IT外包有何风险及如何防范？

中小银行信息系统建设采取外包采购方式来完成。因此，做好IT业务外包风险与安全管理是银行业IT治理的一个重要内容。

IT业务外包风险分析1、从宏观层面分析，产生系统性风险。目前银行业使用的IT产品如计算机CPU、 *** 作系统、基础应用软件、互联网等技术都来自国外公司，因某种原因，承包商所在国家发生战争等不可抗拒性事件时，会造成IT供应商及其供应链上的公司不能正常经营，如果IT业务外包的是一些重要的核心业务，则会对银行信息系统安全造成重大影响。

2、从供应商方面分析，产生依赖性风险。目前，国内银行业普遍长期使用一些国内外知名厂商提供的软硬件产品，在熟悉供应商产品的同时，长期使用也形成了对某一供应商的依赖，也会因外包商自身或其供应链上某公司出现问题，造成外包商运营出现风险，如果银行没有自己掌握外包供应商产品技术，更换新外包商会带来成本高及影响银行业务正常运营。

3、从产品供应链分析，产生供应链风险。目前，很多IT厂商特别是跨国IT供应商，把用户订单分包给其他外包商生产，当该公司供应链企业合作关系因某种原因出现问题时，则会产生IT外包供应链风险。

4、从采购方面分析，出现选择性风险。在外包供应商招投标过程中，由于没有对外包供应商的服务能力、技术水平、才能力、行业信誉、安全保护措施等方面做全面的科学分析评估，并受到来自各方面关系因素影响，选择的IT外包商各方面能力不能满足银行自身业务发展需要，容易出现项目失败，造成损失。

5、从合规方面分析，产生合同风险。在与IT业务外包供应商签署合同时，因制定的合同文本中相关合同条款描述的不到位、不详细，权利与义务没有很好的说明，容易造成外包服务质量达不到预期目标甚至产生合同风险。转自项目管理者联盟

6、从道德方面分析，产生信息安全风险。由于外包供应商内部控制出现漏洞，本公司内部员工辞职，并利用到银行工作之便，或者与银行员工内外勾结，窃取银行客户信息和资产，给银行和客户造成损失。

7、从技术方面分析，产生技术风险。一些IT供应商因受到自身发展瓶颈的限制，资金和研发能力不足，不能紧密跟踪新技术应用，对软硬件产品及时进行升级改造，则对信息系统应用开发和安全运营产生影响。

9、从服务方面分析，存在服务质量风险。据2004年德勤发布的《外包调查报告》称：57%的调查者因为外包 服务提供商能够提供优质的服务和业务创新选择了外包，31%的调查者认为服务提供商处于更有利的位置。在合同不完全性和双边垄断的前提下，外包商处于更有 利的位置，致使服务质量得不到有效保障，组织效率得不到有效提升。

10、从内控管理分析，存在监督与审计缺失风险。在IT业务外包合同执行期间，银行管理部门往往忽视了对外包商的财务状况以及支持IT外包业务的技术和关键人员进行有效地监督和管理，忽视了对外包供应商及供应链公司的日常审计检查，容易造成IT外包业务服务水平下降。

11、从软件方面分析，存在后门的风险。在银行软件产品开发过程中，商业化的组件和中间件得到普遍应用，需求内容变更、版本升级、打补丁，很难做到每一次升级都对系统功能从头到尾全面完整的测试，这使的软件产品外包商及供应链的透明度和可追溯性追踪变得困难，会存在后门的风险。

