1、基于层次分析法的企业 IT 外包风险评价分析摘 要 针对企业 IT 外包过程中存在的风险,本文首先利用文献研究总结的方法识别出 IT 外包的风险因素,建立了比较完整的风险指标体系,接着介绍了层次分析法的一般原理和步骤,而后在层次分析法的基础上对存在的风险建立风险评价模型,从而为企业在进行 IT 外包决策时提供参考依据。 关键词 IT 外包;风险评价;层次分析法 中图分类号 F270.7;F224.9 文献标识码 A 文章编号 1673 - 0194(2013)17- 0051- 04 1 引 言 所谓外包就是指企业以优化资源配置和增强企业竞争力为目的,将某些环节以合同的方式委托给外部更优秀的服
2、务提供者进行运作和管理的一种方式。目前外包涉及的内容是多方面的,如服务外包、人力资源外包、物流外包、营销外包和 IT 外包等。而美国外包协会调查发现,在这些外包领域中发展最为迅速的是 IT 外包。 由外包的定义我们可以认为,IT 外包就是指企业以合同的方式委托更优秀的 IT 服务商向企业提供全部或部分信息功能的一种运作模式。企业进行 IT 外包能够最大限度地利用 IT 服务商的资金、技能和规模经济,从而有利于节省企业成本、减少企业经营风险、提高信息技术服务水平、促进企业组织的变革。随着企业信息化的发展,IT 外包已经成为企业进行信息管理的一种潮流。但这种新兴的 IT 管理模式在给企业带来收益的
3、同时,也对信息安全的保障提出了更高的要求,IT 外包的风险也越来越受到企业的关注。在实践中,IT 外包的风险问题是企业进行外包时重点考虑的因素,因此本文提出了一种利用层次分析法对企业 IT 外包的风险进行评价的方法,从而为企业在进行 IT 外包决策时提供参考依据。 2 IT 外包风险分析 2.1 IT 外包风险的概念 风险是指在追求利益的过程中出现的与预期利益价值取向相背离的不确定性,即发生损失的可能性。企业在信息化过程中为了减少成本,获得专业技术支持,提高企业服务水平而进行 IT 外包,如果企业在信息技术外包的活动中管理和控制不当,就会给企业带来新的风险信息技术外包风险。所谓信息技术外包风险
4、是指企业通过与承包商签订合约,将部分或者全部 IT 服务外包给承包商的过程中,由于企业自身环境的复杂性、承包商环境以及经济环境的不确定性等,导致外包结果与预期目标相背离的现象,从而导致 IT 外包活动失败的可能性。 2.2 IT 外包风险的识别 风险识别是通过感知、经验判断或对各种客观资料进行归纳整理的方式对现存的或潜在的风险进行鉴别的过程。而风险的识别又可以从风险因素、风险事件以及风险事件导致的损失 3 个方面进行识别研究。到目前为止,国内外很多文献对这方面进行了研究,本文通过对国内外 IT外包理论研究文献的大量阅读,从中筛选出研究 IT 外包风险的相关文献,并对其进行分析、筛选和总结,归纳
5、出一个比较全面的 IT 外包风险影响因素的构成体系,具体如表 1 所示:资产专用性和少量供应商主要体现了套牢的风险。资产专用性是指用于特定用途后就很难被移作他用性质的资产,这使投资者顾虑到损失或牺牲部分甚至全部资产,从而造成套牢风险。而企业的外包如果选择少量的供应商或单一服务来源,就往往面临套牢风险。另外,Jennings(1996)发现组织学习对套牢问题有较大的影响,因此发包商的 IT 素养也是导致套牢风险的因素之一。 合同不完善和合同缺乏灵活性主要体现了昂贵的合同修改风险。企业在经营过程中面临很多的不确定性,所在企业在签订外包合同时就不可能与承包商就所有可能出现的问题进行谈判并将它们写入合
6、同的条款中,从而就使得外包合同不完善,为了满足企业的需求,进而产生了合同修改的风险。 IT 外包的不确定性和隐性的成本主要体现在意外的周转和管理成本上。IT 外包的不确定性主要是由于信息技术的发展和商业环境的变化所带来的风险。隐性的成本包括选择承包商时发生的交易成本,建立、重新分配或布局设施的成本,还包括投入到外包合同管理的人力资源成本等。 绩效的模糊性、承包商的 IT 素养和发包商的 IT 素养都是导致争议和诉讼的风险因素。绩效的模糊性使得承包商的贡献难以测度或不能精确,从而导致双方的争议。如果承包商有较高的 IT 素养,提供给客户满意的服务,自然争议发生的可能性就小。同理,如果发包商能提供
