外包( outsourcing) ,英文的直譯是“外部資源”,指企業(yè)整合利用其外部最優(yōu)秀的專業(yè)化資源,從而達到降低成本,提高效率,充分發(fā)揮自身核心競爭力和增強企業(yè)對環(huán)境的應(yīng)變能力的一種管理模式。在全球化日益加劇的今天,外包這一現(xiàn)代企業(yè)管理模式已經(jīng)被成功地應(yīng)用到了眾多領(lǐng)域,但是外包應(yīng)用得最廣泛的還是軟件外包。
　　軟件外包起源于印度,顧名思義,是指把軟件生產(chǎn)、銷售和維護的某個或某些環(huán)節(jié)交由其他公司來完成。軟件外包作為一種降低軟件開發(fā)成本和縮短軟件開發(fā)時間的有效手段,被許多軟件公司應(yīng)用到軟件產(chǎn)品各個生命周期中。軟件外包有很多優(yōu)點,但很多企業(yè)實施外包最主要的目的并不是為了降低開發(fā)成本,而是為了解決企業(yè)內(nèi)部人力資源的限制,使得企業(yè)不用招聘新員工就可以接手大型項目。按照外包的內(nèi)容不同,可以將軟件外包可分為軟件產(chǎn)品開發(fā)( software product & technology services)外包、軟件專業(yè)服務(wù)( software related services) 外包、IT關(guān)聯(lián)服務(wù)( IT enabled services) 外包三類。軟件是一種邏輯產(chǎn)品,它具有不可見性、不可測量性和高度彈性,正因為如此,外包風(fēng)險軟件的質(zhì)量控制就變得十分困難。無論是上述哪一種軟件外包方式,也無論在外包過程中哪一階段(發(fā)包階段、開發(fā)階段) ,都存在一定的風(fēng)險。
　　導(dǎo)致軟件外包風(fēng)險的直接原因是軟件外包雙方信息的不對稱,“委托—代理”關(guān)系便是企業(yè)和外包承包方之間關(guān)系的寫照。由于存在信息不對稱,委托人往往比代理人處于一個更不利的位置。軟件發(fā)包方與軟件承包方之間的關(guān)系也是如此,軟件承包方往往并不能深入地了解發(fā)包方的具體情況,處于信息劣勢狀態(tài),而軟件發(fā)包方也對軟件開發(fā)過程不了解,這又加劇了軟件外包的項目風(fēng)險。
　　為了防范軟件外包風(fēng)險,提高外包項目的質(zhì)量,應(yīng)在軟件外包實施過程中引入IT審計制度對其進行跟蹤審計。本文以軟件產(chǎn)品開發(fā)這一軟件外包形式為例,來探討軟件外包過程中實施IT審計的內(nèi)容和模式。
　　二、軟件外包的IT審計
　　IT審計,又被稱為信息系統(tǒng)審計( information system audit) , 目前還沒有固定通用的定義。1996年日本通產(chǎn)省對IT審計作出如下定義:“為了信息系統(tǒng)的安全、可靠與有效,由獨立于審計對象的IT審計師,以第三方的客觀立場對以計算機為核心的信息系統(tǒng)進行綜合的檢查與評價,向IT審計對象的最高領(lǐng)導(dǎo)提出問題與建議的一連串活動。”軟件項目開發(fā)過程中引入IT審計的目的是控制整個開發(fā)的過程,即項目成本、進度和質(zhì)量等目標,使軟件開發(fā)過程中出現(xiàn)的偏差迅速顯現(xiàn),從而及時地糾正偏差,使整個開發(fā)過程透明、高效。軟件運行過程中引入IT審計是保證軟件提供的信息的可用性、保密性和完整性,從而達到控制軟件的安全性、可靠性與有效性,延長軟件生命周期的目的。
　　軟件外包IT審計的對象是外包的軟件,它涵蓋了軟件發(fā)包、軟件開發(fā)和軟件運行維護的整個過程。同建筑產(chǎn)品外包一樣,軟件產(chǎn)品的外包質(zhì)量是外包的關(guān)鍵所在。拋開外包過程中發(fā)包人、承包人責(zé)任心等一些主觀因素,就外包軟件類型而言,目前軟件外包的主要內(nèi)容是重寫核心系統(tǒng)、重新設(shè)計系統(tǒng)、維護老系統(tǒng)、數(shù)據(jù)清洗和軟件升級。這些工作非常枯燥且費時費力,承包人很容易偷工減料、馬虎了事,進而影響到整個軟件的質(zhì)量。為了保證外包軟件的質(zhì)量,我們在外包過程中引入IT審計制度,對以計算機為核心的軟件從發(fā)包開始,到軟件規(guī)劃、分析、設(shè)計、編程、測試、運行、維護的整個外包軟件生命周期實施IT審計。軟件外包IT審計主要包括以下內(nèi)容。