标签或关键词：IT 信息系统系统软件 管理软件 软件应用发展史企业管理安全问题 信息化建设 战略管理全面预算绩效管理 生产管理咨询管理咨询制造业ERP IT信息系统软件的生存和运行的环境决定了其存在和面临以下安全问题：首先，IT信息系统软件必须依附计算机设备及其存储设备及在此台计算机设备运行的 *** 作系统，因此计算机硬件设备安全就会影响IT信息系统软件正常运行。特别是计算机主机故障、存储设备故障（如硬盘）、或直接影响计算机 *** 作系统故障，因而引发IT信息系统软件不能正常运行或装有IT信息系统软件的计算机完全不能开机的情况。此类安全问题我们归结为计算机硬件设备安全问题。对于此类问题，我们可以以双机热备份的方式来进行解决。当一台机发生故障时，另一台机仍能正常运行，以支持IT信息系统软件正常服务。第二，数据及数据库安全。IT信息系统软件，一般通过专用的数据库来存储和处理数据（如ORACLE,Informix、Sybase等）。而数据库本身也是一个应用软件，它也必需依附计算机的 *** 作系统才能正常运行，如 *** 作系统发生故障，或者数据库软件本身发生故障，就会导致IT信息系统软件所处理数据丢失的问题。对数据库软件发生故障的安全问题，我们可以采取IT信息系统提供的数据备份和恢复功能来应对。如果IT信息系统软件有非常多和重要的数据，且系统响应要求实时性很高，应另外还需要一个独立多硬盘存储设备，并以镜像的方式（如RADID5）存储IT信息系统软件的 *** 作数据。即算某块硬盘发生故障时，因其他硬盘保留此数据，所以能保证其数据不会丢。同时通过热插拨更换故障硬盘，丝毫不影响数据的存储。第三，网络安全。随着网络技术的成熟，企业规模和管理复杂度，以及市场竞争的要求，现在的IT信息系统软件不再是单机版应用，更多是基于网络的应用，特别由于互联网的开放及低廉成本，得到广泛的应用推广。因此网络环境也会给IT信息化系统带来安全问题。网络安全具体包括以下几类：1、 IT信息系统所在的计算机设备（服务器） *** 作系统管理问题。是否有防病毒软件或专机专用（规定不能上此台机上上互联网或私自 *** 作），如没有，就易受网络病毒感染，致使不能正常提供服务； *** 作系统不使用的端口，是否被封闭， *** 作系统的漏洞是否经及时更新升级而解决；因为这些都是易被网络非法用户攻击的地方，如 *** 作系统被攻破，数据和系统安全就无法保障。同时可以采取物理隔断、防火墙、IDS等硬件设备防止被攻击。2、 网络传输安全：数据在网络上传输极易被非法用户截取及篡改。我们可以通过对数据进行加密传输或利用SSL技术对数据进行超强度加密传输，或通过CA证书技术，对客户端和服务器双方身份进行合法验证，或通过***技术在互联网上构建虚拟私有网，DDN或X25等专用网络来确保数据在网络传输的安全。3、 客户端合法性安全问题。为防止非法客户访问和使用IT信息系统，我们可以使用诸如用户名和密码校验登录、UKEY、IP限制、指纹识别、CA证书等方式，确保用户是合法用户。 第四，IT信息系统功能和数据安全问题。在确认为合法用户后，登录系统，用户可以正常访问系统和应用功能及相关数据，但这种权利是通过岗位权限、功能权限、数据权限的等规则的约定来进行 *** 作，即是在受控和受限的情况才能被使用，换句话说，授权能使用和访问的，才被允许。另外，对于IT信息系统软件管理员，这一特殊群体，只涉及对系统本身的维护工作，而不参与业务运作，因此系统管理员的访问系统业务功能和数据的权利应该被严格的限制。

在控制it外包风险与安全方面，做到心中有底、手中有招、控制有术，建立事前预防、事中控制、事后监督的三道防线。（一）事前预防

在日常工作中，各种外包风险的前期预兆是会表现出来的，关键是没有及时发现，马上纠正或是对发现的问题思想麻痹，错误扩大化变成案件，形成损失并为纠正错误付出高昂代价。因此，把风险消灭在萌芽状态，才是风险控制的重点。

1、制定IT业务外包战略。银监会颁布的《银行信息科技风险管理指引》和《商业银行外包风险管理指引》中对外包业务都提出了要求，重点考虑IT业务外包要能促进公司的科技业务发展、信息系统安全运营和科技业务管理水平，紧密配合公司业务发展规划，全面权衡外包的利益与风险，决定将哪些IT业务外包，制定IT业务外包战略规划。

2、建立IT业务风险与安全管理体系。体系制定要做到统一框架，统一标准、统一措施、统一监督管理，内容由IT业务风险与安全管理策略、管理制度与规范、技术标准、指引、流程、 *** 作手册等组成。通过制定风险与安全管理体系，指导公司IT业务风险与安全管理工作的开展，使其符合国际、国内的有关安全标准和我国的法律法规；在公司内部形成一个信息科技风险与安全管理机制，确保落实，保护公司所有信息科技资源和资产的安全；明确信息系统的防护、检测和应急恢复等各项信息科技风险与安全管理指标、原则和违规行为的处理措施；对与公司合作组织、商业伙伴、承包商和服务提供者提出相关的安全约束。项目管理者联盟

3、做好IT业务风险与安全的认知与培训。通过举办培训班、研讨会、发送邮件、赠送报刊等方式，为公司科技人员和业务人员提供IT业务风险与安全方面知识的培训，通过持续不断的培训学习，掌握本公司IT业务风险与安全管理制度规范，提高全员风险与安全防范意识，积极参与信息科技风险与安全防范工作中，形成全员参与信息科技安全管理的风险管理文化。

4、建立IT业务外包供应商信息管理系统，设计科学、全面的风险指标评估体系。西格玛中有句名言：有什么样的指标、就有什么样的结果。建立科学的IT业务外包供应商评估指标体系，有利于统一供应商与银行的IT业务发展目标。该指标体系需要从质量、成本、交付、服务、技术、资产、流程这些方面入手，确定外包供应商成立及上市时间、行业经验、规模、安全、人力、财务、问题响应时间、是否有产品保险、企业文化以及各种认证等重点内容，详细设计3K（KCS、KCSA和KRI）指标，每一项指标都要给出相应的分值区间，通过建立外包供应商信息管理系统，把设计的评估指标纳入系统中，详细记录外包供应商及其供应链上的各方面信息，通过系统统计分析，从而科学有效的评估外包供应商的服务能力。

