軍用WebE外包風險規避策略分析

○郭平平鄒本璋袁偉

（1、武漢理工大學管理學院 湖北 武漢 430070；

2、空軍后勤部政治部 北京 100066；

3、軍事科學院研究生部 北京 100091）

軍用WebE外包風險規避策略分析

○郭平平1鄒本璋2袁偉3

（1、武漢理工大學管理學院 湖北 武漢 430070；

2、空軍后勤部政治部 北京 100066；

3、軍事科學院研究生部 北京 100091）

軍用WebE（也稱為Web工程）外包作為軍方獲取信息服務的主要方式之一，在顯示出巨大優勢的同時，也可能伴隨著很大的風險。因此，研究軍用WebE外包的風險管理及其規避策略，是必須面對的現實問題。本文列示了軍用WebE外包項目可能存在的各種風險，并對各種風險可能造成的影響進行了可能性分析，然后針對各種可能性較大的風險提出了規避策略。

軍用WebE外包 風險管理 風險規避策略

軍用WebE外包，作為應對快速技術變革和降低軍隊信息化建設管理成本與風險、提高WebE質量、滿足軍事要求、防止預算嚴重超支、項目延期或中途下馬的重要措施，越來越受到軍隊各類單位的認同和重視。但是，軍用WebE外包風險是工作實踐中不可忽視的一個方面。如何識別外包風險，并采取切實可行的措施規避風險的產生，是需要研究的一個重要且現實的問題。

一、軍用WebE外包風險的識別與評估

軍用WebE外包的風險管理包括一系列任務，用來幫助WebE項目管理團隊（以WebE委托方為主，吸納外包服務商和最終用戶參加的一個工作組）理解和管理那些將可能破壞一個WebApp（讀作Web應用）項目的各種問題。風險是一個潛在的問題，既可能發生，也可能不發生。但是，不管發生與否，我們都應該識別它，評估它發生的可能性，估算它的影響，并制定一個應急規避策略來應對問題的真正發生。

1、軍用WebE外包風險的識別

軍用WebE外包的風險識別，是指識別并紀錄可能對WebE項目外包造成不利影響的因素。要進行軍用WebE項目外包的風險識別，就要考慮外包會給軍方帶來什么競爭優勢和風險？如果外包活動失敗，軍方會承擔什么風險？軍方又該如何應對這些風險？科學、客觀地預測風險會在外包活動的哪個環節出現、以哪種方式出現、出現的時候對軍方有什么影響，既是風險識別的主要內容，也是搞好風險規避的前提。

關于信息系統和服務外包的風險來源，國內外的學者有過不少研究。比如Roger S.Pressman在論述軟件風險時，認為風險來源可以從項目風險、技術風險和商業風險三方面來分析。本文將結合WebE項目本身的特點、外包過程中的各個環節和WebE項目利益相關者（WebE委托方、外包服務商和最終用戶）等方面，進行風險分析與識別。

風險識別的方式既可以由WebE委托方具有項目管理經驗的管理者承擔，也可以由WebE項目管理團隊以集體討論的形式來完成。風險識別階段的主要任務是發現WebE項目可能存在的風險。為避免遺漏，通常按照機構、人員、技術、需求、產品和估算等六大關鍵性的風險類型進行列示歸類（如表1所示），然后再由WebE項目管理團隊集中對這些潛在風險進行評估。

表1 WebE項目風險類型及可能的風險

表1中對風險的分類方式并不是絕對的。比如，富有經驗的首席設計師的離職，不僅可能帶來人員風險，同時也可能帶來技術風險，因為繼任者可能缺乏某種技術技能。最后，還可能帶來產品風險，因為產品的交付可能會延期。

2、軍用WebE外包風險評估

一旦形成了合并的風險列表，就可以進行風險評估了。WebE項目管理團隊可以根據風險值測定法，逐一對已識別的每一個風險出現的可能性和嚴重性做出主觀判斷，據此再進行風險度的計算，以利于實際的管理操作。其計算公式為：V=C×P。其中：V表示風險大小；C指風險發生的項目成本；P指風險發生的概率。通常，對每個已識別的風險，是按如下步驟來評估其可能性和影響的。

（1）該風險變為現實的可能性或概率有多大。可將風險發生的可能性按百分比分為四個級別，分別是：小型（10%—25%）、中型（25%—50%）、大型（50%—75%）和非常大（＞75%）。

（2）如果該風險發生，與其相關的問題所造成的后果。可能的結果有：災難性的（＞75%）、嚴重的（50%—75%）、可容忍的（25%—50%）和可忽略的（10%—25%）。

（3）由于WebE項目的開發是以迭代方式進行的，在每一次迭代過程中每一項風險出現的可能性及其影響后果都可能發生改變。因此，必須在風險評估的每一次迭代中，更新風險評估結果。

（4）風險一經分析和排序，接著就要判斷哪些風險是在項目期間必須考慮的。一般而言，要根據項目自身的情況確定要進行監控的風險數量，所選接受監控的風險數目要以便于管理為原則。通常，中型以上的風險都必須加以考慮。表2是WebE項目風險評估結果。

