企業信息技術外包風險研究

[摘 要] 為了在激烈的競爭中保持優勢，越來越多的企業選擇采用全部或部分外包信息技術的策略，由于委托方和代理方之間存在著信息不對稱，企業必須針對不同的風險進行風險控制。

[關鍵詞] 信息技術外包 風險 風險控制

信息技術外包(Information Technology Outsourcing， ITO)是指企業專注于自己的核心業務，而將其IT系統的全部或部分外包給專業的信息技術服務公司。

自從計算機在50年前進入商業應用領域，各種形式的信息技術外包就一直存在，但是直到最近15年信息技術外包服務才盛行起來。外包賦予了組織應對快速變化的全球經濟所必需的靈活性，同時它也使組織在競爭激烈的市場環境中能將精力集中于組織的核心競爭力上。

對中國的大多數企業來說，外包還是一個新鮮的事物。國內有關信息技術外包的研究也還處于初級階段。但是，在善加利用企業信息技術外包的優勢為我所用的同時，企業信息技術外包的風險同樣不容忽視，國外學術界和實務部門早已展開了相關研究。在我國企業界大力推行信息技術外包的同時，也應注意研究和控制其風險。本文將首先重點分析在“委托—代理”模式下的企業信息技術外包風險，最后總結企業信息技術外包實務中的風險類型和風險控制。

一、“委托—代理”模式下的企業信息技術外包風險

從實質上看，外包所體現的是一種企業和外包服務商之間的“委托一代理”關系，我們有必要對該模式下的相關風險問題進行重點分析。

“委托一代理”在現代市場經濟中普遍存在。一般而言，由于存在信息不對稱，委托人往往比代理人處于一個更不利的位置，實施信息技術外包的企業(委托人)與外包服務商(代理人)之間的關系也是如此。在企業和外包服務商的交易中，當交易的一方掌握有另一方所不知的信息時，交易便處在不對稱信息結構當中。

信息的不對稱可以從兩個角度劃分：一是不對稱發生的時間;二是不對稱信息的內容。由于信息不對稱現象在企業實施信息技術外包的活動中無所不在，因此對其進行深刻理解，是很有必要的。下面，我們從“委托一代理”關系中的兩種基本類型出發，對企業實施信息技術資源外包的風險進行分析：

1.隱蔽信息。隱蔽信息的問題在企業選擇外包服務商的過程中具有普遍性。由于信息不對稱，服務商比企業更了解自己的資信、真實的技術實力、人員實力，并向企業提供不充分或不真實的信息。同時在企業方面，一是由于項目經理沒有能力或沒有嚴格設計和遵照招標規程去了解服務商的實際運作情況、背景、主導產品與核心業務情況，也沒有對服務商的財務狀況、非財務狀況、穩定性等進行認真核查及分析，從而無法把握來自于服務商的風險;二是由于直接項目負責人存在個人傾向性，導致其雖然了解來自服務方的信息，但沒有充分地向后臺決策層反饋，后臺決策層缺乏充分有效的信息來支持決策。這種信息不對稱的決策導致了“逆向選擇”——企業誤選了不適合自身實際情況的服務商。

2.隱蔽行動。其意指：假設委托人和代理人在簽定契約時各自擁有的信息基本上可視為對稱，但達成契約后，委托人無法觀察到代理人的某些行為，或者外部環境的變化僅為代理人所觀察到。在這種情況下，代理人在有契約保障之后，可能采取不利于委托人的一些行動，進而損害委托人的利益。隱蔽行動的問題在企業對合同進行管理的過程中也具有普遍性。當內部的信息技術業務或資源交由外部的服務商管理之后，企業無法對外包的內容進行直接控制，也得不到來自外包商服務人員的直接報告，加之合同中雙方權利義務的界定不清，失控的風險顯而易見，比如服務質量、提供效率、對服務需求變化的靈活性掌握、費用控制、企業的商業秘密和內部資訊、乃至知識產權等方面都有可能存在風險。同時，在服務商方面，一是由于缺乏可操作的而且嚴格的監控措施，服務商有可能不履行先前的承諾，服務資源也存在級別被降低的風險；二是由于技術更新的速度非常之快，技術成本隨著時間的推移而降低，但因服務商缺乏來自企業的激勵，為賺取更多利益反而限制了新技術的應用或服務費用的降低，從而存在著與企業想要分享信息技術進步、增強成本控制的初衷背道而馳的風險。這種隱蔽行動導致了“敗德行為”——外包服務商降低服務水準、增加潛在費用。