（二）事中控制

银行与外包合作商签署合同，项目正式进入合作 *** 作阶段，在日常IT项目运营过程中，银行作为甲方应做好如下几方面的工作。

1、认真执行制度、不断完善制度

从出现的有关银行计算机系统风险安全与犯罪案件分析中，大多数都是因为没有章不循，没有按制度办事，按业务处理流程办事造成的，这就要求银行加强对制度执行严肃性的管理，违章必究，否则制定的各项制度规范形同虚设，起不到应用的作用。同时，还要注意IT业务外包供应商风险与安全管理制度规范建设与信息系统同步规划、同步建设、同步管理，能紧随银行信息科技业务的发展、环境的变化、中心工作的更替、创新的要求，及时得到调整、修订和补充。

2、选择适合自己的外包供应商，签署合作合同

签署合同是IT业务外包不可避免的风险。因此，根据前期对市场的调研分析，搜集的供应商信息，寻找合格的IT服务供应商，询价和报价，通过招投标方式，建立适合公司科技与业务经营发展需要的供应商，并协同法律部门做好外包合同文本的制定和签署，合理规避和防范合同风险的发生。

3、加强与外包供应商的合作与交流

一旦项目签署合同开始启动，银行作为甲方要提供项目研发办公条件，尽快让外包商到行里来工作，向同事一样给予相关方面的必要帮助。同时，银行科技人员以及业务人员要参与到项目建设中，既可以让自己的技术和业务人员与外包公司技术人员熟悉、了解掌握产品技术性能和业务功能，便于项目研发过程中问题的沟通交流，还可以全程对项目进度、质量进行跟踪，以便于在规定的时间内，高质量的完成软件项目的研发投产，让项目利益所有者都满意。

4、建立外包供应商服务评价体系

因很多外包公司特别是跨国公司，外包、分包普遍存在，也就降低了供应链的透明性和可追溯性，有意无意的形成漏洞，加大了供应链风险。所以，要采取日常业绩跟踪和阶段性评比方法，更加深入的了解外包供应商及其供应链的一些情况，避免信息不对称，便于更好地建立外包供应商信息管理系统，根据有关业绩的跟踪记录，对供应商的业绩表现进行综合考核，全面、正确的评价外包商工作情况。

5、做好项目建设的计划与控制

为避免人员频繁变动、项目延期、交付的技术文档不齐全及系统上线后支持服务跟不上等现象。要求银行科技人员与外包项目经理及项目组成员建立项目进度与质量控制沟通机制（如周例会、项目周报、问题跟踪管理报告等），定期监测与度量项目进展情况，识别有否偏离计划之处，及时发现问题、反馈问题、了解原因、解决问题，确保实现项目目标。

6、建立应急管理机制，保持业务持续性

你不能防范每种风险，但是你却可以迅速发现问题，并提前思考解决方法，动员所有的选择，这才是风险与安全管理的精髓。银行要制定可行的外包供应商应急管理计划，项目外包会使得银行对外包供应商产生依赖，如果外包供应商不能如期履行合同，而导致银行业务中断所引起的后果必须高度重视。这就需要银行要严格审查外包供应商提供的执行方案，并针对外包供应商不履行合同或者发生紧急事件制定应急应对方案。

（三）事后监督

外包项目完成后，银行相关职能部门应做好对外包项目从立项、招投标、建设、投产使用等全过程进行检查审计，主要做好如下几方面工作。

1、与完善规章制度相结合，实现各项工作制度化

在事后监督检查过程中，加强检查IT业务外包制度是否建立健全、科学有效、符合工作实际，不断完善规章制度，使外包各项工作有章可依，工作制度化。

2、与奖惩相结合，维护法规与制度的严肃性

适当的处罚，能促进责任人改正错误，增强法律法规观念，更好的促进工作，依据制定的IT业务外包风险与安全管理制度规范，检查项目外包实施过程中各项工作是否按制度办事，针对检查出来的问题，要查明原因，对于不按制度办事的违章行为要给予处罚，做的好的要表彰，做到奖罚分明，维护制度的严肃性。

3、与内审计相结合，制定外审策略

在做好内审的同时，也可以邀请外审机构对外包商以及外包供应链上公司的风险与安全管理能力等进行全面的评估。

4、与规范化管理相结合，实现业务 *** 作程序化

事后监督工作要深入到科技业务一线，认真执行规范化 *** 作规程，从细节入手，查找不足、堵塞漏洞，促进外包供应商管理制度化、程序化、规范化。

5、与IT服务内容相结合，做好多外包商的监督管理

监督、定期重新评估外包风险，并把所搜集信息和评估结果纳入外包供应商信息系统管理，通过合同和SLA协议管理供应商，要注重周期性地审查外包合同，并根据环境和银行业务发展的需要及时修改合同、重新设定外包服务标准。

