《信息科技外包审计.docx》由会员分享,可在线阅读,更多相关《信息科技外包审计.docx(15页珍藏版)》请在第一文库网上搜索。
1、信息科技外包审计信息科技外包是指组织将原来由自身负责处理的某些业务活动委托给服务提供商进行持续处理的行为,包括系统研发类外包、咨询服务类外包、系统运行维护类外包及业务外包中的相关信息科技活动等内容。服务提供商包括独立的第三方、组织母公司或其所属集团设立在中国境内外的子公司、关联公司或附属机构。非驻场外包是一种特殊形式的外包,与驻场外包一样也会导致各类风险,但具体管控环节和方式不同。本节将从信息科技外包战略规划、信息科技外包治理、信息科技外包商管理审计、信息科技外包项目管理审计、信息科技外包人员管理审计、信息科技外包安全管理等方面对信息科技外包审计的方法与步骤进行描述。一、信息科技外包战略规划审
2、计(一)业务概述信息科技外包战略是指企业对信息科技外包的目标和策略的组合,企业信息科技外包的远景、使命、命题等的全局规划和方针及定位。(二)审计目标和内容通过对信息科技外包战略规划的审计,判断组织在外包战略规划方面:1 .是否建立了信息科技外包战略,所建立的外包战略是否具有全局性、长远性及可操作性的特点。2 .是否明确了外包管理基本原则,是否能确保风险、成本和效益的平衡,并考虑了减少对供应商过分依赖和掌握核心技术的相关因素。3 .是否定期修正外包战略;外包战略是否定期由高级管理层审阅,外包战略是否被各相关部门知悉。(三)常见问题和风险1 .未建立信息科技外包战略或战略制定不合理,不利于确定信息
3、科技外包管控重点,无法从外包核心能力丧失、关键技术自主可控、外包成本效益分析等方面指明外包发展目标和方向。2 .信息科技外包战略未有效执行,过度依赖外包商,间接导致企业自主发展能力丧失,一旦供应商异常退出,企业无法独立运维和实现功能升级,将会影响系统的安全和稳定。(四)审计的主要方法和程序1 .信息科技外包战略的制定(1)访谈科技信息部各个部室的负责人对于组织信息科技外包战略的理解。(2)获取相关会议纪要,审阅组织对于信息科技外包管理战略的定义和变化Q2 .信息科技外包战略合理性(1)获取组织整体发展战略,审阅信息科技外包管理战略与整体发展战略是否一致。(2)审阅组织整体发展战略或信息科技外包
4、管理战略中是否有适用年限的定义。(3)审阅信息科技外包战略中是否进行了同行对比,是否有公开的定义。3 .信息科技外包战略内容(1)建立选择和实施战略的方针,确定指导外包行为的总则。(2)建立外包战略长期目标和短期目标一盈利能力、财力资源、产品、研究与创新、组织结构与活动等。(3)决定用以实现外包目标的战略,明确外包管理原则,确保风险、成本和效益的平衡,掌握核心技术的发展趋势。(4)加强自身能力建设,降低对外包商的依赖。二、信息科技外包治理审计(一)业务概述信息科技外包治理是指组织中的信息科技外包的决策机制和管理方式和管理制度等内容。(二)审计目标和内容通过对信息科技外包治理的审计,判断组织在外
5、包治理方面:1 .是否建立信息科技外包组织、明确组织职责、岗位职责;是否建立信息科技外包管理体系,明确管理流程和管理方法。2 .是否建立了正式的信息科技外包管理制度,并评价外包制度和流程的可操作性。3 .是否建立了针对信息科技外包各个环节的风险评估要求,是否建立了外包商尽职调查、外包集中度评估和外包应急预案制订等规定,并得到了有效执行。(三)常见问题和风险1 .未建立信息科技外包制度体系文件或外包管理制度覆盖不全面,可能导致外包管控要求无法落实或外包精细化管控不足。2 .外包组织架构不健全或职责冲突,无法有效履行外包管控职责,不利于信息科技外包的规范化管理。3 .未定期开展信息科技外包管理的风
