外包是一种合同协议，组织提交IT部门的部分或全部控制给一个外部组织，并支付费用，签约方依据合同所签订的服务水平协议，提供资源和专业技能来交付相应的服务。
 
　　外包不仅仅是一个成本决策，也是有效管理的战略决策。服务质量、服务可持续性、控制步骤、竞争优势、技术知识等都是外包服务要考虑的内容。外包作为长期战略，尤其要选择正确的提供商。对某项服务的外包决策需要进行适当的合同谈判。提供商在文化和人员方面的适应性也是管理者不可忽视的重要问题。
 
　　IT外包目的因组织而异，但通常目标都是要实现信息系统持久有益的改善。组织采取外包策略主要出于以下几个方面的考虑：

• 集中精力于核心业务
• 边际利润的压力
• 日益增长的竞争要求节约成本
• 组织结构的灵活性

　　通常，选择第三方提供的服务主要有：

• 数据录入
• 需要设计开发新系统，但内部员工没有相应的技能，或者有更重要的任务要做时
• 维护现有应用系统，使内部员工解放出来开发新的应用系统
• 将应用系统转换到一个新的平台。例如，一个专业公司可以帮助将一个旧的应用实现网络化
• 运行维护帮助台或呼叫中心

　　外包优势在于：

• 商业外包公司能够通过部署可复用构件软件实现规模经济并改进绩效；
• 加快系统上线时间；
• 提高对主业的聚焦；
• 外包开发商可能比外包委托方内部员工更有经验解决技术问题；
• 外包合同中的开发需求定义得更详细；
• 外包合同可以对费用进行详细说明，减少成本的不确定性。

　　外包的风险在于：

• 成本容易超出客户预算
• 内部的信息系统专业能力流失
• 失去对信息系统的控制
• 外包开发商倒闭
• 使用的产品种类受限制
• 难以对开发方的职能与安排进行控制
• 形成对开发商的依赖
• 存在损失战略信息的风险
• 外包开发商的系统落后
• 外包商的文化与人员的适应性差

　　控制这些风险的方式包括：

• 建立各方可度量和实施的共享目标和回报
• 引入多个供应商作为激励机制
• 建立一个交叉职能的合同管理团队
• 建立绩效矩阵
• 执行定期竞争性评估和基准检查
• 实施短期合同
• 在合同中明确数据的所有权

　　信息系统审计师必须掌握不同形式的外包及其风险，一般而言，外包的审计/安全包括：

• 合同保护——合同对企业的充分保护
• 审计权力——审计外包操作的权利
• 运营的持续性——遇到灾难时的持续服务能力
• 公司拥有数据的完整性、保密性、可用性
• 人员——外包开发商对客户缺少忠诚、使客户不满意
• 访问控制/安全管理——对外包开发商的控制
• 违规报告和跟踪——对外包开发商的监测
• 变化控制和检测——对外包开发商的控制
• 绩效管理——对外包开发商的评价