信息科技外包审计—第3205号内部审计实务指南第五章第1节
2021-01-25
信息科技外包是指组织将原来由自身负责处理的某些业务活动委托给服务提供商进行持续处理的行为,包括系统研发类外包、咨询服务类外包、系统运行维护类外包及业务外包中的相关信息科技活动等内容。
服务提供商包括独立的第三方、组织母公司或其所属集团设立在中国境内外的子公司、关联公司或附属机构。非驻场外包是一种特殊形式的外包,与驻场外包一样也会导致各类风险,但具体管控环节和方式不同。
本节将从信息科技外包战略规划、信息科技外包治理、信息科技外包商管理审计、信息科技外包项目管理审计、信息科技外包人员管理审计、信息科技外包安全管理等方面对信息科技外包审计的方法与步骤进行描述。
一、信息科技外包战略规划审计
(一)业务概述
信息科技外包战略是指企业对信息科技外包的目标和策略的组合,企业信息科技外包的远景、使命、命题等的全局规划和方针及定位。
(二)审计目标和内容
通过对信息科技外包战略规划的审计,判断组织在外包战略规划方面:
1、是否建立了信息科技外包战略,所建立的外包战略是否具有全局性、长远性及可操作性的特点。
2、是否明确了外包管理基本原则,是否能确保风险、成本和效益的平衡,并考虑了减少对供应商过分依赖和掌握核心技术的相关因素。
3、是否定期修正外包战略;外包战略是否定期由高级管理层审阅,外包战略是否被各相关部门知悉。
(三)常见问题和风险
1、未建立信息科技外包战略或战略制定不合理,不利于确定信息科技外包管控重点,无法从外包核心能力丧失、关键技术自主可控、外包成本效益分析等方面指明外包发展目标和方向。
2、信息科技外包战略未有效执行,过度依赖外包商,间接导致企业自主发展能力丧失,一旦供应商异常退出,企业无法独立运维和实现功能升级,将会影响系统的安全和稳定。
(四)审计的主要方法和程序
1、信息科技外包战略的制定
(1)访谈科技信息部各个部室的负责人对于组织信息科技外包战略的理解。
(2)获取相关会议纪要,审阅组织对于信息科技外包管理战略的定义和变化。
2、信息科技外包战略合理性
(1)获取组织整体发展战略,审阅信息科技外包管理战略与整体发展战略是否一致。
(2)审阅组织整体发展战略或信息科技外包管理战略中是否有适用年限的定义。
(3)审阅信息科技外包战略中是否进行了同行对比,是否有公开的定义。
3、信息科技外包战略内容
(1)建立选择和实施战略的方针,确定指导外包行为的总则。
(2)建立外包战略长期目标和短期目标—盈利能力、财力资源、产品、研究与创新、组织结构与活动等。
(3)决定用以实现外包目标的战略,明确外包管理原则,确保风险、成本和效益的平衡,掌握核心技术的发展趋势。
(4)加强自身能力建设,降低对外包商的依赖。
二、信息科技外包治理审计
(一)业务概述
信息科技外包治理是指组织中的信息科技外包的决策机制和管理方式和管理制度等内容。
(二)审计目标和内容通过对信息科技外包治理的审计,判断组织在外包治理方面:
1、是否建立信息科技外包组织、明确组织职责、岗位职责;是否建立信息科技外包管理体系,明确管理流程和管理方法。
2、是否建立了正式的信息科技外包管理制度,并评价外包制度和流程的可操作性。
3、是否建立了针对信息科技外包各个环节的风险评估要求,是否建立了外包商尽职调查、外包集中度评估和外包应急预案制订等规定,并得到了有效执行。
(三)常见问题和风险
1、未建立信息科技外包制度体系文件或外包管理制度覆盖不全面,可能导致外包管控要求无法落实或外包精细化管控不足。
2、外包组织架构不健全或职责冲突,无法有效履行外包管控职责,不利于信息科技外包的规范化管理。
3、未定期开展信息科技外包管理的风险评估,无法有效对外包战略、外包供应商管理、外包人员管理、外包安全管理等各项管控措施的执行情况进行验证,不利于外包管理体系的持续改进。
(四)审计的主要方法和程序
1、信息科技外包制度
(1)访谈了解已经制定颁布的信息科技外包管理相关制度。
(2)获取已经制定颁布的信息科技外包管理相关制度并审阅其内容是否包括分类分级管理、供应商管理、人员管理、应急管理等方面,并检查制度的执行情况。
