(“外来员工如何保守秘密”)
IT外包(ITOutsourcing),就是客户将全部或部分IT工作包给专业性公司完成的服务模式。客户整合利用其外部优秀的IT专业化资源,从而达到降低成本、提高效率、充分发挥自身核心竞争力和增强客户对外环境的应变能力的一种管理模式。随着中小型企业信息化建设的深入开展,IT外包服务的重要性日益显着,很中小型业都希望利用IT服务提供商的专业技能提高企业信息化水平。但在不成熟的IT外包中还是存在一定的风险,如果处置不当会使企业蒙受巨大损失。企业该如何避免这些风险呢?
中小型企业IT外包存在的风险
1 控制的角度:IT外包可能会在及时提供服务和保证服务质量方面存在失控;灵活性被降低,对需求的任何变更必须取得外包商的同意;成本可能在没有被感知的状态下上涨;外包商及其员工可能获准接触公司机密资料:组织的知识产权保护方面也可能会有风险。
2 不确定性的角度:IT外包在技术和业务都不确定的情况下,对未来业务起支持作用的信息系统将有哪些要求外包会使组织失去为满足业务需求而进行变革的能力吗另外由于技术的不可分性,外包可能引起极度的混乱。
3 成本的角度。IT外包可能不会降低信息系统的成本,反而会由于难以预见和未予说明的变化导致费用更高;风险还来自特定外包商的本性及行为;外包切断了组织对它所处的商业领域中的信息技术的最新发展及应用情况进行学习的途径,这可能导致组织的未来的学习费用急升。
4 灵活性的角度。IT外包不可避免地使企业失去部分灵活性,分为:短期灵活性、中期适应性和长期进化性圈
根据以上分析,实施IT外包的中小型企业和IT外包提供商之间的合作,因为信息不对称、信息扭曲、外包市场的成熟度不高以及技术更新、等多种因素的影响,存在着多种风险。当把自己的IT系统授权给服务商管理时,企业在某种程度上就失去了对信息系统的控制权。IT外包服务风险需要从中小型企业自身、IT服务提供商、信息及知识产权等三方面进行分析。
中小型企业自身产生的风险
在IT外包服务过程中,中小型企业作为管理的主体,其对IT外包的管理思路、管理行为、知识水平等, 都对IT外包服务有着非常大的影响,可能也会直接或间接地导致风险的发生。
选择低水平的不成熟的IT外包服务商存在的风险。在IT外包服务商选择环节,由于中小型企业选择标准、选择过程存在疏忽与漏洞,或没有全面考察评估提供商的综合服务水平和综合实力,片面地追求IT服务商的局部优势和低廉的价格,可能导致中小型企业选择低水平且没有丰富经验的的服务商,从而会使IT外包在服务的及时性和服务质量方面失去控制,这样就容易导致中小型企业在运行管理上的损失。这种风险是最严重也是最致命的,因为一旦选择了不合适的IT服务商,在后来服务的过程中也就很难有挽回的余地。
随着时间的推移和服务范围的扩大,中小型企业对IT外包服务商所提供的服务的依赖性会逐渐增强,就会逐渐的失去信息化控制力,最终可能导致中小型企业完全依赖外包服务商,对需求的任何变更都必须经由或取得外包服务商的同意,这样就降低了IT外包服务的可用性和灵活性。中小型企业内部对IT部门的重视程度会逐渐降低,IT人员的技术水平和综合能力会大打折扣,创新能力也会下降,最后可能导中小型企业IT总体水平下降,从而会失去信息化控制力和竞争力。
IT外包服务合同造成的风险。在IT外包合同的制定过程中,如果中小型企业没有全面的详细的制定合同细则以适应需求快速变更及其他可能发生的种种变化,如没有详细地指明服务商必须提供的最低服务水平、服务范围和标准,发生故障时的服务级别及响应时间,信息泄密处理机制等,就容易使中小企业处于被动地位。同时,在合同执行期间,中小企业如果不能对服务商的财务状况、支持能力、关键人员进行有效的监督和管理,忽视必要的审计检查和文档交接,最终也可能导致总体服务水平的下降。
外包服务商带来的风险
在IT外包服务的过程中,IT外包服务商作为这项服务的承担者,中小企业以合同方式对其明确了服务内容和服务标准,但仍不能确定外包服务商最后是否能够提供合同约定的服务。从外包服务商的角度来说,主要会带来以下几方面风险。
