莫廣周

(柳州銀行股份有限公司，廣西 柳州 545001)

一、研究背景

隨著業(yè)務(wù)水平的不斷發(fā)展，銀行業(yè)對(duì)于信息科技的依賴不斷加深，銀行業(yè)務(wù)由傳統(tǒng)的線下操作逐步向信息化過(guò)渡。為支持和保障自身業(yè)務(wù)平穩(wěn)、高效運(yùn)作，大中型銀行紛紛建立和培養(yǎng)專門(mén)的信息科技團(tuán)隊(duì)，但城市商業(yè)銀行由于受到資金壓力、人力資源、技術(shù)水平等因素的限制，大多數(shù)選擇了信息科技外包的道路[1]。2013年2月，銀監(jiān)會(huì)正式印發(fā)了《銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引》，對(duì)商業(yè)銀行信息科技外包給出了具體定義，并對(duì)商業(yè)銀行外包管理及非駐場(chǎng)外包管理提出了具體要求。2017年3月底至4月，銀監(jiān)會(huì)連續(xù)發(fā)聲，要求加強(qiáng)信息科技風(fēng)險(xiǎn)防控，完善外包管理體系，降低外包風(fēng)險(xiǎn)，不得將信息科技管理責(zé)任外包，要確保重要時(shí)期關(guān)鍵基礎(chǔ)設(shè)施、重要業(yè)務(wù)系統(tǒng)的安全、平穩(wěn)運(yùn)行，堅(jiān)決杜絕發(fā)生重大風(fēng)險(xiǎn)事件[2]。監(jiān)管部門(mén)對(duì)信息科技外包的風(fēng)險(xiǎn)越來(lái)越重視，管控也越來(lái)越嚴(yán)，提出的要求也越來(lái)越細(xì)。

研究表明，選擇信息科技外包的道路，這是一把雙刃劍。中小商業(yè)銀行在付出一定費(fèi)用后可以共享外包公司專業(yè)的服務(wù)，可以將更多的精力集中于研發(fā)核心業(yè)務(wù)產(chǎn)品和改善服務(wù)，但是，這把雙刃劍也可能同時(shí)在給銀行引入新的風(fēng)險(xiǎn)，如信息泄露、數(shù)據(jù)丟失、科技創(chuàng)新水平下降、外包集中度過(guò)高等[3-4]，基于以上背景，城商行對(duì)信息科技外包風(fēng)險(xiǎn)的管理顯得尤為重要，審計(jì)部門(mén)作為風(fēng)險(xiǎn)管理第三道防線，亟需建立一套科學(xué)合理的審計(jì)評(píng)價(jià)體系，用以加強(qiáng)對(duì)信息科技外包風(fēng)險(xiǎn)管理的審計(jì)監(jiān)督，嚴(yán)防信息科技外包風(fēng)險(xiǎn)事件，為組織提質(zhì)增效。

二、信息科技外包審計(jì)評(píng)價(jià)體系

為確保審計(jì)結(jié)果有足夠的說(shuō)服力，并能客觀充分地反映被審計(jì)對(duì)象的現(xiàn)狀，建立評(píng)價(jià)體系的基本思路為：確定總體策略，制定評(píng)價(jià)方法，建立評(píng)價(jià)標(biāo)準(zhǔn)。

(一)總體策略

根據(jù)基本思路，先確定如下總體策略：一是要明確評(píng)價(jià)標(biāo)準(zhǔn)；二是以風(fēng)險(xiǎn)為導(dǎo)向；三是審計(jì)人員科學(xué)合理分工；四是降低審計(jì)風(fēng)險(xiǎn)(詳情見(jiàn)圖1)。

圖1 審計(jì)總體策略

(二)評(píng)價(jià)方法

以監(jiān)管要求和行業(yè)最佳實(shí)踐為出發(fā)點(diǎn)建立風(fēng)險(xiǎn)庫(kù)，按照風(fēng)險(xiǎn)領(lǐng)域的不同，為存在的固有風(fēng)險(xiǎn)賦予不同的權(quán)重，其中風(fēng)險(xiǎn)領(lǐng)域所占權(quán)重為一級(jí)權(quán)重，風(fēng)險(xiǎn)領(lǐng)域中各風(fēng)險(xiǎn)點(diǎn)所占權(quán)重為二級(jí)權(quán)重，檢查過(guò)程中每個(gè)風(fēng)險(xiǎn)點(diǎn)滿分100分，根據(jù)檢查結(jié)果進(jìn)行評(píng)分，檢查結(jié)果和對(duì)應(yīng)分值如下：完全符合(100分)，基本符合(75分)，中(50分)，基本不符合(25分)，完全不符合(0分)。各風(fēng)險(xiǎn)領(lǐng)域評(píng)分結(jié)果計(jì)算公式為：

