企业IT服务外包中存在的风险及防范对策研究 毕业论文.doc

毕业设计（论文）题目 企业IT服务外包中存在的风险及防范对策研究 二级学院 管理学院 专 业 工商管理 班 级 110040101 学生姓名 学号1100401018 指导教师 评阅教师 时 间 2012年12月-2013年6月 摘 要 本文通过对于IT服务外包进行分析，其中包括IT服务外包的概念，IT服务外包的作用与优势，IT服务外包的特点与发展现状，IT服务外包的风险和现有防范对策。同时分析将来IT服务外包的发展前景和其在将来所处的市场环境。对于IT服务外包的发展和未来的风险及防范对策做出自己的预测和分析。关键词：企业；IT服务；风险；防范对策AbstractIn the recent years, as a result of globalization, internet and IT progress, the outsourcing of IT services has seen an exponential growth. As a result more and more companies decide to outsource, partially or totally, their IT services. Nevertheless, the outsourcing process expos-es both clients and service providers to a series of risks that can seriously affect their activi-ties. Managing these risks by improving the quality and efficiency of internal control has made the ITO audit a necessary component for all the companies involved in this process. The goal of this paper is to identify analyze and map the influence areas of ITO risks in order to suggest a series of objectives for ITO audit.Keywords: Information Technology, Outsourcing, Audit, Risks, Service Provider 目 录第1章 绪论41.1企业IT服务外包发展现状51.2研究目的和意义71.3研究内容和方法7第2章 企业IT服务外包的相关基本理论72.1企业IT服务外包的内涵72.1.1企业IT服务外包的含义72.1.2企业IT服务外包的内容82.2企业IT服务外包的特点：82.3企业IT服务外包的作用82.4企业IT服务外包的优势92.4.1业务方面92.4.2财务方面102.4.3技术方面102.4.4企业战略102.4.5人力资源方面112.5 影响IT服务外包行业发展的经济因素分析112.6 影响IT服务外包行业发展的政策因素分析132.7 阻碍中国服务外包内需市场潜力释放的主要因素分析142.8 IT服务外包行业发展的制约因素分析15第3章 企业IT服务外包的风险分析163.1企业IT服务外包的风险163.1.1企业成本有可能增加163.1.2企业的灵活性降低163.1.3可能会泄解企业的商业机密163.1.4对外包商缺乏恰当的管理173.1.5合同本身存在的问题173.1.6协作风险183.1.7知识受损风险183.1.8削弱技术创新能力风险193.2企业IT服务外包的风险分析193.2.1基于外包企业的风险分析193.2.2基于服务商的风险分析193.2.3基于交易的风险分析193.2.4合同执行中的风险分析203.2.5基于企业的风险分析203.2.6基于服务的风险分析203.2.7基于交易的风险20第4章 