信息系统专项审计2882.pdfVIP

信息系统专项审计

一、信息科技外包审计

信息科技外包是指组织将原来由自身负责处理的某些

业务活动委托给服务提供商进行持续处理的行为，包括系统

研发类外包、咨询服务类外包、系统运行维护类外包及业务

外包中的相关信息科技活动等内容。

服务提供商包括独立的第三方、组织母公司或其所属集

团设立在中国境内外的子公司、关联公司或附属机构。非驻

场外包是一种特殊形式的外包，与驻场外包一样也会导致各

类风险，但具体管控环节和方式不同。

A.信息科技外包战略规划审计

（一）业务概述

信息科技外包战略是指企业对信息科技外包的目标和

策略的组合。企业信息科技外包的远景、使合、合题等的全

局规划和方针及定位。

（二）审计目标和内容

通过对信息科技外包战略规划的审计，判断组织在外包

战略规划方面：

1.是否建立了信息科技外包战略，所建立的外包战略是

否具有全局性、长远性及可操作性的特点。

2.是否明确了外包管理基本原则，是否能确保风险、成

本和效益的平衡，并考虑了减少对供应商过分依赖和掌握核

心技术的相关因素。

3.是否定期修正外包战略；外包战略是否定期由高级管

理层审阅，外包战略是否被各相关部门知悉。

B.信息科技外包治理审计

（一）业务概述

信息科技外包治理是指组织中的信息科技外包的决策

机制和管理方式和管理制度等内容。

（二）审计目标和内容

通过对信息科技外包治理的审计，判断组织在外包治理

方面：

1.是否建立信息科技外包组织、明确组织职责、岗位职

责；是否建立信息科技外包管理体系，明确管理流程和管理

方法。

2.是否建立了正式的信息科技外包管理制度，并评价外

包制度和流程的可操作性。

3.是否建立了针对信息科技外包各个环节的风险评估要

求，是否建立了外包商尽职调查、外包集中度评估和外包应

急预案制订等规定，并得到了有效执行。

C.信息科技外包商管理审计

（一）业务概述

信息科技外包商管理是指对为组织提供信息科技服务

的外包商进行准入、外包采购需求管理、外包商选择与尽职

调查、外包合同签订等方面的管理工作。

（二）审计目标和内容

通过对信息科技外包商管理的审计，判断组织在外包商

管理方面：

1.获取了充分的信息科技外包商准入信息，包括但不限

于：内部控制与管理能力信息、持续经营能力信息、技术与

服务能力信息等。

2.开展了信息科技外包采购需求管理。外包项目的需求

应符合信息系统规划框架，对未纳入采购计划或项目推迟的

项目需求进行原因分析，并及时反馈给需求方。

3.通过招标方式来选择信息科技外包商，并对外包商进

行了尽职调查；与外包商签订了适宜的信息科技外包合同与

服务水平协议（SLA）。

4.组织的外包项目验收小组应对阶段性验收和最终验收

的结果进行记录与归档，形成验收报告，记录实际项目情况

与服务水平协议的一致性与差异性。

5.组织应对外包商进行阶段性的考核工作，对外包商的

异常情况进行及时纠正，根据考核结果对外包商建立奖惩机

制。

D.信息科技外包项目管理审计

（一）业务概述

信息科技外包项目管理是指对信息科技外包项目运用

项目管理的方法和技术工具进行管理。

（二）审计目标和内容

通过对信息科技外包项目管理的审计，判断组织在外包

项目管理方面：

1.开展了信息科技外包项目计划管理，在项目计划阶段

对项目进行基本分工，明确各生命周期阶段的里程碑与交付

品，确定各阶段的时间计划。

2.在信息科技外包项目预算管理方面，组织建立了外包

项目财务预算管理策略，制定管理制度，对外包服务的预算

进行有序管理。

3.实施了对信息科技外包项目的监控，确保外包商定期

提交项目进度报告及成本与绩效报告：比较外包项目的实际

完成情况及时间进度、投入人力情况、资源实际可用度、知

识转移情况等。

4.开展了对信息科技外包项目的后评价，应至少从以下

方面对外包项目进行绩效评价：过程质量、交付质量、知识

管理、客户满意度等。

E.信息科技外包人员管理审计

（一）业务概述