表2 WebE項目風險評估

二、軍用WebE外包風險規避策略

對優先級較高的每一個風險，WebE項目管理團隊都要回答三個方面的問題，一是如何能夠完全避免這個風險；二是影響這個風險變大或變小的可能因素有哪些；三是一旦某個風險變為現實我們可以做些什么。下面具體探討如何規避一些優先級較高風險的策略。

1、WebApp 項目需求和項目選擇錯誤導致的風險

一個WebApp項目的起點稱為項目需求。軍用WebE外包的項目需求，通常是需要一個支持軍方當前和未來業務需求的全新信息系統。項目的需求風險，可能導致開發了一個并不能達到軍事目的或完成軍事任務所應具備的功能的系統，或者，所開發的WebApp不再符合軍隊信息化建設的整體戰略要求。

通常，為避免項目需求風險，需要對擬開發的WebApp系統，在系統所提供的改進的服務、更好的性能、更豐富的信息、更安全的控制、更低的成本和對新裝備和新服務的支持等六個方面進行仔細的分析研究，才能使項目需求的理由更充分。一個新的WebApp啟動，至少必須在上述六個方面之一達到用戶的要求。

鑒于目前IT系統的功能越來越強大，技術越來越復雜，應用領域越來越廣，應用效果千差萬別，資金投入也不同，這就要求軍方對各種項目機會作出充分的比較和選擇。國內外大量IT實施案例表明，正確的項目選擇，往往比正確的項目計劃和項目實施更具戰略意義。在進行項目選擇時，需要注意如下幾個方面：一是項目本身要與軍隊信息化發展戰略相一致，并符合本單位當前和未來業務發展需求；二是大型WebApp項目的上馬，一定要先在內部進行充分的溝通，定義并評估總體目標，對目標WebApp項目給出定性和定量指標；三是在進行項目選擇的同時，要搞好自身業務流程的梳理、資源的調查和技術能力的摸底；四是要評估WebApp項目的收益。

2、外包市場的成熟度導致難以選擇合適的外包服務商風險

近幾年來，隨著Web技術逐漸成為企業級信息技術應用的主流，出現了數以千計的Web設計公司專門提供建立Web站點和電子商務的服務。由于Web技術相對傳統軟件的開發在技術上要復雜得多，不同的公司由于技術力量的差別所提供的產品質量相差甚遠。對委托方而言，希望外包服務商能提供真實的信息，誠實地展示其競爭實力，以便客觀地對外包服務商進行選擇，而外包服務商則可能對項目成本、技術實力和領域經驗等提供虛假信息。外包市場的不成熟，加上委托方和外包服務商之間信息的不對稱，是導致軍用WebE外包失敗的重要原因之一，需要加以認真對待。

在選擇外包服務商時，需要進行廣泛深入的市場調研，以選擇合適的外包模式和外包服務商。首先，要走訪過去的客戶，以確定候選Web服務商的服務水準、技術水平、技術方案、項目報價、進度控制、服務模式，以及合作和有效溝通的能力；其次，要認真評審Web服務商已完成的典型案例成品，該成品最好能與擬委托項目在業務領域、外觀等方面具有相似性；再次，可以采用招標方式在更廣的范圍內確定Web服務商，以掌握候選Web服務商的足夠信息（包括Web服務商的歷史和財務狀況），盡量打破信息不對稱的局面，然后成立評審委員會（包括邀請外部專家）對Web服務商進行全面評審；最后，在可能的情況下，應聯系過去成功的項目中Web服務商的首席WebE工程師，并與之進行溝通，最好是能以合同約束的方式確保這位首席WebE工程師參與到項目中來。

3、標準、規范體系不符合軍用WebE開發要求的風險

盡管近幾年來Web技術和應用得到了迅猛發展，但至今國家和軍隊有關方面還沒有發布WebApp軟件工程和WebE外包的標準或規范。如果說WebApp軟件的開發還勉強可以參考傳統軟件開發所依據的國家、軍隊標準的話，那么WebE外包則幾乎是無章可循的，可依據的材料僅僅是國外一些技術領先的公司的最佳實踐。

建議有關方面盡快建立、完善與WebApp軟件開發和WebE外包有關的國家、軍隊標準規范。首先，應盡快制定WebApp軟件開發標準，以便為軟件的開發提供過程、方法和工具的指導。比如，美國就已頒布了五部法律法規來規范對紀錄信息的管理（此外，許多知名的大公司還開發了大量的WebApp質量標準和準則），其中美國防部法規5015.2-STD（Department of Defense Rule 5015.2-STD）就規定，美軍軍事機構必須遵守系統的流程來紀錄正式文檔和文件。其次，要制定WebApp軟件質量標準（內容包括：可用性、功能性、可靠性、高效性、可維護性、保密性、實用性和可伸縮性等），以便為軟件項目立項論證、需求分析和軟件測評提供參考依據。最后，要制定WebE外包的政策法規，規范WebE外包市場，維護委托方、外包服務商和獨立的具有合法資質的軟件測評單位三方的合法權益，為WebE外包這一新興的產業提供完善的法律保障。

