军用WebE外包风险规避策略分析

○郭平平邹本璋袁伟

（1、武汉理工大学管理学院 湖北 武汉 430070；

2、空军后勤部政治部 北京 100066；

3、军事科学院研究生部 北京 100091）

军用WebE外包风险规避策略分析

○郭平平1邹本璋2袁伟3

（1、武汉理工大学管理学院 湖北 武汉 430070；

2、空军后勤部政治部 北京 100066；

3、军事科学院研究生部 北京 100091）

军用WebE（也称为Web工程）外包作为军方获取信息服务的主要方式之一，在显示出巨大优势的同时，也可能伴随着很大的风险。因此，研究军用WebE外包的风险管理及其规避策略，是必须面对的现实问题。本文列示了军用WebE外包项目可能存在的各种风险，并对各种风险可能造成的影响进行了可能性分析，然后针对各种可能性较大的风险提出了规避策略。

军用WebE外包 风险管理 风险规避策略

军用WebE外包，作为应对快速技术变革和降低军队信息化建设管理成本与风险、提高WebE质量、满足军事要求、防止预算严重超支、项目延期或中途下马的重要措施，越来越受到军队各类单位的认同和重视。但是，军用WebE外包风险是工作实践中不可忽视的一个方面。如何识别外包风险，并采取切实可行的措施规避风险的产生，是需要研究的一个重要且现实的问题。

一、军用WebE外包风险的识别与评估

军用WebE外包的风险管理包括一系列任务，用来帮助WebE项目管理团队（以WebE委托方为主，吸纳外包服务商和最终用户参加的一个工作组）理解和管理那些将可能破坏一个WebApp（读作Web应用）项目的各种问题。风险是一个潜在的问题，既可能发生，也可能不发生。但是，不管发生与否，我们都应该识别它，评估它发生的可能性，估算它的影响，并制定一个应急规避策略来应对问题的真正发生。

1、军用WebE外包风险的识别

军用WebE外包的风险识别，是指识别并纪录可能对WebE项目外包造成不利影响的因素。要进行军用WebE项目外包的风险识别，就要考虑外包会给军方带来什么竞争优势和风险？如果外包活动失败，军方会承担什么风险？军方又该如何应对这些风险？科学、客观地预测风险会在外包活动的哪个环节出现、以哪种方式出现、出现的时候对军方有什么影响，既是风险识别的主要内容，也是搞好风险规避的前提。

关于信息系统和服务外包的风险来源，国内外的学者有过不少研究。比如Roger S.Pressman在论述软件风险时，认为风险来源可以从项目风险、技术风险和商业风险三方面来分析。本文将结合WebE项目本身的特点、外包过程中的各个环节和WebE项目利益相关者（WebE委托方、外包服务商和最终用户）等方面，进行风险分析与识别。

风险识别的方式既可以由WebE委托方具有项目管理经验的管理者承担，也可以由WebE项目管理团队以集体讨论的形式来完成。风险识别阶段的主要任务是发现WebE项目可能存在的风险。为避免遗漏，通常按照机构、人员、技术、需求、产品和估算等六大关键性的风险类型进行列示归类（如表1所示），然后再由WebE项目管理团队集中对这些潜在风险进行评估。

表1 WebE项目风险类型及可能的风险

表1中对风险的分类方式并不是绝对的。比如，富有经验的首席设计师的离职，不仅可能带来人员风险，同时也可能带来技术风险，因为继任者可能缺乏某种技术技能。最后，还可能带来产品风险，因为产品的交付可能会延期。

2、军用WebE外包风险评估

一旦形成了合并的风险列表，就可以进行风险评估了。WebE项目管理团队可以根据风险值测定法，逐一对已识别的每一个风险出现的可能性和严重性做出主观判断，据此再进行风险度的计算，以利于实际的管理操作。其计算公式为：V=C×P。其中：V表示风险大小；C指风险发生的项目成本；P指风险发生的概率。通常，对每个已识别的风险，是按如下步骤来评估其可能性和影响的。

（1）该风险变为现实的可能性或概率有多大。可将风险发生的可能性按百分比分为四个级别，分别是：小型（10%—25%）、中型（25%—50%）、大型（50%—75%）和非常大（＞75%）。

（2）如果该风险发生，与其相关的问题所造成的后果。可能的结果有：灾难性的（＞75%）、严重的（50%—75%）、可容忍的（25%—50%）和可忽略的（10%—25%）。

（3）由于WebE项目的开发是以迭代方式进行的，在每一次迭代过程中每一项风险出现的可能性及其影响后果都可能发生改变。因此，必须在风险评估的每一次迭代中，更新风险评估结果。

（4）风险一经分析和排序，接着就要判断哪些风险是在项目期间必须考虑的。一般而言，要根据项目自身的情况确定要进行监控的风险数量，所选接受监控的风险数目要以便于管理为原则。通常，中型以上的风险都必须加以考虑。表2是WebE项目风险评估结果。