总的来说，it外包要在国家法律法规和公司的制度规范内展开，要建立健全IT业务外包过程中信息披露和检查监督及考核机制，建立一个功能完善的外包供应商信息管理系统，有效防范IT业务外包风险，确保信息安全。

参考资料：

>

中小型企业如何避免IT外包的风险

（“外来员工如何保守秘密”）

IT外包（ITOutsourcing），就是客户将全部或部分IT工作包给专业性公司完成的服务模式。客户整合利用其外部优秀的IT专业化资源，从而达到降低成本、提高效率、充分发挥自身核心竞争力和增强客户对外环境的应变能力的一种管理模式。随着中小型企业信息化建设的深入开展，IT外包服务的重要性日益显着，很中小型业都希望利用IT服务提供商的专业技能提高企业信息化水平。但在不成熟的IT外包中还是存在一定的风险，如果处置不当会使企业蒙受巨大损失。企业该如何避免这些风险呢？

中小型企业IT外包存在的风险

1 控制的角度:IT外包可能会在及时提供服务和保证服务质量方面存在失控;灵活性被降低，对需求的任何变更必须取得外包商的同意;成本可能在没有被感知的状态下上涨;外包商及其员工可能获准接触公司机密资料:组织的知识产权保护方面也可能会有风险。

2 不确定性的角度：IT外包在技术和业务都不确定的情况下，对未来业务起支持作用的信息系统将有哪些要求外包会使组织失去为满足业务需求而进行变革的能力吗另外由于技术的不可分性，外包可能引起极度的混乱。

3 成本的角度。IT外包可能不会降低信息系统的成本，反而会由于难以预见和未予说明的变化导致费用更高;风险还来自特定外包商的本性及行为;外包切断了组织对它所处的商业领域中的信息技术的最新发展及应用情况进行学习的途径，这可能导致组织的未来的学习费用急升。

4 灵活性的角度。IT外包不可避免地使企业失去部分灵活性，分为:短期灵活性、中期适应性和长期进化性圈

根据以上分析，实施IT外包的中小型企业和IT外包提供商之间的合作，因为信息不对称、信息扭曲、外包市场的成熟度不高以及技术更新、等多种因素的影响，存在着多种风险。当把自己的IT系统授权给服务商管理时，企业在某种程度上就失去了对信息系统的控制权。IT外包服务风险需要从中小型企业自身、IT服务提供商、信息及知识产权等三方面进行分析。

中小型企业自身产生的风险

在IT外包服务过程中，中小型企业作为管理的主体，其对IT外包的管理思路、管理行为、知识水平等， 都对IT外包服务有着非常大的影响，可能也会直接或间接地导致风险的发生。

选择低水平的不成熟的IT外包服务商存在的风险。在IT外包服务商选择环节，由于中小型企业选择标准、选择过程存在疏忽与漏洞，或没有全面考察评估提供商的综合服务水平和综合实力，片面地追求IT服务商的局部优势和低廉的价格，可能导致中小型企业选择低水平且没有丰富经验的的服务商，从而会使IT外包在服务的及时性和服务质量方面失去控制，这样就容易导致中小型企业在运行管理上的损失。这种风险是最严重也是最致命的，因为一旦选择了不合适的IT服务商，在后来服务的过程中也就很难有挽回的余地。

随着时间的推移和服务范围的扩大，中小型企业对IT外包服务商所提供的服务的依赖性会逐渐增强，就会逐渐的失去信息化控制力，最终可能导致中小型企业完全依赖外包服务商，对需求的任何变更都必须经由或取得外包服务商的同意，这样就降低了IT外包服务的可用性和灵活性。中小型企业内部对IT部门的重视程度会逐渐降低，IT人员的技术水平和综合能力会大打折扣，创新能力也会下降，最后可能导中小型企业IT总体水平下降，从而会失去信息化控制力和竞争力。

IT外包服务合同造成的风险。在IT外包合同的制定过程中，如果中小型企业没有全面的详细的制定合同细则以适应需求快速变更及其他可能发生的种种变化，如没有详细地指明服务商必须提供的最低服务水平、服务范围和标准，发生故障时的服务级别及响应时间，信息泄密处理机制等，就容易使中小企业处于被动地位。同时，在合同执行期间，中小企业如果不能对服务商的财务状况、支持能力、关键人员进行有效的监督和管理，忽视必要的审计检查和文档交接，最终也可能导致总体服务水平的下降。

