經濟學告訴人們一個道理:術業(yè)有專攻,讓專業(yè)人才專注于做擅長的事情將會收獲更大。IT項目外包讓CIO看到了專攻的切實好處���,因為這可讓公司集中精力專注于其核心業(yè)務�����。但隨著IT外包項目數量的逐漸增多��,風險也會越來越高�����。無論哪一個環(huán)節(jié)出現(xiàn)了問題���,不但整個IT項目的進程、質量會受到影響���,可能企業(yè)的核心業(yè)務也因此會被拖累�����。
因此,目前IT外包關注的焦點轉向了怎么樣有效地管理和控制IT外包項目的實施��。在此過程中,如何降低IT外包風險�,提高外包成功率����,成為了企業(yè)進行IT外包的重中之重�。作為一種對IT信息技術有效管理的最新理念和系統(tǒng)框架,IT治理在IT外包的應用正引起業(yè)界的廣泛關注�。特別是新發(fā)布的IT治理最佳實踐方法ITIL v3.0版本新增加對IT外包風險管理的內容。本文與大家分享我公司應用IT治理模式降低IT外包風險的一些經驗和總結����。
一.IT治理外包模式風險管理機制
由于缺乏IT外包管理經驗,許多公司在外包過程中都會遇到外包風險問題�。知名研究公司Gartner指出,目前有一半的IT外包項目正遭受到失敗的風險��,原因是這些客戶沒有主動規(guī)避外包風險����,當然也沒有制定管理外包風險的計劃��。
(1)為什么要管理IT外包風險���?
IT外包(IT Outsourcing)是指企業(yè)利用外部的專業(yè)IT資源為己服務����,從而達到降低成本、提高效率�����、充分發(fā)揮自身核心競爭力的一種管理模式��。IT外包常見動因包括:專注核心業(yè)務�、加強IT機動性、獲取專業(yè)IT技能或者新能力����、以及IT服務質量升級等。因此,盡管存在許多挑戰(zhàn)���,包括技術資源的匱乏�����、企業(yè)內部的成本問題,但是應該外包的IT業(yè)務還是要外包��。目前�,IT領域常見的外包有IT運維、軟件開發(fā)�����、數據中心托管����、安全服務外包以及IT培訓等形式����。
在實踐中��,有許多IT外包項目由于對風險控制的不善而導致外包失敗。一般來說����,風險(Risk) 是指損失發(fā)生的不確定性,它是不利事件或損失發(fā)生的概率及其后果的關聯(lián)函數���。IT外包風險是由許多不確定因素造成的����。那么�����,IT外包風險系數究竟有多大呢���?國內暫時還沒有詳盡的數據����。不過�����,關于IT外包服務的成功率可以作為參考�����。Gartner曾指出:中國的IT外包服務市場仍不夠成熟,大約50%的IT外包服務合同是以不能讓用戶滿意的方式提交的�����。如此高比率的IT外包服務合同不能讓用戶滿意�,IT外包服務風險也不容樂觀。因此�,IT外包不僅僅是一個成本決策,也是有效管理風險的戰(zhàn)略決策����。企業(yè)在進行IT外包時,必須要正確地評估并努力控制IT外包風險����。
(2)消除外包潛在風險的目標
風險管理(Risk Management)是指企業(yè)對可能遇到的風險進行預測、識別���、評估�、分析并在此基礎上有效地處置風險����,以最低成本實現(xiàn)最大安全保障的科學管理方法��。主要包括風險管理計劃編制、風險識別�����、定性風險分析����、定量風險分析、風險應對計劃編制以及風險監(jiān)督和控制六個過程�����,其目標可以說是要將風險大事化小�����、小事化了”��。