IT服务外包的风险防范对策204.1企业对自己的信息安全防护204.2合理选择外包服务商224.2.1评价指标体系244.2.2外包服务商评价步骤244.3风险控制234.3.1企业内部决策阶段风险控制234.3.2与外包服务商签订合同234.3.3外包服务开展234.3.4成果验收及后期维护244.4针对IT 外包商的风险管理策略244.4.1慎重确定外包商范围244.4.2全面审查外包商资格244.4.3严格实行合同管理254.4.4建立外包商激励机制254.5 IT服务外包风险的间接防范策略25第五章 结论25致谢参 考 文 献26第1章 绪论1.1企业IT服务外包发展现状随着经济全球化的发展，降低企业成本和提高核心竞争力成为企业不断追求的目标。国际服务外包作为新兴的企业管理经营模式自上世纪出现以来得到了突飞猛进的发展，越来越多的国家参与到国际服务外包的进程中。我国作为发展中国家，是目前最重要的服务外包承接国之一。 我国服务外包产业仍处于起步成长阶段和学习期，仍应对其发展模式和规律进行不断探索。我们的产业规模和交付能力，与服务外包先进国家相比，还存在较大差距。产业分工仍处于全球服务产业供应链的相对低端，整合全球资源的能力不足，“中国服务”品牌尚未被全球服务买家广泛认知，产业的国际话语权弱；符合产业发展需要的创新型、实用型、复合型人力资源供给仍存在缺口，地区之间存在产业同质化现象；制约我国在岸服务市场释放的体制、机制障碍依然较多，产业综合发展环境有待进一步完善。我们必须科学判断和准确把握发展趋势，充分利用有利条件，加快解决突出矛盾和问题，集中力量推进服务外包产业实现规模效应。虽然行业整体依然相对分散，但单个企业的规模正变得越来越大：在接受调查的58%的企业，2008年收入超过了5000万人民币，而2005年此比例为46%。2008年，38%的企业有1000名以上的全职员工，而在2005年这样的企业仅占8%随着规模的提高，企业的实力和定价能力也同步增长：2004-2007年间，通过CMM/CMMI3级别4或级别5认证的企业数量每年都增加39%；同时，企业的收费水平也在提高。图1.1 中国IT服务外包企业数目图1.2 中国IT外包企业收入图1.3 中国IT外包企业收费率就当前我国外包产业的整体协作发展来看，这种1：1：1的比例结构比较合理，形成了良好的产业分工，经验丰富实力强大的企业主要从事大型项目，从事总包业务；经验不足实力较弱的企业主要从事小型项目，从事分包业务。这样形成产业竞争的有序结构，有利于外包产业的长远发展。并且，随着我国信息服务外包企业整体经验的提升，在承接的外包业务也将随之向高端业务逐步延伸，实现价值链的提升。 图1.4 2008年中国IT服务外包企业从事外包业务的年限中国有近3000家服务外包企业，近年发生了众多的兼并和收购，仅09上半年我国IT服务行业有24起较大规模的并购案例，并购案例数和金额分别同比增长75%和160%。行业正在迅速整合。并购是中国服务外包行业快速增长的一个可预见结果。1.2研究目的和意义 随着市场经济体制的不断发展，IT服务外包成为了大多数企业经营过程中不可或缺的一部分，在将来，IT服务外包将会成为企业的一个必要组成。但是，IT服务外包也会带来巨大的和不可预知的风险。IT服务外包中存在的风险。分析及防范对策研究，一方面会极大的减少和避免企业在IT服务外包的过程中产生的各种风险，有利于企业的发展壮大。另一方面，IT服务外包行业随着规模的增大会逐渐成为市场经济的重要一环，IT服务外包中存在的风险分析及防范对策研究会使得IT服务外包得到更多企业的认同和使用，极大的促进IT外包服务企业的发展。 1.3研究内容和方法 IT服务外包中存在的风险分析及防范对策研究主要是研究IT服务外包有何种风险、风险产生的原因以及如何防范这些风险的措施、如何减少风险的影响等等。第2章 企业IT服务外包的相关基本理论2.1企业IT服务外包的内涵2.1.1企业IT服务外包的含义张园林(2008)提出IT 外包是指组织聘用外部专业服务商来为组织提供信息系统或信息技术服务的一种实践或管理策略, 它也引申为雇佣外部组织或个人来发展企业内部的信息系统的行为; 严格意义上的IT 外包, 还意味着将企业信息技术部门( 包括设备和人员) 整体交由外部服务商来管理, 直至成为后者的一个部门3。