外包( outsourcing) ,英文的直譯是“外部資源”,指企業(yè)整合利用其外部最優(yōu)秀的專業(yè)化資源,從而達(dá)到降低成本,提高效率,充分發(fā)揮自身核心競(jìng)爭(zhēng)力和增強(qiáng)企業(yè)對(duì)環(huán)境的應(yīng)變能力的一種管理模式。在全球化日益加劇的今天,外包這一現(xiàn)代企業(yè)管理模式已經(jīng)被成功地應(yīng)用到了眾多領(lǐng)域,但是外包應(yīng)用得最廣泛的還是軟件外包。
　　軟件外包起源于印度,顧名思義,是指把軟件生產(chǎn)、銷售和維護(hù)的某個(gè)或某些環(huán)節(jié)交由其他公司來(lái)完成。軟件外包作為一種降低軟件開發(fā)成本和縮短軟件開發(fā)時(shí)間的有效手段,被許多軟件公司應(yīng)用到軟件產(chǎn)品各個(gè)生命周期中。軟件外包有很多優(yōu)點(diǎn),但很多企業(yè)實(shí)施外包最主要的目的并不是為了降低開發(fā)成本,而是為了解決企業(yè)內(nèi)部人力資源的限制,使得企業(yè)不用招聘新員工就可以接手大型項(xiàng)目。按照外包的內(nèi)容不同,可以將軟件外包可分為軟件產(chǎn)品開發(fā)( software product & technology services)外包、軟件專業(yè)服務(wù)( software related services) 外包、IT關(guān)聯(lián)服務(wù)( IT enabled services) 外包三類。軟件是一種邏輯產(chǎn)品,它具有不可見(jiàn)性、不可測(cè)量性和高度彈性,正因?yàn)槿绱?外包風(fēng)險(xiǎn)軟件的質(zhì)量控制就變得十分困難。無(wú)論是上述哪一種軟件外包方式,也無(wú)論在外包過(guò)程中哪一階段(發(fā)包階段、開發(fā)階段) ,都存在一定的風(fēng)險(xiǎn)。
　　導(dǎo)致軟件外包風(fēng)險(xiǎn)的直接原因是軟件外包雙方信息的不對(duì)稱,“委托—代理”關(guān)系便是企業(yè)和外包承包方之間關(guān)系的寫照。由于存在信息不對(duì)稱,委托人往往比代理人處于一個(gè)更不利的位置。軟件發(fā)包方與軟件承包方之間的關(guān)系也是如此,軟件承包方往往并不能深入地了解發(fā)包方的具體情況,處于信息劣勢(shì)狀態(tài),而軟件發(fā)包方也對(duì)軟件開發(fā)過(guò)程不了解,這又加劇了軟件外包的項(xiàng)目風(fēng)險(xiǎn)。
　　為了防范軟件外包風(fēng)險(xiǎn),提高外包項(xiàng)目的質(zhì)量,應(yīng)在軟件外包實(shí)施過(guò)程中引入IT審計(jì)制度對(duì)其進(jìn)行跟蹤審計(jì)。本文以軟件產(chǎn)品開發(fā)這一軟件外包形式為例,來(lái)探討軟件外包過(guò)程中實(shí)施IT審計(jì)的內(nèi)容和模式。
　　二、軟件外包的IT審計(jì)
　　IT審計(jì),又被稱為信息系統(tǒng)審計(jì)( information system audit) , 目前還沒(méi)有固定通用的定義。1996年日本通產(chǎn)省對(duì)IT審計(jì)作出如下定義:“為了信息系統(tǒng)的安全、可靠與有效,由獨(dú)立于審計(jì)對(duì)象的IT審計(jì)師,以第三方的客觀立場(chǎng)對(duì)以計(jì)算機(jī)為核心的信息系統(tǒng)進(jìn)行綜合的檢查與評(píng)價(jià),向IT審計(jì)對(duì)象的最高領(lǐng)導(dǎo)提出問(wèn)題與建議的一連串活動(dòng)。”