7、高水平的合同管理,善于沟通,也会避免一些双方不必要的争议。 削弱对 IT 的管理、组织失去学习能力和缺乏创新能力主要导致了企业能力下降的风险。削弱对 IT 的管理主要是因为企业不再自行开发或维护 IT 系统,不能直接控制 IT 资源,从而不能对其直接管理。组织失去学习能力和缺乏创新能力是由于企业较少开发或管理 IT 系统就可能跟不上新技术的发展,以至于越来越依赖于承包商,最终使组织失去学习能力。而过于依赖承包商又可能使得企业失去对各种可能的 IT 资源的评估能力,也就不能通过引入新的 IT 技术来开展新的业务。 由此可得企业实施 IT 外包决策时面临的主要风险包括:套牢;昂贵的合同修改;意外的
8、周转和管理成本;争议和诉讼;企业能力下降。 3 IT 外包风险评价模型 3.1 层次分析法 层次分析法(Analytic Hierarchy Process ,AHP)是美国运筹学家匹兹堡大学教授 T.L.Saaty 于 20 世纪 70 年代提出的一种定性与定量相结合的多目标决策分析方法。它的特点是将决策者对复杂系统的评价决策思维过程数学化并使用判断矩阵及其特征根检验决策者的思维是否一致,这有助于决策者自我检验并进一步保持判断思维的一致性。其基本思想是通过分析待决策问题的有关要素及其相互关系,把其简化为有序的层次结构,使这些要素归并为不同的层次,形成一个多层次的分析结构模型,最终把问题分析归
9、结为最低层因素相对于最高层目标的相对重要性权值的确定问题。 层次分析法的基本步骤: (1)分解。识别出所要评价对象的相关因素,并分析这些因素之间的关系,构造一个有序的、相互联系的层次结构模型。一般的层次结构模型包括 3 层:目标层、准则层和指标层。 (2)判断。对同一层次的各元素关于某一指标的重要程度进行两两比较,构造两两因素比较的判断矩阵。为了使各因素之间进行的两两比较能够得到量化的判断矩阵,引进 19 标度法,如表 35所示: 例如设 m+1 层与 L 相关的元素有 n 个,则对于 m 层的元素 L 元素的判断矩阵为 A=a11 a1n an1 ann 式中 aij0,aij=1/aji,
10、aii=1, 其中元素aij(i,j=1,2,n)表示第 i 个因素的重要性与第 j 个因素的重要性之比。利用两两比较法可以得到各层因素之间的判断矩阵。 (3)计算。求判断矩阵的特征值 max 及其对应的特征向量 w,在实际应用中一般采用和积法计算近似特征向量。首先对判断矩阵 A 按列进行规范化:ai,j=,i,j=1,2,3,n,然后将规范化的判断矩阵按行相加:wi=ai,j,i,j=1,2,3,n,接着对 wi 做归一化处理,令 Wi=,i=1,2,n。W 即为所求的特征向量,W=(w1,w2,wn)T。再通过判断矩阵与特征向量,计算判断矩阵的最大特征值 max,max=i。然后对判断矩阵
11、进行一致性检验,利用 CI 和 RI,其中 CI=(n 指准则的个数) ,CI 的值越小,则 max越接近于 n , CI 的值为零时达到理想状态。在实际应用中,判断矩阵的维数 n 越大,判断的一致性就越差。因此应该放宽对高维判断矩阵的一致性要求,引入修正值 RI,见表 41 然后将一致性比例 CR 作为衡量判断矩阵一致性的标准,其中 CR=。当所有的判断矩阵都满足相容性条件时,可以根据层次复合原理求出组合权重。得出特征向量后进行归一化, 期间还要对一致性指标进行修正。这些计算可以通过数学工具 Matlab 操作处理。当 CR0.01 ,就可认为判断矩阵具有相容性,据此计算的 w 是可以接受的
