IT外包風險與控制

IT外包風險與控制

千萬不要以為項目外包出去，你就遠離了它。要記得一件事情是∶即使項目外包，你仍擁有它。只有有效的管理，才能讓外包成為機構實現更大價值的戰略選擇。

1合同風險

在一份外包關系中，不發生糾紛的時候，合同就是幾頁紙，但一旦有任何的糾紛，合同簡直就是最可依賴的，總之，懷著以后一定會發生什么問題一樣的高度嚴格和認真的態度對待合同中每一個細節問題就顯得尤為重要了。

關于IT外包，實際上有很多的失敗的案例，那么多學校外包之后又想重新回到過去就是一個例證。

關于教訓，在網上有跡可尋的是弗吉尼亞州的案例。該州IT外包合同因為其拙劣導致執行超過了最后期限，最后該州幾個辦公室都發生了服務中斷，甚至該州CIO也被停職了。

但是當該州工作人員和居民感受到IT外包方案的一些不良影響時，要終止這份為期十年的合同將讓該州付出高達4億美元的代價，而且會陷入無人管理計算機系統的狀態。此外，原始合同沒有包括對服務級別不足的懲罰措施，因此，該州不能在這些IT中斷的事件上獲得相關賠償金。

這種IT外包錯誤可能發生在任何組織中（不管是公共的還是私有機構，大機構還是小單位都有可能）。任何機構在外包IT運營時都可以從中吸取教訓。如何沒有正確的治理或者治理達不到一定成熟度，在外包中就會面臨系統性挑戰。

所以，但簽署外包合同時，就要清晰地闡明服務級別協議以及懲罰條款，在初步協議中明確地寫出來。如果服務級別沒有懲罰措施，就很容易對供應商讓步。

2服務風險

一位老師這么表達他對IT外包的態度∶“IT外包對大多數學校是個坑。單位的管理方式、要求和公司的相差甚遠。這需要兩家有著良好人際和業務的合作關系，關鍵是單位頭不能變換。可這難啊！”雖然這種想法也頗具代表性，但從市場的角度來看，這是過多依賴于個人關系而忽略了管理與規范的一種想法。

重要的是，你是否有SLA（Service Level Agreements）服務水平協議管著？是否好好做過一份詳細的SLA協議？所確定的那些標準和規范是否合規？是否能滿足用戶的需求和你管理網絡的需求？

SLA 作為客戶與IT 服務商之間簽訂的協議，被設計用于合作雙方對所提供的服務、服務優先級和責任的共同理解。一份標準的SLA內容體系包括以下幾個內容部分∶服務部分、技術部分、商務部分和質量報告。服務部分是指雙方協商好的服務內容相關的部分，包括服務信息標識、服務范圍、服務等級、服務計費方式、合約變更和終止條款等；技術部分是指通過雙方協商產生衡量業務等級的通用技術參數、指標集和性能檢測方法等。在技術部分中，用戶需要找出最能符合自己業務需求的服務水平指標；商務部分是指當IT 服務商滿足或者違背承諾的業務等級時，其所獲得的獎勵和賠償機制；質量報告是指IT 服務商定期給客戶提供的分類服務質量報告，包括 SLA 中規定的服務質量數據和統計結果。

3套牢風險

所謂的套牢是指高校在建設信息系統時過度依賴服務商，內部IT 部門沒有能力掌握系統的運行，導致高校受制于服務商，后期被迫一直需要他的服務；或者是服務商故意在開發的軟件中設置障礙，使得其他服務商難以接入，高校在已有軟件基礎上開發新功能時，必須繼續接受他的服務。但是高校也難以更換服務商，或者更換的代價很大。

套牢的另一方面的風險是，在大量應用IT 外包后，內部IT 機構逐漸忽視自身能力的提高，如開發能力、管理能力、創新能力，導致不能及時了解師生的業務需求或者只能盲目聽從服務商提供的信息。高校內部IT 部門的工作重心將向信息化規劃、需求調研、協調服務供應商和具體應用部門的工作、項目監控、運維監控等管理方向轉變。

但是高校采取的IT 外包不是也不可能是全包，為了及時處理各種突發事件，內部IT 機構實際上仍需承擔第一線的維護工作，同時，在應用外包的過程中，內部IT機構仍然需要掌握技術的核心，對信息系統的開發流程、部署環境、安裝等有所了解，或者要求服務商提供培訓，這就要求內部IT 機構必須擁有相應程序開發、數據庫管理、網絡管理等技術人員，否則縱然服務商愿意提供相關技術細節和培訓，內部IT 機構也掌控系統運維的能力，造成套牢。人民大學財務處處長顧濤說過一句耐人尋味的話，大意是當你自己的人力資源跟不上時，更要慎重選擇外包與合作。言下之意就是，當自己的技術人力達不到時，就更容易被套牢。

因此在外包后，內部IT 機構也要不斷學習新技術，這也是選擇合適服務商，精確描述用戶需求的前提。

一般地，為了有更多合作，企業旗幟鮮明表示∶底層代碼不會開放。這當然可以理解，但問題在于，如果底層代碼不開放的話，后續的維護和功能拓展就只能鎖定原來的公司了。中國農業大學就遭遇過類似的事情，以后他們在合同中就明確要求公司將源代碼向學校開放。

4安全風險

由于很多外包公司開發的各類信息系統廣泛應用在多所高校，一旦某所高校的系統被發現有嚴重的安全漏洞，那么會迅速波及到其他高校，引發嚴重的安全事件。在教務系統、學工系統等方面，這類安全事件屢見不鮮，給很多學校都造成了較大損失。在信息系統維護外包過程中，由于項目需要，服務商的技術人員可以輕易地獲取學校的各類師生個人信息、財務信息、科研信息等，這些敏感信息如果發生泄漏也會給高校帶來重大損失。

針對這些問題的出現，首先高校IT部門要認識到這些問題的嚴重性，院校在服務外包的過程中要注意規范化和標準化。同時也要注意在選擇服務外包的提供商時，不能簡單追求便宜的價格，或者是先進的技術，而是要綜合多角度地考慮多個因素，如數據的存儲環境和安全性等，服務即使外包出去，但也要能在院校的嚴格控制和管理之下。

總之，高校自身要建立完整且獨立的信息安全保障體系，在整個IT運維過程中保護學校的重要信息資產。考慮到大部分高校都缺乏專業信息安全運維人員，使用專業安全公司提供的安全服務也成為必然的選擇。同時利用高校自身的信息安全科研優勢以及和國內外安全研究機構的密切聯系，及時獲取最新安全資訊，對外包引發的安全風險實時監控，并快速響應。

還有一點是，在外包項目中，承包公司不可避免地接觸到學校信息系統中的數據信息，學校除了把好承包方的選擇關外，還要在合同協議中，對保密條款進行明確。

5價格風險

盡管對于學校來說，如果外包商的價格低可以為本單位爭取更多成本，但是有一件事必須意識到∶當利潤極低時，服務就消失了。對于學校這樣一個需要持續良好的服務滿足全校成千上萬名用戶的部門來說，優質服務是必須考慮的因素。

對方也需要盈利。如果與你達成的外包關系對外包方無利可圖，你要么將得到少于預期的服務， 要么會因每一項服務變更或標準變更而被迫付費。

在任何外包業務里，拉拉扯扯都在所難免，但仍有不少方法可使合作關系保持穩定。可考慮啟用開放會計，可以請你的合作方公開成本，并表明他們試圖實現的利潤指標。如果這些都開誠布公，你就能為合作關系注入彈性，這使你能獲得你所需要的服務，又不至于對你的合作方施加壓力，使其消極怠工。