企業IT外包風險評估研究綜述

丁冰潔

摘要：IT外包在過去這些年里得到了迅速的發展，但同時也隱藏著巨大的風險。為了更精準地對風險進行評估，對現有與IT外包風險評估相關的研究成果進行了全面的梳理、歸納和提煉，選出此類別的典型代表性文章，使用兩種分類方法，將評估方法分為評估模型與分析算法或框架，或定性評估與定量評估，并對相關的風險評估案例文獻進行了介紹。

關鍵詞：IT外包;風險評估;評估模型;風險分析

一、 引言

企業信息化的趨勢目前已愈演愈烈，IT的重要性逐漸提升。目前IT在企業中的作用已經不僅僅是幫助處理一些基礎的提高效率的事務，而是具有重大的戰略價值。對于一些企業而言，由于資金、人力等資源以及時間的限制，可能企業自身沒有能力獨立完成IT項目，此時IT外包便應運而生，企業通過與服務商的合作得以完成自身的IT項目。

IT外包（IT Outsourcing，以下簡稱ITO）是指公司將計算機或互聯網相關工作（包括實物、人力資源、基礎設施等）外包給外部服務商。IT外包對于控制和減少企業成本、使用新的技術與經驗、增強靈活性、提高工作效率、減少不確定性、消除累贅業務及提高可信度等方面有利。然而，IT外包在帶來利益的同時也隱藏著巨大的風險，較大的規模、較多的投入資金會帶來大量的不確定因素，導致復雜的多種風險產生。

很多學者對ITO風險進行研究時，選擇繼續使用IT風險的定義。在IT風險中，除了IT項目本身的固有風險外，還有一些IT外包獨有的風險，如信息不對稱條件下供應商的機會主義行為難以監控等等。故本文采用Bahli（2002）的定義來描述ITO風險，他延續了Kaplan和Garrick（1981）的理念，使用風險因素、意外后果、風險作用目標與機制的四元關系來定義風險。

在對外包風險進行管控前，首先要對風險進行評估。如果在管理外包風險時沒有著重對風險進行評估，只在風險發生后才采取行動，這種被動的方式會導致IT外包項目質量不高、項目的成本收益分析不理想等不良后果。對IT外包進行風險評估，有助于了解風險的內容及程度，便于在IT外包的之前、之中和之后對風險進行有的放矢的控制，更好地完成IT外包項目。隨著IT外包風險評估重要性的逐漸揭示，如何評估這些風險也就成為了許多研究者研究的重點。

本文對現有的IT外包風險評估類研究成果做了全面的梳理、歸納和提煉，進一步分類為評估模型與分析算法或框架，并從定性和定量的角度做了另一種分類。

本文旨在為建立IT外包風險研究的方法論提供良好的基礎，豐富IT外包風險管理相關理論和指導IT外包風險管理實踐。

二、 研究歷史

ITO風險方面的早期經典論文，來自Lacity與Hirsc-hheim（1993）。他們表示，在柯達和IBM案例成功后，ITO已經變得十分普遍。許多從業者、學者和顧問在建議高管將他們的IS外包，并從他們的IS支出中節省10%到50%。兩位作者在文中簡要討論了外包風險，但表明這并不意味著外包是壞的，他們只是在探討如何防止外包失敗和定義風險的一些想法。

1996年，Earl發表文章表示，許多從業者和學者主張選擇性或“智能”外包，這可能是在提供IT服務的效率和有效性之間能取得平衡的合理方法。但同時，公司應首先討論他們為何不自己提供IT服務。Earl對十一種他識別出的外包風險進行了分析，這十一種風險是基于他于IT外包市場的供應商和購買者的討論得出的。Earl認為，在IT外包開始前，一個公司必須能夠成功地管理IT服務。

但需要注意的是，早期的文獻并沒有對IT外包中的“風險”進行嚴格的界定，只是給出了風險的常見形式與出現情況。

有以上兩位學者對風險的早期研究做鋪墊，在此之后，研究者們對IT外包的風險進行了更深入的研究，也由此引入了對IT外包風險的評估。其中最為權威的是BA Aubert等人發表于1998年的Assessing the Risk of IT Outsourcing，在文中，作者對IT外包的風險評估進行了基礎概念的定義，給出了較為普適性的對風險評估步驟和類型的概括，對后人的研究產生了深遠的影響。

