（产业经济学专业论文）银行信息技术外包风险评估研究.pdf

对外经济贸易大学硕士论文 摘要 近几年，信息技术外包( 即i t 外包) 在中国的银行界逐渐兴起，实行i t 外包的 银行越来越多，i t 外包涉及的金额、范围也越来越大，托管、外包、联合共建成为银 行信息技术应用发展的太方向。然而，外包是一根双刃剑，银行在享用它带来的成果 时，也承受着巨大的风险。国内对银行i t 外包风险评估研究的文章还较少，本研究从 银行i t 外包的特点出发，希望能提出一套风险评估方法，对有效降低外包风险，保证 外包项目的成功起到一定作用。 本研究首先分析列举了i t 外包的理论背景及发展现状，总结了i t 外包框架理论， 风险理论，以外包风险评估模型为基础，结合银行i t 外包的特点，研究了银行i t 外 包风险评估模型。然后根据模型提出一套银行i t 外包风险评估指标，在比较多种风险 评估方法以后，采用了包含波而达值排序的风险矩阵方法作为本研究银i t 外包风险的 基础理论方法，从而在传统的定性评估方法中加入了定量的计算。在案例分析部分， 本研究通过分析小银行外包全部业务和大银行外包部分业务的两个典型案例，将本研 究提出的i t 外包风险评估方法加以运用。且分别采用了问卷调查和专家打分的方式得 到数据。最后将两个案例的评估结果进行对比，得出结论。 本研究根据信息技术外包风险评估模型和银行外包的特点，拓展了银行外包的风 险评估指标，并提出了一套定量的银行i t 外包风险评估方法，对有效评估银行外包风 险，在事前控制风险有一定借鉴意义。 关键词：银行信息技术外包风险评估 对外经济贸易大学硕士论文 a b s t r a c t i nr e c e n t y e a r s ，i n f o r m a t i o nt e c h n o l o g yo u t s o u r c i n g ( i to u t s o u r c i n g ) i sg e t t i n g p o p u l a ri l lb a n ki n d u s t r yo fc h i n a m o r ea n dm o r e0 0 m m e r c eb a n k sp a ya t t e n t i o no ni t o u t s o u r c i n g l o t so fm o n e y w a si n v e s t e di n t ot h i sf i e l db yc a l t m m e r c eb a n k s d i f f e r e n tk i n d s o fi to u t s o u r c i n gb u s i n e s sc a nb ef o u n di nc o m m e r c eb a n ki n d u s t r y ，h o w e v e r ，o u t s o u r c i n g i sat w oe d g e ds w o r d ，i tb r i n g sb e n e f i t sa sw e l la sr i s k s o n l yaf e wd o m e s t i ca r t i c l e sh a v e d e v e l o p e dt h ef i e l do fr ro u t s o u r c i n gr i s ka s s e s s m e n ti nb a n k i n gi n d u s t r y i no r d e rt oh e l p r e d u c et h er i s ko f1 to u t s o u r c i n g ，t h i st h e s i sh o p e st or a i s eam e t h o d o l o g yf o rr i s k a s s e s s m e n to n b a n k 盯o u t s o u r c i n g f i r s t t h et h e s i sg i v e sa na b s t r a c to fi to u t s o u r c i n g t h e ni td e s i g n sam o d e lo fr i s k a s s e s s m e n to nb a n ki to u t s o u r c i n g , b a s i n go nt h ea n a l y s i so fg e n e r a li to u t s o u r c i n gr i s k a s s e s s m e n tm o d e lw h i c hh a v e b e e nd e b a t e di nc h i n aa n dt h ec h a r a c t e ro fb a n ko u t s o u r c i n g a c c o r d i n gt ot h em o d e l ，i td e v e l o p e das e to fr i s kf a c t o r s i tc h o s er i s km a t r i