●江蘇省南京審計(jì)學(xué)院 崔應(yīng)留 馮國(guó)富 莊玉良

基于風(fēng)險(xiǎn)導(dǎo)向的IT外包審計(jì)研究

●江蘇省南京審計(jì)學(xué)院 崔應(yīng)留 馮國(guó)富 莊玉良

本文從風(fēng)險(xiǎn)的角度對(duì)IT外包審計(jì)進(jìn)行了研究。通過(guò)對(duì)IT外包過(guò)程中存在風(fēng)險(xiǎn)的分析，將其分為立項(xiàng)階段、合同簽訂、IT外包實(shí)施和IT交付與驗(yàn)收等風(fēng)險(xiǎn)類(lèi)別。在對(duì)各風(fēng)險(xiǎn)事項(xiàng)進(jìn)行風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，根據(jù)風(fēng)險(xiǎn)量化指標(biāo)和分析等級(jí)，選擇審計(jì)重點(diǎn)，確定審計(jì)方法，進(jìn)行IT外包審計(jì)，促進(jìn)IT外包風(fēng)險(xiǎn)管控，降低IT外包風(fēng)險(xiǎn)。

IT 外包 IT審計(jì) 風(fēng)險(xiǎn)評(píng)估 審計(jì)事項(xiàng)

IT外包會(huì)給企業(yè)或組織帶來(lái)很大益處，可以利用承包商的先進(jìn)技術(shù)和管理方式，提高企業(yè)或組織的信息化水平和綜合實(shí)力。同時(shí)，在一定程度上也節(jié)約了成本，提高效率，增強(qiáng)自身的競(jìng)爭(zhēng)力①。但同時(shí)IT外包也存在各種風(fēng)險(xiǎn)，主要由于信息不對(duì)稱②，承包方往往不能深入理解發(fā)包方的具體情況和真實(shí)意圖，處于信息的劣勢(shì)狀態(tài)，而發(fā)包方也不能了解IT項(xiàng)目開(kāi)發(fā)的具體過(guò)程和技術(shù)方法，導(dǎo)致IT外包存在各種風(fēng)險(xiǎn)③④。如何有效的辨識(shí)IT外包過(guò)程中各種可能的風(fēng)險(xiǎn)因素是進(jìn)行風(fēng)險(xiǎn)評(píng)估和管理的前提。為了防范IT外包風(fēng)險(xiǎn)，提高外包質(zhì)量，必須在IT外包過(guò)程中引入IT審計(jì)⑤，以便完善IT外包風(fēng)險(xiǎn)管理制度和措施，降低IT外包風(fēng)險(xiǎn)?；陲L(fēng)險(xiǎn)的IT外包審計(jì)流程見(jiàn)圖1。

一、IT外包審計(jì)計(jì)劃⑥

制定基于風(fēng)險(xiǎn)的IT外包審計(jì)計(jì)劃，必須與審計(jì)目標(biāo)相一致?？茖W(xué)、合理的審計(jì)計(jì)劃能夠幫助審計(jì)人員有重點(diǎn)的審查和取證，形成正確的審計(jì)結(jié)論，提高審計(jì)質(zhì)量和效率，降低審計(jì)風(fēng)險(xiǎn)?；陲L(fēng)險(xiǎn)的IT外包審計(jì)是以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)的審計(jì)方式。在制定相關(guān)審計(jì)計(jì)劃時(shí)，首先要對(duì)發(fā)包方的IT發(fā)展戰(zhàn)略、IT環(huán)境、IT治理、IT運(yùn)營(yíng)和維護(hù)狀況、IT外包策略和IT人員結(jié)構(gòu)等進(jìn)行初步了解，然后根據(jù)審計(jì)目標(biāo)按照一定的流程制定基于風(fēng)險(xiǎn)的IT外包審計(jì)計(jì)劃，圖2是IT外包審計(jì)計(jì)劃具體流程。