IT外包服务商内部的不稳定性带来的风险。在外包模式下,中小企业的IT应用在技术上依赖于外包服务商,服务商内部的不稳定性成为重要的风险来源。内部稳定性主要包括组织架构的稳定性、关键人员的稳定性和技术能力的稳定性。当前IT产业的高速发展使外包服务商的内部稳定性受到极大威胁,在合同执行期间,服务商的组织架构、关键人员、技术能力等方面的任何变化都有可能使IT外包服务陷入困境,最终导致服务商无力提供外包合同中规定的服务。
IT外包服务商对中小型企业业务需求理解不透彻带来的风险。外包服务商的技术水平一般比较高,对IT的理解很透彻。但由于不了解行业,他们对企业的内部流程等业务需求有时不能充分了解。如果外包服务商没有和企业进行充分的沟通和交流,就容易导致在需求分析阶段无法进行高质量的需求分析,使后续阶段为改正需求分析阶段产生的错误付出高昂的代价。
使中小企业隐性成本增加的潜在风险。选择IT外包的一个重要目标是减少IT运行和投资的费用。随着对外包服务商的依赖性越来越强,中小型企业付出的隐性成本会在不知不觉中增加,如选择服务商时发生的交易成本、将IT业务交给服务商时发生的转换成本等。更严重的是,如果服务商不断追求先进的IT技术,却不能使IT设备得到有效运行或运行质量难以达到合理水平,中小企业会由于业务停顿而蒙受巨大损失。在实际外包过程中,很多中小型企业往往忽略了隐性成本的核算。
信息泄漏及知识产权风险
在IT外包服务过程中,中小型企业将自己的部分或全部信息系统提供给外包服务商运行和管理,服务商及其员工就有了接触公司机密资料的机会,这样中小型企业的商业秘密及其相关信息就极有可能会泄漏给竞争对手。此外,在些核心项目外包的过程中,外包服务商往往比中小型企业更具有知识产权意识,可能将共同设计、开发的项目抢先占为己有,从而导致知识产权纠纷。中小型企业必须清醒地认识到,IT外包过程中的信息泄露和知识产权风险有可能导致严重后果,使中小型企业蒙受巨大损失。
那么如何避免或者减少这些风险,权衡中间的利弊关系呢?
当前,中小型企业的信息化建设不是很成熟,基础仍然比较薄弱,还不具备实施应用系统外包或者业务流程外包的条件。但是,行业各级单位将最底层的IT基础服务外包出去的条件已经成熟,而且需求非常迫切。根据以上情况,中小型企业在制定IT外包服务战略规划时应首先明确信息化业务的主次之分,划分优先等级,区分核心业务和非核心业务。中小型企业应以逐步推进的方式,首先选择IT知识培训、桌面终端维护、通信网络维护等外围项目进行外包,取得预期效果后再考虑防病毒系统维护、数据中心运作管理、数据备份和灾难恢复等系统的外包。对于影响中小型企业关键业务的核心应用系统的外包要谨慎对待,要进行充分的考察和评估。
全面评估IT外包风险。评估需要确定哪些外包风险是可以接受的、哪些是不能接受要尽快改进的。评估过程中应充分考虑核心业务系统的外包风险,包括影响企业业务创新能力、影响IT技术应用能力、与企业的IT战略计划发生冲突等各类风险。
科学选择外包服务商。从满足企业现有和未来信息化发展的角度,对服务商支持外包业务的技术能力、关键技术人员的综合素质、业务处理的 *** 作能力、控制突发事件的能力以及服务商的财务状况等五个方面进行全面评估,科学选择外包服务商。要不断完善对外包服务商的评测能力,加强对外包服务商所提供服务的质量进行监督、考核。
管理好外包合同。外包合同是企业最重要的监理依据,是在外包过程中最重要的文档资料之一。外包合同既是IT服务商开展专业技术服务工作的依据,也是企业对IT服务商交付的外包服务进行监控、协调、管理、评估、验收以及付费的依据。外包合同可以说是发生外包关系双方一切工作的出发点和落脚点,外包合同管理,主要涉及选择外包服务商、制定外包合同、签署外包合同、更新或终止外包合同等事项。签署外包合同之后,企业信息技术部门或者相关负责人,就增加了一项任务:对IT外包业务进行管理、控制、监测和评估,协调企业和外包服务商之间的关系,保证外包服务到位,确保本企业的利益不受损害。
