莫广周

(柳州银行股份有限公司，广西 柳州 545001)

一、研究背景

随着业务水平的不断发展，银行业对于信息科技的依赖不断加深，银行业务由传统的线下操作逐步向信息化过渡。为支持和保障自身业务平稳、高效运作，大中型银行纷纷建立和培养专门的信息科技团队，但城市商业银行由于受到资金压力、人力资源、技术水平等因素的限制，大多数选择了信息科技外包的道路[1]。2013年2月，银监会正式印发了《银行业金融机构信息科技外包风险监管指引》，对商业银行信息科技外包给出了具体定义，并对商业银行外包管理及非驻场外包管理提出了具体要求。2017年3月底至4月，银监会连续发声，要求加强信息科技风险防控，完善外包管理体系，降低外包风险，不得将信息科技管理责任外包，要确保重要时期关键基础设施、重要业务系统的安全、平稳运行，坚决杜绝发生重大风险事件[2]。监管部门对信息科技外包的风险越来越重视，管控也越来越严，提出的要求也越来越细。

研究表明，选择信息科技外包的道路，这是一把双刃剑。中小商业银行在付出一定费用后可以共享外包公司专业的服务，可以将更多的精力集中于研发核心业务产品和改善服务，但是，这把双刃剑也可能同时在给银行引入新的风险，如信息泄露、数据丢失、科技创新水平下降、外包集中度过高等[3-4]，基于以上背景，城商行对信息科技外包风险的管理显得尤为重要，审计部门作为风险管理第三道防线，亟需建立一套科学合理的审计评价体系，用以加强对信息科技外包风险管理的审计监督，严防信息科技外包风险事件，为组织提质增效。

二、信息科技外包审计评价体系

为确保审计结果有足够的说服力，并能客观充分地反映被审计对象的现状，建立评价体系的基本思路为：确定总体策略，制定评价方法，建立评价标准。

(一)总体策略

根据基本思路，先确定如下总体策略：一是要明确评价标准；二是以风险为导向；三是审计人员科学合理分工；四是降低审计风险(详情见图1)。

图1 审计总体策略

(二)评价方法

以监管要求和行业最佳实践为出发点建立风险库，按照风险领域的不同，为存在的固有风险赋予不同的权重，其中风险领域所占权重为一级权重，风险领域中各风险点所占权重为二级权重，检查过程中每个风险点满分100分，根据检查结果进行评分，检查结果和对应分值如下：完全符合(100分)，基本符合(75分)，中(50分)，基本不符合(25分)，完全不符合(0分)。各风险领域评分结果计算公式为：

R=∑p·i1·i2， (1)

其中，p为各风险点检查得分，i1和i2为该风险点所占的一级权重和二级权重，审计最终评价得分为各风险领域得分的总和，即W=∑Rn。

(三)评价依据

得出评分结果后，还需要对评分结果进行定性评价，设定如下评价依据：

优：R≥90分，

良：75分≤R<90分，

中：60分≤R<75分，

差：R<60分。

基于以上定性和定量相结合的评价方法论，现以信息科技外包风险审计为例，阐述如何为组织提质增效。

三、运用与实践

(一)风险识别

以监管要求和行业最佳实践为出发点，结合某城商行信息科技外包现状，识别潜在风险，建立信息科技外包风险库，梳理出5个领域共26个固有风险点，按照领域的不同，为各风险点设定一级权重和二级权重具体如表1、表2所示：

表1 固有风险点分布情况

表2 信息科技外包风险库及权重分布

(二)风险评估

根据审计风险=固有风险×控制风险×检查风险，对固有风险、控制风险、检查风险分别进行评估。

1.固有风险评估。固有风险是指没有采取任何措施来改变风险的可能性或影响的情况下所面临的风险。根据图2所示标准对梳理出的固有风险点等级进行评估。

图2 固有风险等级评定标准

对于影响程度，根据该行信息科技外包实际情况,从客户服务的影响范围、声誉影响的大小以及法律或者监管影响的严重程度3个维度进行综合评估，将影响程度划分为高、中、低3个等级。