二、基于風(fēng)險(xiǎn)的IT外包審計(jì)實(shí)施過(guò)程⑦⑧

（一）IT外包風(fēng)險(xiǎn)分析與識(shí)別。IT外包風(fēng)險(xiǎn)是指IT外包實(shí)施結(jié)果相對(duì)于預(yù)期結(jié)果的負(fù)偏離度，即企業(yè)或組織實(shí)施IT外包失敗的可能性。造成IT外包風(fēng)險(xiǎn)的因素很多，也具有不確定性。IT外包風(fēng)險(xiǎn)根據(jù)不同的標(biāo)準(zhǔn)，分類(lèi)的方法也不同。本文根據(jù)IT外包涉及事項(xiàng)，將IT外包風(fēng)險(xiǎn)分為IT外包立項(xiàng)風(fēng)險(xiǎn)、IT外包合同風(fēng)險(xiǎn)、IT外包過(guò)程管理風(fēng)險(xiǎn)、IT外包項(xiàng)目交付評(píng)審和驗(yàn)收風(fēng)險(xiǎn)，為基于風(fēng)險(xiǎn)的IT外包審計(jì)提供基礎(chǔ)。

1.IT外包立項(xiàng)風(fēng)險(xiǎn)。在IT外包項(xiàng)目立項(xiàng)階段，由于信息不對(duì)稱因素而存在一定風(fēng)險(xiǎn)，包括發(fā)包方IT外包決策風(fēng)險(xiǎn)、IT外包項(xiàng)目選擇風(fēng)險(xiǎn)、IT外包形式風(fēng)險(xiǎn)、IT外包項(xiàng)目成本全面估計(jì)風(fēng)險(xiǎn)、承包商選擇風(fēng)險(xiǎn)等。

（1）IT外包決策風(fēng)險(xiǎn)：企業(yè)在組織架構(gòu)和業(yè)務(wù)流程上存在的問(wèn)題使得企業(yè)對(duì)于自身的實(shí)際情況了解不夠深入，造成了企業(yè)內(nèi)部信息的不對(duì)稱，這往往會(huì)影響企業(yè)主管做出科學(xué)合理的IT外包決策，會(huì)給企業(yè)帶來(lái)巨大的經(jīng)濟(jì)損失。IT外包決策風(fēng)險(xiǎn)主要來(lái)源于發(fā)包方IT外包決策與自身IT發(fā)展戰(zhàn)略的一致性、發(fā)包企業(yè)或組織自身主營(yíng)業(yè)務(wù)發(fā)展?fàn)顩r對(duì)IT發(fā)展的影響、IT外包機(jī)制的建立、IT外包項(xiàng)機(jī)制的合理性、IT外包項(xiàng)目占整個(gè)IT項(xiàng)目的比例、IT技術(shù)人員和管理人員素質(zhì)等方面。

（2）IT外包項(xiàng)目選擇風(fēng)險(xiǎn)：IT外包項(xiàng)目包括IT核心業(yè)務(wù)項(xiàng)目和非核心業(yè)務(wù)項(xiàng)目。發(fā)包方選擇將IT核心業(yè)務(wù)項(xiàng)目進(jìn)行外包，可以依賴專(zhuān)業(yè)承包商的先進(jìn)IT技術(shù)和管理理念，提升企業(yè)IT競(jìng)爭(zhēng)力，同時(shí)也能節(jié)約時(shí)間和精力。但I(xiàn)T核心業(yè)務(wù)外包帶來(lái)的風(fēng)險(xiǎn)也是嚴(yán)重的，如企業(yè)關(guān)鍵技術(shù)、關(guān)鍵信息的泄露風(fēng)險(xiǎn)，發(fā)包方可能失去對(duì)IT核心業(yè)務(wù)的管理和控制能力風(fēng)險(xiǎn)，即IT安全問(wèn)題存在隱患等。如果企業(yè)選擇將IT非核心業(yè)務(wù)項(xiàng)目進(jìn)行外包，能夠讓企業(yè)或組織可以從初始的創(chuàng)建工作以及日后的經(jīng)營(yíng)管理等瑣事中解脫出來(lái)，集中精力搞好核心業(yè)務(wù)。但發(fā)包方往往對(duì)IT非核心業(yè)務(wù)項(xiàng)目外包不夠重視，調(diào)研不準(zhǔn)確，可能導(dǎo)致重復(fù)建設(shè)、成本上升、交付推遲、質(zhì)量不高等問(wèn)題，且存在與核心業(yè)務(wù)系統(tǒng)接口不匹配等風(fēng)險(xiǎn)。