R=∑p·i1·i2， (1)

其中，p為各風(fēng)險(xiǎn)點(diǎn)檢查得分，i1和i2為該風(fēng)險(xiǎn)點(diǎn)所占的一級(jí)權(quán)重和二級(jí)權(quán)重，審計(jì)最終評(píng)價(jià)得分為各風(fēng)險(xiǎn)領(lǐng)域得分的總和，即W=∑Rn。

(三)評(píng)價(jià)依據(jù)

得出評(píng)分結(jié)果后，還需要對(duì)評(píng)分結(jié)果進(jìn)行定性評(píng)價(jià)，設(shè)定如下評(píng)價(jià)依據(jù)：

優(yōu)：R≥90分，

良：75分≤R<90分，

中：60分≤R<75分，

差：R<60分。

基于以上定性和定量相結(jié)合的評(píng)價(jià)方法論，現(xiàn)以信息科技外包風(fēng)險(xiǎn)審計(jì)為例，闡述如何為組織提質(zhì)增效。

三、運(yùn)用與實(shí)踐

(一)風(fēng)險(xiǎn)識(shí)別

以監(jiān)管要求和行業(yè)最佳實(shí)踐為出發(fā)點(diǎn)，結(jié)合某城商行信息科技外包現(xiàn)狀，識(shí)別潛在風(fēng)險(xiǎn)，建立信息科技外包風(fēng)險(xiǎn)庫(kù)，梳理出5個(gè)領(lǐng)域共26個(gè)固有風(fēng)險(xiǎn)點(diǎn)，按照領(lǐng)域的不同，為各風(fēng)險(xiǎn)點(diǎn)設(shè)定一級(jí)權(quán)重和二級(jí)權(quán)重具體如表1、表2所示：

表1 固有風(fēng)險(xiǎn)點(diǎn)分布情況

表2 信息科技外包風(fēng)險(xiǎn)庫(kù)及權(quán)重分布

(二)風(fēng)險(xiǎn)評(píng)估

根據(jù)審計(jì)風(fēng)險(xiǎn)=固有風(fēng)險(xiǎn)×控制風(fēng)險(xiǎn)×檢查風(fēng)險(xiǎn)，對(duì)固有風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)、檢查風(fēng)險(xiǎn)分別進(jìn)行評(píng)估。

1.固有風(fēng)險(xiǎn)評(píng)估。固有風(fēng)險(xiǎn)是指沒(méi)有采取任何措施來(lái)改變風(fēng)險(xiǎn)的可能性或影響的情況下所面臨的風(fēng)險(xiǎn)。根據(jù)圖2所示標(biāo)準(zhǔn)對(duì)梳理出的固有風(fēng)險(xiǎn)點(diǎn)等級(jí)進(jìn)行評(píng)估。

圖2 固有風(fēng)險(xiǎn)等級(jí)評(píng)定標(biāo)準(zhǔn)

對(duì)于影響程度，根據(jù)該行信息科技外包實(shí)際情況,從客戶服務(wù)的影響范圍、聲譽(yù)影響的大小以及法律或者監(jiān)管影響的嚴(yán)重程度3個(gè)維度進(jìn)行綜合評(píng)估，將影響程度劃分為高、中、低3個(gè)等級(jí)。

根據(jù)上述標(biāo)準(zhǔn)，對(duì)固有風(fēng)險(xiǎn)點(diǎn)的評(píng)估結(jié)果為高風(fēng)險(xiǎn)7個(gè)，中風(fēng)險(xiǎn)13個(gè)，低風(fēng)險(xiǎn)6個(gè)。

2.控制風(fēng)險(xiǎn)評(píng)估?？刂朴行允侵缚梢酝ㄟ^(guò)內(nèi)部控制結(jié)構(gòu)、政策或程序及時(shí)預(yù)防和控制風(fēng)險(xiǎn)。接下來(lái)對(duì)信息科技外包風(fēng)險(xiǎn)管理的關(guān)鍵控制節(jié)點(diǎn)實(shí)施控制測(cè)試，并根據(jù)圖3所示標(biāo)準(zhǔn)對(duì)控制有效性進(jìn)行評(píng)估：

圖3 控制有效性綜合評(píng)定標(biāo)準(zhǔn)

