第三，开发策略的选择将极大地影响未来应用的支持和控制体系，也会在很大程度上涉及相应的资金投入、人力资源政策和审计政策，一般的方式有自行开发、外包和合作开发三种形式，但各种形式均存在各自的风险。

    1．自行开发是指基本上依赖组织自身的管理、业务和技术力量进行系统设计、软件开发、集成和相关的技术支持工作，一般仅向外购置有关的硬件设备和支撑软件平台（如操作系统、数据库管理系统、通信软件等）。自行开发的风险主要在于：

    （1）技术选择：一个组织在应用IT时不可能对其所需要的所有技术均相当熟悉，自行开发可能导致组织采取一个并不适当的技术架构（如数据分布方式、存储处理方式、通信结构等）。

    （2）资金投入：自行开发所需的资金投入并不必然小于外包方式，在计算资金投入时不仅应考虑直接的设备、人员投入，还应考虑投入的机会成本、人员培训成本等，一般来说，专业的IT公司由于存在一定的规模效应，其承担同样技术要求的任务的成本一般小于非专业组织的IT部门；同时由于组织内部的IT部门缺乏竞争环境，其提交的资金预算有时反而比专业IT公司高。

    （3）人力资源：自行开发方式下的人力资源管理存在两方面的问题，一方面是获得开发和支持所需的人力资源的资金投入（招聘、培训等），另一方面是需要有相当的资源来保证内部开发和支持人员的稳定性。恰恰在后一方面存在较大的风险，完整的文档和开发——支持交接过程可以在一定程度上减少人员缺乏稳定性造成的后果，但如何保证“知晓内幕”的技术人员的稳定性仍是IT部门需要认真对待的重要风险之一。专业IT企业的高收入和创造性强的工作所带来的有吸引力的工作环境对在非IT组织的IT部门的技术骨干的吸引力是毋庸置疑的，在一个非IT组织内部处于服务和保障地位的IT技术人员向往专业IT公司内作为生产和业务主力并获得相适应的收入和地位的情绪也是难以抑制的。

    （4）“内部人”问题：一个组织可以有相当严格的对IT应用系统的监控制度，但与外部企业人员相比，内部IT部门的人员更容易接近敏感性数据却是不争的事实，而且由于信息系统的高度的复杂性和专业性，再严格的监控制度在其设计和开发者面前即使不是不堪一击，也是肯定有懈可击的。

    （5）风险转移问题：相对于外包方式而言，采用自行开发方式的组织更难通过风险转移手段（如在合同中规定损失赔偿等）来转移风险，由于内部IT部门与组织整体间很难确定法律上的合同关系，源于开发的风险产生后其风险转移手段更少。

    2．外包是指将IT应用项目的设计、开发、集成、培训等承包给某家专业公司（可以是专业的IT公司或咨询公司等）。由该公司（承包商）负责应用项目的实施，有时还委托专业公司负责日常应用中的支持工作。外包的风险主要在于：

    （1）承包商选择：由于IT应用组织与承包商之间存在信息的不对称，在承包商的招标过程中或多或少地存在不准确性，承包商以不正当手段获取标的的手段很多，例如推荐自己所擅长（但不一定适合客户）的技术以提高自身的竞争力、故意压低投标价格、提供虚假或不准确的背景信息直至商业贿赂等，不当的承包商选择将导致项目无法按预定的进度、成本和/或质量进行，严重的会导致项目失败。

    （2）资金投入：正常情况下任何承包商均需要在项目中盈利，正常利润是对承包商在技术、专业、管理等相关资源上投入的补偿，但由于信息的不对称性，尤其在IT领域技术发展的快速性和技术的高度专业化使得承包商获得超额利润的可能性大大增加，而这一超额利润的唯一来源是IT应用组织的资金投入；同时也正是由于信息技术的高度专业化，容易使得IT应用组织对某个承包商形成长期的技术依赖（尽管开放体系结构在一定程度上减轻了这种依赖），并在很大程度上增加了后续项目和未来的支持过程中承包商的谈判能力，从而增加IT应用组织增加资金投入的可能性。

    （3）承包商的经营稳定性：由于在外包方式下IT应用组织在技术上强烈地依赖于承包商，承包商的经营稳定性成为重要的风险来源，IT产业的高速发展和环境的复杂多变使得今天成功的IT企业明天可能面临倒闭的困境，而承包商的倒闭对于采取外包形式的IT应用组织来说是致命的。

    （4）敏感性信息的控制：承包商在IT应用项目的实施过程中接触敏感性信息有时是不可避免的，而承包商会有意无意地利用这些信息为其本身的利益服务，撇开有意识的信息窃取行为不谈，最典型的就是将某个组织的项目作为其“成功案例”列入其今后的商务活动的宣传资料中或甚至在公开的专业刊物商以提高其商业形象，而这种“案例”更经常地被承包商用于与该IT应用组织相类似的或同一行业的其它组织（因而也往往是竞争对手）的招标活动中（例如以介绍“类似经验“的方式出现），从而造成敏感性信息的泄露。应当指出的是作为承包商对于哪些信息属于敏感性信息的判断标准往往与该组织的判断标准是不一致的，而这些资料的内容和散发渠道又是该组织所难以控制的。

    （5）需求理解的不一致：承包商与IT应用组织一般处于不同行业，即使对该行业的IT应用经验十分丰富的承包商对某个组织的特殊业务和管理情况也有一个逐步了解的过程，而组织的业务和管理部门所提供的需求信息往往是不完整的（尤其在项目实施的初期），随着项目的进展有关需求的变化是不可避免的，而承包商则希望一次性的确定需求，并且尽可能不要改变，在固定价格合同（如FFP）情况下，需求的变化意味着大量的谈判工作，而在以费用为基础的合同（如CPIF）情况下，则又可能出现成本失控。