軟件項(xiàng)目開發(fā)過(guò)程中引入IT審計(jì)的目的是控制整個(gè)開發(fā)的過(guò)程,即項(xiàng)目成本、進(jìn)度和質(zhì)量等目標(biāo),使軟件開發(fā)過(guò)程中出現(xiàn)的偏差迅速顯現(xiàn),從而及時(shí)地糾正偏差,使整個(gè)開發(fā)過(guò)程透明、高效。軟件運(yùn)行過(guò)程中引入IT審計(jì)是保證軟件提供的信息的可用性、保密性和完整性,從而達(dá)到控制軟件的安全性、可靠性與有效性,延長(zhǎng)軟件生命周期的目的。
　　軟件外包IT審計(jì)的對(duì)象是外包的軟件,它涵蓋了軟件發(fā)包、軟件開發(fā)和軟件運(yùn)行維護(hù)的整個(gè)過(guò)程。同建筑產(chǎn)品外包一樣,軟件產(chǎn)品的外包質(zhì)量是外包的關(guān)鍵所在。拋開外包過(guò)程中發(fā)包人、承包人責(zé)任心等一些主觀因素,就外包軟件類型而言,目前軟件外包的主要內(nèi)容是重寫核心系統(tǒng)、重新設(shè)計(jì)系統(tǒng)、維護(hù)老系統(tǒng)、數(shù)據(jù)清洗和軟件升級(jí)。這些工作非常枯燥且費(fèi)時(shí)費(fèi)力,承包人很容易偷工減料、馬虎了事,進(jìn)而影響到整個(gè)軟件的質(zhì)量。為了保證外包軟件的質(zhì)量,我們?cè)谕獍^(guò)程中引入IT審計(jì)制度,對(duì)以計(jì)算機(jī)為核心的軟件從發(fā)包開始,到軟件規(guī)劃、分析、設(shè)計(jì)、編程、測(cè)試、運(yùn)行、維護(hù)的整個(gè)外包軟件生命周期實(shí)施IT審計(jì)。軟件外包IT審計(jì)主要包括以下內(nèi)容。
　　(1)發(fā)包方的審計(jì)。主要審計(jì)發(fā)包方是否具有完善的項(xiàng)目管理體制,是否具有雄厚的技術(shù)實(shí)力和優(yōu)秀的技術(shù)人員;是否具有良好的信譽(yù)度和品牌度;是否能夠清晰地分析發(fā)包軟件的產(chǎn)品需求,并用文檔的形式記錄下來(lái)。
　　(2)承包方的審計(jì)。主要是審計(jì)承包方是否具有發(fā)包方要求的設(shè)計(jì)技術(shù)和人才,軟件開發(fā)管理是否正規(guī),是否具有良好的業(yè)界信譽(yù)。
　　(3)發(fā)包流程審計(jì)。主要是審計(jì)是否具有完整、詳細(xì)的外包合作過(guò)程與計(jì)劃;合作協(xié)議是否規(guī)范;發(fā)包方是否依據(jù)計(jì)劃跟蹤承包方的軟件開發(fā)過(guò)程,并按照文檔化的規(guī)范,對(duì)承包方的工作陳述、子合同條款、條件以及其他約定進(jìn)行更改;發(fā)包方和承包方雙方的管理者是否一起執(zhí)行定期的狀態(tài)或協(xié)調(diào)評(píng)審;承包商是否參與定期技術(shù)評(píng)審和交流;按照文檔化的規(guī)范在所選擇的里程碑處進(jìn)行正式評(píng)審,評(píng)價(jià)承包商的軟件工程完成情況與結(jié)果。
　　(4)軟件開發(fā)的管理、規(guī)劃與組織的審計(jì)。主要是審計(jì)軟件的管理、計(jì)劃與組織方面的策略、政策、標(biāo)準(zhǔn)、程序和相關(guān)實(shí)務(wù);以軟件開發(fā)計(jì)劃為標(biāo)準(zhǔn),跟蹤軟件開發(fā)過(guò)程,包括軟件開發(fā)的規(guī)劃、分析、設(shè)計(jì)和實(shí)施過(guò)程, 比照CMM 和ISO9000標(biāo)準(zhǔn),對(duì)出現(xiàn)的問(wèn)題及時(shí)更正;盡量減少軟件開發(fā)錯(cuò)誤的“水波效應(yīng)”;審計(jì)發(fā)包方是否按照文檔化的規(guī)范進(jìn)行驗(yàn)收測(cè)試,定期評(píng)價(jià)承包商的能力。
