» 新闻中心 » IT外包资讯 » IT 外包风险与控制

1合同风险
  在一份外包关系中,不发生纠纷的时候,合同就是几页纸,但一旦有任何的纠纷,合同简直就是最可依赖的,总之,怀着以后一定会发生什么问题一样的高度严格和认真的态度对待合同中每一个细节问题就显得尤为重要了。
  关于IT外包,实际上有很多的失败的案例,那么多学校外包之后又想重新回到过去就是一个例证。
  关于教训,在网上有迹可寻的是弗吉尼亚州的案例。该州IT外包合同因为其拙劣导致执行超过了最后期限,最后该州几个办公室都发生了服务中断,甚至该州CIO也被停职了。
  但是当该州工作人员和居民感受到IT外包方案的一些不良影响时,要终止这份为期十年的合同将让该州付出高达4亿美元的代价,而且会陷入无人管理计算机系统的状态。此外,原始合同没有包括对服务级别不足的惩罚措施,因此,该州不能在这些IT中断的事件上获得相关赔偿金。
  这种IT外包错误可能发生在任何组织中(不管是公共的还是私有机构,大机构还是小单位都有可能)。任何机构在外包IT运营时都可以从中吸取教训。如何没有正确的治理或者治理达不到一定成熟度,在外包中就会面临系统性挑战。
  所以,但签署外包合同时,就要清晰地阐明服务级别协议以及惩罚条款,在初步协议中明确地写出来。如果服务级别没有惩罚措施,就很容易对供应商让步。
  2服务风险
  一位老师这么表达他对IT外包的态度:“IT外包对大多数学校是个坑。单位的管理方式、要求和公司的相差甚远。这需要两家有着良好人际和业务的合作关系,关键是单位头不能变换。可这难啊!”虽然这种想法也颇具代表性,但从市场的角度来看,这是过多依赖于个人关系而忽略了管理与规范的一种想法。
  重要的是,你是否有SLA(Service Level Agreements)服务水平协议管着?是否好好做过一份详细的SLA协议?所确定的那些标准和规范是否合规?是否能满足用户的需求和你管理网络的需求?
  SLA作为客户与IT服务商之间签订的协议,被设计用于合作双方对所提供的服务、服务优先级和责任的共同理解。一份标准的SLA内容体系包括以下几个内容部分:服务部分、技术部分、商务部分和质量报告。服务部分是指双方协商好的服务内容相关的部分,包括服务信息标识、服务范围、服务等级、服务计费方式、合约变更和终止条款等;技术部分是指通过双方协商产生衡量业务等级的通用技术参数、指标集和性能检测方法等。在技术部分中,用户需要找出最能符合自己业务需求的服务水平指标;商务部分是指当IT服务商满足或者违背承诺的业务等级时,其所获得的奖励和赔偿机制;质量报告是指IT服务商定期给客户提供的分类服务质量报告,包括SLA中规定的服务质量数据和统计结果。
  3套牢风险
  所谓的套牢是指高校在建设信息系统时过度依赖服务商,内部IT部门没有能力掌握系统的运行,导致高校受制于服务商,后期被迫一直需要他的服务;或者是服务商故意在开发的软件中设置障碍,使得其他服务商难以接入,高校在已有软件基础上开发新功能时,必须继续接受他的服务。但是高校也难以更换服务商,或者更换的代价很大。
  套牢的另一方面的风险是,在大量应用IT外包后,内部IT机构逐渐忽视自身能力的提高,如开发能力、管理能力、创新能力,导致不能及时了解师生的业务需求或者只能盲目听从服务商提供的信息。高校内部IT部门的工作重心将向信息化规划、需求调研、协调服务供应商和具体应用部门的工作、项目监控、运维监控等管理方向转变。
  但是高校采取的IT外包不是也不可能是全包,为了及时处理各种突发事件,内部IT机构实际上仍需承担第一线的维护工作,同时,在应用外包的过程中,内部IT机构仍然需要掌握技术的核心,对信息系统的开发流程、部署环境、安装等有所了解,或者要求服务商提供培训,这就要求内部IT机构必须拥有相应程序开发、数据库管理、网络管理等技术人员,否则纵然服务商愿意提供相关技术细节和培训,内部IT机构也掌控系统运维的能力,造成套牢。人民大学财务处处长顾涛说过一句耐人寻味的话,大意是当你自己的人力资源跟不上时,更要慎重选择外包与合作。言下之意就是,当自己的技术人力达不到时,就更容易被套牢。
  因此在外包后,内部IT机构也要不断学习新技术,这也是选择合适服务商,精确描述用户需求的前提。
  一般地,为了有更多合作,企业旗帜鲜明表示:底层代码不会开放。这当然可以理解,但问题在于,如果底层代码不开放的话,后续的维护和功能拓展就只能锁定原来的公司了。中国农业大学就遭遇过类似的事情,以后他们在合同中就明确要求公司将源代码向学校开放。
  4安全风险
  由于很多外包公司开发的各类信息系统广泛应用在多所高校,一旦某所高校的系统被发现有严重的安全漏洞,那么会迅速波及到其他高校,引发严重的安全事件。在教务系统、学工系统等方面,这类安全事件屡见不鲜,给很多学校都造成了较大损失。在信息系统维护外包过程中,由于项目需要,服务商的技术人员可以轻易地获取学校的各类师生个人信息、财务信息、科研信息等,这些敏感信息如果发生泄漏也会给高校带来重大损失。
  针对这些问题的出现,首先高校IT部门要认识到这些问题的严重性,院校在服务外包的过程中要注意规范化和标准化。同时也要注意在选择服务外包的提供商时,不能简单追求便宜的价格,或者是先进的技术,而是要综合多角度地考虑多个因素,如数据的存储环境和安全性等,服务即使外包出去,但也要能在院校的严格控制和管理之下。
  总之,高校自身要建立完整且独立的信息安全保障体系,在整个IT运维过程中保护学校的重要信息资产。考虑到大部分高校都缺乏专业信息安全运维人员,使用专业安全公司提供的安全服务也成为必然的选择。同时利用高校自身的信息安全科研优势以及和国内外安全研究机构的密切联系,及时获取最新安全资讯,对外包引发的安全风险实时监控,并快速响应。
  还有一点是,在外包项目中,承包公司不可避免地接触到学校信息系统中的数据信息,学校除了把好承包方的选择关外,还要在合同协议中,对保密条款进行明确。


  5价格风险
  尽管对于学校来说,如果外包商的价格低可以为本单位争取更多成本,但是有一件事必须意识到:当利润极低时,服务就消失了。对于学校这样一个需要持续良好的服务满足全校成千上万名用户的部门来说,优质服务是必须考虑的因素。
  对方也需要盈利。如果与你达成的外包关系对外包方无利可图,你要么将得到少于预期的服务,要么会因每一项服务变更或标准变更而被迫付费。
  在任何外包业务里,拉拉扯扯都在所难免,但仍有不少方法可使合作关系保持稳定。可考虑启用开放会计,可以请你的合作方公开成本,并表明他们试图实现的利润指标。如果这些都开诚布公,你就能为合作关系注入弹性,这使你能获得你所需要的服务,又不至于对你的合作方施加压力,使其消极怠工。