（3）IT外包方式選擇風(fēng)險(xiǎn)分析：企業(yè)或組織根據(jù)實(shí)際情況，可能會(huì)選擇IT整體外包和IT部分外包。IT整體外包的組織形式是發(fā)包方將絕大部分提供信息服務(wù)的設(shè)備、員工和職責(zé)移交給承包商，外包的職能至少占IT預(yù)算的80%以上。整體外包形式在一定程度上能夠提升企業(yè)的競(jìng)爭(zhēng)力，但發(fā)包方內(nèi)部的IT專(zhuān)業(yè)能力流失，失去對(duì)IT項(xiàng)目全面控制，也難以對(duì)承包方的職能與安排進(jìn)行控制，存在損失戰(zhàn)略信息的風(fēng)險(xiǎn)，造成過(guò)分依賴承包商，發(fā)包方失去主動(dòng)性和靈活性；另外，企業(yè)也喪失了學(xué)習(xí)新技術(shù)的機(jī)會(huì)。

（4）承包方選擇風(fēng)險(xiǎn)：選擇承包商需要考慮其經(jīng)驗(yàn)、技術(shù)能力、財(cái)政能力、創(chuàng)新能力、可持續(xù)發(fā)展能力、企業(yè)文化以及管理思想。承包商選擇風(fēng)險(xiǎn)表現(xiàn)在：選擇標(biāo)準(zhǔn)機(jī)制不完善，對(duì)承包商的專(zhuān)業(yè)人員、技術(shù)優(yōu)勢(shì)、財(cái)務(wù)狀況、綜合服務(wù)水平、信譽(yù)程度等狀況沒(méi)有進(jìn)行全面和深入評(píng)估，或者對(duì)地域特點(diǎn)、文化背景、價(jià)值觀念及管理方法上的差異缺乏充分理解，就會(huì)導(dǎo)致判斷錯(cuò)誤而選擇了不合格的承包商，造成承包商選擇風(fēng)險(xiǎn)；另外需考慮IT承包商選擇集中度的風(fēng)險(xiǎn)。

2.IT外包合同風(fēng)險(xiǎn)：IT外包合同管理主要涉及簽訂外包合同、執(zhí)行外包合同、更新或終止外包合同等事項(xiàng)。雙方在簽訂IT外包合同時(shí)，由于IT外包關(guān)系的自身特點(diǎn)導(dǎo)致雙方權(quán)、責(zé)、利沒(méi)有在事先界定清楚，有可能引發(fā)合同糾紛、合同提前終止等問(wèn)題；在執(zhí)行合同時(shí)，由于管理不當(dāng)，造成關(guān)鍵技術(shù)人員流失、財(cái)務(wù)周轉(zhuǎn)問(wèn)題，輕則會(huì)影響IT外包項(xiàng)目的進(jìn)度、質(zhì)量和成本，重則會(huì)導(dǎo)致外包失敗。同時(shí)，承包商（特別是國(guó)外公司）從降低成本、分散風(fēng)險(xiǎn)、獲取本土實(shí)施經(jīng)驗(yàn)等方面出發(fā)，可能將項(xiàng)目分包給一個(gè)或者幾個(gè)分包商。雖然分包具有一定的優(yōu)勢(shì)，但是分包畢竟給項(xiàng)目的執(zhí)行增加了一個(gè)中間環(huán)節(jié)，如果管理不善，這個(gè)環(huán)節(jié)的存在對(duì)系統(tǒng)的建設(shè)可能造成一些潛在的不利影響。另外，當(dāng)外部環(huán)境或組織的IT戰(zhàn)略發(fā)生變化時(shí)，前期簽訂的外包合同不能適應(yīng)變換的需求，造成合同無(wú)法按照原來(lái)的計(jì)劃實(shí)施的不靈活風(fēng)險(xiǎn)。