xa st h em a i n m e t h o dt op r o c e s st h ed a t a f a t h e rm o r e ，i tu s e dan e wq u a n t i t a t i v ea n a l y s i sa s s e s s m e t h o d - - d r a wl o tt op r i o r i t i z et h ef a c t o r sa n de x p o s et h ec r i t i c a lf a c t o r f i n a l l y ，i ts p e c i a l i z et w oe x a m p l e s a n dp u tt h en e w a s s e s s m e n tm e t h o di n t op r a c t i c e k e yw o r d s ：i to u t s o u r c i n g ，b a n k ，r i s ka s s e s s m e n t 2 对外经济贸易大学硕士论文 第一章绪论 本章介绍了i t 外包的发展现状及国内外对i t 外包的风险理论和风险评估方法研 究，并阐明了本研究的意义、内容、思路及方法。 1 1 研究背景 曾几何时，业界公认：信息技术已经成为现代组织的发动机。在过去的十年中， 在满足组织i t 需求方面最广泛的运用就是外包。事实上，柯达1 9 8 9 年宣布将其信息 系统外包给i b m ，d e c 和b u s i n e s s l a n d ，引起了信息技术界的骚动。此前，从未有如此 知名的组织，把一直视为战略资产的信息系统移交给第三方。( a p p l e g a t e m o n t e a l e g r e ，1 9 9 1 ) 从那是起，大大小小的公司都开始接受外包并把它看成时尚的事物。 ( a r n e t t j o n e s ，1 9 9 4 ) 柯达似乎将外包合法化，并引起了“柯达效应”。( c a l d w e l l ， 1 9 9 4 ) 美国国内外的知名企业高层主管纷纷效仿，并与合作伙伴签订了百万美元的长 期合同，大量的大额交易更是提高了外包的知名度。p a t a q u e s t 2 0 0 0 年调查显示：从 1 9 8 9 年至今，有1 0 0 多份这种大额交易合同。( y o u n g ，2 0 0 0 ) 在国外，从二十世纪7 0 年代末8 0 年代初，就开始引入i t 外包的思想和实践。早 期的i t 外包多以“利用外部的技术和资源来弥补自身业务所要求资源的不足”为目的。 现在，已经发展到“将自己的核心业务以外的部分尽可能外包”的观念层次。据i d c 预 测，未来几年i t 外包市场每年将增长7 7 ，到2 0 0 7 年市场容量将在1 万亿美元左右。 2 0 0 5 年，中国将进入w t o 后过渡期，外资银行在中国的拓展将进入一个全新时期。虽 然目前外资银行在中国主要的业务集中于高端商业客户及高端金融增值业务，但外资 银行的从业方法与规范将给中国的银行带来从概念到实践的全面冲击。特别是在国际 银行中普遍采用的i t 外包手法，目前在中国才处于起步阶段。但正由于中国金融信息 化的起点低。可以直接跳过欧美等国家银行的发展阶段，直接采用最先进的信息技术、 产品和外包模式，实现跳跃式发展，达到同业国际水平。早在1 9 9 7 年之际，8 0 的财 富5 0 0 强企业已外包其部分或全部信息管理职能。到2 0 0 1 年，有近8 0 的全球化企 业开始使用外包服务2 。而在中国，i d c 中国副总经理万宁认为，目前全球服务处于第 二波外包潮，这段时间中国企业最需要i t 架构的支持，只要i t 企业能够符合他们的 要求，就是导入服务的很好时机。最近几年中国平均年增长率是3 0 ，为亚太地区最 高。 根据国际数据中心的研究，业务外包可以使得公司实现平均9 的成本节约和1 5 的能力与质量增长，由外包引起的成本节约在2 0 一3 0 智。据g a r t n e rg r o u p 对4 8 0 名i ，r 总监、c i o 以及业务经理的调查结果显示，1 0 0 的受访者认为企业自身无法完全 1 i d c 是全球著名的i t 及电信行业市场咨询和顾问机构 2 加捷外包m p 拍v w n 面i 哪吐岫h b 州 唐晓耀c k ) 与i t 外包互联网周刊2 0 0 4 ；4 4 刘梅，关注核心优辨推动i r 外包中国计算机用户。2 0 0 4 ；6 对外经济贸易大学硕士论文 满足内部提出的所有i t 服务要求，7 3 的受访者通过外包来实施新技术。i o c 的调查报 告也很好的佐证上述情况，其调查报告显示，为了保持竞争优势，许多企业把外包视 为一种有效途径，用来保持或降低原有成本、关注企业核心业务、提高工作效率、重 新聚焦关键资源以及紧跟高速发展的技术。 从银行业来说，近几年国外银行外包项目种类之繁杂、合同金额之大、牵扯人员 数目之多，都是非常惊人的。仅拿2 0 0 2 年有影响力的银行i t 外包数据来看，合同金 额最高的多达5 0 亿，服务期限都是在5 年以上，外包的项目从基础网络服务到数据处 理系统都有涉及，其中h p ( 惠普) 更是为加拿大皇家银行提供全面的i t 服务。 