转移所固有的复杂性、系统性、专用性、模糊性等特点,使得知识转移风险成为IT服务外包中的一项重要风险。 2.知识产权保护风险。当组织与IT外包供应商处于不同国家时,因两国对知识产权保护的法律制度不同且保护水平不一,极易导致法律适用上的冲突。另外,IT外包是一种以信息技术为依托的服务模式,其专业性、技术性特点十分显著,涉及的知识产权问题繁多且复杂,因此,对知识产权的保护要求也远高于其他的服务外包行业。最后,由于应用程序是在组织外部开发的,组织很容易丧失业务流程的控制权,服务提供商在开发完毕后也往往会认为自己对有关的业务流程拥有知识产权。 3.外包供应商无法按时交付风险。不完善的合同、有缺陷的供应商选择流程、不明确的里程碑管理或不利的市场条件,均可能导致供应商提供服务失败,从而致使供应商因时间紧迫或产品功能上的欠缺而无法按时交付。 4.合同成本攀升风险。有三大主要因素会导致合同成本攀升。一是隐性成本。隐性成本发生在寻找供应商、签订合同,将企业内部的IT活动转交给供应商的移交成本,监控IT供应商完成合同规定的条款,与外包商讨价还价,以及就合同变更内容进行谈判的成本等。这些成本的发生有时会超过外包带来的好处,甚至完全抵消掉最初预计外包所能带来的成本节约。二是需求变更。由于所有的外包合同中都有基准和假设。如果实际的工作要求与合同中的需求有所不同,委托方将支付因需求变化而增加的成本,这已经成为IT组织所面临的最主要障碍。据大量的调查表明,绝大部分的IT外包项目将会在开发周期中因各种原因有大约10%~15%的变更。三是资产专用性与外包客户的专业程度,对成本上涨也有重大影响。但如果一味地降低成本,则可能影响资产专用性、客户端操作及所选择外包供应商的专业程度。 5.关键人员变更风险。IT外包服务的快速增长创造了一个充满活力的劳动力市场。IT外包项目中关键人员往往会成为其他新的、更高知名度项目甚至是境外供应商高薪竞聘的人选,从而导致项目外包中关键人员的流失。 6.境外供应商风险。聘用境外供应商所形成的风险将涉及对信息存储与转移的限制,数据可能会在组织并不知道的情况下被使用;因为要执行境外供应商所在国家的有关法律规定,安全与隐私标准可能并不能得到真正的遵循,而且基于不同司法管辖区的法律纠纷问题也不能完全避免。 三、IT外包的关键控制 1.外包策略与政策。事实证明,造成IT外包失败的主要原因在于组织没有认真地选择哪些IT活动需要外包,哪些是应该自主研发的,以及组织没有制订适当的外包策略。 审计师应首先着眼于审查单位是否具有IT外包战略、政策与程序,IT外包策略是否符合组织目标。规模较大的组织往往会存在较大份额的IT外包业务。因此,具有一个成文的外包政策至关重要。一般而言,组织会把常规的IT运营、维护甚至桌面硬件平台外包出去,而把诸如人力资源管理、人事记录等功能保留在内部。因为这些都需要密切监测,如外包出去并不完全符合成本效益原则,并可能产生隐私与安全问题。规模较小的组织可能没有正式的外包政策,但应遵循高效、透明的招标程序。 2.招标。招标是在记录系统要求和整理其他参考资料的基础上,生成招标文件包,发布招标信息,最终对供应商进行选择的过程。供应商遴选小组组长应由首席信息技术官担任,小组成员应包括组织内IT、财务、法律、人力资源部门及外包服务所涉及的部门。遴选过程应该透明和客观,并以相应的供应商遴选评价指标体系为依据,评价指标应能体现组织期望获得的系统或服务标准。