2.1.2企业IT服务外包的内容企业IT 服务外包可以包括以下内容: 信息化规划(咨询)、设备和软件选型、网络系统和应用软件系统建设、整个系统网络的日常维护管理和升级等1。2.2企业IT服务外包的特点：(1) 互补性。IT服务商在IT外包中提供的产品和服务是整合了企业的业务领域专业知识、流程知识、先进的信息技术所创造的成果。 (2) 复杂性。企业所拥有的业务领域专业知识, 对于IT服务商而言, 是不容易理解和学习的知识, IT服务商所拥有的信息技术专业知识, 对于企业而言, 也是不容易学习和掌握的。(3) 过程循环性。企业IT外包的过程中, 企业的IT需求可能会随业务活动或环境的变化而发生变化, 为了更好地为企业服务, IT服务商需要进行不断的技术更新和产品创新。 (4) 专属性。IT外包中, IT服务商为企业所提供的是满足企业特定需求并结合了企业专业领域知识和业务流程知识的产品和服务, 具有知识的专属特性, 这些知识资产适用于特定的企业, 为企业的特殊需求服务。(5) 风险性。IT服务商的技术水平和创新能力可能在最开始的时候能够满足企业需求, 随着业务活动的开展和信息技术的发展, IT服务商可能无法满足企业的要求。在IT外包的知识转移过程中, 还会产生一系列相关风险, 例如知识受损风险、知识泄密风险等。(6) 人员流动性。与IT外包有关的企业员工和IT服务商员工都具有一定的流动性, 企业员工的流动会影响到企业业务知识的发送、信息技术知识的接收, IT服务商员工的流动会影响到对企业业务知识的吸收, 对IT需求的理解, 开发和服务的连续性等4。2.3企业IT服务外包的作用2.3.1是企业集中更多精力专注其核心产业，优化资源配置对于大多数企业而言，IT技术虽然是很重要的，企业的核心技术离不开IT环境，但是IT技术需要大量的专业技术人才，是企业的巨大负担，所以IT服务外包使得企业可以安心集中更多精力专注其核心产业，避免人力资源的大量浪费6 5。2.3.2提高市场地位和产品的竞争力对于企业而言，IT技术和IT环境会对会极大影响企业的市场地位和产品的竞争力，但是企业同时也要为此付出大量的成本，企业IT服务外包可以使企业节约人力成本，专业外包企业比企业自己IT服务的风险小许多，帮助企业获得更大的利益7。2.3.3节约成本对于不以IT服务为核心产业的企业而言，相比于自己雇佣专业的IT技术人员，企业IT服务外包給专业的外包公司可以极大地节约人力成本和资金成本。2.4企业IT服务外包的优势外包服务的优势从管理角度分析，信息技术资源外包是一种战略性的商业创新方案。对许多企业来讲，技 术复杂性的增加、对高可用性系统及分布式系统支持的需求，使得企业越来越难以实现既满足 商业目标，又控制信息技术费用的愿望。在这种情况下，资源外包开始发挥其固有的优势。纵观企业选择外包策略的内外部推动因素，主要包括以下几方面：2.4.1业务方面 外包推动企业注重核心业务，专注于自己的核心竞争力，这是信息技术资源外包的最根本 原因。从理论上讲，任何企业中仅做后台支持而不创造营业额的工作都应外包。有一个很典型 的例子可以说明这个问题。据调查，美国有 68的信用卡业务都是通过非商业银行机构来实现的，银行的核心竞争力是金融，没有必要雇用大批的网络高手来维护自己的网络，交给网络公司去做会更有利。2.4.2财务方面 财务方面的考虑是选择外包的另一个主要原因，外包可以削减开支，控制成本，重构信息 系统预算，从而解放一部分资源用于其他目的，避免 IT 黑洞的现象发生。另外，对于那些没有 能力投入大量资金、人力从硬件基础开始构建企业信息框架的企业而言，外包正可以弥补企业 自身的欠缺。 根据美国 Forrest 调查公司估计， 美国企业依靠自身力量建立并维护一个 Web 网站， 第一年的费用将是 22 万美元，而将此工作外包给专门的公司，开销仅为 42 万美元。2.4.3技术方面 能获得高水平的信息技术工作者的技能，改善技术服务，提供接触新技术的机会，使内部 信息技术人员能够注重核心技术活动。通过外包，企业可以将价值链中的每个环节都由最适合 企业情况的专业公司完成。