表1 12 0 0 2 年全球有影响的银行i t 外包合同 银行 外包商 合同金额期限移交r r 人员服务项目 德意志银i b m2 5 亿美元l o 年 9 0 0 维护数据中心、小型服务器。 行 美浙根行e d s 4 5 亿美元 1 0 年1 0 0 0 语音、数据处理系统。 a e ne d s 1 3 亿美元 5 年 2 ，0 0 0 批发业务后台处理系统。 ， 加拿大皇 h p 2 0 亿加元 7 年未披露 全面的r r 服务。 家鼹行 资料来源：谢怀军银行信息技术外包及风险管理上海金融2 0 0 4 1 来自i d c 的数据表明，中国目前i t 外包所占i t 支出的比例是7 3 - 8 2 ，所以 i t 外包对于很多中国企业还是一个相对新鲜的名词。但在金融行业，银行业对于i t 外包的理解已经领先了一步。现将2 0 0 2 2 0 0 4 年中国银行业的重要i t 外包项目总结如 下： 表1 2 中国银行业重要i t 外包项目简图( 2 0 0 2 2 0 0 4 年) 银行承包商合同签订时间项目内容备注 上海浦东发展银行联想 2 0 0 2 年9 月 综合业务系统 深圳发展银行 高阳科技2 0 0 2 年1 0 月 灾难各援 1 0 年：3 亿 中信实业银行 l b m2 0 0 2 年1 1 月 统一信息平台 北京市农信联社神州数码 2 0 0 4 年1 2 月新一代综合业务系统的 主机维护 国家开发银行中国惠普2 0 0 4 年2 月软、硬件设备的管理与维 修、系统运行维护服务、 r r 资产管理 光大银行美国第一2 0 0 4 年8 月信用卡数据处理 资讯公司 上海银行中国惠普2 0 0 4 年1 2 月核心银行业务系统的集 成和实施服务 2 对外经济贸易大学硕士论文 资料来源：本研究整理 以国家开发银行为代表的几家国家政策性银行以及股份制银行已经迈出了成功外 包的第一步国家开发银行与惠普签约为外包战略合作伙伴后，开行的i t 服务质量得 到了全方位的提升，i t 成本降低了3 0 。原i t 部门的负责人表示现在已不需要对运维 工作费神，可以将精力专注于核心业务的提升上。开行下一步考虑的重点业务就是扩 大外包服务的范围。 1 2 本课题研究的意义 虽然在过去几年中，外包风险方面学术研究有所增长，但由于缺乏传统积累而显 得很零散，也无人试图综合迄今所有这方面的文献和研究。且大部分文献都集中在风 险管理，而对风险评估的论文寥寥无几，未雨筹谋总是一种积极的方式，因此，本研 究欲从风险萌发之时给予恰当地评估，从而为后续的管理和控制风险作好准备。 银行i t 风险是银行在i t 运营过程中存在于i t 领域中的某种不确定性，而银行i t 外 包风险将集中表现在i t 外包的全过程中对信息系统的失控及银行声誉等其他方面的风 险。银行外包服务中首要的和最基本的风险就是信息系统的失控，然后是选择i t 服务 商的风险；银行过分依赖i t 外包服务商的风险；银行缺乏必要的监督管理与审计；银 行i t 外包合同缺乏灵活性和必要的约束条款；银行外包成本增加的潜在风险等等。随 着银行i t 外包业务范围的不断扩大，银行对外部i t 服务商所提供全面服务的依赖性 也日益增强。国外银行的外包服务实践表明，当银行把i t 的外包服务授权于外包服务商 时，银行在某种程度上就失去了对其信息系统功能的控制。 现在i t 外包风险领域的研究已比较成熟，但针对银行业的i t 外包风险研究还很稀 少，尤其是银行业技术外包风险评估是一个空白。本研究就想在研究文献的基础上， 得出普遍的信息技术风险评估指标，并结合银行业的特点，拓展银行业的信息技术外 包评估指标，并在调研数据的基础上，得出风险因素排名和关键性风险因素。而在现 有的风险评估方法中，基本上都是定性的方法，尚无可借鉴的定量分析的评估方法， 希望本课题的研究能引入较为科学的定量分析评估方法，得出一个比较适用银行业的 风险评估模型，并能对银行i t # b 包领域的风险管理研究提出建议。 1 3 本课题研究的内容和思路 本研究的研究架构如下图所示： 3 对井经济贸易大学硕士论文 图1 1 本研究架构图 资料来源：本研究整理 首先，本研究从i t 外包研究综述谈起，先分析i t 外包的理论背景、发展现状、 发展趋势，从而对i t 外包的总体概况有所了解。在这一部分运用了归纳法这一研究方 法。 其次，目前还没有专门针对银行的i t 外包风险评估方法。先从风险评估方法论起， 分析了现有的相对有代表性的几种方法，并对这几种方法作了比较和总结，认为现有 的风险矩阵方法能同时做到定量分析与多因素权衡比较分析。鉴于外包是一项与经验 紧密相关的活动，因此希望通过问卷调查褥到数据，再用软件进行分析的一套银行i t 外包风险评估方法。本研究在这一部分运用了归纳法和比较法。 另外，银行i t 外包风险评估过程也有自己的特点。相对于其它的行业来说，银行 的管理机制及业务流程都非常的严谨。国外银行的i t 外包很可能会伴随产生大量的人 员转移，然而国内银行却很少会出现这种状况5 。因而，本研究提出了一套银行i t 外包 风险评估过程，并在此过程的基础上进行银行i t 外包风险评估的研究。