　　(5)軟件技術(shù)基礎(chǔ)設(shè)施與操作實(shí)務(wù)審計(jì)。主要是審計(jì)評(píng)價(jià)承包方在技術(shù)與操作基礎(chǔ)設(shè)施的管理和實(shí)施方面的有效性及其效率,以確保其充分支持軟件的目標(biāo)。
　　(6)資產(chǎn)的保護(hù)審計(jì)。主要是對(duì)邏輯、環(huán)境與信息技術(shù)基礎(chǔ)設(shè)施的安全性進(jìn)行評(píng)價(jià)審計(jì),確保發(fā)包方能保護(hù)信息資產(chǎn), 防止信息資產(chǎn)在未經(jīng)授權(quán)的情況下被使用、披露、修改、損壞或丟失,造成不必要的、意想不到的災(zāi)難。
　　(7)災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計(jì)劃審計(jì)。主要審計(jì)在發(fā)生災(zāi)難時(shí),能夠使發(fā)包方的業(yè)務(wù)持續(xù)進(jìn)行,并對(duì)這種計(jì)劃的建立和維護(hù)流程進(jìn)行評(píng)價(jià)。
　　(8)軟件實(shí)施與維護(hù)及業(yè)務(wù)流程評(píng)價(jià)與風(fēng)險(xiǎn)管理審計(jì)。主要是對(duì)應(yīng)用軟件的實(shí)施與維護(hù)方面所采用的方法和流程進(jìn)行審計(jì),評(píng)估業(yè)務(wù)系統(tǒng)與處理流程,確保根據(jù)組織的業(yè)務(wù)目標(biāo)對(duì)相應(yīng)風(fēng)險(xiǎn)實(shí)施管理。
　　目前國(guó)際上對(duì)IT項(xiàng)目進(jìn)行監(jiān)控常用的方法是IT項(xiàng)目管理。雖然IT審計(jì)和IT項(xiàng)目管理都是由第三方對(duì)軟件的質(zhì)量進(jìn)行監(jiān)督管理,但I(xiàn)T項(xiàng)目管理的對(duì)象是工程項(xiàng)目,僅覆蓋軟件的開發(fā)階段,即在一定的成本、進(jìn)度和質(zhì)量目標(biāo)下,控制項(xiàng)目的開發(fā),當(dāng)項(xiàng)目完成后,項(xiàng)目管理工作就結(jié)束了,而對(duì)占軟件生命周期60% ～70%的軟件運(yùn)行維護(hù)階段的質(zhì)量卻沒(méi)有監(jiān)控。實(shí)際上,軟件開發(fā)
　　過(guò)程中的測(cè)試工作并不能把軟件開發(fā)過(guò)程的所有bug(故障)全部測(cè)試出來(lái),而這些bug的存在是軟件運(yùn)行過(guò)程中的隱患,隨時(shí)都會(huì)轉(zhuǎn)化為軟件的運(yùn)行風(fēng)險(xiǎn)。外包的軟件由于軟件發(fā)包方和承包方的多種原因,在軟件中就可能存在較多的bug,如果不對(duì)軟件運(yùn)行和維護(hù)階段進(jìn)行監(jiān)控,無(wú)形中就加大了軟件外包的風(fēng)險(xiǎn)。軟件外包過(guò)程引入IT審計(jì),不僅是在軟件的開發(fā)階段進(jìn)行跟蹤審計(jì),而且還包括了在軟件的運(yùn)行維護(hù)階段進(jìn)行監(jiān)控,這在制度上保證了外包軟件的質(zhì)量,避免了外包風(fēng)險(xiǎn)。