外包服务商带来的风险

在IT外包服务的过程中，IT外包服务商作为这项服务的承担者，中小企业以合同方式对其明确了服务内容和服务标准，但仍不能确定外包服务商最后是否能够提供合同约定的服务。从外包服务商的角度来说，主要会带来以下几方面风险。

IT外包服务商内部的不稳定性带来的风险。在外包模式下，中小企业的IT应用在技术上依赖于外包服务商，服务商内部的不稳定性成为重要的风险来源。内部稳定性主要包括组织架构的稳定性、关键人员的稳定性和技术能力的稳定性。当前IT产业的高速发展使外包服务商的内部稳定性受到极大威胁，在合同执行期间，服务商的组织架构、关键人员、技术能力等方面的任何变化都有可能使IT外包服务陷入困境，最终导致服务商无力提供外包合同中规定的服务。

IT外包服务商对中小型企业业务需求理解不透彻带来的风险。外包服务商的技术水平一般比较高，对IT的理解很透彻。但由于不了解行业，他们对企业的内部流程等业务需求有时不能充分了解。如果外包服务商没有和企业进行充分的沟通和交流，就容易导致在需求分析阶段无法进行高质量的需求分析，使后续阶段为改正需求分析阶段产生的错误付出高昂的代价。

使中小企业隐性成本增加的潜在风险。选择IT外包的一个重要目标是减少IT运行和投资的费用。随着对外包服务商的依赖性越来越强，中小型企业付出的隐性成本会在不知不觉中增加，如选择服务商时发生的交易成本、将IT业务交给服务商时发生的转换成本等。更严重的是，如果服务商不断追求先进的IT技术，却不能使IT设备得到有效运行或运行质量难以达到合理水平，中小企业会由于业务停顿而蒙受巨大损失。在实际外包过程中，很多中小型企业往往忽略了隐性成本的核算。

信息泄漏及知识产权风险

在IT外包服务过程中，中小型企业将自己的部分或全部信息系统提供给外包服务商运行和管理，服务商及其员工就有了接触公司机密资料的机会，这样中小型企业的商业秘密及其相关信息就极有可能会泄漏给竞争对手。此外，在些核心项目外包的过程中，外包服务商往往比中小型企业更具有知识产权意识，可能将共同设计、开发的项目抢先占为己有，从而导致知识产权纠纷。中小型企业必须清醒地认识到，IT外包过程中的信息泄露和知识产权风险有可能导致严重后果，使中小型企业蒙受巨大损失。

那么如何避免或者减少这些风险，权衡中间的利弊关系呢？

当前，中小型企业的信息化建设不是很成熟，基础仍然比较薄弱，还不具备实施应用系统外包或者业务流程外包的条件。但是，行业各级单位将最底层的IT基础服务外包出去的条件已经成熟，而且需求非常迫切。根据以上情况，中小型企业在制定IT外包服务战略规划时应首先明确信息化业务的主次之分，划分优先等级，区分核心业务和非核心业务。中小型企业应以逐步推进的方式，首先选择IT知识培训、桌面终端维护、通信网络维护等外围项目进行外包，取得预期效果后再考虑防病毒系统维护、数据中心运作管理、数据备份和灾难恢复等系统的外包。对于影响中小型企业关键业务的核心应用系统的外包要谨慎对待，要进行充分的考察和评估。

全面评估IT外包风险。评估需要确定哪些外包风险是可以接受的、哪些是不能接受要尽快改进的。评估过程中应充分考虑核心业务系统的外包风险，包括影响企业业务创新能力、影响IT技术应用能力、与企业的IT战略计划发生冲突等各类风险。

科学选择外包服务商。从满足企业现有和未来信息化发展的角度，对服务商支持外包业务的技术能力、关键技术人员的综合素质、业务处理的 *** 作能力、控制突发事件的能力以及服务商的财务状况等五个方面进行全面评估，科学选择外包服务商。要不断完善对外包服务商的评测能力，加强对外包服务商所提供服务的质量进行监督、考核。

管理好外包合同。外包合同是企业最重要的监理依据，是在外包过程中最重要的文档资料之一。外包合同既是IT服务商开展专业技术服务工作的依据，也是企业对IT服务商交付的外包服务进行监控、协调、管理、评估、验收以及付费的依据。外包合同可以说是发生外包关系双方一切工作的出发点和落脚点，外包合同管理，主要涉及选择外包服务商、制定外包合同、签署外包合同、更新或终止外包合同等事项。签署外包合同之后，企业信息技术部门或者相关负责人，就增加了一项任务：对IT外包业务进行管理、控制、监测和评估，协调企业和外包服务商之间的关系，保证外包服务到位，确保本企业的利益不受损害。