　　(1)發(fā)包方的審計。主要審計發(fā)包方是否具有完善的項目管理體制,是否具有雄厚的技術(shù)實力和優(yōu)秀的技術(shù)人員;是否具有良好的信譽度和品牌度;是否能夠清晰地分析發(fā)包軟件的產(chǎn)品需求,并用文檔的形式記錄下來。
　　(2)承包方的審計。主要是審計承包方是否具有發(fā)包方要求的設(shè)計技術(shù)和人才,軟件開發(fā)管理是否正規(guī),是否具有良好的業(yè)界信譽。
　　(3)發(fā)包流程審計。主要是審計是否具有完整、詳細的外包合作過程與計劃;合作協(xié)議是否規(guī)范;發(fā)包方是否依據(jù)計劃跟蹤承包方的軟件開發(fā)過程,并按照文檔化的規(guī)范,對承包方的工作陳述、子合同條款、條件以及其他約定進行更改;發(fā)包方和承包方雙方的管理者是否一起執(zhí)行定期的狀態(tài)或協(xié)調(diào)評審;承包商是否參與定期技術(shù)評審和交流;按照文檔化的規(guī)范在所選擇的里程碑處進行正式評審,評價承包商的軟件工程完成情況與結(jié)果。
　　(4)軟件開發(fā)的管理、規(guī)劃與組織的審計。主要是審計軟件的管理、計劃與組織方面的策略、政策、標準、程序和相關(guān)實務(wù);以軟件開發(fā)計劃為標準,跟蹤軟件開發(fā)過程,包括軟件開發(fā)的規(guī)劃、分析、設(shè)計和實施過程, 比照CMM 和ISO9000標準,對出現(xiàn)的問題及時更正;盡量減少軟件開發(fā)錯誤的“水波效應(yīng)”;審計發(fā)包方是否按照文檔化的規(guī)范進行驗收測試,定期評價承包商的能力。
　　(5)軟件技術(shù)基礎(chǔ)設(shè)施與操作實務(wù)審計。主要是審計評價承包方在技術(shù)與操作基礎(chǔ)設(shè)施的管理和實施方面的有效性及其效率,以確保其充分支持軟件的目標。
　　(6)資產(chǎn)的保護審計。主要是對邏輯、環(huán)境與信息技術(shù)基礎(chǔ)設(shè)施的安全性進行評價審計,確保發(fā)包方能保護信息資產(chǎn), 防止信息資產(chǎn)在未經(jīng)授權(quán)的情況下被使用、披露、修改、損壞或丟失,造成不必要的、意想不到的災(zāi)難。
　　(7)災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計劃審計。主要審計在發(fā)生災(zāi)難時,能夠使發(fā)包方的業(yè)務(wù)持續(xù)進行,并對這種計劃的建立和維護流程進行評價。
　　(8)軟件實施與維護及業(yè)務(wù)流程評價與風(fēng)險管理審計。主要是對應(yīng)用軟件的實施與維護方面所采用的方法和流程進行審計,評估業(yè)務(wù)系統(tǒng)與處理流程,確保根據(jù)組織的業(yè)務(wù)目標對相應(yīng)風(fēng)險實施管理。
　　目前國際上對IT項目進行監(jiān)控常用的方法是IT項目管理。雖然IT審計和IT項目管理都是由第三方對軟件的質(zhì)量進行監(jiān)督管理,但IT項目管理的對象是工程項目,僅覆蓋軟件的開發(fā)階段,即在一定的成本、進度和質(zhì)量目標下,控制項目的開發(fā),當(dāng)項目完成后,項目管理工作就結(jié)束了,而對占軟件生命周期60% ～70%的軟件運行維護階段的質(zhì)量卻沒有監(jiān)控。實際上,軟件開發(fā)
　　過程中的測試工作并不能把軟件開發(fā)過程的所有bug(故障)全部測試出來,而這些bug的存在是軟件運行過程中的隱患,隨時都會轉(zhuǎn)化為軟件的運行風(fēng)險。外包的軟件由于軟件發(fā)包方和承包方的多種原因,在軟件中就可能存在較多的bug,如果不對軟件運行和維護階段進行監(jiān)控,無形中就加大了軟件外包的風(fēng)險。軟件外包過程引入IT審計,不僅是在軟件的開發(fā)階段進行跟蹤審計,而且還包括了在軟件的運行維護階段進行監(jiān)控,這在制度上保證了外包軟件的質(zhì)量,避免了外包風(fēng)險。