1999年，Willcocks與Lacity認為ITO風險沒有得到學術界的足夠關注，盡管有越來越多的證據表明存在廣泛的失望和困難伴隨著外包ITO方面的些許進步。他們對案例進行了深入的探討，詳細介紹了從過往研究中提取的ITO的十個主要風險領域。

在此之后，ITO風險得到了學術界更多的重視，研究者們進一步拓展了ITO風險的研究范圍，并嘗試使用不同的方法對ITO風險進行評估。

當前，對于ITO風險的研究仍在持續進行著，學者們不斷嘗試使用新的方法對ITO風險進行進一步評估，這些方法有些來自于通用評估風險的方法，如模糊評價法、混合評價法，有些來自于與其他學科的結合。這些嘗試的目的，都是為了更精確全面地分析、評價風險，從而更好地管理風險、應對風險。

三、 文獻分析

現有的文獻使用不同的方法對IT外包的風險進行了評估，有些研究了普適性的ITO風險評估（e.g.Earl，M.J， 1996），有些對特定問題如銀行業的相關情況（如張成虎，張峰，2007;鐘園園，2007等）、離岸外包（Tsuji et al.，2007）等進行了研究。

在對文獻主體進行回顧時，本文發現ITO風險的類型非常之多。現將最常見的風險與對應的文獻，結合時間分布歸總于表1中。

基于表1這些風險類別，學者們對IT外包的風險歸類進行評估。

本文選用兩種角度將風險評估方法進行分類。第一種角度將其分為2類，分別為評估模型和分析算法或框架，這兩種類型將分別在“1”和“2”節中介紹;第二種角度將其分為定量評估與定性評估，具體介紹在“3”節。此外，一些學者把IT外包的風險評估方法應用于案例中進行實踐，本文將此類文獻匯總在“4”節中進行介紹。

1. 評估模型。評估模型是對IT外包風險進行評估時較為常用的方法，它的好處在于方便理解與應用，分析便捷。

風險矩陣分析法是評估模型的一種，這種方法需要的定量數據較少，可操作性高。鐘園園（2007）對銀行IT外包使用了風險矩陣法，包含波爾達值排序，結合了定性與定量兩種分析方式的優點。這種方法同時將項目需求與技術可能考慮入內，引入風險暴露的概念，風險矩陣的橫軸和縱軸分別為風險發生的概率和風險發生后對ITO的影響程度。此研究采用了三大類的模型結構，提出針對銀行外包評估的三大類、七維度的評價量表，該量表包含了戰略、技術和業務等方面。此外，張學峰（2009）也是用風險矩陣法對銀行IT外包的風險進行了評估。Lu等人于2014年分析了ITO的風險因素，并對風險矩陣進行了評估，對Borda價格進行計算以確認風險的重要性。Hongbo與Xiaoguo（2010）將外包風險分為四個等級，使用風險矩陣法對外包風險進行定量評價，且證實了風險矩陣是評估企業外包風險的一種可行且有效的方法。

風險解釋結構模型是另一種評估模型，它在IT外包中的應用由Wan， J等人（2008）首先提出，步驟是先識別風險因素，然后構造概念模型和可達性矩陣，在等級劃分后建立重新排序的可達性矩陣，最后建立結構模型。其中文章把風險因素劃分為五個原生因素，分別合同風險，需求定義和變化的風險，缺乏溝通，政策和法律環境的不同，以及匯率波動的影響。

此外，張強林和邵麗萍（2010）結合COBIT（信息及相關技術的控制目標）理論，建立了風險分析模型，以獨特的視角對IT外包的風險進行評估。

2. 分析算法或框架。為了與評估模型進行區分，此部分主要介紹使用算法或框架對ITO風險進行概念性的識別及評估的方法。

評估算法方面，Aubert等人（1998）給出了風險評估的步驟：（1）由不良后果評估損失：①評估給定項目的潛在不良后果;②由每一個不良后果評估潛在損失的大小。（2）評估風險概率：①確定可能導致不良后果的風險因素;②識別危險因素和不良后果之間的聯系;③評估在項目中每一個風險因素的程度。Aubert還在文章中提及了風險的動態變化，指出對風險進行評估時要以動態的眼光看待具體案例，不能固化分析結果。