例如，澳洲的 Trust 银行在 1997 年与 HP 签订了一份期限为 5 年、 金额 1600 万美元的外包合同，由 HP 负责管理维护 Trust 银行的 IT 系统，并帮助银行开拓新型 业务-网络银行业务、电子银行业务、个人银行业务和商务银行业务等。可以想象，如果没有 HP 这样的公司介入，单凭银行内部信息部门的力量是很难达到这一目的的。 2.4.4企业战略 外包可以提高服务响应速度与效率，来自外包商的专业技术人员可以将企业信息技术部门 从日常维护管理这样的负担性职能中解放出来，减少系统维护和管理的风险，同时也增强了该 部门的信誉。另外，对于一项新技术的出现，大多数企业由于费用和学习曲线的缘故，很难立 即将新技术纳入实际应用。因此，信息技术资源外包的战略性考虑因素之一便是：借助外包商 与现有的、未来的技术保持同步的优势，改善技术服务，提供接触新技术的机会，来实现企业 以花费更少、历时更短、风险更小的方式推动信息技术在企业发展中的功能。2.4.5人力资源方面 通过外包，企业无需扩大自身人力规模，减少了因人才聘用或流失而花费的精力、成本以 及面临的压力，节省了培训方面的开支，并增加了人力资源配置的灵活性。企业实施信息技 术资源外包有多方面意义，包括：追求核心竞争优势、保持企业组织弹性、促进市场竞争力、 降低风险、改善技术服务、增强成本控制、促进信息技术在企业中的运用及发展等。然而，实 施外包并不轻松。如果盲目追随潮流，忽视其间的风险分析及防范，则不仅无法给企业带来预 期的优势和效益，反而会让企业蒙受损失。强调针对信息技术资源外包的风险进行研究，是因 为它对外包市场的促进及供求双方都具有特别意义。表现在：一方面，需求方可以借助风险分 析， 强化管理层的风险意识， 正确指导企业信息技术资源外包战略的制定、 实施、 控制及管理， 从而将该战略的积极作用发挥到极致。从大的方面看，还可以通过外包，尽快缩小与国际先进 企业在信息技术应用及管理方面的差距，推动信息技术在企业中的发展，加快企业信息化建设 的步伐。另一方面，外包服务商可以站在需求方的角度，重视风险分析与控制，从而规范自身 的服务，配合服务购买方的需求，双方共同建立起双赢(Win-Win)的合作关系。再者，需要指 出的是，在国内能够提供外包服务的企业还有很多，不单单是专业性的服务商、系统集成商， 还可以是大企业、大部委闲置的信息技术力量。通过承揽外包可以使企业资源得到充分利用。 其间，风险分析对于指导他们的行为也有着不可忽视的作用。2.5 影响IT服务外包行业发展的经济因素分析我国国民生产总值以平均9.72%的增速保持三十年的发展，创造了令全球瞩目的经济环境，未来仍将保持领先的发展趋势；随着国民经济的发展，我国IT投资也持续保持增长态势，预计2010年达到1万亿规模。而随着IT硬件大规模投入趋于稳定，软件和IT服务方面的投入将逐渐提高。图2.1 中国历年GDP增长情况图2.2 历年我国计算机市场规模增长情况中国的软件和IT服务产业规模占整个IT产业的比重仅为25.8%，而同期全球的这一比重为61.3%，美国的这一比重更高达69.9%。中国软件和IT服务市场相对于美国水平以及全球水平存在很大的差距，这种“短板现象”为中国软件和服务提供商提供了巨大的发展潜力。软件、服务的落差蕴育着巨大的市场发展势能。未来几年，该市场还将保持两位数的高速增长，其在IT总体市场中的比例将逐渐加大。图2.3 IT市场构成比较2.6 影响IT服务外包行业发展的政策因素分析IT服务业是国家大力鼓励发展的行业，制定了多项鼓励发展的政策和相关规划。表2.1 IT服务外包行业的相关政策时间政策法规重要条款2000年国务院鼓励软件产业和基层电路产业发展的若干政策提出“编制工程预算时，应将软件与技术服务作为单独的预算项目，并确保经费到位。” 