發(fā)生頻率評(píng)定標(biāo)準(zhǔn)如表3所示：

表3 發(fā)生頻率評(píng)定標(biāo)準(zhǔn)

控制設(shè)計(jì)評(píng)估標(biāo)準(zhǔn)如表4所示：

表4 控制設(shè)計(jì)評(píng)估標(biāo)準(zhǔn)

控制執(zhí)行評(píng)估標(biāo)準(zhǔn)如下表5所示：

表5 控制執(zhí)行評(píng)估標(biāo)準(zhǔn)

3.檢查風(fēng)險(xiǎn)評(píng)估。為將審計(jì)風(fēng)險(xiǎn)控制在可接受的范圍內(nèi)，需對(duì)檢查風(fēng)險(xiǎn)進(jìn)行評(píng)估，并采取相關(guān)風(fēng)險(xiǎn)應(yīng)對(duì)措施，見(jiàn)表6：

表6 檢查風(fēng)險(xiǎn)及應(yīng)對(duì)措施

(三)確定審計(jì)重點(diǎn)

根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果，繪制剩余風(fēng)險(xiǎn)分布圖(見(jiàn)圖4)，并將剩余風(fēng)險(xiǎn)為“中”以上的項(xiàng)目列為審計(jì)重點(diǎn)，一共包括12項(xiàng)，如未建立清晰完整的信息科技外包管理組織架構(gòu)、未制定招投標(biāo)相關(guān)制度等。

圖4 剩余風(fēng)險(xiǎn)分布圖

(四)審計(jì)方法

1.外包風(fēng)險(xiǎn)管理組織架構(gòu)的完整性

(1)調(diào)閱相關(guān)制度文件，查看是否建立了信息科技外包風(fēng)險(xiǎn)管理組織架構(gòu)，是否明確信息科技外包風(fēng)險(xiǎn)管理的主管部門(mén)，是否明確各方職責(zé)。

(2)對(duì)分管信息科技的高管人員進(jìn)行訪談，了解其與信息科技相關(guān)的從業(yè)背景以及對(duì)信息科技外包的認(rèn)識(shí)，并查閱董事會(huì)、高管層履行信息科技外包風(fēng)險(xiǎn)管理職責(zé)的相關(guān)記錄，如議事規(guī)則、會(huì)議紀(jì)要或者對(duì)于外包重大事項(xiàng)的審批流程等。

(3)調(diào)閱部門(mén)職責(zé)和崗位說(shuō)明，確定行內(nèi)是否建立了信息科技外包管理執(zhí)行團(tuán)隊(duì)，并配備足夠人員，要求其提供相關(guān)材料證明履行以下職責(zé)：實(shí)施信息科技外包戰(zhàn)略；制定并執(zhí)行信息科技外包管理制度與流程；執(zhí)行供應(yīng)商準(zhǔn)入、評(píng)價(jià)、退出管理，建立并維護(hù)供應(yīng)商關(guān)系管理策略；制定保障外包服務(wù)持續(xù)性的應(yīng)急管理方案，并組織實(shí)施定期演練；對(duì)外包過(guò)程中的各項(xiàng)管理活動(dòng)進(jìn)行監(jiān)控及分析，定期向信息科技及外包風(fēng)險(xiǎn)管理的主管部門(mén)報(bào)告外包活動(dòng)情況等。

2.外包風(fēng)險(xiǎn)總體控制的有效性

(1)調(diào)閱相關(guān)文件，確認(rèn)是否制定了信息科技外包戰(zhàn)略，包括：不能外包的職能、資源能力建設(shè)方案、供應(yīng)商關(guān)系管理策略和外包分級(jí)管理策略等，是否明確了信息科技外包的定義、范圍、目標(biāo)和原則等。

(2)抽取部分員工進(jìn)行訪談，觀察其對(duì)外包風(fēng)險(xiǎn)的認(rèn)知程度，以及行內(nèi)對(duì)于相關(guān)策略、制度的宣貫程度。

(3)調(diào)閱風(fēng)險(xiǎn)管理部開(kāi)展全面外包風(fēng)險(xiǎn)管理評(píng)估的相關(guān)記錄，確認(rèn)其是否保持相對(duì)獨(dú)立性，并獲取其向高管人員提交評(píng)估報(bào)告的記錄以及高管人員的批示。

(4)調(diào)閱信息科技外包相關(guān)制度，并抽取重要環(huán)節(jié)進(jìn)行測(cè)試，確認(rèn)是否得到有效執(zhí)行。