　　印度軟件企業(yè)為了承攬一些歐美國(guó)家的外包軟件業(yè)務(wù),花費(fèi)巨大的財(cái)力,想方設(shè)法獲得有關(guān)軟件過(guò)程管理的CMM (CapabilityMature Model)和ISO9000認(rèn)證。我國(guó)規(guī)模大的軟件公司并不是很多,大多是一些100 人以下的小公司,它們的資金狀況并不是很好,無(wú)法承擔(dān)進(jìn)行CMM等認(rèn)證的費(fèi)用。但軟件外包這塊“蛋糕”實(shí)在誘人,為了達(dá)到規(guī)范軟件開發(fā)過(guò)程、獲得更多的外包項(xiàng)目這一目的,可以在承包軟件項(xiàng)目時(shí),引入IT審計(jì)制度。在IT審計(jì)過(guò)程中借鑒CMM模型的思想,借助“第三方”專業(yè)的IT審計(jì)師技術(shù)及其經(jīng)驗(yàn)來(lái)規(guī)范外包項(xiàng)目的計(jì)劃、開發(fā)實(shí)施的進(jìn)度和質(zhì)量,對(duì)后期的運(yùn)行維護(hù)等過(guò)程進(jìn)行監(jiān)控。在CMM第二級(jí)———CMM2中的“軟件子合同管理”KPA ( key process area)就已經(jīng)涉及了軟件外包管理問(wèn)題,它規(guī)定了企業(yè)應(yīng)如何管理軟件開發(fā)業(yè)務(wù)和軟件開發(fā)子合同。軟件外包管理實(shí)際上涵蓋了軟件生命周期中的各個(gè)過(guò)程,任何一個(gè)軟件外包過(guò)程都會(huì)涉及到需求管理、軟件計(jì)劃、質(zhì)量管理、項(xiàng)目追蹤、配置管理等內(nèi)容。CMM模型定義了軟件子合同管理要達(dá)到的目標(biāo)、實(shí)施時(shí)必須履行的承諾和需要具備的能力,定義了進(jìn)行軟件子合同管理應(yīng)該進(jìn)行的活動(dòng)。但是, CMM模型中只是給出了“應(yīng)該做什么”,“應(yīng)該達(dá)到什么樣的目標(biāo)”,而對(duì)“如何做”這一關(guān)鍵問(wèn)題并沒(méi)有給出相應(yīng)的指導(dǎo)。我們?cè)谲浖獍幸隝T審計(jì)時(shí),可以借鑒CMM模型的一些成熟的經(jīng)驗(yàn),不是孤立地看待CMM的軟件子合同管理,而是從管理入手,將其視為能將其他軟件開發(fā)過(guò)程從公司內(nèi)部部分延伸到公司外部的管理規(guī)范、管理技術(shù)和管理理念。這樣引入IT審計(jì),就可以使軟件發(fā)包方能夠有效地管理與控制其業(yè)務(wù)分包過(guò)程。
　　三、軟件外包IT審計(jì)的實(shí)施
　　1. IT審計(jì)證據(jù)的獲取
　　軟件外包IT審計(jì)的證據(jù)也是通過(guò)查詢文檔、問(wèn)卷調(diào)查、數(shù)據(jù)抽樣等方式獲得的。由于計(jì)算機(jī)技術(shù)和信息系統(tǒng)的日益復(fù)雜,導(dǎo)致系統(tǒng)的輸入和輸出的對(duì)應(yīng)關(guān)系日趨薄弱,系統(tǒng)中數(shù)據(jù)處理幾乎不會(huì)留下痕跡。因此, IT審計(jì)人員必須清楚系統(tǒng)的功能模塊,才能獲得精確可靠的數(shù)據(jù)資料,不能僅僅通過(guò)簡(jiǎn)單的輸入輸出審計(jì)就作出結(jié)論。就是說(shuō),需要IT審計(jì)人員對(duì)軟件外包過(guò)程進(jìn)行跟蹤審計(jì)。