根据上述标准，对固有风险点的评估结果为高风险7个，中风险13个，低风险6个。

2.控制风险评估。控制有效性是指可以通过内部控制结构、政策或程序及时预防和控制风险。接下来对信息科技外包风险管理的关键控制节点实施控制测试，并根据图3所示标准对控制有效性进行评估：

图3 控制有效性综合评定标准

发生频率评定标准如表3所示：

表3 发生频率评定标准

控制设计评估标准如表4所示：

表4 控制设计评估标准

控制执行评估标准如下表5所示：

表5 控制执行评估标准

3.检查风险评估。为将审计风险控制在可接受的范围内，需对检查风险进行评估，并采取相关风险应对措施，见表6：

表6 检查风险及应对措施

(三)确定审计重点

根据风险评估结果，绘制剩余风险分布图(见图4)，并将剩余风险为“中”以上的项目列为审计重点，一共包括12项，如未建立清晰完整的信息科技外包管理组织架构、未制定招投标相关制度等。

图4 剩余风险分布图

(四)审计方法

1.外包风险管理组织架构的完整性

(1)调阅相关制度文件，查看是否建立了信息科技外包风险管理组织架构，是否明确信息科技外包风险管理的主管部门，是否明确各方职责。

(2)对分管信息科技的高管人员进行访谈，了解其与信息科技相关的从业背景以及对信息科技外包的认识，并查阅董事会、高管层履行信息科技外包风险管理职责的相关记录，如议事规则、会议纪要或者对于外包重大事项的审批流程等。

(3)调阅部门职责和岗位说明，确定行内是否建立了信息科技外包管理执行团队，并配备足够人员，要求其提供相关材料证明履行以下职责：实施信息科技外包战略；制定并执行信息科技外包管理制度与流程；执行供应商准入、评价、退出管理，建立并维护供应商关系管理策略；制定保障外包服务持续性的应急管理方案，并组织实施定期演练；对外包过程中的各项管理活动进行监控及分析，定期向信息科技及外包风险管理的主管部门报告外包活动情况等。

2.外包风险总体控制的有效性

(1)调阅相关文件，确认是否制定了信息科技外包战略，包括：不能外包的职能、资源能力建设方案、供应商关系管理策略和外包分级管理策略等，是否明确了信息科技外包的定义、范围、目标和原则等。

(2)抽取部分员工进行访谈，观察其对外包风险的认知程度，以及行内对于相关策略、制度的宣贯程度。

(3)调阅风险管理部开展全面外包风险管理评估的相关记录，确认其是否保持相对独立性，并获取其向高管人员提交评估报告的记录以及高管人员的批示。

(4)调阅信息科技外包相关制度，并抽取重要环节进行测试，确认是否得到有效执行。

(5)对已发生的重要风险事件进行再评估，以确认信息科技部等部门应对风险所采取措施的合理性、及时性。

3.对外包商管理的有效性

(1)厘清信息科技外包活动流程的各个环节，识别风险主要集中存在的环节。

(2)调阅外包发起部门对于供应商的尽职调查报告，确认以下方面内容：一是相关审批手续是否完备，是否在发起外包前做过可行性分析，是否阐明必须外包的原因；二是尽职调查是否建立在现场调研、分析的基础上，并有多个职能部门的参与，如财务、法规、后勤、纪检等；三是是否对服务商的评价进行量化。

(3)查看相关文件或IT系统，了解发起部门对于外包商的监控是否合理及时，并查阅外包项目任务的跟踪手段，了解异常处理机制，抽取部分流程进行穿行测试，确认控制点是否有效。