3.IT外包過(guò)程管理風(fēng)險(xiǎn)：主要來(lái)源于IT外包實(shí)施階段，可從外包雙方分別分析。對(duì)于發(fā)包方來(lái)說(shuō)，必須制定IT外包過(guò)程管理規(guī)范，包括對(duì)承包方人員、過(guò)程文件、技術(shù)成果、進(jìn)度安排、過(guò)程監(jiān)督等管理，與承包方建立合作的關(guān)系。這個(gè)階段如果發(fā)包方?jīng)]有完善的外包過(guò)程管理制度、沒(méi)有仔細(xì)審核承包方關(guān)于實(shí)施階段的計(jì)劃、不能很好地監(jiān)督IT外包實(shí)施過(guò)程等，必然存在嚴(yán)重的外包風(fēng)險(xiǎn)，如生產(chǎn)成本增加、信息安全受到威脅、人員流動(dòng)頻繁而使項(xiàng)目質(zhì)量受損、進(jìn)度太快導(dǎo)致質(zhì)量粗糙、進(jìn)度緩慢導(dǎo)致項(xiàng)目延期或失敗、IT項(xiàng)目流程混亂等。IT外包實(shí)施過(guò)程主要由承包方完成，可能存在制定的實(shí)施計(jì)劃不夠具體和全面的風(fēng)險(xiǎn)、缺乏多次測(cè)試和檢驗(yàn)風(fēng)險(xiǎn)、沒(méi)有即時(shí)提交進(jìn)度報(bào)告風(fēng)險(xiǎn)，以及不能全面掌握發(fā)包方真實(shí)需求而產(chǎn)生理解偏差的風(fēng)險(xiǎn)、因不可預(yù)測(cè)因素影響導(dǎo)致IT外包項(xiàng)目變更風(fēng)險(xiǎn)等。

4.IT外包項(xiàng)目交付和驗(yàn)收風(fēng)險(xiǎn)：項(xiàng)目結(jié)束階段主要是進(jìn)行評(píng)審驗(yàn)收，但由于驗(yàn)收程序、策略和組織不當(dāng)可能產(chǎn)生不可忽視的風(fēng)險(xiǎn)。主要表現(xiàn)在：

（1）驗(yàn)收流程不規(guī)范風(fēng)險(xiǎn)：IT外包項(xiàng)目驗(yàn)收應(yīng)該有相應(yīng)的規(guī)范和流程。如果企業(yè)沒(méi)有制定規(guī)范的IT外包項(xiàng)目評(píng)審和驗(yàn)收程序，責(zé)任不明確、要求不具體、驗(yàn)收通過(guò)的標(biāo)準(zhǔn)不統(tǒng)一、驗(yàn)收過(guò)程簡(jiǎn)單等，將導(dǎo)致項(xiàng)目質(zhì)量無(wú)法保證；另外，對(duì)于一個(gè)較大的IT項(xiàng)目，如果沒(méi)有制定階段性的評(píng)審和驗(yàn)收方案，僅僅在項(xiàng)目結(jié)束階段進(jìn)行評(píng)審和驗(yàn)收，可能會(huì)出現(xiàn)項(xiàng)目偏離發(fā)包方的要求而無(wú)法整改的風(fēng)險(xiǎn)。