　　軟件外包IT審計(jì)的主要目標(biāo)是提高外包軟件的安全性、可靠性和有效性。IT審計(jì)人員在對(duì)審計(jì)證據(jù)進(jìn)行評(píng)價(jià)時(shí),首先要考慮控制需求。即評(píng)估收集的審計(jì)證據(jù)是否滿足事先制定的控制需求和控制目標(biāo),如果控制點(diǎn)不清,就需要審計(jì)人員根據(jù)經(jīng)驗(yàn)作出判斷。在這一過(guò)程中,控制矩陣經(jīng)常被用來(lái)衡量系統(tǒng)控制的適當(dāng)程度。第二,審計(jì)人員必須考慮補(bǔ)償性控制和重疊性控制。補(bǔ)償性控制指某一系統(tǒng)的健全機(jī)制對(duì)其他有缺陷的控制機(jī)制形成補(bǔ)償。而重疊性控制則是指某一系統(tǒng)同時(shí)擁有兩套健全的控制。第三,控制的相關(guān)性和效果也必須受到重視。但即使擁有完備的控制機(jī)制,軟件也有可能出現(xiàn)意外情況,因此, IT審計(jì)人員必須執(zhí)行測(cè)試程序并評(píng)估控制與控制目標(biāo)的相關(guān)性。一般說(shuō)來(lái), IT審計(jì)人員都應(yīng)當(dāng)先審計(jì)補(bǔ)償性審計(jì),再報(bào)告控制缺陷。此外, IT審計(jì)人員也需要使用一定模型并根據(jù)自己的經(jīng)驗(yàn)收集審計(jì)的證據(jù),以判斷審計(jì)計(jì)劃中控制目標(biāo)是否得到實(shí)現(xiàn)。在審計(jì)過(guò)程中,工程可靠性模型、貝葉斯模型和信息系統(tǒng)效果評(píng)價(jià)模型都是IT審計(jì)人員經(jīng)常使用的。
　　2. 軟件外包IT審計(jì)的實(shí)施模式
　　軟件外包中的IT審計(jì)主體是外部審計(jì)主體。即獨(dú)立于發(fā)包方和承包方的“第三方”審計(jì)主體,IT審計(jì)工作包括審計(jì)準(zhǔn)備活動(dòng)和正式的審計(jì)活動(dòng)。IT審計(jì)工作的準(zhǔn)備包括收集背景信息,估計(jì)完成審計(jì)需要的資源和技術(shù),包括:合理進(jìn)行人員分工;與發(fā)包方和承包方項(xiàng)目負(fù)責(zé)人舉行一次正式開始審計(jì)的會(huì)議,確定審計(jì)范圍,制定日程,解釋審計(jì)方法;使雙方互相認(rèn)識(shí),闡明問(wèn)題,強(qiáng)調(diào)審計(jì)的關(guān)注點(diǎn),使得審計(jì)工作得以順利進(jìn)行。在IT審計(jì)實(shí)施的過(guò)程中,獨(dú)立于發(fā)、包雙方的“第三方”審計(jì)人員對(duì)照審計(jì)目標(biāo)開展工作,針對(duì)出現(xiàn)的問(wèn)題提出改進(jìn)的方案。同樣,在審計(jì)完成后,再召開一次正式會(huì)議,雙方項(xiàng)目負(fù)責(zé)人交流審計(jì)結(jié)果,提出改進(jìn)建議。這將增加審計(jì)建議的接納程度,也給了審計(jì)師一個(gè)機(jī)會(huì)來(lái)表達(dá)他們的觀點(diǎn)。會(huì)議之后寫出報(bào)告,提交發(fā)、包雙方。
　　在審計(jì)過(guò)程中采用什么樣的模式來(lái)保障IT審計(jì)工作的公平有效,是推行IT審計(jì)制度的首要問(wèn)題。IT審計(jì)在中國(guó)登陸的時(shí)間并不是很長(zhǎng),研究其實(shí)施模式的學(xué)者還不多,借鑒目前在IT工程項(xiàng)目管理中項(xiàng)目監(jiān)理的應(yīng)用模式,根據(jù)IT審計(jì)內(nèi)容和程度不同,提出以下三種方式。
