基于層次分析法的企業IT外包風險評價分析

[摘 要] 針對企業IT外包過程中存在的風險，本文首先利用文獻研究總結的方法識別出IT外包的風險因素，建立了比較完整的風險指標體系，接著介紹了層次分析法的一般原理和步驟，而后在層次分析法的基礎上對存在的風險建立風險評價模型，從而為企業在進行IT外包決策時提供參考依據。

[關鍵詞] IT外包；風險評價；層次分析法

[中圖分類號] F270.7；F224.9 [文獻標識碼] A [文章編號] 1673 - 0194（2013）17- 0051- 04

1 引 言

所謂外包就是指企業以優化資源配置和增強企業競爭力為目的，將某些環節以合同的方式委托給外部更優秀的服務提供者進行運作和管理的一種方式。目前外包涉及的內容是多方面的，如服務外包、人力資源外包、物流外包、營銷外包和IT外包等。而美國外包協會調查發現，在這些外包領域中發展最為迅速的是IT外包。

由外包的定義我們可以認為，IT外包就是指企業以合同的方式委托更優秀的IT服務商向企業提供全部或部分信息功能的一種運作模式。企業進行IT外包能夠最大限度地利用IT服務商的資金、技能和規模經濟，從而有利于節省企業成本、減少企業經營風險、提高信息技術服務水平、促進企業組織的變革。隨著企業信息化的發展，IT外包已經成為企業進行信息管理的一種潮流。但這種新興的IT管理模式在給企業帶來收益的同時，也對信息安全的保障提出了更高的要求，IT外包的風險也越來越受到企業的關注。在實踐中，IT外包的風險問題是企業進行外包時重點考慮的因素，因此本文提出了一種利用層次分析法對企業IT外包的風險進行評價的方法，從而為企業在進行IT外包決策時提供參考依據。

2 IT外包風險分析

2.1 IT外包風險的概念

風險是指在追求利益的過程中出現的與預期利益價值取向相背離的不確定性，即發生損失的可能性。企業在信息化過程中為了減少成本，獲得專業技術支持，提高企業服務水平而進行IT外包，如果企業在信息技術外包的活動中管理和控制不當，就會給企業帶來新的風險——信息技術外包風險。所謂信息技術外包風險是指企業通過與承包商簽訂合約，將部分或者全部IT服務外包給承包商的過程中，由于企業自身環境的復雜性、承包商環境以及經濟環境的不確定性等，導致外包結果與預期目標相背離的現象，從而導致IT外包活動失敗的可能性。

2.2 IT外包風險的識別

風險識別是通過感知、經驗判斷或對各種客觀資料進行歸納整理的方式對現存的或潛在的風險進行鑒別的過程。而風險的識別又可以從風險因素、風險事件以及風險事件導致的損失3個方面進行識別研究。到目前為止，國內外很多文獻對這方面進行了研究，本文通過對國內外IT外包理論研究文獻的大量閱讀，從中篩選出研究IT外包風險的相關文獻，并對其進行分析、篩選和總結，歸納出一個比較全面的IT外包風險影響因素的構成體系，具體如表1所示：資產專用性和少量供應商主要體現了套牢的風險。資產專用性是指用于特定用途后就很難被移作他用性質的資產，這使投資者顧慮到損失或犧牲部分甚至全部資產，從而造成套牢風險。而企業的外包如果選擇少量的供應商或單一服務來源，就往往面臨套牢風險。另外，Jennings（1996）發現組織學習對套牢問題有較大的影響，因此發包商的IT素養也是導致套牢風險的因素之一。

合同不完善和合同缺乏靈活性主要體現了昂貴的合同修改風險。企業在經營過程中面臨很多的不確定性，所在企業在簽訂外包合同時就不可能與承包商就所有可能出現的問題進行談判并將它們寫入合同的條款中，從而就使得外包合同不完善，為了滿足企業的需求，進而產生了合同修改的風險。

IT外包的不確定性和隱性的成本主要體現在意外的周轉和管理成本上。IT外包的不確定性主要是由于信息技術的發展和商業環境的變化所帶來的風險。隱性的成本包括選擇承包商時發生的交易成本，建立、重新分配或布局設施的成本，還包括投入到外包合同管理的人力資源成本等。