严格监控IT外包服务。只有严格加强管理力度,外包服务过程中的诸多问题,如服务内容规划、服务时间进度计划、服务质量管理、服务成本管理、服务技能管理、人际沟通管理、争议裁决、需求变更程序等才能得到落实和解决。企业应成立监管小组,负责定期和不定期地对服务商进行有效监管。监管的主要内容应包括服务商的服务质量、关键人员变动情况、全面履行合同情况、服务再次分包情况等。中小型企业的管理层应定期接收关于企业IT外包风险的信息。报告的风险信息应该包括企业当前面临的或潜在的外包风险、应对外包风险的措施及步骤、采取的具体措施可能带来的不良后果等。监管的目的是使监管小组和企业高层管理者可以用定性和定量的方法来监控IT外包风险,避免风险的发生。
做好IT外包服务的过程管理。过程管理包括过程策划、过程实施、过程检查和过程改进四个部分,企业在IT外包服务管理过程的各个阶段都有其工作侧重点。在过程策划阶段,应该认真做好IT服务外包的需求获取、需求分析、服务 *** 作流程制定、服务计划、等工作;在过程实施阶段,应该使服务项目实施人员就服务内容、服务方式、服务流程、服务质量达成一致,使其严格遵循外包合同以及信息技术相关标准、规范开展技术服务工作,并做好记录,实现痕迹化管理;在过程监测阶段,应在服务实施前、实施中、实施后加强监督、测试、确认和评审,可以采用过程抽样、过程还原试验等方法来加强对服务的监控;在过程改进阶段,应主动发现外包服务商在日常工作中存在的不足,通过多种沟通渠道督促服务商改正缺点,进一步提高服务质量。
增强风险防范意识,加大知识产权保护力度。在外包服务过程中,中小企业需要增强风险防范意识,加强涉密信息的管理,明确IT服务商的相关责任,共同签署保密协议。同时要积极加强知识产权保护工作,从维护企业利益的角度出发,在合同中明确约定知识产权相关条款。
IT外包要扬长避短
IT外包是众多企业的常见做法。对于缺乏专业技术人才或解决方案的企业,IT外包是一种既能节省成本又能提高效率的方法。但IT外包并不是“万能药”,过分依靠技术外包单位会削弱企业自身的信息技术研发能力,导致企业产生依赖心理,甚至影响企业在信息技术方面的自主创新能力。
因此,着眼于长远,企业在进行IT外包时应当扬长避短,即扬外包技术单位之长,避技术外包之短。扬外包单位之长,是要根据企业的需求,找准合适的技术外包单位为企业提供服务;避外包之短,是要在外包的同时不能削弱企业自身在信息技术方面的竞争力。对此,在当前信息技术越发成为影响企业管理效率与业务质量的重要因素的情况下,一方面,企业要选择合适的信息技术合作伙伴,加强沟通,增进理解,让外包服务商及时了解企业自身的业务、管理需求;另一方面,企业要善于通过与外包服务的合作,提升企业自身技术人员的能力,增强企业自身信息技术整体能力,确保企业信息技术核心竞争力的提升。
中小银行信息系统建设采取外包采购方式来完成。因此,做好IT业务外包风险与安全管理是银行业IT治理的一个重要内容。
IT业务外包风险分析1、从宏观层面分析,产生系统性风险。目前银行业使用的IT产品如计算机CPU、 *** 作系统、基础应用软件、互联网等技术都来自国外公司,因某种原因,承包商所在国家发生战争等不可抗拒性事件时,会造成IT供应商及其供应链上的公司不能正常经营,如果IT业务外包的是一些重要的核心业务,则会对银行信息系统安全造成重大影响。
2、从供应商方面分析,产生依赖性风险。目前,国内银行业普遍长期使用一些国内外知名厂商提供的软硬件产品,在熟悉供应商产品的同时,长期使用也形成了对某一供应商的依赖,也会因外包商自身或其供应链上某公司出现问题,造成外包商运营出现风险,如果银行没有自己掌握外包供应商产品技术,更换新外包商会带来成本高及影响银行业务正常运营。
3、从产品供应链分析,产生供应链风险。目前,很多IT厂商特别是跨国IT供应商,把用户订单分包给其他外包商生产,当该公司供应链企业合作关系因某种原因出现问题时,则会产生IT外包供应链风险。