2006年国务院2006-2020年国家信息化发展战略强调促进经济增长方式的根本转变，应用信息技术、发展信息服务业，推动经济结构战略性调整；同时，将推进国民经济信息化、电子政务、公共服务信息化、社会信息化等作为发展的战略重点2007年国务院：关于加快发展服务业的若干意见l 对被认定为高新技术企业的软件研发信息技术外包和技术性业务流程外包的服务企业，实行财税优惠l 软件及信息服务业作为服务业中的先导和高技术行业，将得到优先发展和重点支持2009年国务院电子信息产业调整和振兴规划明确“加快培育信息服务新模式新业态”、“引导公共服务部门和企事业单位外包数据处理、信息技术运行维护等非核心业务，建立基于信息技术和网络的服务外包体系”，“加大信息技术改造传统产业的投入”2.7 阻碍中国服务外包内需市场潜力释放的主要因素分析企业方面 企业方面由于对服务外包行业的了解不够，部分企业对外包这种服务形式心存顾虑，不放心把业务 外包给外面企业，担心信息安全问题，担心服务外包的合作过程会产生纠纷，也担心服务外包 会造成企业运营失控。 另外，企业管控模式也影响到服务外包需求的释放难易度。管控力度较大的企业，信息化 建设规划、资源整合、实施和管理都是统一进行，易于接受和采纳服务外包这种新型企业运营 模式；而对于管控方式相对松散的企业来说，内需释放的难度就大得多。 政府方面 政府方面政府对服务外包需求释放的示范带头作用还有待进一步加强，体现在：加大政府及公共事 业内需的释放力度，以自身的实际行动带动企业与社会对服务外包产业的支持和应用。此外， 政府和公共服务机构应切实地应用好通过服务外包形式开发的平台和系统，充分体现服务外包 为政府及公共事业部门带来的优势，给潜在发包企业部门以参照。政府部门往往对聘请外部服 务外包提供商开发系统比较重视，投入了资源，但是没有真正的利用起来和维护好，使社会上 产生了对服务外包效果的顾虑。 社会方面 社会方面本地市场的竞争尚不规范，营商环境不够成熟，从而打消了投资软件及服务外包产业的意 愿，制约了内需对招商引资的拉动作用。部分地区本地市场的潜力没有完全释放，所应具备的 金融中心、信息中心、文化中心、物流中心等产业地位尚未树立起来，因此本地市场的规模在 现阶段与企业的预期有一定的差距。 开拓中国服务外包内需市场的主要建议制约中国服务外包内需释放和本地业务发展的问题存在于企业、政府和社会三个层面上。因此，如何调动政府、企业和社会三方的力量，如何处理和明确三方的关系与责任，如何着力于政府能够掌控的资源，作用于企业与社会挖掘本地业务对产业的推动作用是内需释放解决方 案的出发点。 市场是具有自身规律的，政府可以引导，但是不能硬性干预。企业内需的释放是企业经营 的决策，涉及到发包和接包两方企业的实际情况和自主选择，政府可以引导，但是不能直接作 用于供需双方企业的意志。因此，中国服务外包本地业务发展和内需释放应采用“政府带头、政 策引导、企业为主”的方式。 政府应首先从能够直接掌控的政府及公共事业服务外包本地市场出发，以身作则，加大政 府及公共事业内需的释放力度，以自身的实际行动带动企业与社会对服务外包产业的应用和市 场规范性的提升； 服务外包内需释放的主体是企业，企业的意志和选择是最终决定服务外包本地企业市场发 展的关键。政府应在充分尊重企业自身选择的基础上，采用政策引导的方式促进企业观念的改变。2.8 IT服务外包行业发展的制约因素分析2.8.1本土企业对IT外包服务认识有限,对IT外包服务心存顾虑据调查，本土企业中有一半承认对外包的认识有限或不了解外包客户普遍对IT服务外包的可靠度和机密性、外包服务提供商的专长以及他们认为可以从外包中获得的价值存在疑虑2.8.2制约因素IT服务外包面向的客户主要是信息化程度较高的大型企业和政府部门，这些客户在各自领域内的市场集中度较高，处于相对强势地位，而外包供应商之间的竞争又进一步提高了客户的话语权，降低了外包供应商的议价能力。包括技术人才、项目管理人才在内的高端人才普遍缺乏第3章 企业IT服务外包的风险分析随着企业IT服务外包的不断发展，它所存在的问题也逐步显现出来，其存在的风险是极其巨大的，不仅是发生的几率还有风险一旦发生造成的巨大损失。3.1企业IT服务外包的风险3.1.1企业成本有可能增加外包合同的价格相对固定, 但在合同执行过程中, 外包商可能会增加这样那样的附加服务, 这些都是在合同中没有的, 企业只好照单全收。有时候, 企业 要配合外包服务提供帮助, 这其中的协调成本, 可能远高于客户预算。IT技术发展很快，外包的成本变化也会很快5。