6、险评估,无法有效对外包战略、外包供应商管理、外包人员管理、外包安全管理等各项管控措施的执行情况进行验证,不利于外包管理体系的持续改进。(四)审计的主要方法和程序1 .信息科技外包制度(1)访谈了解已经制定颁布的信息科技外包管理相关制度。(2)获取已经制定颁布的信息科技外包管理相关制度并审阅其内容是否包括分类分级管理、供应商管理、人员管理、应急管理等方面,并检查制度的执行情况。2 .信息科技外包组织架构(1)访谈了解信息科技外包组织架构。(2)获取并审阅信息科技外包相关制度,是否包含信息科技外包管理架构和具体的管理角色以及职责分工。(3)访谈了解各部门职能,验证其与设计职能是否一致。(4)针对项
7、目协调人,从所有项目中抽取审计样本,获取审计样本的项目牵头部门和负责人,审阅其与组织架构是否一致。(5)明确信息科技外包风险主管部门的主要职责包括对外包风险进行识别、评估、处置、监控和报告。(6)访谈了解信息科技外包管理架构管理层审阅流程。(7)获取相应管理层对信息科技外包管理架构的审阅记录或会议纪要,并检查其中是否包含管理层审阅证据的内容。(8)获取相应管理层对信息科技外包管理架构的审阅记录或会议纪要,并检查后续行动的监控及状态记录,以及最终处理状态。3 .信息科技外包风险管理与相关人员访谈,验证是否建立信息科技外包风险管理制度与流程,并获取相应制度进行验证;验证是否建立了年度信息科技外包商
8、风险管理工作计划,并验证计划的执行力,获取相关工作成果。三、信息科技外包商管理审计(一)业务概述信息科技外包商管理是指对为组织提供信息科技服务的外包商进行准入、外包采购需求管理、外包商选择与尽职调查、外包合同签订等方面的管理工作。(二)审计目标和内容通过对信息科技外包商管理的审计,判断组织在外包商管理方面:1获取了充分的信息科技外包商准入信息,包括但不限于:内部控制与管理能力信息、持续经营能力信息、技术与服务能力信息等。2 .开展了信息科技外包采购需求管理。外包项目的需求应符合信息系统规划框架,对未纳入采购计划或项目推迟的项目需求进行原因分析,并及时反馈给需求方。3 .通过招标方式来选择信息科
9、技外包商,并对外包商进行了尽职调查;与外包商签订了适宜的信息科技外包合同与服务水平协议(S1A)o4 .组织的外包项目验收小组应对阶段性验收和最终验收的结果进行记录与归档,形成验收报告,记录实际项目情况与服务水平协议的一致性与差异性。5 .组织应对外包商进行阶段性的考核工作,对外包商的异常情况进行及时纠正,根据考核结果对外包商建立奖惩机制。(三)常见问题和风险1 .未建立外包商准入标准或准入不严格,导致不合格外包商参与项目实施,导致外包交付延期或质量下降。2 .未执行外包商尽职调查或尽职调查流于形式,对服务能力、资质、经验、市场评价等调查不彻底,导致外包项目失败或意外中断。3 .企业或组织为追
10、求短期目标,如成本、进度、技术等因素,将某些业务活动集中委托给少数服务商,可能导致企业或组织在商务谈判、合同、服务质量环节的把控力度下降。4 .外包合同对知识产权定义不清晰,知识产权保护意识不强等引起的知识产权纠纷的风险。5 .外包服务商因经营不善、与外包商的合同纠纷中断外包服务,导致组织生产和运营风险、服务中断的风险。6 .未建立外包商服务评价机制或评价指标不够细致,导致外包商评价流于形式,无法实现对外包商工作的准确评价,不利于外包商的规范化管理和外包质量和风险的控制。(四)审计的主要方法和程序1 .信息科技外包商准入管理(1)与相关人员访谈,验证是否对外包商准入信息进行定期收集。(2)查看