严格监控IT外包服务。只有严格加强管理力度，外包服务过程中的诸多问题，如服务内容规划、服务时间进度计划、服务质量管理、服务成本管理、服务技能管理、人际沟通管理、争议裁决、需求变更程序等才能得到落实和解决。企业应成立监管小组，负责定期和不定期地对服务商进行有效监管。监管的主要内容应包括服务商的服务质量、关键人员变动情况、全面履行合同情况、服务再次分包情况等。中小型企业的管理层应定期接收关于企业IT外包风险的信息。报告的风险信息应该包括企业当前面临的或潜在的外包风险、应对外包风险的措施及步骤、采取的具体措施可能带来的不良后果等。监管的目的是使监管小组和企业高层管理者可以用定性和定量的方法来监控IT外包风险，避免风险的发生。

做好IT外包服务的过程管理。过程管理包括过程策划、过程实施、过程检查和过程改进四个部分，企业在IT外包服务管理过程的各个阶段都有其工作侧重点。在过程策划阶段，应该认真做好IT服务外包的需求获取、需求分析、服务 *** 作流程制定、服务计划、等工作；在过程实施阶段，应该使服务项目实施人员就服务内容、服务方式、服务流程、服务质量达成一致，使其严格遵循外包合同以及信息技术相关标准、规范开展技术服务工作，并做好记录，实现痕迹化管理；在过程监测阶段，应在服务实施前、实施中、实施后加强监督、测试、确认和评审，可以采用过程抽样、过程还原试验等方法来加强对服务的监控；在过程改进阶段，应主动发现外包服务商在日常工作中存在的不足，通过多种沟通渠道督促服务商改正缺点，进一步提高服务质量。

增强风险防范意识，加大知识产权保护力度。在外包服务过程中,中小企业需要增强风险防范意识，加强涉密信息的管理，明确IT服务商的相关责任，共同签署保密协议。同时要积极加强知识产权保护工作，从维护企业利益的角度出发，在合同中明确约定知识产权相关条款。

IT外包要扬长避短

IT外包是众多企业的常见做法。对于缺乏专业技术人才或解决方案的企业，IT外包是一种既能节省成本又能提高效率的方法。但IT外包并不是“万能药”，过分依靠技术外包单位会削弱企业自身的信息技术研发能力，导致企业产生依赖心理，甚至影响企业在信息技术方面的自主创新能力。

因此，着眼于长远，企业在进行IT外包时应当扬长避短，即扬外包技术单位之长，避技术外包之短。扬外包单位之长，是要根据企业的需求，找准合适的技术外包单位为企业提供服务；避外包之短，是要在外包的同时不能削弱企业自身在信息技术方面的竞争力。对此，在当前信息技术越发成为影响企业管理效率与业务质量的重要因素的情况下，一方面，企业要选择合适的信息技术合作伙伴，加强沟通，增进理解，让外包服务商及时了解企业自身的业务、管理需求；另一方面，企业要善于通过与外包服务的合作，提升企业自身技术人员的能力，增强企业自身信息技术整体能力，确保企业信息技术核心竞争力的提升。

风险是指损失或损害的可能性。项目由于它们独一无二的本质而具有风险。

风险管理是一项投资，也就是说，风险管理需要花费与识别风险、分析风险和制定风险减轻计划相关的成本。这些成本必须包括在成本、进度和资源的计划编制中。

组织部门承担风险，以从潜在机会中获利。

风险效用或风险承受度是指从潜在回报中得到满足或快乐的程度。风险喜好者乐于高风险，风险厌恶者不喜欢冒险，风险中性者试图在风险和潜在回报之间取得平衡。

风险管理是一种行业准则，它要求项目团队不断地评估什么会对项目产生消极的影响，并确定这些事件发生的概率，以及确定这些事件如果发生所造成的影响。风险管理也涉及分析和决定对付风险的备选战略。风险管理中包含的四个主要过程是：风险识别、风险量化、风险应对计划制定和风险应对控制。风险管理计划是风险管理的重要输出。

ITS,目经常涉及下列风险：缺乏用户的参与、缺少高级管理层的支持、不明晰的要求、拙劣的计划编制，等等。由斯坦迪什集团、麦克法兰和其他组织开发的风险列表，有助于识别IT项目的潜在风险。在项目管理知识领域的一般风险条件列表也会很有帮助。

量化风险的工具和技术包括期望货币值(EMV)、计算风险因子、PERT估计、模拟和专家判断。期望货币值有助于你根据项目的预期价值来评价潜在的项目。风险因子代表了具体事件的风险，它基于其发生的概率和如果发生时所造成的后果。PERT估计需要收集乐观估计值、悲观估计值和最可能估计值。模拟是一种与PERT相比更加复杂的估算方法，它有助于你确定满足具体项目进度或成本目标的可能性。专家判断也是一种评估项目风险的有价值的工具。

三个应对风险的基本措施是：规避、接受和减轻。风险规避涉及根除具体的威胁和风险。风险接受意味着如果风险发生接受风险产生的后果。风险减轻是指通过减少风险发生的概率来减轻风险事件的影响。