績效的模糊性、承包商的IT素養和發包商的IT素養都是導致爭議和訴訟的風險因素。績效的模糊性使得承包商的貢獻難以測度或不能精確，從而導致雙方的爭議。如果承包商有較高的IT素養，提供給客戶滿意的服務，自然爭議發生的可能性就小。同理，如果發包商能提供高水平的合同管理，善于溝通，也會避免一些雙方不必要的爭議。

削弱對IT的管理、組織失去學習能力和缺乏創新能力主要導致了企業能力下降的風險。削弱對IT的管理主要是因為企業不再自行開發或維護IT系統，不能直接控制IT資源，從而不能對其直接管理。組織失去學習能力和缺乏創新能力是由于企業較少開發或管理IT系統就可能跟不上新技術的發展，以至于越來越依賴于承包商，最終使組織失去學習能力。而過于依賴承包商又可能使得企業失去對各種可能的IT資源的評估能力，也就不能通過引入新的IT技術來開展新的業務。

由此可得企業實施IT外包決策時面臨的主要風險包括：①套牢；②昂貴的合同修改；③意外的周轉和管理成本；④爭議和訴訟；⑤企業能力下降。

3 IT外包風險評價模型

3.1 層次分析法

層次分析法（Analytic Hierarchy Process ，AHP）是美國運籌學家匹茲堡大學教授T.L.Saaty 于20 世紀70 年代提出的一種定性與定量相結合的多目標決策分析方法。它的特點是將決策者對復雜系統的評價決策思維過程數學化并使用判斷矩陣及其特征根檢驗決策者的思維是否一致，這有助于決策者自我檢驗并進一步保持判斷思維的一致性。其基本思想是通過分析待決策問題的有關要素及其相互關系，把其簡化為有序的層次結構，使這些要素歸并為不同的層次，形成一個多層次的分析結構模型，最終把問題分析歸結為最低層因素相對于最高層目標的相對重要性權值的確定問題。

層次分析法的基本步驟：

（1）分解。識別出所要評價對象的相關因素，并分析這些因素之間的關系，構造一個有序的、相互聯系的層次結構模型。一般的層次結構模型包括3層：目標層、準則層和指標層。

（2）判斷。對同一層次的各元素關于某一指標的重要程度進行兩兩比較，構造兩兩因素比較的判斷矩陣。為了使各因素之間進行的兩兩比較能夠得到量化的判斷矩陣，引進1～9標度法，如表3[5]所示：

例如設m+1層與L相關的元素有n個，則對于m層的元素L元素的判斷矩陣為

A=a11 … a1n … an1 … ann

式中aij>0，aij=1/aji，aii=1， 其中元素aij（i，j=1，2，…，n）表示第i個因素的重要性與第j個因素的重要性之比。利用兩兩比較法可以得到各層因素之間的判斷矩陣。

（3）計算。求判斷矩陣的特征值λmax及其對應的特征向量w，在實際應用中一般采用和積法計算近似特征向量。首先對判斷矩陣A按列進行規范化：ai，j=■，i，j=1，2，3，…，n，然后將規范化的判斷矩陣按行相加：wi=■ai，j，i，j=1，2，3，…，n，接著對wi做歸一化處理，令Wi=■，i=1，2，…，n。W即為所求的特征向量，W=（w1，w2，…，wn）T。再通過判斷矩陣與特征向量，計算判斷矩陣的最大特征值λmax，λmax=■■■i。然后對判斷矩陣進行一致性檢驗，利用CI和RI，其中CI=■（n指準則的個數），CI 的值越小，則λmax越接近于n ， CI的值為零時達到理想狀態。在實際應用中，判斷矩陣的維數n越大，判斷的一致性就越差。因此應該放寬對高維判斷矩陣的一致性要求，引入修正值RI，見表4[1]

然后將一致性比例CR作為衡量判斷矩陣一致性的標準，其中CR=■。當所有的判斷矩陣都滿足相容性條件時，可以根據層次復合原理求出組合權重。得出特征向量后進行歸一化， 期間還要對一致性指標進行修正。這些計算可以通過數學工具Matlab操作處理。當CR<0.01 ，就可認為判斷矩陣具有相容性，據此計算的w是可以接受的。否則就要調整判斷矩陣的取值。