4、从采购方面分析,出现选择性风险。在外包供应商招投标过程中,由于没有对外包供应商的服务能力、技术水平、才能力、行业信誉、安全保护措施等方面做全面的科学分析评估,并受到来自各方面关系因素影响,选择的IT外包商各方面能力不能满足银行自身业务发展需要,容易出现项目失败,造成损失。
5、从合规方面分析,产生合同风险。在与IT业务外包供应商签署合同时,因制定的合同文本中相关合同条款描述的不到位、不详细,权利与义务没有很好的说明,容易造成外包服务质量达不到预期目标甚至产生合同风险。转自项目管理者联盟
6、从道德方面分析,产生信息安全风险。由于外包供应商内部控制出现漏洞,本公司内部员工辞职,并利用到银行工作之便,或者与银行员工内外勾结,窃取银行客户信息和资产,给银行和客户造成损失。
7、从技术方面分析,产生技术风险。一些IT供应商因受到自身发展瓶颈的限制,资金和研发能力不足,不能紧密跟踪新技术应用,对软硬件产品及时进行升级改造,则对信息系统应用开发和安全运营产生影响。
9、从服务方面分析,存在服务质量风险。据2004年德勤发布的《外包调查报告》称:57%的调查者因为外包 服务提供商能够提供优质的服务和业务创新选择了外包,31%的调查者认为服务提供商处于更有利的位置。在合同不完全性和双边垄断的前提下,外包商处于更有 利的位置,致使服务质量得不到有效保障,组织效率得不到有效提升。
10、从内控管理分析,存在监督与审计缺失风险。在IT业务外包合同执行期间,银行管理部门往往忽视了对外包商的财务状况以及支持IT外包业务的技术和关键人员进行有效地监督和管理,忽视了对外包供应商及供应链公司的日常审计检查,容易造成IT外包业务服务水平下降。
11、从软件方面分析,存在后门的风险。在银行软件产品开发过程中,商业化的组件和中间件得到普遍应用,需求内容变更、版本升级、打补丁,很难做到每一次升级都对系统功能从头到尾全面完整的测试,这使的软件产品外包商及供应链的透明度和可追溯性追踪变得困难,会存在后门的风险。
风险可能性风险严重程度得分风险控制水平=风险系数
IT战略规划是IT项目开始的首要活动,是实现企业和IT 目标的途径,也是进行后续项目的前提条件,所以我们就以IT规划为例,简要说明如何进一步预测IT风险。如下表所示,我们将IT战略规划进一步划分为6个小的问题,再分别计算出每一个小问题的风险系数,这样才能具体确认风险的具体来源。也只有这样,才能为下一步如何处置风险做出更精细的决策。
IT项目的风险管理
风险一词越来越被概念化,并随着人类活动的复杂性和深刻性而逐步深化,及时在IT项目同样存在,下面我为大家准备了关于IT项目风险管理的文章,欢迎阅读。
一、风险的定义
风险有两种定义:一种定义强调了风险表现为不确定性;而另一种定义则强调风险表现为损失的不确定性。
若风险表现为不确定性,说明风险产生的结果可能带来损失、获利或是无损失也无获利,属于广义风险,金融风险属于此类。而风险表现为损失的不确定性,说明风险只能表现出损失,没有从风险中获利的可能性,属于狭义风险。
广义的风险展现出来的是机会,虽然这种机会可能让我们的项目变得颗粒无收,但如果一旦机会有利于项目,则可以大赚一笔,风险投资家们心中的风险正是广义的风险,所以风险才会吸引他们投入巨大的资金。而作为项目管理者来说,风险对他们意味着失败的危险,因此必须将任何风险扼杀于摇篮之中。
二、IT项目风险的特征
由于软件本身的特点,导致IT项目与传统项目有很大差异,因此IT项目的风险管理难度要比传统项目大。
1需求不稳定
软件项目的需求多变已成为软件业界的共识,正因为需求的多变,才让瀑布模型一直遭受到软件工程界的抨击,因此诞生了原形模型。在IBM的RUP和众多的敏捷方法论中,一直将需求不确定列为软件项目的最大特点,因而出现了拥抱变化一说。
当一个IT项目开始实施的时候,如果客户连他需要做什么,要实现一些什么功能都不能确定的话,那么做软件实施的工程师他们又如何能够知道自己要开发一个什么样的软件系统出来呢所以他们只有在漫长的等待过程中,不断遭受到客户的“批评”,在经历了“九九八十一次磨难”之后,才恍然大悟,原来就是要做一个这样的系统啊!