（2）驗(yàn)收策略風(fēng)險(xiǎn)：在評(píng)審和驗(yàn)收時(shí)，發(fā)包方只注重IT功能測(cè)試，而不重視完整性、可靠性等方面的測(cè)試。雖然IT滿足了發(fā)包方業(yè)務(wù)功能方面的需求，但性能較差、安全性無(wú)保證，則該IT項(xiàng)目仍然是不合格的；對(duì)于復(fù)雜、多用戶和大數(shù)據(jù)容量IT系統(tǒng)只進(jìn)行少量用戶和數(shù)據(jù)測(cè)試是無(wú)法得到完整性要求；對(duì)于可靠性測(cè)試如果不詳盡，則可能無(wú)法識(shí)別存在的漏洞；另外，還存在過(guò)短的開(kāi)發(fā)周期的風(fēng)險(xiǎn)。

（3）IT交付附后運(yùn)維風(fēng)險(xiǎn)：對(duì)于IT系統(tǒng)，由于技術(shù)及功能復(fù)雜，系統(tǒng)日常維護(hù)環(huán)節(jié)多、難度高的風(fēng)險(xiǎn)，如果沒(méi)有規(guī)定運(yùn)維方面的要求，同時(shí)沒(méi)有進(jìn)行可維護(hù)性測(cè)試，則IT項(xiàng)目交付后將由發(fā)包方自己進(jìn)行日常維護(hù)，難度很大，必然存在很大風(fēng)險(xiǎn)。

（4）驗(yàn)收文檔保存風(fēng)險(xiǎn)：IT項(xiàng)目開(kāi)發(fā)文檔、技術(shù)參數(shù)、軟件說(shuō)明，系統(tǒng)維護(hù)說(shuō)明等文件和資料必須保存完整，以便系統(tǒng)使用、維護(hù)和升級(jí)。

綜上所述，對(duì)IT外包各個(gè)階段風(fēng)險(xiǎn)的分析，可明確IT外包過(guò)程中存在各種風(fēng)險(xiǎn)，表1給出具體風(fēng)險(xiǎn)事項(xiàng)及風(fēng)險(xiǎn)指標(biāo)。

（二）IT外包風(fēng)險(xiǎn)估計(jì)。IT外包風(fēng)險(xiǎn)評(píng)估是在對(duì)IT外包風(fēng)險(xiǎn)識(shí)別的基礎(chǔ)上，對(duì)各種風(fēng)險(xiǎn)進(jìn)行細(xì)化，特別對(duì)關(guān)鍵風(fēng)險(xiǎn)點(diǎn)風(fēng)險(xiǎn)程度進(jìn)行判別和估計(jì)，不同的風(fēng)險(xiǎn)種類(lèi)其評(píng)估方法可能不一樣，為了明確審計(jì)重點(diǎn)和合理制定審計(jì)計(jì)劃，需根據(jù)表1中風(fēng)險(xiǎn)因素及關(guān)鍵風(fēng)險(xiǎn)指標(biāo)構(gòu)建各個(gè)風(fēng)險(xiǎn)事項(xiàng)的二維風(fēng)險(xiǎn)矩陣，計(jì)算各個(gè)風(fēng)險(xiǎn)因素的風(fēng)險(xiǎn)值。

表1 IT外包風(fēng)險(xiǎn)實(shí)現(xiàn)及關(guān)鍵指標(biāo)

表2 風(fēng)險(xiǎn)影響程度表

其次，定義風(fēng)險(xiǎn)發(fā)生的概率函數(shù)P(xij)，用于評(píng)估風(fēng)險(xiǎn)發(fā)生的可能性，也分為五個(gè)層次：0—10%為極不可能發(fā)生、11%—45%為不可能發(fā)生、46%—65%為可能發(fā)生、66%—90%為很可能發(fā)生、91%—100%為極可能發(fā)生。

表3 風(fēng)險(xiǎn)評(píng)估矩陣

（三）IT審計(jì)取證及評(píng)價(jià)

在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，針對(duì)不同的風(fēng)險(xiǎn)領(lǐng)域，采用個(gè)性化的審計(jì)程序，實(shí)現(xiàn)審計(jì)取證和評(píng)價(jià)。