　　印度軟件企業(yè)為了承攬一些歐美國家的外包軟件業(yè)務(wù),花費巨大的財力,想方設(shè)法獲得有關(guān)軟件過程管理的CMM (CapabilityMature Model)和ISO9000認證。我國規(guī)模大的軟件公司并不是很多,大多是一些100 人以下的小公司,它們的資金狀況并不是很好,無法承擔(dān)進行CMM等認證的費用。但軟件外包這塊“蛋糕”實在誘人,為了達到規(guī)范軟件開發(fā)過程、獲得更多的外包項目這一目的,可以在承包軟件項目時,引入IT審計制度。在IT審計過程中借鑒CMM模型的思想,借助“第三方”專業(yè)的IT審計師技術(shù)及其經(jīng)驗來規(guī)范外包項目的計劃、開發(fā)實施的進度和質(zhì)量,對后期的運行維護等過程進行監(jiān)控。在CMM第二級———CMM2中的“軟件子合同管理”KPA ( key process area)就已經(jīng)涉及了軟件外包管理問題,它規(guī)定了企業(yè)應(yīng)如何管理軟件開發(fā)業(yè)務(wù)和軟件開發(fā)子合同。軟件外包管理實際上涵蓋了軟件生命周期中的各個過程,任何一個軟件外包過程都會涉及到需求管理、軟件計劃、質(zhì)量管理、項目追蹤、配置管理等內(nèi)容。CMM模型定義了軟件子合同管理要達到的目標、實施時必須履行的承諾和需要具備的能力,定義了進行軟件子合同管理應(yīng)該進行的活動。但是, CMM模型中只是給出了“應(yīng)該做什么”,“應(yīng)該達到什么樣的目標”,而對“如何做”這一關(guān)鍵問題并沒有給出相應(yīng)的指導(dǎo)。我們在軟件外包中引入IT審計時,可以借鑒CMM模型的一些成熟的經(jīng)驗,不是孤立地看待CMM的軟件子合同管理,而是從管理入手,將其視為能將其他軟件開發(fā)過程從公司內(nèi)部部分延伸到公司外部的管理規(guī)范、管理技術(shù)和管理理念。這樣引入IT審計,就可以使軟件發(fā)包方能夠有效地管理與控制其業(yè)務(wù)分包過程。
　　三、軟件外包IT審計的實施
　　1. IT審計證據(jù)的獲取
　　軟件外包IT審計的證據(jù)也是通過查詢文檔、問卷調(diào)查、數(shù)據(jù)抽樣等方式獲得的。由于計算機技術(shù)和信息系統(tǒng)的日益復(fù)雜,導(dǎo)致系統(tǒng)的輸入和輸出的對應(yīng)關(guān)系日趨薄弱,系統(tǒng)中數(shù)據(jù)處理幾乎不會留下痕跡。因此, IT審計人員必須清楚系統(tǒng)的功能模塊,才能獲得精確可靠的數(shù)據(jù)資料,不能僅僅通過簡單的輸入輸出審計就作出結(jié)論。就是說,需要IT審計人員對軟件外包過程進行跟蹤審計。
　　軟件外包IT審計的主要目標是提高外包軟件的安全性、可靠性和有效性。IT審計人員在對審計證據(jù)進行評價時,首先要考慮控制需求。即評估收集的審計證據(jù)是否滿足事先制定的控制需求和控制目標,如果控制點不清,就需要審計人員根據(jù)經(jīng)驗作出判斷。在這一過程中,控制矩陣經(jīng)常被用來衡量系統(tǒng)控制的適當(dāng)程度。第二,審計人員必須考慮補償性控制和重疊性控制。補償性控制指某一系統(tǒng)的健全機制對其他有缺陷的控制機制形成補償。而重疊性控制則是指某一系統(tǒng)同時擁有兩套健全的控制。第三,控制的相關(guān)性和效果也必須受到重視。但即使擁有完備的控制機制,軟件也有可能出現(xiàn)意外情況,因此, IT審計人員必須執(zhí)行測試程序并評估控制與控制目標的相關(guān)性。一般說來, IT審計人員都應(yīng)當(dāng)先審計補償性審計,再報告控制缺陷。此外, IT審計人員也需要使用一定模型并根據(jù)自己的經(jīng)驗收集審計的證據(jù),以判斷審計計劃中控制目標是否得到實現(xiàn)。在審計過程中,工程可靠性模型、貝葉斯模型和信息系統(tǒng)效果評價模型都是IT審計人員經(jīng)常使用的。