本研究在这一 部分运用了归纳法。 然后，在前两步分析的基础上，提出一套可支持我国银行i t 外包风险评估的指标。 基于本文提出银行外包风险评估过程与风险矩阵分析法。本部分不但介绍了风险矩阵 分析法的理论背景、方法步骤，而且在假设信息技术外包中存在概念中所提出的风险 因素；信息技术外包中的风险因素暴露( 即风险发生的概率及造成的影响的乘积 证券i t 外包要有所为有所不为 李长村钟荣剑鲫电子f 匕 2 0 0 5 年第o l 期( 总第1 1 2 期) 4 对外经济贸易大学硕士论文 r e = p ( u o ) 虬( d o ) 是不相同的) ：假设3 ：经验在评估风险暴露强度过程中有最高的参考 价值的前提下。分别从“战略”、“业务”“技术”三方面，建立了银行i t 外包决策 的层次指标。 最后，通过对实例的分析介绍，进一步解释应用本研究提出的评估方法。本部分 采用了实例分析( 案例分析) 法。由于本部分数据较多，因而使用了统计分析软件e x c e l 的模块r i s km a t r i x 2 2 0 来协助完成数据分析的工作。本研究所采用的研究方法有归纳 法、比较法、实例分析( 案例分析) 法。 课题研究的创新之处： 1 将波尔达值的定量分析方法引入到我国银行i t 外包风险评估中。 2 研究可支持我国银行i t 外包风险评估的模型。 3 提出一套银行i t 外包风险评估程序。 5 对外经济贸易大学硬士论文 第二章l t 外包研究综述 上一章，笔者阐明了研究的背景、价值与意义，以便进一步发展出银行风险评估 方法。在进入研究正题之前，本章将对外包历史，类型，过程以及风险进行文献探讨 与整理，以作为本研究的理论基础。 2 1 外包历史 起初，信息系统外包只是外部供应商向客户提供一系列简单的功能服务。在2 0 世 纪8 0 年代末，在柯达外包事件之前，信息系统外包有所起步，但几乎无利可图。直到 k a t h yh u d s o n 柯达c i o 一向世界宣布它与合作伙伴建立了战略联盟，世界才开始 关注之一领域。也许是h u d s o n 的个人魅力，也许是柯达家喻户晓的美誉，也许只是幸 运。不论如何，柯达l o 亿的外包交易产生了深远的影响。再也不会听见“信息系统是 一种战略，不应交给第三方”这种声音。事实上，这已成为信息系统外包的美谈。此 后，其他的知名公司快速跟风。 信息系统外包的增长催生了新的行业专门管理外包合同。基准程序，审计， 合同管理，客户关系管理等都成为了时尚。合同复议也是其中之一。虽然g a r t n e r 报道 7 0 的公司参与各种形式的信息系统外包，估计大部分的合同需要重新谈判 ( y o u n g ，2 0 0 0 ) 。因为5 1 5 年的合同往往不能考虑到客户变化的信息系统需求，也难 以与i t 的发展相匹配。客户和外包商都认为，合同的重新谈判势在必行。 最近，信息系统外包的两个领域增长明显网络电子商务。外包商提供以网络 为基础的应用使公司步入电子商务时代。第二个增长领域是应用服务供应商( a s p ) 的 兴起。( k e r ne ta l ，2 0 0 1 ) 现在还不能断言该行业将如何发展，大部分公司都在关注 这个市场，以观察这种外包模式的成功性。一份2 0 0 0 年d a t a q u e s t 报告预测a s p 市场 将从1 9 9 9 年的7 百万美元上升到2 0 0 4 年的7 0 亿美元( y o u n g ，2 0 0 0 ) 这伴随着信息系 统服务市场预期直到2 0 0 4 年的每年1 9 6 的增长率和整个市场7 9 2 0 亿的交易额一其 中信息系统外包占了6 7 清楚地表明外包并不是过服云烟。 2 2 外包定义及类型 信息技术外包近几年来一直都是i t 业界讨论的焦点话题，关于信息技术外包的定 义也是各有各的看法。西方学者对i t s f 包的定义有如下几种看法： 6 对外经济贸易大学磺士论文 表2 1 西方学者对i t 外包的理解与定义 i 之 理解与定义 1 9 9 2l o h 供应商从事企业部分或全部信息技术相关的物资或人力资 源活动 1 9 9 2k o t a b e 由来自世界各地的供应商为企业提供信息技术服务的活动 1 9 9 5h i t t 依赖外部资源从事信息技术相关活动 1 9 9 5w i l i c o c k s 为达到预期目的，把组织的部分或全部信息技术交给第三方 处理 1 9 9 7 j o h n s o n将组织的部分信息系统责任与义务向外部转移，改变服务传 递与组织的管理模式的安排 资料来源：a l b e r t h a l ，l ，u s e rs a t i s f a c t i o n - - - t h eg l o b a lc h a l l e n g e a d d r e s st ot h e n i n t hw o r l dc o m p u t i n gs e r v i c e sc o n g r e s s ，1 9 9 4 为达到研究的目标，倾向于采用更宽泛的“信息系统资源”这个名词。它是指组 织为得到信息系统服务，资源管理，以及为取得这些服务而开展的活动的安排。