表2 WebE项目风险评估

二、军用WebE外包风险规避策略

对优先级较高的每一个风险，WebE项目管理团队都要回答三个方面的问题，一是如何能够完全避免这个风险；二是影响这个风险变大或变小的可能因素有哪些；三是一旦某个风险变为现实我们可以做些什么。下面具体探讨如何规避一些优先级较高风险的策略。

1、WebApp 项目需求和项目选择错误导致的风险

一个WebApp项目的起点称为项目需求。军用WebE外包的项目需求，通常是需要一个支持军方当前和未来业务需求的全新信息系统。项目的需求风险，可能导致开发了一个并不能达到军事目的或完成军事任务所应具备的功能的系统，或者，所开发的WebApp不再符合军队信息化建设的整体战略要求。

通常，为避免项目需求风险，需要对拟开发的WebApp系统，在系统所提供的改进的服务、更好的性能、更丰富的信息、更安全的控制、更低的成本和对新装备和新服务的支持等六个方面进行仔细的分析研究，才能使项目需求的理由更充分。一个新的WebApp启动，至少必须在上述六个方面之一达到用户的要求。

鉴于目前IT系统的功能越来越强大，技术越来越复杂，应用领域越来越广，应用效果千差万别，资金投入也不同，这就要求军方对各种项目机会作出充分的比较和选择。国内外大量IT实施案例表明，正确的项目选择，往往比正确的项目计划和项目实施更具战略意义。在进行项目选择时，需要注意如下几个方面：一是项目本身要与军队信息化发展战略相一致，并符合本单位当前和未来业务发展需求；二是大型WebApp项目的上马，一定要先在内部进行充分的沟通，定义并评估总体目标，对目标WebApp项目给出定性和定量指标；三是在进行项目选择的同时，要搞好自身业务流程的梳理、资源的调查和技术能力的摸底；四是要评估WebApp项目的收益。

2、外包市场的成熟度导致难以选择合适的外包服务商风险

近几年来，随着Web技术逐渐成为企业级信息技术应用的主流，出现了数以千计的Web设计公司专门提供建立Web站点和电子商务的服务。由于Web技术相对传统软件的开发在技术上要复杂得多，不同的公司由于技术力量的差别所提供的产品质量相差甚远。对委托方而言，希望外包服务商能提供真实的信息，诚实地展示其竞争实力，以便客观地对外包服务商进行选择，而外包服务商则可能对项目成本、技术实力和领域经验等提供虚假信息。外包市场的不成熟，加上委托方和外包服务商之间信息的不对称，是导致军用WebE外包失败的重要原因之一，需要加以认真对待。

在选择外包服务商时，需要进行广泛深入的市场调研，以选择合适的外包模式和外包服务商。首先，要走访过去的客户，以确定候选Web服务商的服务水准、技术水平、技术方案、项目报价、进度控制、服务模式，以及合作和有效沟通的能力；其次，要认真评审Web服务商已完成的典型案例成品，该成品最好能与拟委托项目在业务领域、外观等方面具有相似性；再次，可以采用招标方式在更广的范围内确定Web服务商，以掌握候选Web服务商的足够信息（包括Web服务商的历史和财务状况），尽量打破信息不对称的局面，然后成立评审委员会（包括邀请外部专家）对Web服务商进行全面评审；最后，在可能的情况下，应联系过去成功的项目中Web服务商的首席WebE工程师，并与之进行沟通，最好是能以合同约束的方式确保这位首席WebE工程师参与到项目中来。

3、标准、规范体系不符合军用WebE开发要求的风险

尽管近几年来Web技术和应用得到了迅猛发展，但至今国家和军队有关方面还没有发布WebApp软件工程和WebE外包的标准或规范。如果说WebApp软件的开发还勉强可以参考传统软件开发所依据的国家、军队标准的话，那么WebE外包则几乎是无章可循的，可依据的材料仅仅是国外一些技术领先的公司的最佳实践。

建议有关方面尽快建立、完善与WebApp软件开发和WebE外包有关的国家、军队标准规范。首先，应尽快制定WebApp软件开发标准，以便为软件的开发提供过程、方法和工具的指导。比如，美国就已颁布了五部法律法规来规范对纪录信息的管理（此外，许多知名的大公司还开发了大量的WebApp质量标准和准则），其中美国防部法规5015.2-STD（Department of Defense Rule 5015.2-STD）就规定，美军军事机构必须遵守系统的流程来纪录正式文档和文件。其次，要制定WebApp软件质量标准（内容包括：可用性、功能性、可靠性、高效性、可维护性、保密性、实用性和可伸缩性等），以便为软件项目立项论证、需求分析和软件测评提供参考依据。最后，要制定WebE外包的政策法规，规范WebE外包市场，维护委托方、外包服务商和独立的具有合法资质的软件测评单位三方的合法权益，为WebE外包这一新兴的产业提供完善的法律保障。