11、外包商准入信息收集文档。(3)获取外包商准入信息指标,验证是否对外包商进行准入管理。(4)获取已获得准入资格的外包商名单,验证在正常情况下的项目准入是否优先选择了满足准入条件的外包商。2 .信息科技外包采购需求管理(1)审阅年度集中采购项目清单。(2)检查年度集中采购项目是否划分了优先级,以及优先级制定的依据。(3)获取未按照信息系统规划制定的项目清单。(4)检查其审批流程和根源分析证据。(5)抽取部分未批准项目作为测试样本,审阅将未通过审批情况反馈给需求部门的证据。3 .信息科技外包商选择与尽职调查(1)选取部分项目作为测试样本。(2)获取该项目外包商的背景调查报告,验证是否对外包商进行了充
12、分的背景调查。(3)获取样本项目的项目建议书、工作说明书,审阅其是否包含信息科技外包商技术资质、项目工作方法以及初步技术解决方案。(4)获取评标文件,审阅其选定最终外包商后是否经过管理层的审批。4 .信息科技外包合同与服务水平协议(S1A)(1)获取合同变更的制度与流程。(2)审阅其审批流程是否与正式流程的审批力度保持一致。(3)选取部分项目作为测试样本。(4)获取合同变更项目的相应流程文档。5 .信息科技外包合同验收(1)选取部分项目作为测试样本。(2)与组织相关负责人访谈,了解是否制定了明确的信息科技外包服务商交付产品或提供服务的验收差异矫正措施报告。(3)获取验收差异矫正报告,并验证其是
13、否有效执行。6 .信息科技外包商评价(1)访谈相关岗位人员,了解外包商评价机制和评价情况。(2)访谈外包服务人员,特别是外包方项目经理,了解对方对考核结果的知晓情况。(3)审查评价较差的外包商整改情况。(4)审计评价结果的应用及效果。四、信息科技外包项目管理审计(一)业务概述信息科技外包项目管理是指对信息科技外包项目运用项目管理的方法和技术工具进行管理。(二)审计目标和内容通过对信息科技外包项目管理的审计,判断组织在外包项目管理1 .开展了信息科技外包项目计划管理,在项目计划阶段对项目进行基本分工,明确各生命周期阶段的里程碑与交付品,确定各阶段的时间计划。2 .在信息科技外包项目预算管理方面,
14、组织建立了外包项目财务预算管理策略,制定管理制度,对外包服务的预算进行有序管理。3 .实施了对信息科技外包项目的监控,确保外包商定期提交项目进度报告及成本与绩效报告;比较外包项目的实际完成情况及时间进度、投入人力情况、资源实际可用度、知识转移情况等。4 .开展了对信息科技外包项目的后评价,应至少从以下方面对外包项目进行绩评价:过程质量、交付质量、知识管理、客户满意度等。(三)常见问题和风险1 .由于信息科技外包项目计划制定不充分,导致外包交付延期或交付质量不满足预期要求。2 .由于外包项目的需求不明确、项目进度、项目质量、奖惩机制不完善,导致外包项目实施效率低下,项目质量不高。3.信息科技外包
15、项目实施过程中,由于缺乏有效的监控机制,或者检查评估措施不完善,导致项目交付延期或项目交付质量下降。4 .由于组织的信息科技外包项目集中度过高,导致过度依赖于某个或某些外包商,从而削弱和丧失了自主开发运维和自主创新的能力。5 .未建立外包项目后评价机制,无法准确对外包商交付成果进行评价,无法将外包评价结果作为外包商再次准入的重要参考依据。(四)审计的主要方法和程序1信息科技外包项目计划管理(1)获取项目初级分工结构图,验证是否按照生命周期各阶段对交付品进行规定。(2)获取项目初级分工结构图,验证其是否包含上述内容。(3)获取项目计划,验证项目计划中是否对资源进行了分配。(4)选取部分项目作为测试样本。2 .信息科技外包项目预算管理(1)与相关负责人进行访谈,了解财务预算管理政策及执行情况。(2)获取财务预算管理制度,检查预算管理制度是否合理,是否有针对外包服务的预算规则等方面。(3)与相关人员访谈并获取会议纪要等文档,验证科技部门是否根据信息科技外包规划开展预算评估。3 .信息科技外包项目监控(1)获取外包商提供的项目进度报告,审查外包商是否对项目进度进行监控。(2)获取外包项目过程文档,审查项目质量、进度、预算、风险的监控情况。(3)获取项目质量