风险管理计划记录了管理整个项目过程中相关风险的步骤。项目团队也会准备应急计划，这样，如果一项已识别的风险发生时，他们就知道应该采取什么措施。项目发起人经常提供应急储备来帮助应付项目范围或质量上的可能变更，从而减轻整体上的成本或，和进度风险。

风险控制涉及执行风险管理过程和计划来应对风险事件。“十大风险事项追踪”是一种在整个项目生命期始终保持风险意识的方法。

几种类型的软件在风险管理过程中会起到辅助作用。蒙特卡罗模拟软件是一种特别有用的工具，有助于更好地理解项目风险和风险或风险驱动者的几大来源。

导语：“风险”一词的由来，最为普遍的一种说法是，在远古时期，以打鱼捕捞为生的渔民们，每次出海前都要祈祷，祈求神灵保佑自己能够平安归来，其中主要的祈祷内容就是让神灵保佑自己在出海时能够风平浪静、满载而归。在长期的捕捞实践中，他们深深地体会到“风”带来的无法预测的危险，认识到，“风”即意味着“险”，因此有了“风险”一词的由来。

IT项目风险管理

现在，风险一词的意义，已大大超越了“遇到危险”的狭义含义，而是“遇到破坏或损失的机会或危险”。经过了两百多年的演义，风险一词越来越被概念化，并随着人类活动的复杂性和深刻性而逐步深化，被赋予了从哲学、经济学、社会学、统计学甚至文化艺术领域的更广泛更深层次的含义。不管如何定义风险一词的由来，其基本的核心含义是“未来结果的不确定性或损失”，也有人进一步定义为“个人和群体在未来遇到伤害的可能性以及对这种可能性的判断与认知”。

一、风险的定义

风险有两种定义： 一种定义强调了风险表现为不确定性;而另一种定义则强调风险表现为损失的不确定性。

若风险表现为不确定性，说明风险产生的结果可能带来损失、获利或是无损失也无获利，属于广义风险，金融风险属于此类。而风险表现为损失的不确定性，说明风险只能表现出损失，没有从风险中获利的可能性，属于狭义风险。

广义的风险展现出来的是机会，虽然这种机会可能让我们的项目变得颗粒无收，但如果一旦机会有利于项目，则可以大赚一笔，风险投资家们心中的风险正是广义的风险，所以风险才会吸引他们投入巨大的资金。而作为项目管理者来说，风险对他们意味着失败的危险，因此必须将任何风险扼杀于摇篮之中。

二、IT项目风险的特征

由于软件本身的特点，导致IT项目与传统项目有很大差异，因此IT项目的风险管理难度要比传统项目大。

1需求不稳定

软件项目的需求多变已成为软件业界的共识，正因为需求的多变，才让瀑布模型一直遭受到软件工程界的抨击，因此诞生了原形模型。在IBM的RUP和众多的敏捷方法论中，一直将需求不确定列为软件项目的最大特点，因而出现了拥抱变化一说。

当一个IT项目开始实施的时候，如果客户连他需要做什么，要实现一些什么功能都不能确定的话，那么做软件实施的工程师他们又如何能够知道自己要开发一个什么样的软件系统出来呢所以他们只有在漫长的等待过程中，不断遭受到客户的“批评”，在经历了“九九八十一次磨难”之后，才恍然大悟，原来就是要做一个这样的系统啊!

这有点像盲人走路一样，盲人根本就不知道前面是什么，因此他往前走一小步，如果不是路，则向左旋转一点点，再次用脚探探前面，如果是路的话，则可以往前迈一步。如果这个盲人运气不好的话，第一脚就在悬崖边上踏空，那么他将跌入万劫不复的深渊。我们的项目也如同这个盲人，稍有不慎就可能让自己走向失败，这是一个多么大的风险啊。

2项目规模估计不准确

当老师给我们布置作业的时候，如果他多布置了几个题目，下面的同学便会大声地嘘叹，开始私下的嘟噜：“又要做一个多小时了!”。学生们在很短的时间内就能够准确的估计作业量大不大，他们的估计凭借着他们每天一次的做作业的经验和那一瞬间对题目的印象，虽然他们并没有做过刚布置的这些题目，但是估计得仍然是那么的准确。

任何一个建筑工程的项目经理都能对自己的项目进度掌握准确，在他们的眼中，只要资金到位，则进度就可以得到保证。工地需要多少人，什么时候需要开始进行什么工序的施工，什么时候需要加班，这些都在他们的心中掌握着。资金就是他们最大的风险。

而软件项目与之不同，在软件项目开始后，很少有缺钱的。只看到过资金没有到位的“烂尾楼”，但是从来没有看到过由于项目资金没有到位的问题而导致未完成的软件项目，就算是缺钱也是因为签合同的时候要少了。