(5)對(duì)已發(fā)生的重要風(fēng)險(xiǎn)事件進(jìn)行再評(píng)估，以確認(rèn)信息科技部等部門(mén)應(yīng)對(duì)風(fēng)險(xiǎn)所采取措施的合理性、及時(shí)性。

3.對(duì)外包商管理的有效性

(1)厘清信息科技外包活動(dòng)流程的各個(gè)環(huán)節(jié)，識(shí)別風(fēng)險(xiǎn)主要集中存在的環(huán)節(jié)。

(2)調(diào)閱外包發(fā)起部門(mén)對(duì)于供應(yīng)商的盡職調(diào)查報(bào)告，確認(rèn)以下方面內(nèi)容：一是相關(guān)審批手續(xù)是否完備，是否在發(fā)起外包前做過(guò)可行性分析，是否闡明必須外包的原因；二是盡職調(diào)查是否建立在現(xiàn)場(chǎng)調(diào)研、分析的基礎(chǔ)上，并有多個(gè)職能部門(mén)的參與，如財(cái)務(wù)、法規(guī)、后勤、紀(jì)檢等；三是是否對(duì)服務(wù)商的評(píng)價(jià)進(jìn)行量化。

(3)查看相關(guān)文件或IT系統(tǒng)，了解發(fā)起部門(mén)對(duì)于外包商的監(jiān)控是否合理及時(shí)，并查閱外包項(xiàng)目任務(wù)的跟蹤手段，了解異常處理機(jī)制，抽取部分流程進(jìn)行穿行測(cè)試，確認(rèn)控制點(diǎn)是否有效。

(4)調(diào)閱外包項(xiàng)目招投標(biāo)、后評(píng)價(jià)等相關(guān)制度要求及執(zhí)行情況。

(5)調(diào)閱信息安全培訓(xùn)記錄、機(jī)房進(jìn)出記錄、變更申請(qǐng)記錄、巡檢記錄、保密協(xié)議等，確認(rèn)外包日常管理的有效性。

(6)調(diào)閱對(duì)外包人員的監(jiān)控和考核記錄。

4.外包集中度和外包依賴性

(1)調(diào)閱外包合同清單，抽取樣本進(jìn)行數(shù)據(jù)分析，分別從簽訂筆數(shù)和金額角度進(jìn)行統(tǒng)計(jì)，以確認(rèn)是否存在外包集中度過(guò)高的情況。如存在，訪談相關(guān)負(fù)責(zé)人是否針對(duì)集中度過(guò)高的外包商進(jìn)行重點(diǎn)監(jiān)控，并獲取相關(guān)證據(jù)，證明其內(nèi)部控制和管理能力、持續(xù)運(yùn)營(yíng)能力等。

(2)對(duì)于外包依賴性的問(wèn)題，了解關(guān)鍵崗位的配備情況、核心系統(tǒng)運(yùn)維團(tuán)隊(duì)的技能配備，查看IT項(xiàng)目管理系統(tǒng)，確認(rèn)實(shí)現(xiàn)對(duì)開(kāi)發(fā)項(xiàng)目進(jìn)度的集中管理等。

5.合同管理

(1)調(diào)閱信息科技外包項(xiàng)目合同，核實(shí)合同在雙方的權(quán)利、義務(wù)、安全、保密、知識(shí)產(chǎn)權(quán)方面有否明確的界定，是否包含服務(wù)外包的期限、中止的條件和善后處理的事宜以及服務(wù)外包商應(yīng)承擔(dān)的責(zé)任等內(nèi)容。

(2)確認(rèn)外包合同審批流程的合規(guī)性。

(3)查看外包合同，確認(rèn)是否明確轉(zhuǎn)包和變相轉(zhuǎn)包相應(yīng)條款，是否包含明確的定性、定量績(jī)效指標(biāo)。

(五)審計(jì)評(píng)價(jià)

根據(jù)評(píng)價(jià)細(xì)則，“信息科技外包管理組織架構(gòu)”領(lǐng)域共包含4個(gè)檢查要點(diǎn)(見(jiàn)表7)，則該領(lǐng)域得分為：75×15%×30%+100×15%×25%+100×15%×25%+50×15%×20%=12.375分。

表7 檢查評(píng)價(jià)表

同理，將5大領(lǐng)域評(píng)分結(jié)果進(jìn)行匯總得到：

12.375+16.000+33.188+7.000+8.500=77.063分

因此本次審計(jì)評(píng)價(jià)結(jié)果為“良”，為便于決策者和被審計(jì)單位直觀地了解各領(lǐng)域得分情況，設(shè)計(jì)如下雷達(dá)圖(圖5)，各領(lǐng)域深色區(qū)域越靠近外部頂點(diǎn)，則說(shuō)明該領(lǐng)域控制措施越有效：