4、WebApp技术平台、开发工具选择错误风险

WebApp技术平台的选择，主要考虑功能性、扩展性、技术演化方向、支持能力和成本等方面的因素。随着WebApp变得越来越复杂和强大，目前已有大量的工具可用，这些工具包括：内容描述和建模语言、编程语言、基于组件的开发资源、浏览器、多媒体工具、网站编写、管理和分析工具、数据库链接工具、安全工具以及服务器和服务器实用工具等。

技术平台和开发工具的作用是非常重要的，它们会威胁到WebE的质量和交付时间，有时甚至是决定项目成败的主要因素。大量的应用案例和经验告诉我们，国内的软件开发商所提供的自主企业级开发平台，在功能性、标准化、工程化等方面，与国际知名企业平台产品相比还有很大差距，需要加以认真分析比较，作出明智的选择。其次，要根据WebApp种类帮助确定可以应用的WebE技术类型，再根据WebE技术类型确定可以使用的实现工具。最后，平台和开发工具只有当用在WebE增量过程模型的敏捷框架内，且与问题理解、方案设计、质量测试和风险管理等联合使用时，才可以增强一个技术工程团队构建基于计算机的系统的能力，创造出高质量的WebApp程序产品。

5、信息泄漏或WebApp技术限制导致存在安全隐患风险

为了让外包服务商全面深入地理解WebApp项目的运行机制，委托方往往难免会将核心业务流程和涉密资料传递或展示给外包服务商，因而机密或敏感性资料可能外泄，军事安全有可能存在潜在的风险。

信息安全是开展军用WebE外包的基础工程，也是重中之重。开发军用WebApp的过程，实际上就是摒弃已经陈旧的管理理念，树立起反映新军事变革要求的全新军事管理理念，完成管理模式和管理制度的创新，重新梳理与部队组织体制结构与任务相适应的业务流程，并用先进的软件技术和网络技术进行重构。因此，在选择外包服务商时应该严格执行市场准入制度，只有那些具备涉密软件开发资质的外包服务商才能承接军用WebApp的开发。其次，对项目参与人员要进行严格的保密审查，在合同中必须明确所有人员的角色、工作职责、保密义务和保密期限。最后，要委托具有合格资质第三方机构切实搞好WebApp的安全性测试。安全性测试是一个非常复杂的主题，涉及到客户端环境、服务器端环境和客户端与服务器端之间的通信链接通路等三大技术领域，这些领域中的每一个都可能会存在着安全威胁，只有深入了解每一种安全机制的内部工作情况，才能设计出有效的安全性测试用例。显然，不具备合格资质的机构无法做到这一点。

6、削减项目预算、低估了软件的规模或潜在费用失控风险

众所周知，由于WebApp的范围是易变的，且很难找到WebE相关报价作为参考，所以估算成本本质上讲就有风险。因此，首先事先确定预期成本，明确合同范围，搞好费用估算，是避免预算风险的前提条件。其次，要形成详细的项目费用管理计划，充分考虑所需的资源、必要的开支和各种环境因素对项目预算的影响，在可能的情况下考虑余留一定的备用金。再次，在与外包服务商签订合同前，应该尽可能从两个或更多的外包服务商那里询问固定报价，严格界定外包服务商的责任、义务与权力，保证项目能够按预期完成。最后，日常费用的开支，要杜绝把计划外支出列入到成本价格中。

三、结论

尽管军用WebE外包，在使军方以较低的成本引进较新的信息化技术、快速掌握一些先进的技术知识、有效解决问题的方法以及迅速提升军队信息化水平等方面有着十分明显的作用，但确实存在着诸多不确定的风险因素。因此，军方在实施军用WebE外包前，需要根据自身组织机构状况、项目特点等方面的情况，选择适当的外包方式，组建作风和技术过硬的WebE项目管理团队，在敏捷、有效的WebE过程框架约束下，配合高质量的问题理解、方案设计、技术平台与工具、质量测试，建立健全风险管理机制，制定有效的风险规避策略，才能使军用WebE外包达到预期的目标。

（注：本文系全军后勤资助项目，项目编号：2010-18-∑11-10。）

[1]Roger S.Pressman：Web工程—实践者的研究方法[M].机械工业出版社，2010.

[2]Roger S.Pressman：软件工程—实践者的研究方法[M].机械工业出版社，2007.

[3]Ian Sommerville：软件工程[M].机械工业出版社，2007.

[4]赵苹、陈守龙、郭爽：企业信息战略管理[M].清华大学出版社，2006.

[5]Bill English：Microsoft Office SharePoint Server 2007 Administrator’s Companion[M].Microsoft Corporation，Redmond，Washington，U.S.A，2007.

[6]吕登明：信息化战争与信息化军队[M].解放军出版社，2004.