2025年信息系统专项审计.pdfVIP

天行健，君子以自强不息。地势坤，君子以厚德载物。——《周易》

信息系统专项审计

一、信息科技外包审计

信息科技外包是指组织将原来由自身负责处理的某些

业务活动委托给服务提供商进行持续处理的行为，包括系统

研发类外包、咨询服务类外包、系统运行维护类外包及业务

外包中的相关信息科技活动等内容。

服务提供商包括独立的第三方、组织母公司或其所属集

团设立在中国境内外的子公司、关联公司或附属机构。非驻

场外包是一种特殊形式的外包，与驻场外包一样也会导致各

类风险，但具体管控环节和方式不同。

A.信息科技外包战略规划审计

（一）业务概述

信息科技外包战略是指企业对信息科技外包的目标和

策略的组合。企业信息科技外包的远景、使合、合题等的全

局规划和方针及定位。

（二）审计目标和内容

通过对信息科技外包战略规划的审计，判断组织在外包

战略规划方面：

1.是否建立了信息科技外包战略，所建立的外包战略是

否具有全局性、长远性及可操作性的特点。

穷则独善其身，达则兼善天下。——《孟子》

2.是否明确了外包管理基本原则，是否能确保风险、成

本和效益的平衡，并考虑了减少对供应商过分依赖和掌握核

心技术的相关因素。

3.是否定期修正外包战略；外包战略是否定期由高级管

理层审阅，外包战略是否被各相关部门知悉。

B.信息科技外包治理审计

（一）业务概述

信息科技外包治理是指组织中的信息科技外包的决策

机制和管理方式和管理制度等内容。

（二）审计目标和内容

通过对信息科技外包治理的审计，判断组织在外包治理

方面：

1.是否建立信息科技外包组织、明确组织职责、岗位职

责；是否建立信息科技外包管理体系，明确管理流程和管理

方法。

2.是否建立了正式的信息科技外包管理制度，并评价外

包制度和流程的可操作性。

3.是否建立了针对信息科技外包各个环节的风险评估要

求，是否建立了外包商尽职调查、外包集中度评估和外包应

急预案制订等规定，并得到了有效执行。

C.信息科技外包商管理审计

（一）业务概述

君子忧道不忧贫。——孔丘

信息科技外包商管理是指对为组织提供信息科技服务

的外包商进行准入、外包采购需求管理、外包商选择与尽职

调查、外包合同签订等方面的管理工作。

（二）审计目标和内容

通过对信息科技外包商管理的审计，判断组织在外包商

管理方面：

1.获取了充分的信息科技外包商准入信息，包括但不限

于：内部控制与管理能力信息、持续经营能力信息、技术与

服务能力信息等。

2.开展了信息科技外包采购需求管理。外包项目的需求

应符合信息系统规划框架，对未纳入采购计划或项目推迟的

项目需求进行原因分析，并及时反馈给需求方。

3.通过招标方式来选择信息科技外包商，并对外包商进

行了尽职调查；与外包商签订了适宜的信息科技外包合同与

服务水平协议（SLA）。

4.组织的外包项目验收小组应对阶段性验收和最终验收

的结果进行记录与归档，形成验收报告，记录实际项目情况