一般來說���,IT外包的風險在于:成本容易超出客戶預算���、內部的信息系統(tǒng)專業(yè)能力流失��、失去對信息系統(tǒng)的控制����、外包承包方倒閉����、使用的IT外包產品種類受限制、難以對外包承包方的職能與安排進行控制����、形成對外包承包方的依賴、存在損失戰(zhàn)略信息的風險�����、承包方的文化與人員的適應性差�。雖然控制外包風險不等于是風險已經消逝,但是我們可依據一些常用的法則來爭取讓風險大事化小�,小事化了”,以降低IT外包風險的危害�����。因此,為了高效的達成控制IT外包風險的目標�����,CIO就必須要有一套合理的預防和規(guī)避IT外包風險的管理機制����,這是非常重要的�����。
(3)IT治理外包模式風險管理機制
不同的學者從不同的角度曾給IT治理下過不同的定義�,但有一點是共同的就是IT治理體現(xiàn)了對IT決策應負的責任。也就是說����,他們都把IT治理定義為對IT和IT績效的決策過程,包括企業(yè)中誰應對IT負責��,如何監(jiān)督IT決策�����,以及為了支持企業(yè)目標需要什么樣的IT戰(zhàn)略和IT政策等��。因此,IT治理主要涉及兩個方面:一是IT要為企業(yè)交付價值���,二是IT風險要降低�。因為現(xiàn)實中的風險���,大多是異常的�、不可預見的風險因素�,所以IT外包合同簽訂后,外包關系的管理與控制就成為了外包工作的重心���。外包關系一旦建立就意味著一個跨組織的利益聯(lián)盟的建立���,也意味著需要對涉及到的雙方的責任、權利��、義務進行明確��。在有效控制外包風險的基礎上��,實現(xiàn)外包雙方共同的目標利益�。這時,我們可以發(fā)現(xiàn)這些IT外包目標與IT治理的目標是一致的��。因此,我們完全可以將IT治理的理念引入到IT外包風險管理中�。
事實上,隨著IT治理的深入廣泛應用��,在IT治理的最佳實踐方法ITIL v3.0版本中�����,我們能看到新增加了對IT外包管理的內容����。其中ITIL v3.0版本更是把IT治理的角色和責任�����、管理結構����、報告機制對預防IT外包風險的作用明確提示了出來。ITIL v3.0版本認為一個好的IT治理外包模式涉及到兩種利益相關者:承包方和發(fā)包方���。他們各自的決策權力應該在外包治理中得到明確規(guī)定����,包括雙方的角色定義、職責分配和相應的組織機構設計����。例如外包實施后,發(fā)包方的IT部門的職能和角色發(fā)生了重要的改變�,某些傳統(tǒng)上的角色和職責通過外包轉移到了服務提供商的執(zhí)行團隊,發(fā)包方應當對原有IT部門的職能和角色進行重新設計��。
IT治理外包模式還要求要建立明確的管理結構����。因為ITIL v3.0版本認為明確管理結構以支持角色和責任的行使,與清楚地定義角色和責任同樣重要�。例如成立委員會之類機構,如用戶委員會���、運營委員會����、執(zhí)行委員會�,這類組織可以對IT需求進行評議和認可、或對執(zhí)行過程進行監(jiān)控��。這些機構可以保證利益相關者參與并行使他們的角色和責任�。最后�����,ITIL v3.0版本還認為需要建立明確的風險報告制度�。也就是說�,IT活動的結果應通過某種程度的服務等級報告制度來監(jiān)控。因為在IT外包活動實施中承包方不會成為發(fā)包方的一部分�����,所以承包方要保證形成一種有效的風險報告框架���,而且這種框架不會因為發(fā)包方不斷變化的需求而改變�����,這才可以保證和發(fā)包方規(guī)避風險的期望長期保持一致。
二.建立規(guī)避外包風險的IT治理的策略
IT治理外包模式是對IT外包風險的負責�����,而不是對采購合同的負責���。因為采購合同的目標是簽訂更低成本的合同����,但是后果可能是質量也不會很高。因此���,IT治理外包模式不僅僅關注成本�����,更要關注結果和服務等級等風險問題�����。這里分享我公司建立規(guī)避外包風險的IT治理外包模式的策略和流程:
(1)確定合適的外包業(yè)務��,防范依賴性風險