首先，制定詳細(xì)的審計(jì)實(shí)施計(jì)劃，依據(jù)是IT外包風(fēng)險(xiǎn)事項(xiàng)、關(guān)鍵風(fēng)險(xiǎn)指標(biāo)及風(fēng)險(xiǎn)評(píng)估值的等級(jí)，對(duì)于風(fēng)險(xiǎn)等級(jí)為“高”的風(fēng)險(xiǎn)事項(xiàng)給予特別關(guān)注，分配最好的審計(jì)資源，包括時(shí)間、資金和技術(shù)人員，甚至可以借助專(zhuān)家的力量，采用多種審計(jì)技術(shù)和測(cè)試方法進(jìn)行全面審計(jì)取證和評(píng)價(jià)，涉及所有關(guān)鍵風(fēng)險(xiǎn)指標(biāo)；風(fēng)險(xiǎn)等級(jí)為“中”的風(fēng)險(xiǎn)事項(xiàng)時(shí)給予一定關(guān)注，采用適當(dāng)?shù)姆椒ê图夹g(shù)進(jìn)行審計(jì)取證和評(píng)價(jià)，特別是對(duì)風(fēng)險(xiǎn)影響程度較大的關(guān)鍵風(fēng)險(xiǎn)指標(biāo)進(jìn)行重點(diǎn)審計(jì)；風(fēng)險(xiǎn)等級(jí)為“低”的風(fēng)險(xiǎn)事項(xiàng)給予較低關(guān)注，可以采用審計(jì)抽樣的方法進(jìn)行審計(jì)取證和評(píng)價(jià)，重點(diǎn)關(guān)注較大和關(guān)鍵風(fēng)險(xiǎn)指標(biāo)。

其次，根據(jù)不同的風(fēng)險(xiǎn)事項(xiàng)及關(guān)鍵風(fēng)險(xiǎn)指標(biāo)，初步給出各種審計(jì)事項(xiàng)，并在此基礎(chǔ)上給出各個(gè)風(fēng)險(xiǎn)事項(xiàng)的審計(jì)要點(diǎn)，進(jìn)行基于風(fēng)險(xiǎn)的IT外包審計(jì)，表4給出各個(gè)審計(jì)事項(xiàng)中的審計(jì)要點(diǎn)，以便進(jìn)一步明確審計(jì)重點(diǎn)，采用科學(xué)的審計(jì)方法，完成審計(jì)取證。

最后，審計(jì)取證完成之后，進(jìn)行審計(jì)評(píng)價(jià)，即對(duì)各個(gè)審計(jì)事項(xiàng)的風(fēng)險(xiǎn)管理進(jìn)行審計(jì)判斷，給出評(píng)價(jià)意見(jiàn)，并提出合理的規(guī)避風(fēng)險(xiǎn)的管理措施，達(dá)到加強(qiáng)風(fēng)險(xiǎn)管理目的。

三、IT外包審計(jì)報(bào)告

在審計(jì)實(shí)施結(jié)束后，審計(jì)人員應(yīng)以充分、可靠及完善的審計(jì)證據(jù)為依據(jù)形成審計(jì)結(jié)論與建議，出具審計(jì)報(bào)告，形成審計(jì)結(jié)果。IT審計(jì)報(bào)告是對(duì)基于風(fēng)險(xiǎn)的IT外包審計(jì)實(shí)施的最終總結(jié)，目的是讓發(fā)包方和承包方明白IT外包存在的各種風(fēng)險(xiǎn)及產(chǎn)生重大問(wèn)題所在，以便加強(qiáng)風(fēng)險(xiǎn)管理和控制，減少因風(fēng)險(xiǎn)事件發(fā)生而產(chǎn)生的損失。報(bào)告包含總體審計(jì)意見(jiàn)和個(gè)別審計(jì)意見(jiàn)，總體審計(jì)意見(jiàn)是審計(jì)的概括，一般包括基于風(fēng)險(xiǎn)的IT外包審計(jì)目標(biāo)、對(duì)象和范圍及實(shí)施過(guò)程的總體情況、對(duì)發(fā)現(xiàn)的嚴(yán)重風(fēng)險(xiǎn)事項(xiàng)和重大事件的敘述、及審計(jì)的綜合評(píng)價(jià)；而個(gè)別意見(jiàn)是對(duì)個(gè)別風(fēng)險(xiǎn)事件的評(píng)價(jià)及發(fā)表的意見(jiàn)，包括個(gè)別風(fēng)險(xiǎn)事件及其所反映的風(fēng)險(xiǎn)控制情況、風(fēng)險(xiǎn)事件發(fā)生而產(chǎn)生的危害及影響、審計(jì)人員給出的評(píng)價(jià)及改進(jìn)建議等。

