IT外包有何风险及如何防范？

风险管理规划是在项目正式启动前或启动初期对项目的一个纵观全局的基于风险角度的考虑、分析、规划，也是项目风险控制中最为关键的内容。一　风险形势评估风险形势评估以项目计划、项目预算、项目进度等基本资讯为依据，着眼于明确项目的目标、战略、战术以及实现项目目标的手段和资源。从而实现：通过风险的角度审查项目计划认清项目形势，并揭示隐藏的一些项目前提和假设，使项目管理者在项目初期就能识别出一些风险。尤其是项目建议书、可行性报告或项目计划一般都是在若干假设、前提、预测的基础上完成的，这些假设、前提、预测在项目实施期间有可能成立，也有可能不成立。而这其中隐藏的风险问题又通常是被忽视的。一旦问题发生，往往造成项目管理方的措手不及和无一应对。例如项目计划中假设用户实施小组全力支援、脱産或几乎脱産投入IT项目的实施，但在实际过程中，用户方人员却不得不抽出大量时间处理塬有的业务，造成IT项目实施进度的拖延和实施效果不尽人意的风险。诸如此类的例子还有很多。为了找出这些隐藏的项目条件和威胁，就需要对与项目相关的各种计划进行详细审查，如人力资源计划、合同管理计划、项目采购计划等等。由此我们可以得出，风险形势评估一般应重视以下内容：项目的起因、目的、项目的范围、组织目标与项目目标的相互关系、项目的贡献、项目条件、制约因素等。二　风险识别在对项目的基础的风险形势评估之上，就需要对各种显露的和潜在的风险进行识别。风险识别实际上是对将来可能发生的风险事件的一种设想和猜测。因此，一般的风险识别结果应包括风险的分类、来源、表现及其后果、以及引发的相关项目管理要求。在具体识别风险时，一方面可利用一些常识、经验和判断，通过以前经历的项目中积累起来的资料、资料、经验和教训，或者请教相关的专家和资深从业人员，采用集体讨论的方式。另一方面，可以通过分解项目的范围、结构来识别风险，理清项目的组成和各个组成部分的性质、之间的关系、与外因的联系等内容，从而减少项目实施过程中的不确定性。除此之外，还可以利用一些技术和工具。比如，结合经验和教训，将项目成功和失败的塬因罗列成一张核对表，或者是项目的实施范围、质量控制、项目进度、采购与合同管理、人力资源与沟通等。以上都是风险识别常用的一些手段和方法，当然还有其他更多的途径，因项目而异，灵活运用。三　风险分析和评价在进行风险识别并整理之后，必须就各项风险对整个项目的影响程度做一些分析和评价，通常这些评价建立在以特性为依据的判断和以资料统计为依据的研究上。风险分析的方法非常多，一般采用统计学范畴内的概率、分布频率、平均数衆数等方法。但无论是哪一种工具，都各有长短，而且不可避免的会受到分析者的主观影响。可以通过多角度多人员的分析或者采取头脑风暴法等尽可能避免。此外，我们应当明确，风险是一种变化着的事物，基于这种易变条件上的预测和分析，是不可能做到十分的精确和可靠的。所有的风险分析都只有一个目的，即尽量避免项目的失控和为具体的项目实施中的突发问题预留足够的后备措施和缓冲空间。风险评价之后，项目面临着两种选择，即面临着不可承受风险和可承受风险。对于前者，或者终止项目，或者采取补救措施，降低风险或改变项目;对于后者，则需要在项目之中进行风险控制。

在控制it外包风险与安全方面，做到心中有底、手中有招、控制有术，建立事前预防、事中控制、事后监督的三道防线。（一）事前预防

在日常工作中，各种外包风险的前期预兆是会表现出来的，关键是没有及时发现，马上纠正或是对发现的问题思想麻痹，错误扩大化变成案件，形成损失并为纠正错误付出高昂代价。因此，把风险消灭在萌芽状态，才是风险控制的重点。

1、制定IT业务外包战略。银监会颁布的《银行信息科技风险管理指引》和《商业银行外包风险管理指引》中对外包业务都提出了要求，重点考虑IT业务外包要能促进公司的科技业务发展、信息系统安全运营和科技业务管理水平，紧密配合公司业务发展规划，全面权衡外包的利益与风险，决定将哪些IT业务外包，制定IT业务外包战略规划。

2、建立IT业务风险与安全管理体系。体系制定要做到统一框架，统一标准、统一措施、统一监督管理，内容由IT业务风险与安全管理策略、管理制度与规范、技术标准、指引、流程、 *** 作手册等组成。通过制定风险与安全管理体系，指导公司IT业务风险与安全管理工作的开展，使其符合国际、国内的有关安全标准和我国的法律法规；在公司内部形成一个信息科技风险与安全管理机制，确保落实，保护公司所有信息科技资源和资产的安全；明确信息系统的防护、检测和应急恢复等各项信息科技风险与安全管理指标、原则和违规行为的处理措施；对与公司合作组织、商业伙伴、承包商和服务提供者提出相关的安全约束。项目管理者联盟