3.1.2能降低企业的灵活性企业之所以选择IT 外包, 就是希望将自己不擅长的业务交给专业服务商去做, 从而达到专注核心业务、节约成本等目的。而企业一旦选择了r 外包, 就有可能切断了企业学习所处商业领域技术的最新发展及应用的途径的机会, 形成对服务商的依赖。同时, 外包合同通常是中长期的, 外包时间越长, 企业对服务商的依赖越大, 僵死的条款、缺乏应急条款、缺乏谈判机制等都可能导致合同自身缺乏灵活性, 这样的合同往往在情况发生变化时给企业造成不良后果5。3.1.3可能会泄解企业的商业机密现在的信息技术已经渗透到企业业务的方方面面, 不仅非核心业务, 而且核心业务也离不开信息技术的支持, 服务商完全有可能接触到企业的商业秘密。一旦外包服务商和企业之间的关系以合同形式加以固定, 企业内部的信息技术业务或资源交由外包商管理之后, 企业无法对外包的内容进行直接控制, 也得不到来自外包商服务人员的直接报告, 加之合同中双方权利义务的界定不清, 失控的风险显而易见。因此, 将r 业务外包出去势必会带来“ 信息安全” 的风险, 可能造成业务知识流失或商业秘密泄露5。3.1.4对外包商缺乏恰当的管理从委托代理理论的视角看, 委托代理结果的实现与委托方在多大程度上或采用何种方式来监管代理方有直接的因果联系。然而, 企业对外包商的监管往往是不力的, 首先, 两者毕竟是相互独立的经济实体, 没有任何的隶属关系, 虽然企业可以在一定程度上影响外包商的人员调配、资金投人等决策, 但仍不能完全保证企业对外包商的有效监管。其次, 企业也不可能投人大量的人力和财力来对外包商进行监管, 一方面这样会增加外包的成本, 使外包失去原设的意义, 另一方面企业不拥有实施有力监管的技术知识, 企业没有外包商了解信息技术, 试问一个“外行人”如何能有效地监管“ 内行人”呢。企业对外包商的管理以外包合同为基础, 外包合同不可能是完备的合同, 在合同的具体实施过程中外包商可能为了盈利而采取一些对委托方企业不利的行为, 因此必须对外包商进行监管5。3.1.5合同本身存在的问题外包合同是确定企业和外包商委托代理关系的基础和关键性文件, 是仃外包执行过程中必须遵循的标准, 因此外包合同的不完整和缺乏灵活性很可能造成外包的失败。(1)外包合同的不完整如果合同中很多事项不清楚或有遗漏, 那么将给外包商的机会主义行为以可乘之机, 例如外包商可能对某些服务项目收取额外费用, 造成仃外包的成本增加, 或者外包服务质量的下降, 容易引起纠纷, 导致外包失败。(2)外包合同缺乏灵活性外包常常是一种长期的行为, 在这一过程中企业的财务状况、战略方向等都发生了变化, 且外包商的经营情况和外部环境也不断变化, 因此最初制定的委托代理合同很可能不能适应这些变化, 合同的不灵活就会给企业带来风险5。3.1.6协作风险企业和IT服务商之间是委托代理关系, 双方都希望IT外包能够成功, 但这并不表明它们之间就能够很好地进行知识转移。一方面, 企业的业务领域专业知识在多大程度上愿意与IT服务商共享, 相关员工和管理者是否会积极参与外包活动中, 信息技术人员是否会努力学习新的信息技术提高自身IT能力, 直接影响到知识转移的效果。另一方面, IT服务商缺乏客户企业的业务领域专业知识, IT服务商的员工愿意花费多少时间和精力学习这些知识, 当企业需求发生变化或者新的信息技术产生时, IT服务商是否能够及时响应客户需求, 是否能够主动应用新技术为企业提供产品和服务, 这些也都对知识转移效果有重要影响。企业和IT服务商之间的协作程度对知识转移效果会产生显著影响, 协作程度越高, 知识发送方的转移动机就会越强, 知识接收方的吸收意愿也会越高, 知识转移就越容易发生, 知识转移效果越明显, 外包中知识转移的风险就越低4。3.1.7知识受损风险IT外包中知识的转移会受到许多因素的阻碍, 使知识在转移过程中丧失一部分, 使知识受损, 知识不能完整传输和吸收, 可能会导致知识转移的失败。知识包括显性知识和隐性知识, 显性知识如手册、报告等, 隐性知识如工作经验和技能等。在IT外包中, 结构化的显性知识容易进行转移, 但隐性知识由于其不易表达等特性, 实现其完整转移比较困难。