信息 系统服务是指交付信息系统产品，提供信息系统职能的方式。职能也许是商品等，也 许是一些通常的工作：系统运作，应用开发，应用维护，网络电信管理，周面帮助， 终端用户支持，系统移植和管理。在开展服务时，资源，管理结构，专业技术都是必 需的。组织安排是指责任的正式分配以及信息系统任务的授权，可以选择内包或外包，。 接下来，将关注组织关于外包的安排，这些安排由“外包参数”组合而成，4 个基本参 数决定了公司外包的类型：度( 完全，选择性，无) ：模式( 单外包商客户，多外包 商客户) ；所有制( 内部所有，部分所有，外部所有) ；时间框架( 短期，长期) 。 这些参数的特殊组合就产生了不同的资源安排，如合资企业，设备共享，部门剥离等。 度和所有制的组合如表2 - 2 所示。客户和外包商的组合见表2 3 。 表2 2 资源安排类型 资料来源：j e n sd i b b e r n 。t i mg o l e s ，i n f o r m a t i o ns y s t e m so u t s o u r c i n g ：as u r v e y a n da n a l y s i so ft h el i t e r a t u r e ，2 0 0 2 g m d a l , l 7 c a n g & 岫耐嚼1 9 9 7 ；a n g & s h u g h t e r , 1 9 锝；c l a r k d 札，1 9 9 5 ；c u r r i c 1 9 9 8 ；醐胁阻m 蝴0 - h b 缸哦1 9 鳃；d r a m , l 卿峨【a 曲l d d 陆曙由h d 吗1 9 9 3 b ；m c f a r l i m & n o l a 皿1 9 9 5 ；o j h m h d m 1 9 9 4 ；s m i t h c t a l l 9 9 8 7 对外经济贸易大学硕士论文 表2 3 外包模式 单个客户 简单对称 ( 1 ；1 ) 多外包商 ( 1 ：n ) 多个客户 多客户 ( n ：1 ) 复杂关系 ( n ：n ) 资料来源：j e n sd i b b e r n ，t i mg o l e s ，i n f o r m a t i o ns y s t e m so u t s o u r c i n g ：as u r v e y a n da n a l y s i so ft h el i t e r a t u r e ，2 0 0 2 在表2 2 中，信息系统可以被剥离而成立一个独立的服务体或公司在这种情况 下，仍然公司所有，但职能全部或部分外包。当子公司从内部所有转为与客户共有时， 就成了合资企业，这种合资企业基于战略合作基础。信息系统所有权也可以外部所有， 此时，若全部外包，就是我们通常意义上的外包( e a r l ，1 9 9 6 ) ；若部分外包，就是选 择性外包( l a c i t ye ta l ，1 9 9 6 ) 。另一方面，如果公司想完全拥有所有权又不想外包， 就是内包，前提是以前没有外包过( l a c i t y h i r s c h h e i m ，1 9 9 5 ) ，否则就是回包 ( h i r s c h h e i m l a c i t y ，1 9 9 8 ) 。当公司想与承包商分享所有权但不外包，就称之为 “设备共享”( c u r r i e 。1 9 9 8 ) 。 在表2 3 中，描述了当有一个或多个客户或外包商时，承包商客户资源的安排。 有4 种可能1 一l ；1 - - 多；多一l ：多一多。1 1 是最简单的，g a l l i v a na n do h ( 1 9 9 9 ) 称它为“简单的对称关系”。此时，外包商的投机会给客户带来很大的风险。因此， 很多客户与多个外包商建立关系以降低风险( c h a u d h u r ye ta 1 ，1 9 9 5 ：c r o s s ，1 9 9 5 ) 。 这称为“多外包商”安排。另一方面，几个相同或相关公司的可能有同样的需求，通 过建立联盟，从同一个外包商处得到服务会更经济( s h a r ma y e t t o n ，1 9 9 6 ) 。这 称为“多客户”安排既g a l l i v a na n do h ( 1 9 9 9 ) 所说的共同外包。 2 3 外包过程框架 外包应该理解成具有持久影响力和长远历程的管理决策。这种思想与行为管理理 论一致，后者认为，决策是管理的核心。( c y e r tm a r c h ，1 9 6 3 ：s i m o n ，1 9 4 7 ) 最著 名的决策模型是西蒙( 1 9 6 0 ) ，应用并转换此模型，得出了外包的5 个阶段。这些就反 映出了研究目标( 或者研究的问题) ：为什么( 外包) ，( 外包) 什么，哪一种方式， 如何( 外包) ， ( 外包) 结果，框架的本质是信息系统领域的一个缩写。它反映了广 域的问题多样性，使用的方法，信息系统研究的理论基础( b e n b a s a t w e b e r 1 9 9 6 ) 。 lh 姐1 9 9 3 a ；h 缸1 9 9 3 b ；r c p o a , 1 9 9 3 , i * 1 0 4 9f i 咤目啪u w 如d 鸣1 9 9 咄m 细。