3、做好IT业务风险与安全的认知与培训。通过举办培训班、研讨会、发送邮件、赠送报刊等方式，为公司科技人员和业务人员提供IT业务风险与安全方面知识的培训，通过持续不断的培训学习，掌握本公司IT业务风险与安全管理制度规范，提高全员风险与安全防范意识，积极参与信息科技风险与安全防范工作中，形成全员参与信息科技安全管理的风险管理文化。

4、建立IT业务外包供应商信息管理系统，设计科学、全面的风险指标评估体系。西格玛中有句名言：有什么样的指标、就有什么样的结果。建立科学的IT业务外包供应商评估指标体系，有利于统一供应商与银行的IT业务发展目标。该指标体系需要从质量、成本、交付、服务、技术、资产、流程这些方面入手，确定外包供应商成立及上市时间、行业经验、规模、安全、人力、财务、问题响应时间、是否有产品保险、企业文化以及各种认证等重点内容，详细设计3K（KCS、KCSA和KRI）指标，每一项指标都要给出相应的分值区间，通过建立外包供应商信息管理系统，把设计的评估指标纳入系统中，详细记录外包供应商及其供应链上的各方面信息，通过系统统计分析，从而科学有效的评估外包供应商的服务能力。

（二）事中控制

银行与外包合作商签署合同，项目正式进入合作 *** 作阶段，在日常IT项目运营过程中，银行作为甲方应做好如下几方面的工作。

1、认真执行制度、不断完善制度

从出现的有关银行计算机系统风险安全与犯罪案件分析中，大多数都是因为没有章不循，没有按制度办事，按业务处理流程办事造成的，这就要求银行加强对制度执行严肃性的管理，违章必究，否则制定的各项制度规范形同虚设，起不到应用的作用。同时，还要注意IT业务外包供应商风险与安全管理制度规范建设与信息系统同步规划、同步建设、同步管理，能紧随银行信息科技业务的发展、环境的变化、中心工作的更替、创新的要求，及时得到调整、修订和补充。

2、选择适合自己的外包供应商，签署合作合同

签署合同是IT业务外包不可避免的风险。因此，根据前期对市场的调研分析，搜集的供应商信息，寻找合格的IT服务供应商，询价和报价，通过招投标方式，建立适合公司科技与业务经营发展需要的供应商，并协同法律部门做好外包合同文本的制定和签署，合理规避和防范合同风险的发生。

3、加强与外包供应商的合作与交流

一旦项目签署合同开始启动，银行作为甲方要提供项目研发办公条件，尽快让外包商到行里来工作，向同事一样给予相关方面的必要帮助。同时，银行科技人员以及业务人员要参与到项目建设中，既可以让自己的技术和业务人员与外包公司技术人员熟悉、了解掌握产品技术性能和业务功能，便于项目研发过程中问题的沟通交流，还可以全程对项目进度、质量进行跟踪，以便于在规定的时间内，高质量的完成软件项目的研发投产，让项目利益所有者都满意。

4、建立外包供应商服务评价体系

因很多外包公司特别是跨国公司，外包、分包普遍存在，也就降低了供应链的透明性和可追溯性，有意无意的形成漏洞，加大了供应链风险。所以，要采取日常业绩跟踪和阶段性评比方法，更加深入的了解外包供应商及其供应链的一些情况，避免信息不对称，便于更好地建立外包供应商信息管理系统，根据有关业绩的跟踪记录，对供应商的业绩表现进行综合考核，全面、正确的评价外包商工作情况。

5、做好项目建设的计划与控制

为避免人员频繁变动、项目延期、交付的技术文档不齐全及系统上线后支持服务跟不上等现象。要求银行科技人员与外包项目经理及项目组成员建立项目进度与质量控制沟通机制（如周例会、项目周报、问题跟踪管理报告等），定期监测与度量项目进展情况，识别有否偏离计划之处，及时发现问题、反馈问题、了解原因、解决问题，确保实现项目目标。

6、建立应急管理机制，保持业务持续性

你不能防范每种风险，但是你却可以迅速发现问题，并提前思考解决方法，动员所有的选择，这才是风险与安全管理的精髓。银行要制定可行的外包供应商应急管理计划，项目外包会使得银行对外包供应商产生依赖，如果外包供应商不能如期履行合同，而导致银行业务中断所引起的后果必须高度重视。这就需要银行要严格审查外包供应商提供的执行方案，并针对外包供应商不履行合同或者发生紧急事件制定应急应对方案。