企业的业务领域专业知识对IT服务商而言, 专业性较强, 很难准确理解, 而IT服务商所拥有的信息技术属于创新速度快、技术复杂的领域, 企业员工对该类技术和技能的理解也十分有限。知识转移的方法和渠道也会产生知识受损风险。不同的知识转移媒介适用于不同特点知识的转移, 如文件、电话、会议、培训等, 通过它们进行转移的知识的模糊性、知识的易理解性都不相同。根据所需转移的知识的特点选择合适的转移方式会降低知识受损风险。此外, 在外包过程中,企业和IT服务商之间的正式沟通和非正式沟通的频率、相关人员的参与程度都对知识的完整转移有重要影响, 会产生知识受损风险。经常性的沟通和交流、相关人员的积极参与将会提升知识转移效率, 降低知识受损风险4。3.1.8削弱技术创新能力风险IT外包会使得企业自身IT部门的职能和工作内容都发生很大改变。在自己负责信息化建设的情况下, 企业的IT员工要亲自学习快速发展的信息技术, 创新IT产品来为企业业务活动服务, 一旦IT实现外包, 企业的IT员工将不再是技术创新的主体, 其主要任务是向IT服务商转移企业的业务领域专业知识和企业的IT需求。在参与IT服务商技术创新的过程中, 企业IT部门的员工可能会过多地依赖IT服务商的资源, 不再从具体的IT实践中去发现新的信息技术应用, 缺乏主动学习新的信息技术的动力。而IT服务商为了提高自身的服务质量, 会主动向企业转移产品和服务的相关知识, 却不会主动转移新的信息技术。因此, 在IT外包中, 企业IT部门员工如果没有强烈的向IT服务商学习新的信息技术的动机, 没有积极参与到IT产品和服务的创新过程中, 由于新技术的快速发展, 企业就面临着技术创新能力不断削弱的风险,从而会造成对IT服务商更多的依赖4。3.2企业IT服务外包的风险分析3.2.1基于外包企业的风险分析（1）能否正确估计企业外包带来的商业效益IT。外包的商业价值体现在两方面：第一，信息成本的节约，包括信息的获取、处理和利用成本。第二，信息系统质量价值，信息系统质量具体指信息系统的反应时间、统可靠性和系统的连贯性，还有信息的准确性、信息的全面性、信息的流通。（2）能否全面估计企业外包的成本根据外包活动的市场性质和企业性质，使得外包具有：（1）协调成本 （2）代理成本（3）能否全面地、清楚地表述外包内容和需求质量（4）可能存在文化差异和缺乏相应的法律政策知识8。3.2.2基于服务商的风险分析IT 外包风险分析，目的是整个外包活动的成功和延续。（1）能否全面地预算成本（2）能否准确地描述服务内容8。3.2.3基于交易的风险分析（1）能否将IT语言标准化。在对全球著名的大企业做出详尽调查后发现：有超过70%的大型企业，他们在寻找服务提供者时，只有在双方对IT 基本建设达到高度一致时，才会做出最终的选择，以便非常严格地界定双方的IT 语言。（2） 能否保证第三方监管8。3.2.4合同执行中的风险分析签订科学合理的合同对双方关系的管理具有重要的作用，但能否在后续的合同执行过程中良好地运作合同，正确地分析合同执行过程中的风险，并制定相应的控制措施，也是保证外包成功的关键8。3.2.5基于企业的风险分析（1）可能削弱企业的学习和创新能力（2） 能否保证IT 资源与核心业务紧密相关，企业核心竞争力信息不会泄漏. （3）能否有效地对服务商监督、制定激励策略8。3.2.6基于服务的风险分析（1） 可能出现资金不足的现象（2） 服务商专业技术不强，可能新技术掌握不强（3） 能否保证科学的管理体制8。3.2.7基于交易的风险（1） 企业和服务商及技术人员之间可能缺乏沟通（2）基于社会环境的风险（3） 可能缺乏第三方监理机制8。第4章 IT服务外包的风险防范对策4.1企业对自己的信息安全防护企业在IT服务外包中面临最大和最重要的挑战是如何确保在进行外包服务时，确保企业信息、数据安全性，如何建立起有效的信息安全管控框架，以符合企业信息安全要求!以下是企业建立信息安全体系必须参考的评估标准和遵从的原则：4.1.1企业内部信息安全管控过程是否可持续监管和优化在信息防泄漏的“战争”中，相比于躲在暗处的泄密者和安全威胁，站在明处的企业显然略失先机。因此，良好的信息防泄体系的前提就是要时刻掌握企业动态，做到要有的放矢。