12、。否则就要调整判断矩阵的取值。 3.2 基于层次分析法的 IT 外包风险评价方法 IT 外包风险的评价是 IT 外包风险管理过程的重要环节,其任务是在风险识别的基础上对已经识别出来的风险进行量化和排序。因为不同的风险对于企业的影响程度是不同的,有些风险可能对企业的经营起着决定性作用,而有些可能对企业的发展影响甚微。所以在企业对风险控制能力和成本预算有限的情况下,就需要对这些风险进行详细分析并进行评价,从而找出影响重大的风险,保证对企业控制力和成本的最有效利用。只有对风险进行恰当的评估才能制订合适的风险控制计划,进行风险监测,并最终有效地控制风险,保证企业 IT 外包的成功。因此,必须采用恰当的
13、评价方法,全面、正确地评价 IT 外包风险状态,才能保证后续风险管理过程有的放矢、事半功倍。 基于层次分析法的 IT 外包风险评价方法的步骤有: (1)识别出企业进行 IT 外包的各类风险。本文利用前文所述的识别方法,确定了对企业 IT 外包风险评价的 5 个一级指标和 12 个二级指标,其层次结构模型如图 1 所示。 (2)构造判断矩阵。专家给出的判断矩阵是由各个风险因素相互比较后根据表 3 确定的。例如某位专家给出的判断矩阵 B1 中 b23 表示 b2相对于 b3 的重要性。为了避免单个专家给出的判断矩阵的主观性,本文利用德尔菲法通过专家组的评价给出多个评价矩阵,之后用复合平均矩阵的方法
14、将各位专家的判断矩阵做算术平均。 下面以某进行 IT 外包企业的管理者给出的判断矩阵为例,得到准则层和指标层的判断矩阵分别为: A=1 3 2 4 51/3 1 1 3 21/2 1 1 5 31/4 1/3 1/5 1 1/31/5 1/2 1/3 3 1 B1=1 3 51/3 1 31/5 1/3 1 B2=1 51/5 1 B3=1 31/3 1 B4=1 1/5 1/35 1 23 1/2 1 B5= 1 2 31/2 1 11/3 1 1 单层次排序及其一致性检验: A=1 3 2 4 51/3 1 1 3 21/2 1 1 5 31/4 1/3 1/5 1 1/31/5 1/2
15、1/3 3 1 归一化后得 w= 0.4170.1800.2380.0600.105,Aw= 2.1980.9471.2420.3070.538 计算最大特征根:max=i =5.197 一致性指标:CI=0.049 CR=0.0440.1 说明矩阵 A 有满意的一致性,权重系数为 A:W=(0.417,0.180,0.238,0.060,0.105)T 同理可求得第二层次的各个权重集 B1:W1=(0.633,0.260,0.106)T B2:W2=(0.833,0.167)T B3:W3=(0.750,0.250)T B4:W4=(0.110,0.581,0.309)T B5:W5=(0.
16、548,0.241,0.211)T 因此,根据上例中的方法就可以计算出 IT 外包过程存在的风险的严重程度的排序,从而使得企业能在资源有限的情况下,有选择地进行风险的控制。 4 结 论 本文对企业在 IT 外包过程中存在的风险进行了识别,并研究了如何利用层次分析法对 IT 外包的风险进行评价的问题,对 IT 外包的风险进行评价不仅可以进行定量分析,从而为企业外包决策提供参考数据,还可以得到 IT 外包过程中各类风险的严重程度的排序,清楚了风险严重程度的排序后,就可以在企业有限的资源和能力的范围内有的放矢地对其进行管理和控制,从而将 IT 外包的成本降到最低。 对 IT 外包的风险进行量化,目前还没有统一的方法。本文提出了一种采用多个专家对其进行评分的方法,不仅提高了可靠性,减小了误差,而且能明显地反映风险严重程度之间的区别。 主要参考文献 1陈秀真,郑庆华.管晓宏,等.层次化网络安全威胁态势量化评估方法J.软件学报,2006(14):885-897. 2丛国栋.IT 外包风险评价模型与控制策略研究 M.杭州:浙江工商大学出版社,2010:31-32. 3李小卯.信息技术外包套牢问题的研究J.系统工程理论与实践,2002(3):26-31. 4李鑫,李京春,郑雪峰.一种基于层次分析法的信息系统漏洞量化评估方法J.计算机科学,2012(7):58-61.