这有点像盲人走路一样,盲人根本就不知道前面是什么,因此他往前走一小步,如果不是路,则向左旋转一点点,再次用脚探探前面,如果是路的话,则可以往前迈一步。如果这个盲人运气不好的话,第一脚就在悬崖边上踏空,那么他将跌入万劫不复的深渊。我们的项目也如同这个盲人,稍有不慎就可能让自己走向失败,这是一个多么大的风险啊。
2项目规模估计不准确
当老师给我们布置作业的时候,如果他多布置了几个题目,下面的同学便会大声地嘘叹,开始私下的嘟噜:“又要做一个多小时了!”。学生们在很短的`时间内就能够准确的估计作业量大不大,他们的估计凭借着他们每天一次的做作业的经验和那一瞬间对题目的印象,虽然他们并没有做过刚布置的这些题目,但是估计得仍然是那么的准确。
任何一个建筑工程的项目经理都能对自己的项目进度掌握准确,在他们的眼中,只要资金到位,则进度就可以得到保证。工地需要多少人,什么时候需要开始进行什么工序的施工,什么时候需要加班,这些都在他们的心中掌握着。资金就是他们最大的风险。
而软件项目与之不同,在软件项目开始后,很少有缺钱的。只看到过资金没有到位的“烂尾楼”,但是从来没有看到过由于项目资金没有到位的问题而导致未完成的软件项目,就算是缺钱也是因为签合同的时候要少了。
再优秀的软件项目经理,他也无法预计好自己的项目什么时候能够完成,因为在他进行估算的时候,客户的需求还没有搞清楚呢!再者,建筑工程可以通过预算很准确地得出整个建筑的工程造价,而软件项目却很难,因为不管是代码行估算法,还是功能点方法,都远不及“我猜,我猜,我猜猜猜”中猜得准确,这些方法很多时候甚至不如算命先生算得准。
3人的因素对项目影响很大
人可以说是整个软件项目的灵魂,软件项目不需要钢筋、水泥和沙石,也不需要任何的施工机械。软件项目的原材料就是人的思想和智慧,而计算机和CASE软件则是项目的施工工具。通过键盘和鼠标,无数的程序代码在程序员手中诞生了。如果要问软件项目最大的成本在哪里,那么答案只有一个,就是人力成本。
一个优秀的程序员的工作效率要远远高于一个蹩脚的程序员,一个程序新手甚至根本就不能够产生任何生产效率。不仅如此,新手的错误行为,将让熟练员工牺牲很多时间来帮助新手纠正他们的错误,甚至可能导致降低软件开发的效率。
虽然软件项目已经实施角色分工和管理,但是相对于其他工程的分工来说则分工比较单一。软件项目中,一般分有:系统分析师、架构师、设计师、程序员、测试工程是及配置管理人员和项目经理等。这样的分工并不能有效地降低他们工作内容的复杂度。如果能像建筑工程中的砌墙、浇注混凝土、搭脚手架那样分工细致的话,则培训软件蓝领也不会需要费如此大的力气了。
;风险是指损失或损害的可能性。项目由于它们独一无二的本质而具有风险。
风险管理是一项投资,也就是说,风险管理需要花费与识别风险、分析风险和制定风险减轻计划相关的成本。这些成本必须包括在成本、进度和资源的计划编制中。
组织部门承担风险,以从潜在机会中获利。
风险效用或风险承受度是指从潜在回报中得到满足或快乐的程度。风险喜好者乐于高风险,风险厌恶者不喜欢冒险,风险中性者试图在风险和潜在回报之间取得平衡。
