相當于將核心競爭力外包了出去。所以，對于CIO來說，必須認清自身的核心業(yè)務，避免核心競爭力隨著外包流失，是一個最值得關注的問題。

(3)IT外包潛在安全風險

眾所周知，保證IT系統(tǒng)的安全、穩(wěn)定和可靠運行是IT部門義不容辭的職責，問題是安全、穩(wěn)定和可靠永遠是相對的，得看企業(yè)IT投入和ROI。比如基礎設施和基礎應用系統(tǒng)雖非核心IT應用，但因應用面廣，一旦出問題影響面大。

有關調查公司就IT外包作了一次調查，發(fā)現(xiàn)企業(yè)對IT外包最大的顧慮是信息安全。IT外包雖能降低成本、提高服務質量等，但也面臨很多風險。首先是信息安全的風險，任何企業(yè)都有商業(yè)秘密，把IT系統(tǒng)尤其核心信息系統(tǒng)的建設、運營和維護外包給IT服務提供商后，如何保證企業(yè)的商業(yè)秘密文件不被泄露出去是一個關鍵考慮的因素。因此，在外包時CIO既要謹慎又要積極防范風險。

(4)外包商服務質量的風險

IT服務要成為一種商品，就必須形成一套規(guī)范和標準，以約束買賣雙方。但目前國內IT外包服務領域既無統(tǒng)一規(guī)范也無公認標準。概念模糊的用戶，面對同樣概念模糊的IT廠商，如何評估、簽合同、質量控制和定價等都是潛在的“風險”。此外，IT外包還面臨著IT管理的復雜性、軟件缺失、知識產(chǎn)權以及IT外包服務提供商自身能否健康成長等風險。因此，CIO需要在風險、成本與效果、效率之間找到平衡點。

二.規(guī)避IT外包風險的步驟

IT外包(IT Outsourcing)是指客戶將全部或部分IT工作包給專業(yè)性公司完成的服務模式。對于許多企業(yè)而言，IT技術越來越深入到企業(yè)的核心業(yè)務，影響著企業(yè)的策略制定和企業(yè)的發(fā)展，從而對IT外包的風險控制也提出了越來越高的要求。

第一步：界定外包業(yè)務，避免核心業(yè)務損失

規(guī)劃IT外包時，界定外包業(yè)務范圍是非常關鍵的一步。把非核心業(yè)務外包給外包供應商，可以達到降低人力成本，減少開支和提高服務水平。因此，應樹立IT外包是為了更好地把精力放在核心業(yè)務上，使IT技術人員的業(yè)務重心更加集中于公司的核心競爭力的業(yè)務上來。

張力說：“我們在具有核心競爭力的業(yè)務上擁有的人才資源要超過其他業(yè)務。在IT支持工作上我們的人才儲備就不夠，這一點需要借助外包來彌補。”張力建議CIO可以先梳理業(yè)務，分清IT業(yè)務屬于“企業(yè)運營三葉草理論”中的哪片葉子。也就是說，先分清哪些IT業(yè)務是核心業(yè)務、附加值高，哪些是非核心業(yè)務、低值服務，哪些是長期業(yè)務，哪些是臨時性、周期性、階段性或項目型的業(yè)務，哪些業(yè)務會隨著應用深化或時間推移發(fā)生什么變化。然后，CIO再仔細分析本企業(yè)IT人員的專業(yè)能力，IT人員與業(yè)務需要的匹配情況，結合外包市場的服務提供情況，相應地決定哪些業(yè)務自己內部做，哪些業(yè)務外包。

第二步：加強對外包合同的管理

對于CIO來說，在簽署外包合同之前應該謹慎而細致的考慮到外包合同的方方面面，在項目實施過程中要積極制定計劃和處理隨時出現(xiàn)的問題，避免責任的扯皮現(xiàn)象，使得外包合同能夠不斷適應變化，實現(xiàn)一個雙贏的局面。對整個項目體系的規(guī)劃，CIO必須對公司自身需要什么、問題在哪里非常清楚，從而能夠協(xié)調好與外包服務商之間長期的合作關系。比如，網(wǎng)絡標準、軟硬件協(xié)議以及數(shù)據(jù)庫的操作性能等問題都需要雙方積極的參與規(guī)劃，公司內部IT外包管理人員應該參與完成這些工作而不是僅僅在合同中提出我們需要哪些。

第三步：明確IT監(jiān)理和驗收方案

在決定要簽署外包合同的時候，張力認為必須還要明確雙方的責任與合作、IT監(jiān)理和驗收，也就是對整個實施過程的有效監(jiān)督，以及對階段性和最終成果的評驗。因此，依據(jù)外包服務合同，制定詳細的服務商