外包IT项目风险管理

外包开发商倒闭

使用的产品种类受限制

难以对开发方的职能与安排进行控制

形成对开发商的依赖

存在损失战略信息的风险

外包开发商的系统落后

外包商的文化与人员的适应性差

控制这些风险的方式包括：

建立各方可度量和实施的共享目标和回报

引入多个供应商作为激励机制

建立一个交叉职能的合同管理团队

建立绩效矩阵

执行定期竞争性评估和基准检查

实施短期合同

在合同中明确数据的所有权

信息系统审计师必须掌握不同形式的外包及其风险，一般而言，外包的审计/安全包括：

合同保护--合同对企业的充分保护

审计权力--审计外包操作的权利

运营的持续性--遇到灾难时的持续服务能力

公司拥有数据的完整性、保密性、可用性

人员--外包开发商对客户缺少忠诚、使客户不满意

访问控制/安全管理--对外包开发商的控制

违规报告和跟踪--对外包开发商的监测

变化控制和检测--对外包开发商的控制

绩效管理--对外包开发商的评价