o i 缸m c i d l 姐，1 9 9 8 8 对外经济贸易大学硬士论文 鼍鑫磐馨 外包阶段 决镶模塑 ，r 毯删攫 外包阶段虑瑁 甲 露飘 落翻 ， 一蒸鼍疆靠抖程霞琴2 鬻 戳苎鹭骜爨：纛蠢基凌 上 罗秽弼i 酚孝霹掣警望。? i 琵 慧 成功的螫豢， 。囊 图2 1 外包过程框架图 资料来源：j e n sd i b b e r n ，t i mg o l e s ，i n f o r m a t i o ns y s t e m so u t s o u r e i n g ：as u r v e y a n dh n a l y s i so ft h el i t e r a t u r e ，2 0 0 2 图2 1 展示了我们如何运用西蒙的4 阶段模型，进而改变成5 阶段模型，更好地反映 出组织评估和实施外包过程中会遇到的问题。这部分框架被描述成“外包阶段”。阶 段1 “为什么”，与西蒙的“分析”相似，即组织对信息系统外包的利弊进行权衡。 阶段2 “什么”，与西蒙的“设计”相似，即有哪些可选择的外包安排，哪个最适 合组织。阶段3 “哪个”，与西蒙的“选择”相似，即在比较各方案后，组织最终 选择了哪个方案。这3 阶段组成了外包的第一部分：决策过程。第4 阶段“如何”， 与西蒙的“实施”类似，组织选择外包商，商议合同，执行工具能帮助它们管理外包 关系。阶段卜“绩效”，反映了外包决策的结果；此次外包的成败，吸取的教训。 我们把这两个阶段组合成外包的第二部分：实施。当组织的进一步进行外包评估，这 些阶段会不断扩展。这称为“外包阶段应用”。 为什么一个组织要外包信息系统出发。v e n k a t r a m a n ( 1 9 9 2 b ) 的早期论文试图通过 普及创新的角度认清信息系统外包的决定因素。他们视信息系统外包为管理革新，相 当于管理信息系统基础设施采用新的安排。利用以不同资源影响为基础的分散模型， 论文寻求理解和解释为什么组织要外包信息系统。这个研究被认为是调查外包决定因 素的始祖。 外包什么：前提其一，至少有两种选择；其二，有坚实的理由作为选择的标准。 后者与“为什么外包”相关。事实上，为什么外包的答案能作为“外包什么”的选择 标准。因此，两个问题是相互依赖的。有些论文把两者结合成一个问题“为什么外包 9 对外经济贸易大学硪士论文 什么”( t e n ge ta 1 ，1 9 9 5 ) 。但是，我们应该在两者间划一条线，现在讨论信息系 统职能可以作为“外包什么”的答案。关注外包什么的典型例子如：t e n ge ta 1 ( 1 9 9 4 a ) 他们区分不同的信息系统功能，并且检测每个职能外包的程度与组织因素的关系。例 如：信息系统预算占公司销售的百分比。他们得出结论：在组织战略，i t 作用，公司 资源，外包的信息系统职能之间存在密不可分的关系。 选择哪一个；在考虑完外包什么后，接下来面对的问题是。选择哪一个”在制 定外包选择时，组织采用步步为营的方式达到最终的外包决策；评估不同的选择标准 的方针；最终决策的选择。一些人认为，交易成本经济能帮助向导选择”。另外一些人 聚焦组织选择政治( l a c i t y b i r s c h h e i m ，1 9 9 3 b ) 然而，另一些研究如同l a c i t ya n d h i r s c h h e i m ( 1 9 9 5 ) 提供了一些外包选择标准的方针，还有一些案例，展示了组织是如 何一步步作出决策的。 如何管理外包；完成了上述的问题后，组织面临的是实施的决策，即“如何外包” 在考虑“如何”时，我们聚焦外包实施。这包括3 个部分：选择外包商，建立外包关 系及后续的安排管理。总之，“如何”关系到最佳方案的实施方法，技术和影响 外包决策的方法，进而提升外包的成功度。这类例子如k l e p p e r ( 1 9 9 5 ) 他利用管理文 献中的伙伴制发展的阶段模型，探索了外包商和顾客之间长期关系的形成。文章讨论 了有助于建立，增强客户外包商关系的活动。当然，“如何外包”和外包结果必然相 连。例如：l e ea n dk i m ( 1 9 9 9 ) 对客户和外包商之间关系和对外包成功影响的质量都 进行了调查。在“如何”阶段，我们只关注l e ea n dk i m 如何概念化“关系”，反映为 合伙质量的特征和决定因素。 绩效评估；在外包实施以后，组织必须看外包决策的结果。即他们必须测评外包 现象的实际绩效。学到了哪些经验，从外包商处学到什么，如何使组织成功? 外包实 践中的启示，不仅是信息系统，包括整个业务。讨论绩效问题的论文是a u b e r te ta 1 ( t 9 9 8 ) 他们调查了外包潜在的结果的不如意( 例如：服务水平的降低) ，以及相关 的风险因素。其他的一些调查例如员工的行为( h n g s l a u g h t e r ，1 9 9 8 ) 续约 ( f i t z g e r a l d w i l l c o c k s ，1 9 9 4 ) 客户满意( g r o v e re ta 1 ，1 9 9 6 ：l e e k i m ，1 9 9 9 ： s a u n d e r se ta 1 ，1 9 9 7 ) 外包商满意( h e c k m a n k i n g ，1 9 9 4 ) 经济结果( l a c i t ye t a 1 ，1 9 9 6 ) 以及从外包相关人员的角度的感知( h i r s c h h e i m l a c i t y ，1 9 9 8 ) 。 