（三）事后监督

外包项目完成后，银行相关职能部门应做好对外包项目从立项、招投标、建设、投产使用等全过程进行检查审计，主要做好如下几方面工作。

1、与完善规章制度相结合，实现各项工作制度化

在事后监督检查过程中，加强检查IT业务外包制度是否建立健全、科学有效、符合工作实际，不断完善规章制度，使外包各项工作有章可依，工作制度化。

2、与奖惩相结合，维护法规与制度的严肃性

适当的处罚，能促进责任人改正错误，增强法律法规观念，更好的促进工作，依据制定的IT业务外包风险与安全管理制度规范，检查项目外包实施过程中各项工作是否按制度办事，针对检查出来的问题，要查明原因，对于不按制度办事的违章行为要给予处罚，做的好的要表彰，做到奖罚分明，维护制度的严肃性。

3、与内审计相结合，制定外审策略

在做好内审的同时，也可以邀请外审机构对外包商以及外包供应链上公司的风险与安全管理能力等进行全面的评估。

4、与规范化管理相结合，实现业务 *** 作程序化

事后监督工作要深入到科技业务一线，认真执行规范化 *** 作规程，从细节入手，查找不足、堵塞漏洞，促进外包供应商管理制度化、程序化、规范化。

5、与IT服务内容相结合，做好多外包商的监督管理

监督、定期重新评估外包风险，并把所搜集信息和评估结果纳入外包供应商信息系统管理，通过合同和SLA协议管理供应商，要注重周期性地审查外包合同，并根据环境和银行业务发展的需要及时修改合同、重新设定外包服务标准。

总的来说，it外包要在国家法律法规和公司的制度规范内展开，要建立健全IT业务外包过程中信息披露和检查监督及考核机制，建立一个功能完善的外包供应商信息管理系统，有效防范IT业务外包风险，确保信息安全。

参考资料：

风险是指损失或损害的可能性。项目由于它们独一无二的本质而具有风险。

风险管理是一项投资，也就是说，风险管理需要花费与识别风险、分析风险和制定风险减轻计划相关的成本。这些成本必须包括在成本、进度和资源的计划编制中。

组织部门承担风险，以从潜在机会中获利。

风险效用或风险承受度是指从潜在回报中得到满足或快乐的程度。风险喜好者乐于高风险，风险厌恶者不喜欢冒险，风险中性者试图在风险和潜在回报之间取得平衡。

风险管理是一种行业准则，它要求项目团队不断地评估什么会对项目产生消极的影响，并确定这些事件发生的概率，以及确定这些事件如果发生所造成的影响。风险管理也涉及分析和决定对付风险的备选战略。风险管理中包含的四个主要过程是：风险识别、风险量化、风险应对计划制定和风险应对控制。风险管理计划是风险管理的重要输出。

ITS,目经常涉及下列风险：缺乏用户的参与、缺少高级管理层的支持、不明晰的要求、拙劣的计划编制，等等。由斯坦迪什集团、麦克法兰和其他组织开发的风险列表，有助于识别IT项目的潜在风险。在项目管理知识领域的一般风险条件列表也会很有帮助。

量化风险的工具和技术包括期望货币值(EMV)、计算风险因子、PERT估计、模拟和专家判断。期望货币值有助于你根据项目的预期价值来评价潜在的项目。风险因子代表了具体事件的风险，它基于其发生的概率和如果发生时所造成的后果。PERT估计需要收集乐观估计值、悲观估计值和最可能估计值。模拟是一种与PERT相比更加复杂的估算方法，它有助于你确定满足具体项目进度或成本目标的可能性。专家判断也是一种评估项目风险的有价值的工具。

三个应对风险的基本措施是：规避、接受和减轻。风险规避涉及根除具体的威胁和风险。风险接受意味着如果风险发生接受风险产生的后果。风险减轻是指通过减少风险发生的概率来减轻风险事件的影响。

风险管理计划记录了管理整个项目过程中相关风险的步骤。项目团队也会准备应急计划，这样，如果一项已识别的风险发生时，他们就知道应该采取什么措施。项目发起人经常提供应急储备来帮助应付项目范围或质量上的可能变更，从而减轻整体上的成本或，和进度风险。

风险控制涉及执行风险管理过程和计划来应对风险事件。“十大风险事项追踪”是一种在整个项目生命期始终保持风险意识的方法。

几种类型的软件在风险管理过程中会起到辅助作用。蒙特卡罗模拟软件是一种特别有用的工具，有助于更好地理解项目风险和风险或风险驱动者的几大来源。

以上就是关于网络环境下大型建设项目风险全部的内容，包括:网络环境下大型建设项目风险、项目风险产生的原因、IT项目中如何进行风险管理规划等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！