　　2. 軟件外包IT審計的實施模式
　　軟件外包中的IT審計主體是外部審計主體。即獨立于發(fā)包方和承包方的“第三方”審計主體,IT審計工作包括審計準備活動和正式的審計活動。IT審計工作的準備包括收集背景信息,估計完成審計需要的資源和技術(shù),包括:合理進行人員分工;與發(fā)包方和承包方項目負責(zé)人舉行一次正式開始審計的會議,確定審計范圍,制定日程,解釋審計方法;使雙方互相認識,闡明問題,強調(diào)審計的關(guān)注點,使得審計工作得以順利進行。在IT審計實施的過程中,獨立于發(fā)、包雙方的“第三方”審計人員對照審計目標開展工作,針對出現(xiàn)的問題提出改進的方案。同樣,在審計完成后,再召開一次正式會議,雙方項目負責(zé)人交流審計結(jié)果,提出改進建議。這將增加審計建議的接納程度,也給了審計師一個機會來表達他們的觀點。會議之后寫出報告,提交發(fā)、包雙方。
　　在審計過程中采用什么樣的模式來保障IT審計工作的公平有效,是推行IT審計制度的首要問題。IT審計在中國登陸的時間并不是很長,研究其實施模式的學(xué)者還不多,借鑒目前在IT工程項目管理中項目監(jiān)理的應(yīng)用模式,根據(jù)IT審計內(nèi)容和程度不同,提出以下三種方式。
　　(1)咨詢式監(jiān)理。所謂咨詢式監(jiān)理,即只對用戶方就企業(yè)信息化過程中提出的問題進行解答,其性質(zhì)類似于業(yè)務(wù)咨詢或方案咨詢。這種方式費用最少,監(jiān)理方的責(zé)任最輕,適合于對信息化有較好的把握、技術(shù)力量較強的用戶方采用。
　　(2)里程碑式監(jiān)理。是將信息系統(tǒng)的建設(shè)劃分為若干個階段,在每一個階段結(jié)尾都設(shè)置一個里程碑,在里程碑到來時通知監(jiān)理方進行審查或測試。一般來講,這種方式比咨詢式監(jiān)理的費用要多,監(jiān)理方也要承擔(dān)一定的責(zé)任。不過,里程碑的確定需要乙方的參與,或者說監(jiān)理合同的確立需要開發(fā)方的參與,否則就會因?qū)锍瘫慕缍ú煌ハ喑镀ぁ?br /> 　　(3)全程式監(jiān)理。全程式監(jiān)理是一種復(fù)雜的監(jiān)理方式,不但要求對系統(tǒng)建設(shè)過程中的里程碑進行審查,還應(yīng)該派相應(yīng)人員全程跟蹤,收集系統(tǒng)開發(fā)過程中的信息,不斷評估開發(fā)方的開發(fā)質(zhì)量和效果。這種方式費用最高,監(jiān)理方的責(zé)任也最大,適合那些對信息系統(tǒng)的開發(fā)不太了解、技術(shù)力量偏弱的用戶方采用。
　　以上方法各有弊端。因為IT審計與項目監(jiān)理不同,項目監(jiān)理在項目開發(fā)結(jié)束以后就結(jié)束了,而IT審計在項目的整個生命中都存在,正因為如此,單獨采用咨詢的模式就不妥當(dāng)。里程碑監(jiān)理所采用的對軟件開發(fā)過程的審查和測試,在一定程度上能及時發(fā)現(xiàn)軟件錯誤,但是由于軟件這種產(chǎn)品的特殊性,往往僅對一兩個里程碑審查和測試,是不能發(fā)現(xiàn)其中的bug的,這樣,軟件產(chǎn)品就存在很大的風(fēng)險。另一方面,由于在工程中交流的障礙,造成雙方信息的不對稱,還會由于交流不充分而造成不必要的錯誤。因此,綜合三種模式,軟件外包IT審計應(yīng)采用圖1的模式。

　　IT審計工作實施時,首先是IT項目發(fā)包方向IT審計負責(zé)人咨詢,并請IT審計負責(zé)人派IT審計小組深入承包方工作現(xiàn)場,對項目進行全過程的實時監(jiān)督、控制和管理,對項目出現(xiàn)的問題,及時提出改進的意見,在審計過程中接受專業(yè)審計小組的指導(dǎo),并及時地向IT審計負責(zé)人報告審計結(jié)果。
　　作為軟件項目中的項目外包或者部分功能模塊的外包,由于軟件開發(fā)的固有特性(風(fēng)險大,柔性強,人為因素突出,結(jié)果不容易測量等) ,使軟件項目的外包管理變得十分復(fù)雜。如何控制分包方的開發(fā)進度和質(zhì)量等關(guān)鍵因素,需要在實踐中不斷探索。