风险管理是一种行业准则,它要求项目团队不断地评估什么会对项目产生消极的影响,并确定这些事件发生的概率,以及确定这些事件如果发生所造成的影响。风险管理也涉及分析和决定对付风险的备选战略。风险管理中包含的四个主要过程是:风险识别、风险量化、风险应对计划制定和风险应对控制。风险管理计划是风险管理的重要输出。
ITS,目经常涉及下列风险:缺乏用户的参与、缺少高级管理层的支持、不明晰的要求、拙劣的计划编制,等等。由斯坦迪什集团、麦克法兰和其他组织开发的风险列表,有助于识别IT项目的潜在风险。在项目管理知识领域的一般风险条件列表也会很有帮助。
量化风险的工具和技术包括期望货币值(EMV)、计算风险因子、PERT估计、模拟和专家判断。期望货币值有助于你根据项目的预期价值来评价潜在的项目。风险因子代表了具体事件的风险,它基于其发生的概率和如果发生时所造成的后果。PERT估计需要收集乐观估计值、悲观估计值和最可能估计值。模拟是一种与PERT相比更加复杂的估算方法,它有助于你确定满足具体项目进度或成本目标的可能性。专家判断也是一种评估项目风险的有价值的工具。
三个应对风险的基本措施是:规避、接受和减轻。风险规避涉及根除具体的威胁和风险。风险接受意味着如果风险发生接受风险产生的后果。风险减轻是指通过减少风险发生的概率来减轻风险事件的影响。
风险管理计划记录了管理整个项目过程中相关风险的步骤。项目团队也会准备应急计划,这样,如果一项已识别的风险发生时,他们就知道应该采取什么措施。项目发起人经常提供应急储备来帮助应付项目范围或质量上的可能变更,从而减轻整体上的成本或,和进度风险。
风险控制涉及执行风险管理过程和计划来应对风险事件。“十大风险事项追踪”是一种在整个项目生命期始终保持风险意识的方法。
几种类型的软件在风险管理过程中会起到辅助作用。蒙特卡罗模拟软件是一种特别有用的工具,有助于更好地理解项目风险和风险或风险驱动者的几大来源。
风险的自然属性。
通过对风险类型的了解,
可以确定应对风险的责任人和应对策略。
风险的
类型包括:
领导力(或称执行力)
业务
项目
资源
技术
变革管理
培训和文档
影响类型
如果不采取风险管理措施,该风险会影响项目的那些方面:
项目延迟
成本增加
质量下降
项目中止
对风险影响类型的评估会影响到规避策略使用的层度。
在不同的项目阶段,
对同一种风险影
响类型使用的规避策略层度不同,
并且规避策略之间可能会有妥协。
例如如果为了保证上线
日期,某些细小方面的质量下降可能会被接受;而在项目开始阶段,将会更注重于质量。
发生的可能性
风险发生的可能性,分为:高、中、低三类。
公司的产品线和你公司的定位,要有盈利养公司的产品,还要有发展的 产品,要是代理产品,要看产品有没有沉淀业务,不要每天都是从零开始,这样一旦受挫基本面临的就是破产了。总的就是赚钱的能做要做,但一定要考虑长期稳定赚钱的,核心的东西不能没有。
以上就是关于中小企业如何避免IT外包带来的风险全部的内容,包括:中小企业如何避免IT外包带来的风险、银行IT业务外包都有哪些风险、IT风险如何计算等相关内容解答,如果想了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)