風險分析框架的分析法較為簡單易上手，只需在識別風險后按照框架進行歸類分析即可。Willcocks等人（1999）結合LISA的案例給出了一個ITO風險分析框架，Bahli， B.和Rivard， S.（2003）同樣建立了一套風險分析框架，提出了基于場景的IT外包風險概念化，其中風險被定義為四元組。Currie，W. L.（2003）建立了以隱形知識和顯性知識為基礎的風險分析框架，創新性地提出了五類關鍵績效指標：交付和啟用，集成，管理和運營，業務轉型，以及和客戶/供應商的關系。

3. 定量評估與定性評估。定量評估的好處在于較為精確，但數據不太容易取得，計算中的誤差也是導致評估失誤的一個重要原因。劉繼承（2005）使用風險值測定法進行定量化的風險評估，其計算方式是：風險度=風險造成的損失*風險發生的概率，計算公式為V=C*P，其中V是風險大小的變量，C指風險帶來的損失，P指風險發生的概率。其中，C從“非常嚴重”到“可忽略”，被劃分為五個等級，而P會在實際操作中由量化調查結合加權平均得到。朱玥 （2008）建立了風險評價指標體系來度量企業IT外包的風險，在問卷收集數據后，使用SPSS對數據進行因子分析，建立因子得分模型，得出分析結果。

定性分析比定量分析更容易進行，但可能偏差更大，對結果的人為影響更多。Bahli，B.，和Rivard，S.（2003），Currie，W.L.（2003），張強林和邵麗萍（2010）等都使用了定性分析的方法進行研究，對風險評估的概念性界定作出了貢獻。

還有一些作者將定量評估與定性評估進行了結合，綜合其二者的好處，如Tsuji（2007）使用調查問卷的方式，既有定性的分析，也進行了定量的計算，得到了綜合的結果。

4. 案例研究。目前基于IT外包中風險的案例研究較少，研究主要著眼于IT外包中如何避免風險，而非風險評估。本文從文獻中找出了以下少數幾篇對風險進行評估的文章。

Willcocks等人（1999）將修訂后的風險分析框架應用于LISA，分階段對外包開始前、選擇供應商、開始外包等階段分別進行風險分析，并針對分析結果采取了減輕風險的措施。

鐘園園（2006）使用風險矩陣分析法和波爾達值排序作為主要方法對兩個商業銀行的信息技術外包項目進行了風險評估，并對不同銀行、銀行與其他行業的風險評估方法進行了比較。

張成虎，張峰（2007）對國內外銀行業IT外包的典型實例進行了介紹，并總結了銀行IT外包的國際經驗與啟示，對風險的評估作了大概的描述。

四、 未來研究方向

目前IT外包的風險評估方法很多，但普遍不能同時做到定量分析與全面因素權衡分析，未來的研究可著重平衡這兩點，提出新的評估方法。下面給出一些具體的研究方向：

結合中國本土案例對國外成型的風險評估理論作出修正;結合COBIT的風險分析模型還可以進一步深化，可從發包方和承包方的角度分別對風險進行評估;對ITO風險評估的定量分析仍較為粗糙，未來可對劉繼承（2005）的風險值測定法進行進一步的優化，考慮多重變量的影響。

第三節中總結到，目前著眼于IT外包中風險控制的文章較多，但對風險評估的文章較少，建議以后的研究者在考慮風險控制時可將風險評估的設計納入研究范圍之內，豐富自身的研究內容。

當前蓬勃發展的軟件即服務（Software-as-a-Service，即SAAS）是對內部部署軟件的極好補充，可以解決以前的按需軟件解決方案的缺點。SAAS會繼承部分ITO的風險，同時對部分ITO的風險點予以彌補。未來的研究者可以結合對ITO風險的研究，進一步對SAAS的風險進行評估，比較兩者的異同，幫助企業更好地利用信息技術取得進一步發展。