表4 基于風(fēng)險(xiǎn)的IT外包審計(jì)事項(xiàng)及審計(jì)要點(diǎn)

四、結(jié)論

文章從IT外包分析風(fēng)險(xiǎn)事項(xiàng)角度識(shí)別和分析各種關(guān)鍵風(fēng)險(xiǎn)指標(biāo)，在此基礎(chǔ)上，對(duì)各風(fēng)險(xiǎn)實(shí)現(xiàn)進(jìn)行風(fēng)險(xiǎn)評(píng)估，判斷風(fēng)險(xiǎn)高低，最后根據(jù)風(fēng)險(xiǎn)情況，列出審計(jì)要點(diǎn)，采用靈活的審計(jì)方法進(jìn)行審計(jì)取證和評(píng)價(jià)，并出具審計(jì)報(bào)告，提出審計(jì)意見(jiàn)。能夠給被審計(jì)單位提供風(fēng)險(xiǎn)管控參考建議，規(guī)范被審計(jì)單位的IT活動(dòng)，為其在未來(lái)的市場(chǎng)競(jìng)爭(zhēng)中爭(zhēng)取主動(dòng)創(chuàng)造條件。

1.王永慶.企業(yè)IT外包決策研究[D].吉林大學(xué)學(xué)位論文，2006年。

2.黃宜，王長(zhǎng)偉，王艷偉.內(nèi)部信息不對(duì)稱下IT項(xiàng)目外包決策風(fēng)險(xiǎn)測(cè)度[J].武漢理工大學(xué)學(xué)報(bào)（信息與管理工程版），2010,32（1）：126-128。

3.沈桂蘭，陳冬梅，朱英華.基于承包商視角的IT服務(wù)外包項(xiàng)目風(fēng)險(xiǎn)因素的辨識(shí)[J].科技管理研究，2013（8）：190-193。

4.雷吉川，袁清清.基于生命周期的IT服務(wù)外包項(xiàng)目風(fēng)險(xiǎn)控制研究[J].信息系統(tǒng)工程，2011，20（12）：70-72。

5.張瑋.軟件外包的IT審計(jì)探討[J].鄭州航空工業(yè)管理學(xué)院學(xué)報(bào)，2006，24（1）：67-70。

6.劉祥，趙慶亮.IT外包審計(jì)模式分析與研究[J].中國(guó)內(nèi)部審計(jì)，2010（9）：24-26。

7.胡尚可.風(fēng)險(xiǎn)導(dǎo)向IT審計(jì)在通信企業(yè)中的應(yīng)用[J].中國(guó)內(nèi)部審計(jì)，2010（11）：60-62。

8.程潤(rùn).風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)在公共事業(yè)單位內(nèi)部審計(jì)中的應(yīng)用研究[J].皖西學(xué)院學(xué)報(bào)，2009，25（6）：55-57。

江蘇省教育廳社科項(xiàng)目【2013SJD630036】；江蘇省公共工程審計(jì)重點(diǎn)實(shí)驗(yàn)室項(xiàng)目【20201201211】。）