二、企業信息技術外包實際中的風險分析

企業在實施信息技術資源外包過程中通常面臨著很多不確定性，始終處于風險環境之中，因此，企業對風險的把握，直接決定著信息技術資源外包的成功與否。簡單地說，一個企業要成功地實施信息技術資源外包，通常必須經歷如下階段，即：戰略制定(企業內部分析和評估、界定需求)，選擇適合的服務商，以協議形式固定雙方合作關系，對合同進行實施、管理與監控。在以上階段中，無不充斥著來自企業內外環境的風險，企業必須樹立風險意識并加強風險管理，從而最大限度地發揮信息技術資源外包給企業帶來的積極作用。

信息技術外包風險在實際的企業運作中主要體現在以下幾個方面:

1.安全性風險。企業可能喪失對外包的控制， 從而影響整個業務的發展。外包信息系統的安全性是非常值得關注的一個問題。在外包的系統中， 由于企業沒有內部科技人員的全程跟蹤，一般業務部門容易忽視程序漏洞。同時， 后期的維護企業需要提供足夠的信息， 而這些信息可能就會在無意中形成安全隱患。

2.創新能力弱化風險。信息技術能力的獲得是企業長期實踐和應用的結果， 信息技術的外包可能削弱企業內部信息技術部門的學習創新的能力。如果將企業的信息技術外包， 服務商與企業的合約關系將限制熟悉業務的用戶和熟悉的專家之間的接觸， 可能會阻礙新技術與業務的結合， 從而削弱企業的學習和創新能力。

3.戰略信息泄漏風險。企業將自己的信息系統外包， 其商業秘密或所有權信息可能會泄漏給競爭對手， 從而使企業面臨潛在的風險，造成企業戰略信息的泄漏。一般來說，造成企業戰略信息泄漏的原因有兩種: 一種是服務提供商有意識地泄漏企業的相關策略信息給企業的競爭對手；另一種是服務提供商無意泄漏了企業的戰略信息。

4.服務提供商無法提供所需要服務的風險。就信息技術服務提供商方面來看，其原因可能有: 企業開始沒有很好評估信息技術服務商的實力， 選擇了低劣的服務提供商；服務提供商方面的人員變動， 無力提供外包合同中規定的服務水平；在前期需求分析時，服務提供商未能充分理解企業的業務需求等等。

三、企業信息技術外包的風險控制

針對上述信息技術外包的實際風險，企業應強化風險意識，有針對性地進行風險控制。主要應該從如下方面著手:

1.完善企業的風險評估過程。企業應組成一個由企業內外專家組成的風險評估專家委員會， 充分理解信息技術外包的相關風險因素， 評估外包項目將如何支持企業的目標和戰略計劃， 如何對外包服務商進行關系管理。風險評估過程應考慮到業務處理系統的外包風險， 包括: 對系統的安全性和有效性， 系統和資源的完整性， 管理規則的一致性等方面所遇到的威脅。企業還應該注意到其系統結構， 設計及控制方面的功能所面臨的風險。

2.選擇資信和服務能力好的外包服務商。對承包商進行評估以決定服務商的財務和運作方面的能力， 對其服務能力進行鑒別。

3.外包合同的制訂要嚴密。信息技術外包的合同是外包策略中最關鍵的一個環節， 企業在制訂外包合同的時候， 應該注意以下幾個要素:界定外包服務范圍的時候要有一定的靈活性；明確信息技術外包服務要求的安全性和保密性；明確爭端的解決方法；確立企業的跟蹤檢查權力；明確企業對后期成本變動的限制權及轉包服務提供商時的批準權。

4.對外包服務商進行跟蹤監督。在企業和信息技術外包提供商的合同執行期間， 企業應該對承包商進行持續的監督， 從而進一步降低風險。

5.尋求外包的新形式。為了減少和控制風險，除了考慮以上因素外，還應探索信息技術外包的新形式。外包的下一浪潮(或趨勢)是能增加聯盟有效性的獨特法人結構在業務過程再造和增加股東價值方面的使用，這些法人結構包括偶發事件定價(ContingencyPricing)、資源合作(Co- Sourcing)、交叉擁有關系(Cross Ownership)和聯合投資(Joint Ventures)等。

參考文獻：

[1]霍國慶:企業信息技術資源外包及其風險分析[J].中國軟科學，2001年第3期

[2]MichaelF.Corbett. Global Outsourcing Market 2002[R].www.CorbettAssociates.com

[3]林則夫 陳德泉 溫 珂:試論信息技術外包中的風險管理策略[J].科學學與科學技術管理，2004年第25卷第2期

[4]N.Venkatraman.Beyond Outsourcing:Manage its Resources as a Value Center[J].Sloan Management Review ，1997，38