4、WebApp技術平臺、開發工具選擇錯誤風險

WebApp技術平臺的選擇，主要考慮功能性、擴展性、技術演化方向、支持能力和成本等方面的因素。隨著WebApp變得越來越復雜和強大，目前已有大量的工具可用，這些工具包括：內容描述和建模語言、編程語言、基于組件的開發資源、瀏覽器、多媒體工具、網站編寫、管理和分析工具、數據庫鏈接工具、安全工具以及服務器和服務器實用工具等。

技術平臺和開發工具的作用是非常重要的，它們會威脅到WebE的質量和交付時間，有時甚至是決定項目成敗的主要因素。大量的應用案例和經驗告訴我們，國內的軟件開發商所提供的自主企業級開發平臺，在功能性、標準化、工程化等方面，與國際知名企業平臺產品相比還有很大差距，需要加以認真分析比較，作出明智的選擇。其次，要根據WebApp種類幫助確定可以應用的WebE技術類型，再根據WebE技術類型確定可以使用的實現工具。最后，平臺和開發工具只有當用在WebE增量過程模型的敏捷框架內，且與問題理解、方案設計、質量測試和風險管理等聯合使用時，才可以增強一個技術工程團隊構建基于計算機的系統的能力，創造出高質量的WebApp程序產品。

5、信息泄漏或WebApp技術限制導致存在安全隱患風險

為了讓外包服務商全面深入地理解WebApp項目的運行機制，委托方往往難免會將核心業務流程和涉密資料傳遞或展示給外包服務商，因而機密或敏感性資料可能外泄，軍事安全有可能存在潛在的風險。

信息安全是開展軍用WebE外包的基礎工程，也是重中之重。開發軍用WebApp的過程，實際上就是摒棄已經陳舊的管理理念，樹立起反映新軍事變革要求的全新軍事管理理念，完成管理模式和管理制度的創新，重新梳理與部隊組織體制結構與任務相適應的業務流程，并用先進的軟件技術和網絡技術進行重構。因此，在選擇外包服務商時應該嚴格執行市場準入制度，只有那些具備涉密軟件開發資質的外包服務商才能承接軍用WebApp的開發。其次，對項目參與人員要進行嚴格的保密審查，在合同中必須明確所有人員的角色、工作職責、保密義務和保密期限。最后，要委托具有合格資質第三方機構切實搞好WebApp的安全性測試。安全性測試是一個非常復雜的主題，涉及到客戶端環境、服務器端環境和客戶端與服務器端之間的通信鏈接通路等三大技術領域，這些領域中的每一個都可能會存在著安全威脅，只有深入了解每一種安全機制的內部工作情況，才能設計出有效的安全性測試用例。顯然，不具備合格資質的機構無法做到這一點。

6、削減項目預算、低估了軟件的規模或潛在費用失控風險

眾所周知，由于WebApp的范圍是易變的，且很難找到WebE相關報價作為參考，所以估算成本本質上講就有風險。因此，首先事先確定預期成本，明確合同范圍，搞好費用估算，是避免預算風險的前提條件。其次，要形成詳細的項目費用管理計劃，充分考慮所需的資源、必要的開支和各種環境因素對項目預算的影響，在可能的情況下考慮余留一定的備用金。再次，在與外包服務商簽訂合同前，應該盡可能從兩個或更多的外包服務商那里詢問固定報價，嚴格界定外包服務商的責任、義務與權力，保證項目能夠按預期完成。最后，日常費用的開支，要杜絕把計劃外支出列入到成本價格中。

三、結論

盡管軍用WebE外包，在使軍方以較低的成本引進較新的信息化技術、快速掌握一些先進的技術知識、有效解決問題的方法以及迅速提升軍隊信息化水平等方面有著十分明顯的作用，但確實存在著諸多不確定的風險因素。因此，軍方在實施軍用WebE外包前，需要根據自身組織機構狀況、項目特點等方面的情況，選擇適當的外包方式，組建作風和技術過硬的WebE項目管理團隊，在敏捷、有效的WebE過程框架約束下，配合高質量的問題理解、方案設計、技術平臺與工具、質量測試，建立健全風險管理機制，制定有效的風險規避策略，才能使軍用WebE外包達到預期的目標。

（注：本文系全軍后勤資助項目，項目編號：2010-18-∑11-10。）

[1]Roger S.Pressman：Web工程—實踐者的研究方法[M].機械工業出版社，2010.

[2]Roger S.Pressman：軟件工程—實踐者的研究方法[M].機械工業出版社，2007.

[3]Ian Sommerville：軟件工程[M].機械工業出版社，2007.

[4]趙蘋、陳守龍、郭爽：企業信息戰略管理[M].清華大學出版社，2006.

[5]Bill English：Microsoft Office SharePoint Server 2007 Administrator’s Companion[M].Microsoft Corporation，Redmond，Washington，U.S.A，2007.

[6]呂登明：信息化戰爭與信息化軍隊[M].解放軍出版社，2004.