(4)调阅外包项目招投标、后评价等相关制度要求及执行情况。

(5)调阅信息安全培训记录、机房进出记录、变更申请记录、巡检记录、保密协议等，确认外包日常管理的有效性。

(6)调阅对外包人员的监控和考核记录。

4.外包集中度和外包依赖性

(1)调阅外包合同清单，抽取样本进行数据分析，分别从签订笔数和金额角度进行统计，以确认是否存在外包集中度过高的情况。如存在，访谈相关负责人是否针对集中度过高的外包商进行重点监控，并获取相关证据，证明其内部控制和管理能力、持续运营能力等。

(2)对于外包依赖性的问题，了解关键岗位的配备情况、核心系统运维团队的技能配备，查看IT项目管理系统，确认实现对开发项目进度的集中管理等。

5.合同管理

(1)调阅信息科技外包项目合同，核实合同在双方的权利、义务、安全、保密、知识产权方面有否明确的界定，是否包含服务外包的期限、中止的条件和善后处理的事宜以及服务外包商应承担的责任等内容。

(2)确认外包合同审批流程的合规性。

(3)查看外包合同，确认是否明确转包和变相转包相应条款，是否包含明确的定性、定量绩效指标。

(五)审计评价

根据评价细则，“信息科技外包管理组织架构”领域共包含4个检查要点(见表7)，则该领域得分为：75×15%×30%+100×15%×25%+100×15%×25%+50×15%×20%=12.375分。

表7 检查评价表

同理，将5大领域评分结果进行汇总得到：

12.375+16.000+33.188+7.000+8.500=77.063分

因此本次审计评价结果为“良”，为便于决策者和被审计单位直观地了解各领域得分情况，设计如下雷达图(图5)，各领域深色区域越靠近外部顶点，则说明该领域控制措施越有效：

图5 各领域评分雷达图

(六)结果与成效

本次审计在改善该行信息科技外包风险管理、加强内部控制方面取得了良好的成效。

1.提升高管意识，推动策略调整。在出具正式的审计结果之前，审计组对分管信息科技的高管人员进行了访谈。该高管具有多年的信息科技相关从业背景，对于信息科技外包也有非常深刻的理解。在听取了审计组对于重大问题的汇报之后，该高管阐述了对于今后的信息科技外包工作的若干想法和改进方向。

2.促进内控建设，完善制度流程。被审计单位在接到正式审计报告之后，相继制定了信息科技外包管理办法、信息科技项目管理办法等，并对原有的招投标等制度进行了修订，董事会办公室也对相关的专门委员会议事规则进行了补充和完善。

3.警示外包风险，督促加强管理。信息科技部在整改计划中提到，将进一步加强对外包服务人员的管理，重新梳理信息科技外包相关管理规范，严格执行数据中心机房审批制度，重申“必需知道”和“最小授权”两大原则，加强信息安全管理，确保信息科技外包日常工作安全平稳运作。

4.量化审计结果，提升认可水平。被审计单位往往对简单定性结果不能做到心服口服，本次评价体系的评分量化为审计组和被审计单位之间确定了透明化的评价标准，哪些检查点存在不足以及不足的程度如何，让被审计单位能够充分知晓和接受，提升了审计部门的权威性。

四、启示与总结

以量化风险为导向的审计评价体系，为审计部门提供了较为合理可行的评价标准，审计部门以该体系为方法论开展信息科技外包风险审计，取得了预期的成效，为组织提质增效。同时，本次研究也得到了如下启示：一是由于信息科技领域专业性较强，内审部门应注重IT审计人才的储备，必要时引进外部专家协助工作，以保证该项目审计人员的专业胜任能力，切实履行内部审计的监督职能。二是信息科技风险往往具有隐蔽性和突发性，因此切不可将信息科技风险局限于事后审计，审计人员应适时投身于信息科技重大事项当中，充分发挥事前和事中的监督职能，提出合理化建议，有助于信息科技风险防患于未然。三是审计组在实施完审计工作之后，可以将在审计过程中使用的信息科技外包风险库、风险评定等级标准等风险评估工具交付给被审计单位，促使其明确管理标准，在日常管理中通过自我评估达到持续完善信息科技外包风险管理水平的目的。