2、信息科技外包组织架构
(1)访谈了解信息科技外包组织架构。
(2)获取并审阅信息科技外包相关制度,是否包含信息科技外包管理架构和具体的管理角色以及职责分工。
(3)访谈了解各部门职能,验证其与设计职能是否一致。
(4)针对项目协调人,从所有项目中抽取审计样本,获取审计样本的项目牵头部门和负责人,审阅其与组织架构是否一致。
(5)明确信息科技外包风险主管部门的主要职责包括对外包风险进行识别、评估、处置、监控和报告。
(6)访谈了解信息科技外包管理架构管理层审阅流程。
(7)获取相应管理层对信息科技外包管理架构的审阅记录或会议纪要,并检查其中是否包含管理层审阅证据的内容。
(8)获取相应管理层对信息科技外包管理架构的审阅记录或会议纪要,并检查后续行动的监控及状态记录,以及最终处理状态。
3、信息科技外包风险管理与相关人员访谈,验证是否建立信息科技外包风险管理制度与流程,并获取相应制度进行验证;验证是否建立了年度信息科技外包商风险管理工作计划,并验证计划的执行力,获取相关工作成果。
三、信息科技外包商管理审计
(一)业务概述
信息科技外包商管理是指对为组织提供信息科技服务的外包商进行准入、外包采购需求管理、外包商选择与尽职调查、外包合同签订等方面的管理工作。
(二)审计目标和内容
通过对信息科技外包商管理的审计,判断组织在外包商管理方面:
1、获取了充分的信息科技外包商准入信息,包括但不限于:内部控制与管理能力信息、持续经营能力信息、技术与服务能力信息等。
2、开展了信息科技外包采购需求管理。外包项目的需求应符合信息系统规划框架,对未纳入采购计划或项目推迟的项目需求进行原因分析,并及时反馈给需求方。
3、通过招标方式来选择信息科技外包商,并对外包商进行了尽职调查;与外包商签订了适宜的信息科技外包合同与服务水平协议(SLA)。
4、组织的外包项目验收小组应对阶段性验收和最终验收的结果进行记录与归档,形成验收报告,记录实际项目情况与服务水平协议的一致性与差异性。
5、组织应对外包商进行阶段性的考核工作,对外包商的异常情况进行及时纠正,根据考核结果对外包商建立奖惩机制。
(三)常见问题和风险
1、未建立外包商准入标准或准入不严格,导致不合格外包商参与项目实施,导致外包交付延期或质量下降。
2、未执行外包商尽职调查或尽职调查流于形式,对服务能力、资质、经验、市场评价等调查不彻底,导致外包项目失败或意外中断。
3、企业或组织为追求短期目标,如成本、进度、技术等因素,将某些业务活动集中委托给少数服务商,可能导致企业或组织在商务谈判、合同、服务质量环节的把控力度下降。
4、外包合同对知识产权定义不清晰,知识产权保护意识不强等引起的知识产权纠纷的风险。
5、外包服务商因经营不善、与外包商的合同纠纷中断外包服务,导致组织生产和运营风险、服务中断的风险。
6、未建立外包商服务评价机制或评价指标不够细致,导致外包商评价流于形式,无法实现对外包商工作的准确评价,不利于外包商的规范化管理和外包质量和风险的控制。
(四)审计的主要方法和程序
1、信息科技外包商准入管理
(1)与相关人员访谈,验证是否对外包商准入信息进行定期收集。
(2)查看外包商准入信息收集文档。
(3)获取外包商准入信息指标,验证是否对外包商进行准入管理。
(4)获取已获得准入资格的外包商名单,验证在正常情况下的项目准入是否优先选择了满足准入条件的外包商。
2、信息科技外包采购需求管理
(1)审阅年度集中采购项目清单。
(2)检查年度集中采购项目是否划分了优先级,以及优先级制定的依据。
(3)获取未按照信息系统规划制定的项目清单。
(4)检查其审批流程和根源分析证据。
(5)抽取部分未批准项目作为测试样本,审阅将未通过审批情况反馈给需求部门的证据。
3、信息科技外包商选择与尽职调查
(1)选取部分项目作为测试样本。
(2)获取该项目外包商的背景调查报告,验证是否对外包商进行了充分的背景调查。
(3)获取样本项目的项目建议书、工作说明书,审阅其是否包含信息科技外包商技术资质、项目工作方法以及初步技术解决方案。