圖5 各領(lǐng)域評(píng)分雷達(dá)圖

(六)結(jié)果與成效

本次審計(jì)在改善該行信息科技外包風(fēng)險(xiǎn)管理、加強(qiáng)內(nèi)部控制方面取得了良好的成效。

1.提升高管意識(shí)，推動(dòng)策略調(diào)整。在出具正式的審計(jì)結(jié)果之前，審計(jì)組對(duì)分管信息科技的高管人員進(jìn)行了訪談。該高管具有多年的信息科技相關(guān)從業(yè)背景，對(duì)于信息科技外包也有非常深刻的理解。在聽(tīng)取了審計(jì)組對(duì)于重大問(wèn)題的匯報(bào)之后，該高管闡述了對(duì)于今后的信息科技外包工作的若干想法和改進(jìn)方向。

2.促進(jìn)內(nèi)控建設(shè)，完善制度流程。被審計(jì)單位在接到正式審計(jì)報(bào)告之后，相繼制定了信息科技外包管理辦法、信息科技項(xiàng)目管理辦法等，并對(duì)原有的招投標(biāo)等制度進(jìn)行了修訂，董事會(huì)辦公室也對(duì)相關(guān)的專門(mén)委員會(huì)議事規(guī)則進(jìn)行了補(bǔ)充和完善。

3.警示外包風(fēng)險(xiǎn)，督促加強(qiáng)管理。信息科技部在整改計(jì)劃中提到，將進(jìn)一步加強(qiáng)對(duì)外包服務(wù)人員的管理，重新梳理信息科技外包相關(guān)管理規(guī)范，嚴(yán)格執(zhí)行數(shù)據(jù)中心機(jī)房審批制度，重申“必需知道”和“最小授權(quán)”兩大原則，加強(qiáng)信息安全管理，確保信息科技外包日常工作安全平穩(wěn)運(yùn)作。

4.量化審計(jì)結(jié)果，提升認(rèn)可水平。被審計(jì)單位往往對(duì)簡(jiǎn)單定性結(jié)果不能做到心服口服，本次評(píng)價(jià)體系的評(píng)分量化為審計(jì)組和被審計(jì)單位之間確定了透明化的評(píng)價(jià)標(biāo)準(zhǔn)，哪些檢查點(diǎn)存在不足以及不足的程度如何，讓被審計(jì)單位能夠充分知曉和接受，提升了審計(jì)部門(mén)的權(quán)威性。

四、啟示與總結(jié)

以量化風(fēng)險(xiǎn)為導(dǎo)向的審計(jì)評(píng)價(jià)體系，為審計(jì)部門(mén)提供了較為合理可行的評(píng)價(jià)標(biāo)準(zhǔn)，審計(jì)部門(mén)以該體系為方法論開(kāi)展信息科技外包風(fēng)險(xiǎn)審計(jì)，取得了預(yù)期的成效，為組織提質(zhì)增效。同時(shí)，本次研究也得到了如下啟示：一是由于信息科技領(lǐng)域?qū)I(yè)性較強(qiáng)，內(nèi)審部門(mén)應(yīng)注重IT審計(jì)人才的儲(chǔ)備，必要時(shí)引進(jìn)外部專家協(xié)助工作，以保證該項(xiàng)目審計(jì)人員的專業(yè)勝任能力，切實(shí)履行內(nèi)部審計(jì)的監(jiān)督職能。二是信息科技風(fēng)險(xiǎn)往往具有隱蔽性和突發(fā)性，因此切不可將信息科技風(fēng)險(xiǎn)局限于事后審計(jì)，審計(jì)人員應(yīng)適時(shí)投身于信息科技重大事項(xiàng)當(dāng)中，充分發(fā)揮事前和事中的監(jiān)督職能，提出合理化建議，有助于信息科技風(fēng)險(xiǎn)防患于未然。三是審計(jì)組在實(shí)施完審計(jì)工作之后，可以將在審計(jì)過(guò)程中使用的信息科技外包風(fēng)險(xiǎn)庫(kù)、風(fēng)險(xiǎn)評(píng)定等級(jí)標(biāo)準(zhǔn)等風(fēng)險(xiǎn)評(píng)估工具交付給被審計(jì)單位，促使其明確管理標(biāo)準(zhǔn)，在日常管理中通過(guò)自我評(píng)估達(dá)到持續(xù)完善信息科技外包風(fēng)險(xiǎn)管理水平的目的。