IT外包审计模式分析与研究,本文主要内容关键词为:外包论文,模式论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、引言
IT外包(IT Outsourcing)是指组织将全部或部分IT工作按照约定的方式交由其他专业性组织完成的服务模式。组织通过IT外包利用外部优秀的IT专业化资源,达到降低成本、提高效率、充分发挥核心竞争力和增强对外部环境应变能力的目的。IT外包的优点主要包括:降低运营成本、提高管理柔性、改进IT服务质量、更好掌握和应用IT前沿技术等(丛国栋,2008)。因此,IT外包在过去十几年中得到迅猛的发展。根据IDC(Internet Data Center,互联网数据中心,简称IDC)报告预测,2010年,美国IT外包服务市场规模可能达到366亿美元;2014年,全球IT外包服务市场规模可能达到1284亿美元。
IT外包虽然给组织带来巨大的利益,但不成功甚至失败的外包案例也屡见不鲜(Earl,M.J.1996; Willcocks,L.,Lacity,M.,Kern,T.1999),充分表明IT外包蕴涵巨大的风险。IT外包可能存在的风险主要包括:IT固有风险、路径依赖风险或套牢风险、信息不对称导致的不利地位风险、信息安全风险、知识产权风险、成本急剧增长风险以及企业与供应商战略、经营目标、经营理念、文化不一致导致的风险等。IT外包风险表现出复杂性高、不确定性高、动态性高、随机性强、可控性差、时效性强的特点。
为了防范和化解IT外包风险,提高IT外包的服务质量,越来越多的组织选择开展对IT外包活动的审计(ITO Audit)。IT外包审计通过收集和评估客户IT外包管理活动和供应商IT外包服务活动的样本,判断IT外包合同是否清晰定义并被遵守、过程和数据是否有保证、是否符合合规性要求、外包决策过程与组织的战略是否一致等。可以将IT外包审计分为第一方审计、第二方审计和第三方审计三种模式,如图1所示。三种模式的定义、目标、工作内容、审计过程和优缺点各有不同,通过梳理、分析和比较,为组织开展IT外包审计提供思路。
图1 三种审计模式
二、第一方审计
1、定义和目标。第一方审计也称IT外包内部审计,是由组织自己或以组织的名义对组织的IT外包活动及内部控制开展的审计活动。主要目的是通过审查和评价经营活动和内部控制的适当性、合法性和有效性来促进组织目标的实现,增加组织的价值和改善组织的经营。
2、审计依据和内容。第一方审计的审计依据主要是组织适用的法律法规、行业标准、最佳实践活动以及组织的内部制度等,如CMMI-Development、CM-MI-ACQ、ISO/IEC 27001、ISO/IEC 20000等。第一方审计关注的是组织的IT外包管理活动和控制措施,审计内容主要包括:(1)组织IT外包战略的制定。管理层是否制定了恰当的IT外包战略并以文件的形式记录、IT外包战略是否符合组织的整体发展目标。(2)组织IT外包风险评估。是否设计了IT外包风险评估程序并且有效、是否设定了可接受风险的准则和水平。(3)需求管理。需求管理流程的设计和执行的有效性。(4)发包流程管理。包括供应商选择的流程设计和执行有效性、外包合同内容的有效性。(5)开发、测试、交付、运维等过程管理。主要是管理控制流程的设计和执行的有效性。(6)IT外包信息安全管理。主要是安全管理流程的设计和执行的有效性。(7)IT外包人员管理。包括任用前期、中期、后期的管理流程和执行的有效性。
3、审计流程。第一,设定审计目标,并选择审计关注的内容,确定审计范围。第二,根据目标和范围,选择相应的审计依据,首要关注的是国家法律法规和组织内部控制制度,也可以参考行业标准和最佳实践活动,如执行软件开发外包审计可以选择CMMI-Development等作为依据。第三,识别审计范围内IT外包活动的所有风险点,并根据风险评估的结果选择关键控制点。第四,针对每个关键控制点,验证是否存在相应的控制流程、控制措施,并验证其执行的有效性。第五,根据审计结果撰写审计报告。
4、优缺点分析。IT外包管理水平对于IT外包服务质量起决定性作用。内部审计机构熟悉所在组织的情况,内部审计工作覆盖组织IT外包战略决策、风险评估、过程管理、效果评价等IT外包生命周期的各阶段,内部审计结果的跟踪有效地促进IT外包管理的持续改进,因此,内部审计能够为IT外包质量提供根本保障。但是,内部审计机构和审计对象隶属于同一个组织,其独立性可能会影响内部审计工作质量;受人力资源的限制,内部审计人员可能存在专业性不足的缺陷;内部审计对于供应商的影响是间接的,对于重要IT外包项目质量控制的影响作用可能不够有力。
三、第二方审计
