云南省图书馆机构用户,欢迎您!
图1 基于风险的IT外包审计流程 一、IT外包审计计划 制定基于风险的IT外包审计计划,必须与审计目标相一致。科学、合理的审计计划能够帮助审计人员有重点的审查和取证,形成正确的审计结论,提高审计质量和效率,降低审计风险。基于风险的IT外包审计是以风险评估为基础的审计方式。在制定相关审计计划时,首先要对发包方的IT发展战略、IT环境、IT治理、IT运营和维护状况、IT外包策略和IT人员结构等进行初步了解,然后根据审计目标按照一定的流程制定基于风险的IT外包审计计划,图2是IT外包审计计划具体流程。 
图2 基于风险的IT外包审计计划 二、基于风险的IT外包审计实施过程 (一)IT外包风险分析与识别。IT外包风险是指IT外包实施结果相对于预期结果的负偏离度,即企业或组织实施IT外包失败的可能性。造成IT外包风险的因素很多,也具有不确定性。IT外包风险根据不同的标准,分类的方法也不同。本文根据IT外包涉及事项,将IT外包风险分为IT外包立项风险、IT外包合同风险、IT外包过程管理风险、IT外包项目交付评审和验收风险,为基于风险的IT外包审计提供基础。 1.IT外包立项风险。在IT外包项目立项阶段,由于信息不对称因素而存在一定风险,包括发包方IT外包决策风险、IT外包项目选择风险、IT外包形式风险、IT外包项目成本全面估计风险、承包商选择风险等。 (1)IT外包决策风险:企业在组织架构和业务流程上存在的问题使得企业对于自身的实际情况了解不够深入,造成了企业内部信息的不对称,这往往会影响企业主管做出科学合理的IT外包决策,会给企业带来巨大的经济损失。IT外包决策风险主要来源于发包方IT外包决策与自身IT发展战略的一致性、发包企业或组织自身主营业务发展状况对IT发展的影响、IT外包机制的建立、IT外包项目机制的合理性、IT外包项目占整个IT项目的比例、IT技术人员和管理人员素质等方面。 (2)IT外包项目选择风险:IT外包项目包括IT核心业务项目和非核心业务项目。发包方选择将IT核心业务项目进行外包,可以依赖专业承包商的先进IT技术和管理理念,提升企业IT竞争力,同时也能节约时间和精力。但IT核心业务外包带来的风险也是严重的,如企业关键技术、关键信息的泄露风险,发包方可能失去对IT核心业务的管理和控制能力风险,即IT安全问题存在隐患等。如果企业选择将IT非核心业务项目进行外包,能够让企业或组织可以从初始的创建工作以及日后的经营管理等琐事中解脱出来,集中精力搞好核心业务。但发包方往往对IT非核心业务项目外包不够重视,调研不准确,可能导致重复建设、成本上升、交付推迟、质量不高等问题,且存在与核心业务系统接口不匹配等风险。 (3)IT外包方式选择风险分析:企业或组织根据实际情况,可能会选择IT整体外包和IT部分外包。IT整体外包的组织形式是发包方将绝大部分提供信息服务的设备、员工和职责移交给承包商,外包的职能至少占IT预算的80%以上。整体外包形式在一定程度上能够提升企业的竞争力,但发包方内部的IT专业能力流失,失去对IT项目全面控制,也难以对承包方的职能与安排进行控制,存在损失战略信息的风险,造成过分依赖承包商,发包方失去主动性和灵活性;另外,企业也丧失了学习新技术的机会。 (4)承包方选择风险:选择承包商需要考虑其经验、技术能力、财政能力、创新能力、可持续发展能力、企业文化以及管理思想。承包商选择风险表现在:选择标准机制不完善,对承包商的专业人员、技术优势、财务状况、综合服务水平、信誉程度等状况没有进行全面和深入评估,或者对地域特点、文化背景、价值观念及管理方法上的差异缺乏充分理解,就会导致判断错误而选择了不合格的承包商,造成承包商选择风险;另外需考虑IT承包商选择集中度的风险。 2.IT外包合同风险:IT外包合同管理主要涉及签订外包合同、执行外包合同、更新或终止外包合同等事项。双方在签订IT外包合同时,由于IT外包关系的自身特点导致双方权、责、利没有在事先界定清楚,有可能引发合同纠纷、合同提前终止等问题;在执行合同时,由于管理不当,造成关键技术人员流失、财务周转问题,轻则会影响IT外包项目的进度、质量和成本,重则会导致外包失败。同时,承包商(特别是国外公司)从降低成本、分散风险、获取本土实施经验等方面出发,可能将项目分包给一个或者几个分包商。虽然分包具有一定的优势,但是分包毕竟给项目的执行增加了一个中间环节,如果管理不善,这个环节的存在对系统的建设可能造成一些潜在的不利影响。另外,当外部环境或组织的IT战略发生变化时,前期签订的外包合同不能适应变换的需求,造成合同无法按照原来的计划实施的不灵活风险。
