外包是一種合同協(xié)議，組織提交IT部門的部分或全部控制給一個外部組織，并支付費用，簽約方依據(jù)合同所簽訂的服務水平協(xié)議，提供資源和專業(yè)技能來交付相應的服務。

外包不僅僅是一個成本決策，也是有效管理的戰(zhàn)略決策。服務質(zhì)量、服務可持續(xù)性、控制步驟、競爭優(yōu)勢、技術知識等都是外包服務要考慮的內(nèi)容。外包作為長期戰(zhàn)略，尤其要選擇正確的提供商。對某項服務的外包決策需要進行適當?shù)暮贤勁小Ｌ峁┥淘谖幕腿藛T方面的適應性也是管理者不可忽視的重要問題。

IT外包目的因組織而異，但通常目標都是要實現(xiàn)信息系統(tǒng)持久有益的改善。組織采取外包策略主要出于以下幾個方面的考慮：

集中精力于核心業(yè)務
邊際利潤的壓力
日益增長的競爭要求節(jié)約成本
組織結構的靈活性
通常，選擇第三方提供的服務主要有：

數(shù)據(jù)錄入
需要設計開發(fā)新系統(tǒng)，但內(nèi)部員工沒有相應的技能，或者有更重要的任務要做時
維護現(xiàn)有應用系統(tǒng)，使內(nèi)部員工解放出來開發(fā)新的應用系統(tǒng)
將應用系統(tǒng)轉(zhuǎn)換到一個新的平臺。例如，一個專業(yè)公司可以幫助將一個舊的應用實現(xiàn)網(wǎng)絡化
運行維護幫助臺或呼叫中心
外包優(yōu)勢在于：

商業(yè)外包公司能夠通過部署可復用構件軟件實現(xiàn)規(guī)模經(jīng)濟并改進績效；
加快系統(tǒng)上線時間；
提高對主業(yè)的聚焦；
外包開發(fā)商可能比外包委托方內(nèi)部員工更有經(jīng)驗解決技術問題；
外包合同中的開發(fā)需求定義得更詳細；
外包合同可以對費用進行詳細說明，減少成本的不確定性。
外包的風險在于：

成本容易超出客戶預算
內(nèi)部的信息系統(tǒng)專業(yè)能力流失
失去對信息系統(tǒng)的控制
外包開發(fā)商倒閉
使用的產(chǎn)品種類受限制
難以對開發(fā)方的職能與安排進行控制
形成對開發(fā)商的依賴
存在損失戰(zhàn)略信息的風險
外包開發(fā)商的系統(tǒng)落后
外包商的文化與人員的適應性差
控制這些風險的方式包括：

建立各方可度量和實施的共享目標和回報
引入多個供應商作為激勵機制
建立一個交叉職能的合同管理團隊
建立績效矩陣
執(zhí)行定期競爭性評估和基準檢查
 實施短期合同
在合同中明確數(shù)據(jù)的所有權
信息系統(tǒng)審計師必須掌握不同形式的外包及其風險，一般而言，外包的審計/安全包括：

合同保護--合同對企業(yè)的充分保護
審計權力--審計外包操作的權利
運營的持續(xù)性--遇到災難時的持續(xù)服務能力
公司擁有數(shù)據(jù)的完整性、保密性、可用性
人員--外包開發(fā)商對客戶缺少忠誠、使客戶不滿意
訪問控制/安全管理--對外包開發(fā)商的控制

違規(guī)報告和跟蹤--對外包開發(fā)商的監(jiān)測
變化控制和檢測--對外包開發(fā)商的控制
績效管理--對外包開發(fā)商的評價