再优秀的软件项目经理，他也无法预计好自己的项目什么时候能够完成，因为在他进行估算的时候，客户的需求还没有搞清楚呢!再者，建筑工程可以通过预算很准确地得出整个建筑的工程造价，而软件项目却很难，因为不管是代码行估算法，还是功能点方法，都远不及“我猜，我猜，我猜猜猜”中猜得准确，这些方法很多时候甚至不如算命先生算得准。

3人的因素对项目影响很大

人可以说是整个软件项目的灵魂，软件项目不需要钢筋、水泥和沙石，也不需要任何的施工机械。软件项目的原材料就是人的思想和智慧，而计算机和CASE软件则是项目的施工工具。通过键盘和鼠标，无数的程序代码在程序员手中诞生了。如果要问软件项目最大的成本在哪里，那么答案只有一个，就是人力成本。

一个优秀的程序员的工作效率要远远高于一个蹩脚的程序员，一个程序新手甚至根本就不能够产生任何生产效率。不仅如此，新手的错误行为，将让熟练员工牺牲很多时间来帮助新手纠正他们的错误，甚至可能导致降低软件开发的效率。

虽然软件项目已经实施角色分工和管理，但是相对于其他工程的分工来说则分工比较单一。软件项目中，一般分有：系统分析师、架构师、设计师、程序员、测试工程是及配置管理人员和项目经理等。这样的分工并不能有效地降低他们工作内容的复杂度。如果能像建筑工程中的砌墙、浇注混凝土、搭脚手架那样分工细致的话，则培训软件蓝领也不会需要费如此大的力气了。

三、古语话，唯有小心，小心驶得万年船

经常可以见到有人不小心，踩到或者碰到什么东西而摔倒的情况。相反，盲人却很少会因为自己的疏忽而摔倒。他们总是很小心的走着每半步路，对于前面的未知世界，他们总是要探了又探，在确认能够行走的情况下，才小心的迈出半步。

由于软件项目的太多不可确定性，因此管理软件项目，犹如盲人走路一般。在未来还不确定的情况下，可以将自己的经验列出来，如在什么时候最可能出现什么风险。盲人在听到汽车声音的时候，总是会更加小心，当软件项目中开始出现一些问题的时候，我们需要考虑这些问题背后所隐藏着的更深的威胁。发现危险总是需要凭借自己的灵敏的直觉与丰富的经验。

聪明的经营者，绝对不会是技术方面的专家，越是技术专家，就越不能容忍技术方面的缺陷。而经营者所需要考虑的不是技术是否无可挑剔，而是在乎项目是否盈利，让别人去承担风险，让自己来享受利润，是聪明的经营者的决策指南。

　信息系统关系着企业的安全连续运行是IT运维管理追求的目标。IT运维管理与IT运维的成本、质量、速度有着很大的关系，当然也与IT系统的安全、连续和可用联系紧密。现今市场状况下，IT外包模式下许多IT运维管理都出现了许多问题，主要包括IT资产管理问题、IT外包管理问题、IT运维成本问题以及IT运维技术问题。it运维常见问题有哪些

1 IT资产管理问题

当不同的IT资产运维被外包后,相对应会增加一部分责任人,无论是对它的维护还是更新升级改造，都会影响到IT资产的价值,同时也会对你IT资产的使用年限和配置信息产生影响，导致发生一定的变化,从而造成物理位置与实际不符、账实不符、安全责任无落脚、人机不符等问题。分散的、动态的IT资产管理是无法提供清晰的结构脉络给相关管理人员和服务人员的。

2 IT外包管理问题

完善的IT外包管理：选择外包商-使用外包商-考核评价外包商-优化外包商。信息技术基础构架库标准体系现在被许多企业采用，这种管理使外包服务过程更加的流程化。然而,它对企业对于外包商的选择、考核、评价优化均未提及。因此,就算流程管理做好了,IT运维管理外包还是没有到位。

3 IT运维成本问题

招标或者议标易确定外包价格,但是很难界定价格的合理性,也无法确定价格涵盖的服务项目。当甲方遇到突发状况时,部分服务商往往不能快速响应，可能服务人员不在本地,还有超出服务范围要追加费用这种情况的出现。有的时候公司付出高,回报低,影响到公司的未来生存发展，无法保证长期稳定的良好服务。如何衡量服务成本来确定服务价格是IT运维管理外包中的主要问题之一。

4 IT运维技术问题

针对不同的IT运维服务对象应采取相对应的技术方法。不能仅仅依靠对技术人员进行管理从而达到管理技术的目的。这样只会制约IT运维服务发展速度和质量。

事实上如何使IT运维管理外包安全稳定运行是一个既简单又复杂的问题，但是只要注意IT外包过程中所出现的一系列问题并寻找有效的解决办法，就可以保证企业的正常运行发展。

以上就是关于银行IT业务外包都有哪些风险全部的内容，包括:银行IT业务外包都有哪些风险、IT信息系统软件存在哪些安全问题、IT外包有何风险及如何防范等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！