(4)获取评标文件,审阅其选定最终外包商后是否经过管理层的审批。
4、信息科技外包合同与服务水平协议(SLA)
(1)获取合同变更的制度与流程。
(2)审阅其审批流程是否与正式流程的审批力度保持一致。
(3)选取部分项目作为测试样本。
(4)获取合同变更项目的相应流程文档。
5、信息科技外包合同验收
(1)选取部分项目作为测试样本。
(2)与组织相关负责人访谈,了解是否制定了明确的信息科技外包服务商交付产品或提供服务的验收差异矫正措施报告。
(3)获取验收差异矫正报告,并验证其是否有效执行。
6、信息科技外包商评价
(1)访谈相关岗位人员,了解外包商评价机制和评价情况。
(2)访谈外包服务人员,特别是外包方项目经理,了解对方对考核结果的知晓情况。
(3)审查评价较差的外包商整改情况。
(4)审计评价结果的应用及效果。
四、信息科技外包项目管理审计
(一)业务概述
信息科技外包项目管理是指对信息科技外包项目运用项目管理的方法和技术工具进行管理。
(二)审计目标和内容
通过对信息科技外包项目管理的审计,判断组织在外包项目管理方面:
1、开展了信息科技外包项目计划管理,在项目计划阶段对项目进行基本分工,明确各生命周期阶段的里程碑与交付品,确定各阶段的时间计划。
2、在信息科技外包项目预算管理方面,组织建立了外包项目财务预算管理策略,制定管理制度,对外包服务的预算进行有序管理。
3、实施了对信息科技外包项目的监控,确保外包商定期提交项目进度报告及成本与绩效报告;比较外包项目的实际完成情况及时间进度、投入人力情况、资源实际可用度、知识转移情况等。
4、开展了对信息科技外包项目的后评价,应至少从以下方面对外包项目进行绩评价:过程质量、交付质量、知识管理、客户满意度等。
(三)常见问题和风险
1、由于信息科技外包项目计划制定不充分,导致外包交付延期或交付质量不满足预期要求。
2、由于外包项目的需求不明确、项目进度、项目质量、奖惩机制不完善,导致外包项目实施效率低下,项目质量不高。
3、信息科技外包项目实施过程中,由于缺乏有效的监控机制,或者检查评估措施不完善,导致项目交付延期或项目交付质量下降。
4、由于组织的信息科技外包项目集中度过高,导致过度依赖于某个或某些外包商,从而削弱和丧失了自主开发运维和自主创新的能力。
5、未建立外包项目后评价机制,无法准确对外包商交付成果进行评价,无法将外包评价结果作为外包商再次准入的重要参考依据。
(四)审计的主要方法和程序
1、信息科技外包项目计划管理
(1)获取项目初级分工结构图,验证是否按照生命周期各阶段对交付品进行规定。
(2)获取项目初级分工结构图,验证其是否包含上述内容。
(3)获取项目计划,验证项目计划中是否对资源进行了分配。
(4)选取部分项目作为测试样本。
2、信息科技外包项目预算管理
(1)与相关负责人进行访谈,了解财务预算管理政策及执行情况。
(2)获取财务预算管理制度,检查预算管理制度是否合理,是否有针对外包服务的预算规则等方面。
(3)与相关人员访谈并获取会议纪要等文档,验证科技部门是否根据信息科技外包规划开展预算评估。
3、信息科技外包项目监控
(1)获取外包商提供的项目进度报告,审查外包商是否对项目进度进行监控。
(2)获取外包项目过程文档,审查项目质量、进度、预算、风险的监控情况。
(3)获取项目质量评估报告,审查质量评估情况、整改情况。
(4)检查不符率和持续改进情况。
4、信息科技外包项目后评价
(1)与相关负责人访谈了解组织是否针对不同类型信息科技外包项目建立了项目绩效评价指标体系。
(2)与相关负责人访谈了解建立项目绩效评价指标体系的过程,并获取相关文档,验证是否获得了组织管理层审批,并记入外包商合同中。
(3)与相关负责人访谈了解组织是否依据项目绩效评价指标体系定期及项目结束后对项目绩效进行评价,并获取相关文档。
(4)与相关负责人访谈了解组织在进行下一阶段项目或全新项目信息科技外包商选择时是否把前一阶段绩效评价结果纳入考量因素中,并获取相关文档。
(5)与相关负责人访谈了解组织是否在项目结束后,定期抽查分析项目立项目的是否实现,并根据分析结果判断外包商资质,以及更新项目绩效评价指标体系中相关参数,并获取相关文档。