2 4 风险综述 之前讨论的是外包的整体概念，本研究重点关注外包的风险问题，因此以下将详 述风险理论和信息技术外包常见风险以及来源。 2 4 1 风险的概念 根据韦式字典，风险是指遭受损失或者伤害的可能性或者危险。 1 0a 喀鞠卸蛳，1 9 ；o b i s 叫嘻1 9 9 8 ，【j a a y w 姐d 晦1 9 9 5 1 0 对外经济贸易大学硕士论文 c h a r e t t e ( 1 9 9 1 ) ，v d i l l c o c k s 、m a r g e t t s ( 1 9 9 4 ) 的定义，风险指根据经验或者某 种理论，已知要发生的或者估计存在某种可能性发生的一种负面的后果 b h a t t ac h a r y m a 等( 2 0 0 0 ) 将风险定义为不良后果的可能性。从以上定义可以看 出，风险既可以指某种负面后果，又可以指负面后果的可能性 j o h ng a r r i c k 与s t a n l e yl a p l a n ( 1 9 8 1 ) 认为当有人问及什么是风险的时候，其实 他己问了三个问题：什么是风险? 有多大的可能性会发生? 如果这种风险确实会发生，那 么后果是什么? 他们最后将风险定义为情境( s c e n a r i o s ) 、可能性、后果三者的一个完 整集合，并且认为这种定义是具有普遍意义，适用于各种各样的风险，包括工程风险、 投资风险、战略风险、环境风险等等。 综合以上分析，本文将风险定义为：某几种因素对目标造成不良后果的可能性。 风险因素：是风险的来源，它一般说明某些可能指向风险目标的情形或者事件的 时间序列。如果风险存在多种来源，那么我们所指的风险可能是这些来源中的任何子 集所导致的风险； 不良后果：指什么风险或者说造成什么损失； 目标：不良后果针对是谁或什么。 例如，在i t # f 包中由于企业对供应商监管不利导致供应商i t 服务质量下降，那么 其中风险因素即为“企业对供应商监管不利”，不良后果为“i t 服务质量下降”，其 目标为“企业客户”在风险管理中，另一个重要的概念是“风险度”，风险度是综合 考虑风险的不良后果及其发生概率的指标： 风险度= 风险的不良后果发生的概率 风险的不良后果包括风险引发的成本、风险可能造成的损失以及延误等。此外， 每一个风险度都可能具有时间特征，他们在外包过程中有时很低或者为零，但有时又 会很高。风险度会随着风险发生的概率以及不良后果的范围的变化而变化。如果风险 度随着时间的推移而发生变化，我们就应当估计它的时闻特征。同时需要指出的是 k a p l a n 与g a r r i c k ( 1 9 8 1 ) 认为风险度不能完全代表风险，不同风险偏好的人对于两种 风险度相同的风险其态度是不同的，例如损害程度大但发生概率小的风险与损害程度 小但发生概率大的风险，大多数人对前者更为谨慎。所以完全依靠风险度对风险进行 分析是不科学的，只能作为一种评估手段。 2 4 2 风险管理过程 风险管理的目标在于如何正确全面的发现及确认风险，进行分析、评估，从而有 效的控制风险，所以一般风险管理包括三个步骤：风险识别、风险评估以及风险控制。 风险识别是将组织面临的各种不确定因素一一鉴别出来。这需要对组织自身的经 营状况、其所在市场的情况，其所处法律、社会、政治和文化环境有深入的认识和了 解，同时要求该组织要有明确的经营战略。由此方可识别促使组织成功的因素，以及 那些威胁到组织赢取其战略目标的因素。风险的识别是一个动态的过程，随组织和其 对外经济贸易大学硕士论文 所在环境的发展变化而发展、变化。风险的识别应当一种系统方法来进行，以确保组 织的所有主要活动及其风险都被囊括进来，并进行有效的分类。有效的风险识别应当 形成一个风险清单( r i s km a n i f e s t ) ，列明组织面临的各种主要风险。 风险评估是在风险管理的第二个步骤，当风险识别后，风险评估即对识别出的风 险作进一步的分析及度量，然后再作进一步的管理，从而将企业的损失减至最低。 风险控制是风险管理过程中的最后一个步骤，也是整个风险管理成败的关键“所 在。风险控制的目的在于改变企业所承受的风险程度，包括帮助企业避免风险、避免 损失、降低损失的程度以及当损失无可避免的时候，务求尽量降低风险对企业所带来 的不良影响。 2 4 3 信息技术外包风险综述 在信息系统研究领域，对于风险的研究主要集中在软件开发8 与项目管理”两个方 面。在i t 外包领域，研究主要集中在对于i t 外包现象的解释“、外包策略的决策“以及在 外包执行中的外包关系管理等方面”，而对于风险很少有系统详细的分析”。 l a c i t y 一与h i r s c h h e i m ( 1 9 9 3 ) 通过对财富5 0 0 强的1 4 家企业i t k b 包实践的研究发 现理想与现实存在着巨大的差距，在外包实践中，外包供应商并非是企业的战略伙伴， 其效率也并不一定比企业的i t 部门高，同时也不一定具备成本优势：这给当时很多热衷 于外包的企业敲响警钟，也为i t 外包风险研究开启了先河。