很重要的一点是要实现内部操作的“可视化”，以随时监测整个信息系统的安全状况，做到迅速反应，甚至还能预测到潜在的风险，化被动防御为积极防御。4.1.2企业信息安全体系设计需进行全局评估和建设，规避疏漏和风险在企业中，有时候可能是一个小小的系统漏洞就可能毁灭几百万投资的努力，或者一个无意的非法补丁行为就让企业蒙受损失。因此，在解决安全问题之时，不能仅仅依赖透明加密等技术手段，而是需要站在一个更高的战略角度来通盘考虑。如果缺乏一个整体的分析视角，可能会因为忽视或者低估某个安全攻击的真正威胁，而使得采取的安全措施无法解决真正的问题。所以，在实际的防泄漏建设中，必须从整体上来评估企业的信息安全状况，运用统一的平台来进行风险和安全管理，检测出内部问题，从而描绘出整个企业当前安全情况的更清晰和更准确的图景，采取针对性的防护措施，最大限度降低企业的安全风险。4.1.3安全和防护等级措施企业在构建立体化、全方位的整体信息防泄体系时并不是一刀切，不分轻重地在全公司范围内采取相同的策略，这样虽然看似达到了最为安全的效果，但对业务造成的巨大影响，以及因此产生的高额成本，对企业来说，都是巨大的负担。对信息安全来说，威胁和风险往往和高价值的信息资产联系在一起，安全保护工作也就应该轻重有别，将重点放在高价值的信息资产上。在安全建设过程中，对涉密程度高的部门或岗位进行力度大的防御，对涉密程度低的部门采取相应的安全防御。同时衡量提升安全性可能带来的业务操作上的麻烦、企业安全成本等问题，是企业必须要做的事情。4.1.4科学可行的安全策略和必要的技术手段实现动态性防护动态性的信息泄露防护，对于目前泄密手段日益增多的企业来说，非常重要。企业需要建立一个动态性的安全防护，前瞻性地发现安全威胁，并通过对技术或管理上的策略进行及时调整更新，防范潜在的安全风险。4.1.5信息安全体系必须便于使用和维护如今，市场上五花八门的信息防泄漏产品让企业眼花缭乱，企业期望这种“强强组合”能给企业套上万无一失的金钟罩，但实际上企业不仅要付出较高的成本，并增加了技术的复杂性，还容易导致产品软件冲突等问题。目前，能够提供整体解决方案的单一安全产品成为优良选择，能够帮助企业建立统一的安全管理平台，无论是对企业安全边界防护，到内部使用都做了整体、全面的考虑，而且简化了日常的操作与管理，降低系统的资源占用，避免了软件冲突等多种问题。如果企业的信息防泄漏建设符合以上的检测标准，那么该企业已经建立了一个完善的整体信息防泄漏体系，机密信息也得到了最大化的保护，实现了“成本、效率、安全”三者的最佳平衡，这也是近年来被大家认可的“整体信息防泄漏”理念的核心。4.2合理选择外包服务商企业在选择IT 外包服务商时，为了使考虑的评价因素尽量全面，需要建立较为合理的IT 外包服务商评价指标体系。3 级评价指标体系，分别由评价目标体系、一级指标及其所属的评价指标构成。一级指标包括服务质量、设计方案、服务商实力、服务商特征、服务商存在的风险和服务成本6 个方面9。评价过程采用模糊多属性决策方法，决策信息主要来自于决策小组中的每一个成员对指标进行评价所获得的数据，即指标的权值和相应评分。4.3风险控制4.3.1企业内部决策阶段风险控制企业进行IT 外包之前需要在内部进行商议，通过管理层会议做出决策。需要明确的问题包括: 本企业是否应当进行IT 外包? 所外包出去的部分是否属于本企业的核心业务? 应当以怎样的形式进行外包?3.2.2接触外包服务商并选定在企业确定需要进行IT 外包后，应当接触不同的外包服务商，通过对比选择最适合本企业的与之合作。对于企业来说，除了考虑外包服务商的资质、口碑外，需要更加重视外包服务商的性价比13。4.3.2与外包服务商签订合同服务合同作为保障合作双方权益的法律证据，应当受到足够的重视。对于企业来说，首先需要在合同中明确的是本次外包的预期成果，同时写出企业可接受的成果范围以及不同质量的成果对应的不同报酬，以此作为外包服务成果验收和后期资金结算的依据。此外，合同中需要明确合作双方的义务和权利，尤其应重视双方知识转移过程中可能出现的泄密、侵权问题14。服务合同中应当明确外包服务商对本单位信息获取及使用的权限、本单位对外包服务商资源的使用权限以及外包服务商基于