(6)与相关负责人访谈了解组织的外包是否过于集中于一个或几个外包商,是否能防范行业垄断和机构集中度风险;是否可以通过引入适当的竞争在降低采购成本的同时提高服务质量,合理管控服务提供商的数量从而降低风险及管理成本。
五、信息科技外包人员管理审计
(一)业务概述
信息科技外包人员管理是指对信息科技外包服务人员进行行政、服务方面的管理。
(二)审计目标和内容
通过对信息科技外包人员管理的审计,判断组织在外包人员管理方面:
1、开展了信息科技外包人员入场前管理,对外包人员进行入场前的教育与培训,使其知悉组织的外包安全管理要求。
2、对驻场人员提出了日常管理的基本要求,建立了正式的外包人员违反外包人员管理的惩戒机制。
3、对驻场人员离场提出相关管理要求,及时收回退出人员的门禁卡并清查办公物品,对退出人员使用的电子设备中保存的与组织业务有关系的文件或数据进行清除。
4、对驻场人员进行考核管理,必要时应对外包人员的绩效水平与服务成果进行定期考核,确保外包人员有能力提供持续的外包服务。
(三)常见问题和风险
1、未实施重要外包项目的外包人员背景调查,可能无法有效识别外包人员的历史违规、数据泄露等历史风险。
2、未开展外包人员安全教育,可能导致外包人员不经意泄露银行敏感信息,导致银行声誉风险。
3、外包人员考勤及考核不严格,导致外包效率较低或外包质量不满足预期目标。
(四)审计的主要方法和程序
1、信息科技外包人员入场前管理
(1)抽样获取并验证外包商进场前是否填写了外包人员驻场情况。
(2)与驻场人员访谈,验证是否对初次进入项目的外包人员建立试用期机制、入场前培训情况。
(3)检查驻场人员保密协议、个人简历、专业资质、背景调查情况。
2、驻场人员日常管理
(1)与驻场人员访谈,验证驻场人员是否遵守了相关外包安全管理制度,是否开展过外包安全相关意识宣贯和技能培训。
(2)抽样并查看驻场外包人员的个人电脑,验证是否存在非法的网络外联,是否私自更改设定IP地址,是否安装了其他不允许安装的软件。
3、驻场人员离场管理
(1)与相关人员访谈,了解外包人员退出程序和执行情况。
(2)与外包人员访谈,了解已经离职人员情况,检查是否属于人员流失。
4、驻场人员考核管理
(1)与驻场人员访谈,检查驻场人员对考勤、考核制度的了解情况。
(2)检查考勤与考核记录。
(3)检查考核结果的公正性及考核效果。
(4)检查外包人员奖惩情况。
六、信息科技外包安全管理审计
(一)业务概述
信息科技外包安全管理是指对信息科技外包相关的访问控制、信息资产、操作安全、数据安全、应急预案、应急处置等安全管理工作。
(二)审计目标和内容
通过对信息科技外包安全管理的审计,判断组织在外包安全管理方面:
1、组织的信息安全管理覆盖了外包项目和外包人员管理,包括访问控制、信息资产管理、操作安全、数据安全等领域。
2、组织开展了信息科技外包应急管理,建立了外包项目范围的业务连续性管理规范,定期对外包商进行业务连续性管理安全检查。
3、在外包项目开展前,应对外包项目的业务连续性进行风险分析,包括灾难、区域性灾难、金融领域关联性风险等。
4、应定期对外包项目的灾难恢复计划进行测试和演练。
(三)常见问题和风险
1、外包人员权限管控不严格,导致外包过程中出现操作失误或敏感信息泄露。
2、如果不将外包风险纳入全面风险管理体系,没有建立外包风险检查与绩效机制,会使外包风险游离于组织风险管理体系之外。
3、未建立外包应急预案,无法有效对外包应急场景进行识别与演练,不利于外包商异常中断的快速处置。
(四)审计的主要方法和程序
1、信息科技外包应急管理
(1)检查外包应急预案。
(2)检查应急预案演练情况。
(3)检查外包合同中是否明确紧急情况下外包服务商的责任和应急要求。
(4)检查关键外包人员对应急的理解程度。
2、信息科技外包安全管理
(1)检查外包服务使用部门,对外包安全的履职情况,包括签订保密协议、授权访问资产等。
(2)访谈外包人员,判断其对外包人员管理要求和义务的理解和执行情况。
(3)检查违反外包安全规定的处罚情况。