c l a r k ，z m u d ，m c c r a y ( 1 9 9 5 ) 对外包风险进行了总结，他们认为首先，外包可能不会降低信息系统的成本，而导致 费用更高的原因通常是哪些没有可预见性和未予说明的变化。其次，风险还来自特定 外包服务提供商的本性及其行为。在外包中，公司依赖于外包商，但却无法像控制公 司自己职员的行为那样对外包商进行控制。第三，外包可能导致公司丧失学习先进技 术及其应用的能力。第四，公司可能因为外包而失去三种灵活性：一是短期灵活性，即 组织重组资源的能力以及当经营环境发生变化时的应变能力：二是适应能力，即在短期 到中期的时间范围内所需的灵活性。这是一种以新的方式进行变革从而重组业务流程 和战略的能力：第三种灵活性时进化性，其本质是中期到长期的灵活性。e a r l ( 1 9 9 6 年) 经过对许多公司i t 外包实践的研究总结出i t 外包中的1 1 种风险，包括：( 1 ) 管理不善：( 2 ) 供应商的员工缺乏经验：( 3 ) 企业经营的不确定性：( 4 ) 淘汰的技术：( 5 ) i t 业务内部的不 确定性：( 6 ) 隐藏的成本：( 7 ) 缺乏组织学习：( 8 ) 丧失创新能力：( 9 ) 危险的永久性的三角 关系：( 1 0 ) 技术的不可分割性：( 1 1 ) 目标不明确。这些研究无疑对于进行i t 外包的企业 具有重大的启示作用，然而这些研究只是通过实践总结列举出可能存在的风险，并没 ”l y y t i n e n ，k ，m a t h i a s s e n ，l ，r o p p o n e n ，j ，1 9 9 8 a t t e n t i c ns h a p i n ga n ds o f t w a r er i s k ：ac a t e 科i c a la n a l y s i s o f f o u rc l a s s i c a ir i s ka n a g e m e n ta p p r o a c h e s i n f o r a a t i o ns y s t e m sr e s e a r c h9 3 ) 2 3 3 - 2 5 5 “ b o d l m l 9 9 l , ( 3 1 a l e e e 。1 9 9 1 ；gr i f f i t h s a n d m m 。1 9 9 6 ；蛔恤乜l ，1 9 9 8 ；r o p p e e e e , 1 9 9 9 ”l c i l l 9 9 5 小l o 虹1 9 9 6 ：w f l k o d e m n d o 曲础骂1 9 g w f e i a l l 9 9 4 丑皤妇删“如o 口抽衄1 9 蛆 ”i a c i l y , w m c o c k s & f c e a y 。1 9 9 6 ”m c f a d a n & n o l a n , 1 9 9 5 ；g s m e r d a l1 9 9 6 1 7 【0 d kp w 珊矗s m a f v c 工a d 坦, 2 0 0 1 1 2 对外经济贸易大学硕士论文 有进行系统的研究：同时这些研究对“风险”的概念并没有澄清，致使风险因素与风险 后果混淆在一起，也未能解释之间的发生机制。w i l l c o c k s 等( 1 9 9 9 ，2 0 0 0 ) 在以前研究 的基础上，分析提取出1 0 种i t 外包的风险因素，其中包括( 1 ) 将i t 视作普通商品进行外 包：( 2 ) 不完整的合约：( 3 ) 技术或者业务的不确定性因素：( 4 ) 外包目标是为了短期的财 务重组或资金注入，并非为了企业的竞争优势而进行i t 资产的调整：( 5 ) 缺乏签订整体 外包的成熟经验：( 6 ) 对于外包存在不切实际的期望：( 7 ) 对于新技术、新应用外包不 当：( 8 ) 没有在企业内部保留、培养必要的能力与技术：( 9 ) 企业与供应商力量不对称发 展，偏向供应商：( 1 0 ) 在合约以及与供应商的关系方面，缺乏移极的管理。这种对于i t 外包风险因素的总结，有助于对i t 外包风险从源头上加以分析进而进行控制。但由于 对i t 外包风险的研究尚处于起步阶段，这些研究属于“探索性：解释性的案例研究 ( w i l i c o c k s ，1 9 9 9 ，2 0 0 0 ) ，而这些案例都是属于单供应商整体性的i t g b 包，对于其 他类型的i t 外包并没有涉及，因此分析总结的i t 风险因素并不全面，某些因素并不具 有普遍意义。 由于i t 外包风险研究尚处于起步阶段，对于i t s b 包的风险控制则鲜有系统性的研 究。某些i t $ f 包的研究只是将风险评估作为i t 外包决策前的一种考量，例如j u r i s o n ( 1 9 9 5 ) 将i t $ f 包决策视为一般做或买( m a k e o r b u y ) 的决策，通过对外包收益与外包风 险的模型分析，对企业是否应该外包进行决策。某些实证性的i t 外包研究对i t 外包的 最