　　(1)咨詢式監(jiān)理。所謂咨詢式監(jiān)理,即只對(duì)用戶方就企業(yè)信息化過(guò)程中提出的問(wèn)題進(jìn)行解答,其性質(zhì)類似于業(yè)務(wù)咨詢或方案咨詢。這種方式費(fèi)用最少,監(jiān)理方的責(zé)任最輕,適合于對(duì)信息化有較好的把握、技術(shù)力量較強(qiáng)的用戶方采用。
　　(2)里程碑式監(jiān)理。是將信息系統(tǒng)的建設(shè)劃分為若干個(gè)階段,在每一個(gè)階段結(jié)尾都設(shè)置一個(gè)里程碑,在里程碑到來(lái)時(shí)通知監(jiān)理方進(jìn)行審查或測(cè)試。一般來(lái)講,這種方式比咨詢式監(jiān)理的費(fèi)用要多,監(jiān)理方也要承擔(dān)一定的責(zé)任。不過(guò),里程碑的確定需要乙方的參與,或者說(shuō)監(jiān)理合同的確立需要開發(fā)方的參與,否則就會(huì)因?qū)锍瘫慕缍ú煌ハ喑镀ぁ?br /> 　　(3)全程式監(jiān)理。全程式監(jiān)理是一種復(fù)雜的監(jiān)理方式,不但要求對(duì)系統(tǒng)建設(shè)過(guò)程中的里程碑進(jìn)行審查,還應(yīng)該派相應(yīng)人員全程跟蹤,收集系統(tǒng)開發(fā)過(guò)程中的信息,不斷評(píng)估開發(fā)方的開發(fā)質(zhì)量和效果。這種方式費(fèi)用最高,監(jiān)理方的責(zé)任也最大,適合那些對(duì)信息系統(tǒng)的開發(fā)不太了解、技術(shù)力量偏弱的用戶方采用。
　　以上方法各有弊端。因?yàn)镮T審計(jì)與項(xiàng)目監(jiān)理不同,項(xiàng)目監(jiān)理在項(xiàng)目開發(fā)結(jié)束以后就結(jié)束了,而IT審計(jì)在項(xiàng)目的整個(gè)生命中都存在,正因?yàn)槿绱?單獨(dú)采用咨詢的模式就不妥當(dāng)。里程碑監(jiān)理所采用的對(duì)軟件開發(fā)過(guò)程的審查和測(cè)試,在一定程度上能及時(shí)發(fā)現(xiàn)軟件錯(cuò)誤,但是由于軟件這種產(chǎn)品的特殊性,往往僅對(duì)一兩個(gè)里程碑審查和測(cè)試,是不能發(fā)現(xiàn)其中的bug的,這樣,軟件產(chǎn)品就存在很大的風(fēng)險(xiǎn)。另一方面,由于在工程中交流的障礙,造成雙方信息的不對(duì)稱,還會(huì)由于交流不充分而造成不必要的錯(cuò)誤。因此,綜合三種模式,軟件外包IT審計(jì)應(yīng)采用圖1的模式。

　　IT審計(jì)工作實(shí)施時(shí),首先是IT項(xiàng)目發(fā)包方向IT審計(jì)負(fù)責(zé)人咨詢,并請(qǐng)IT審計(jì)負(fù)責(zé)人派IT審計(jì)小組深入承包方工作現(xiàn)場(chǎng),對(duì)項(xiàng)目進(jìn)行全過(guò)程的實(shí)時(shí)監(jiān)督、控制和管理,對(duì)項(xiàng)目出現(xiàn)的問(wèn)題,及時(shí)提出改進(jìn)的意見(jiàn),在審計(jì)過(guò)程中接受專業(yè)審計(jì)小組的指導(dǎo),并及時(shí)地向IT審計(jì)負(fù)責(zé)人報(bào)告審計(jì)結(jié)果。
　　作為軟件項(xiàng)目中的項(xiàng)目外包或者部分功能模塊的外包,由于軟件開發(fā)的固有特性(風(fēng)險(xiǎn)大,柔性強(qiáng),人為因素突出,結(jié)果不容易測(cè)量等) ,使軟件項(xiàng)目的外包管理變得十分復(fù)雜。如何控制分包方的開發(fā)進(jìn)度和質(zhì)量等關(guān)鍵因素,需要在實(shí)踐中不斷探索。