1、定义、目标。第二方审计即组织或其委托机构针对IT外包服务提供方的服务活动和内部控制开展的审计活动。主要目的是为了保障IT外包的服务质量,具体包括:合格供应商的选择、供应商服务活动的控制等。一般分为对供应商履约情况的审计、对供应商履约能力的审计或是两种审计的综合审计。
2、审计依据和内容。第二方审计最重要的依据是需求方和供应方签订的合同或服务协议。当前,我国很多企业还没有在外包服务合同中就供应方接受需求方审计做出明确约定。而在发达国家,这类条款则是合同和服务协议的基本条款。第二方审计一般关注供应商IT外包服务水平,也可延伸至供应商的内部控制。主要包括:供应商提供服务的过程是否符合合同约定、供应商的活动是否满足组织对供应商的管理要求、交付物质量和服务水平是否达到约定以及供应商内部控制的健全性和有效性。
3、审计流程。(1)对供应商履约情况的审计。第一,设定审计目标并选择审计范围,即对供应商履约情况进行评价,审计范围一般是供应商所提供的服务。第二,选择审计依据,最重要的依据为双方签订的合同或服务协议,也可以是双方约定适用的需求方内部控制制度或行业标准、最佳实践活动等。第三,验证交付物和服务水平是否达到了合同或服务协议的要求。第四,撰写审计报告。(2)对供应商履约能力的审计。第一,设定审计目标并选择审计范围,即对供应商履约能力进行评价,选择合格的供应商,审计范围一般是供应商的内部控制制度。第二,选择审计依据,一般为需求方的内部控制制度、供应商的内部控制制度以及需求方认为有必要参考的行业标准、最佳实践活动等。第三,验证供应商内部控制的健全性和有效性,识别供应商内部控制关键控制流程,以需求方认为有必要参考的行业标准、最佳实践活动等作为基准,对关键控制流程的有效性做出评价。第四,验证供应商内部控制制度执行的有效性。第五,撰写审计报告。
4、优缺点分析。第二方审计的优点在于对组织重点关注的IT外包服务质量提供强有力的保障,并有助于选择胜任的供应商。但第二方审计一般不能覆盖整个IT外包生命周期,另外一个现实的问题是我国大多数企业尚未在合同中约定供应方接受需求方审计的条款以致审计依据不足。
四、第三方审计
1、定义、目标。第三方审计即由独立的第三方对IT外包活动开展的审计。第三方审计的委托方可以是需方也可以是供方,但大多是供方。第三方审计目的主要是供应方向需求方证明其服务能力和内部控制水平。在财政部、商务部2008年2月印发的《关于支持承接国际服务外包业务发展相关财税政策的意见》中,明确鼓励和支持我国服务外包企业获取国际通行的资质认证,为鼓励国际服务外包企业加快发展,中央财政安排相应资金,对符合条件的服务外包企业取得的开发能力成熟度模型集成(CMMI)、开发能力成熟度模型(CMM)、人力资源成熟度模型(PCMM)、信息安全管理(ISO27001)、IT服务管理(ISO20000)、服务提供商环境安全性(SAS70)等认证继续给予支持。外包服务供应方委托第三方,对其符合上述标准的情况进行审计,并向需求方提供审计意见,证明其提供服务的能力和内部控制的完备,已经成为一种日渐成熟的模式。
2、审计依据和内容。第三方审计依据可以是国家法律法规、行业标准,也可以是特定的服务框架和供求双方认可的服务协议。审计内容比较宽泛,一般是对上述法规、标准、要求的符合性测试。
3、审计流程。第一,设定审计目标,选择审计的范围。第二,选择审计依据。第三,验证供应商内部控制的健全性。第四,验证供应商内部控制制度执行的有效性。第五,撰写审计报告。
4、优缺点分析。第三方审计的优点在于审计机构专业性强、独立性强,审计质量有较好保证;由于第三方审计结果公认性强,审计结果可以重复利用,有效地节约社会整体审计成本。但由于审计结果依赖于第三方机构的选择,所以如果第三方机构选择不慎,可能对审计质量造成较大的影响;而且对于供应方而言,第三方的审计要点未必和需求方的IT外包管理要求完全符合,可能不能完全满足需要。
五、总结与展望
我国IT外包审计尚处于起步阶段,且多局限于第二方审计的范围,理论上的探讨更是少之又少。但三种审计模式各有其优缺点和适用的情形,必须灵活运用,必要时需要开展多种模式的结合审计。结合审计是指利用以上三种模式中的两种或两种以上的综合性审计活动。结合审计可以利用各种审计模式的优点,规避其劣势。例如第一方审计和第二方审计相结合,既可以保证IT外包的整个生命周期都得以覆盖,又可以直接对组织关心的IT外包重点发挥积极作用。因此,IT外包审计之路任重道远,必须在实践中不断总结,促进其实现长足发展。
标签:内部控制论文; 审计质量论文; 项目外包论文; 审计流程论文; 审计目标论文; 管理审计论文; 有效市场论文; 审计准则论文; 信息安全论文; 内部审计论文; 供应商论文;