3.2 基于層次分析法的IT外包風險評價方法

IT外包風險的評價是IT外包風險管理過程的重要環節，其任務是在風險識別的基礎上對已經識別出來的風險進行量化和排序。因為不同的風險對于企業的影響程度是不同的，有些風險可能對企業的經營起著決定性作用，而有些可能對企業的發展影響甚微。所以在企業對風險控制能力和成本預算有限的情況下，就需要對這些風險進行詳細分析并進行評價，從而找出影響重大的風險，保證對企業控制力和成本的最有效利用。只有對風險進行恰當的評估才能制訂合適的風險控制計劃，進行風險監測，并最終有效地控制風險，保證企業IT外包的成功。因此，必須采用恰當的評價方法，全面、正確地評價IT外包風險狀態，才能保證后續風險管理過程有的放矢、事半功倍。

基于層次分析法的IT外包風險評價方法的步驟有：

（1）識別出企業進行IT外包的各類風險。本文利用前文所述的識別方法，確定了對企業IT外包風險評價的5個一級指標和12個二級指標，其層次結構模型如圖1所示。

（2）構造判斷矩陣。專家給出的判斷矩陣是由各個風險因素相互比較后根據表3確定的。例如某位專家給出的判斷矩陣B1中b23表示b2相對于b3的重要性。為了避免單個專家給出的判斷矩陣的主觀性，本文利用德爾菲法通過專家組的評價給出多個評價矩陣，之后用復合平均矩陣的方法將各位專家的判斷矩陣做算術平均。

下面以某進行IT外包企業的管理者給出的判斷矩陣為例，得到準則層和指標層的判斷矩陣分別為：

A=1 3 2 4 51/3 1 1 3 21/2 1 1 5 31/4 1/3 1/5 1 1/31/5 1/2 1/3 3 1B1=1 3 51/3 1 31/5 1/3 1

B2=1 51/5 1 B3=1 31/3 1 B4=1 1/5 1/35 1 23 1/2 1

B5= 1 2 31/2 1 11/3 1 1

單層次排序及其一致性檢驗：

A=1 3 2 4 51/3 1 1 3 21/2 1 1 5 31/4 1/3 1/5 1 1/31/5 1/2 1/3 3 1

歸一化后得w= 0.4170.1800.2380.0600.105，Aw= 2.1980.9471.2420.3070.538

計算最大特征根：λmax=■■■i =5.197

一致性指標：CI=■=0.049

CR=■=0.044<0.1

說明矩陣A有滿意的一致性，權重系數為

A：W=（0.417，0.180，0.238，0.060，0.105）T

同理可求得第二層次的各個權重集

B1：W1=（0.633，0.260，0.106）T

B2：W2=（0.833，0.167）T

B3：W3=（0.750，0.250）T

B4：W4=（0.110，0.581，0.309）T

B5：W5=（0.548，0.241，0.211）T

因此，根據上例中的方法就可以計算出IT外包過程存在的風險的嚴重程度的排序，從而使得企業能在資源有限的情況下，有選擇地進行風險的控制。

4 結 論

本文對企業在IT外包過程中存在的風險進行了識別，并研究了如何利用層次分析法對IT外包的風險進行評價的問題，對IT外包的風險進行評價不僅可以進行定量分析，從而為企業外包決策提供參考數據，還可以得到IT外包過程中各類風險的嚴重程度的排序，清楚了風險嚴重程度的排序后，就可以在企業有限的資源和能力的范圍內有的放矢地對其進行管理和控制，從而將IT外包的成本降到最低。

對IT外包的風險進行量化，目前還沒有統一的方法。本文提出了一種采用多個專家對其進行評分的方法，不僅提高了可靠性，減小了誤差，而且能明顯地反映風險嚴重程度之間的區別。

主要參考文獻

[1]陳秀真，鄭慶華.管曉宏，等.層次化網絡安全威脅態勢量化評估方法[J].軟件學報，2006（14）：885-897.

[2]叢國棟.IT外包風險評價模型與控制策略研究 [M].杭州：浙江工商大學出版社，2010：31-32.

[3]李小卯.信息技術外包套牢問題的研究[J].系統工程理論與實踐，2002（3）：26-31.

[4]李鑫，李京春，鄭雪峰.一種基于層次分析法的信息系統漏洞量化評估方法[J].計算機科學，2012（7）：58-61.