IT外包風險貫穿于外包的全過程�,具體表現(xiàn)形式多種多樣�。風險主要來自不良決策、預備不足���、技術欠缺和治理失控�����。IT外包具有提升核心競爭力����、降低管理成本等收益,但也造成了對承包方的事實依賴性。使到企業(yè)在制定新的經營管理決策時會受制于承包方的IT配合程度及IT完成能力��。此外,隨著合作時間的延長,企業(yè)對承包方提供服務的依賴程度不斷加大����,受其IT服務質量的影響也逐漸加強,會降低企業(yè)IT管理的自主性和靈活性����。
因此, 對于企業(yè)和CIO而言,必須要劃清企業(yè)的核心業(yè)務及可以外包的IT系統(tǒng)范圍����,避免核心IT競爭力隨著外包流失。企業(yè)在制定IT外包戰(zhàn)略時要確定合適的外包業(yè)務,如將附加值較低����、成本較高的非核心IT業(yè)務外包�,從而既能獲得IT外包帶來的好處,但又能降低對承包方的依賴性風險����。因此�,確定合適的IT外包業(yè)務范圍是規(guī)避風險的第一步�����。IT外包必須首先保證要企業(yè)的核心技術和信息足夠安全�,其次才是通過外包能降低內部IT成本。假如不能達到這些目標��,則企業(yè)在當前階段就不宜采用外包策略��,否則外包帶來的風險大于成功的幾率����,不能盲目追求為外包而外包”。
(2)制定內部規(guī)章,跟蹤IT外包服務水平
IT外包后企業(yè)并非高枕無憂�,企業(yè)必須要對承包方和外包活動服務過程進行管理和監(jiān)督,并對階段性和最終成果進行考核和業(yè)績評估��。主動管理和監(jiān)督外包事務的活動�����,加強對外包治理對于CIO來說是至關重要的�。在通常情況下,由于企業(yè)IT部門在專業(yè)技術、管理方面的知識儲備不足����,對外包治理往往是走過場。因此��,CIO首要任務是要堅守底線�����,必須牢牢掌握外包治理的監(jiān)督權���,IT外包能把具體操作外包���,但外包治理的責任是永遠不能外包的。
因此��,在外包服務過程中,企業(yè)應成立負責跟蹤和監(jiān)督外包服務的機構�,參考專業(yè)的IT治理方法如最佳實踐ITIL v3版本,制定完善的外包服務風險內控制度���,細化外包風險監(jiān)控環(huán)節(jié)���,以降低外包風險;并對承包方服務進行跟蹤評價,及時掌握承包方服務質量水平����,防范操作風險和信譽風險。因為承包方若不嚴格按照合約履行義務���,而是依據自身利益自行處理外包業(yè)務�����,將會偏離發(fā)包企業(yè)的整體戰(zhàn)略�,導致利益受損���,使發(fā)包企業(yè)面臨一定的戰(zhàn)略風險��。
(3)建立IT外包應急機制���,控制集中性風險
最后,很重要的一點是在IT外包實施過程中, 承包方可能會因破產��、技術人員變動或其他不可抗力因素而無法按時�����、按質地完成外包服務。從而使發(fā)包企業(yè)面臨著突發(fā)的���、影響整個機構運營����、及整體IT規(guī)劃的集中風險���。所以�,IT治理最佳實踐ITIL v3版本建議企業(yè)在實施IT外包戰(zhàn)略時��,要建立外包應急機制��。主要是針對承包方可能發(fā)生的各種意外情況設計應急計劃和預案��,如建立IT容災計劃�����、IT業(yè)務連續(xù)性計劃等��,以控制和規(guī)避突發(fā)事件帶來的集中性風險��,從而降低IT外包集中性風險所造成的損失��。
俗話說:事雖難,作則必成;路雖遠�����,行則必至�。IT外包風險雖然不可完全避免和消除��,但如果能夠將良好的IT治理視為IT外包活動的一個要點來看待和處理���,明確雙方的責任��、認知和期望�,就一定能極大地提高雙贏的可能性��。
