經濟學告訴人們一個道理:術業有專攻,讓專業人才專注于做擅長的事情將會收獲更大。IT項目外包讓CIO看到了專攻的切實好處,因為這可讓公司集中精力專注于其核心業務。但隨著IT外包項目數量的逐漸增多,風險也會越來越高。無論哪一個環節出現了問題,不但整個IT項目的進程、質量會受到影響,可能企業的核心業務也因此會被拖累。
因此,目前IT外包關注的焦點轉向了怎么樣有效地管理和控制IT外包項目的實施。在此過程中,如何降低IT外包風險,提高外包成功率,成為了企業進行IT外包的重中之重。作為一種對IT信息技術有效管理的最新理念和系統框架,IT治理在IT外包的應用正引起業界的廣泛關注。特別是新發布的IT治理最佳實踐方法ITIL v3.0版本新增加對IT外包風險管理的內容。本文與大家分享我公司應用IT治理模式降低IT外包風險的一些經驗和總結。
一.IT治理外包模式風險管理機制
由于缺乏IT外包管理經驗,許多公司在外包過程中都會遇到外包風險問題。知名研究公司Gartner指出,目前有一半的IT外包項目正遭受到失敗的風險,原因是這些客戶沒有主動規避外包風險,當然也沒有制定管理外包風險的計劃。
(1)為什么要管理IT外包風險?
IT外包(IT Outsourcing)是指企業利用外部的專業IT資源為己服務,從而達到降低成本、提高效率、充分發揮自身核心競爭力的一種管理模式。IT外包常見動因包括:專注核心業務、加強IT機動性、獲取專業IT技能或者新能力、以及IT服務質量升級等。因此,盡管存在許多挑戰,包括技術資源的匱乏、企業內部的成本問題,但是應該外包的IT業務還是要外包。目前,IT領域常見的外包有IT運維、軟件開發、數據中心托管、安全服務外包以及IT培訓等形式。
在實踐中,有許多IT外包項目由于對風險控制的不善而導致外包失敗。一般來說,風險(Risk) 是指損失發生的不確定性,它是不利事件或損失發生的概率及其后果的關聯函數。IT外包風險是由許多不確定因素造成的。那么,IT外包風險系數究竟有多大呢?國內暫時還沒有詳盡的數據。不過,關于IT外包服務的成功率可以作為參考。Gartner曾指出:中國的IT外包服務市場仍不夠成熟,大約50%的IT外包服務合同是以不能讓用戶滿意的方式提交的。如此高比率的IT外包服務合同不能讓用戶滿意,IT外包服務風險也不容樂觀。因此,IT外包不僅僅是一個成本決策,也是有效管理風險的戰略決策。企業在進行IT外包時,必須要正確地評估并努力控制IT外包風險。
(2)消除外包潛在風險的目標
風險管理(Risk Management)是指企業對可能遇到的風險進行預測、識別、評估、分析并在此基礎上有效地處置風險,以最低成本實現最大安全保障的科學管理方法。主要包括風險管理計劃編制、風險識別、定性風險分析、定量風險分析、風險應對計劃編制以及風險監督和控制六個過程,其目標可以說是要將風險大事化小、小事化了”。
一般來說,IT外包的風險在于:成本容易超出客戶預算、內部的信息系統專業能力流失、失去對信息系統的控制、外包承包方倒閉、使用的IT外包產品種類受限制、難以對外包承包方的職能與安排進行控制、形成對外包承包方的依賴、存在損失戰略信息的風險、承包方的文化與人員的適應性差。雖然控制外包風險不等于是風險已經消逝,但是我們可依據一些常用的法則來爭取讓風險大事化小,小事化了”,以降低IT外包風險的危害。因此,為了高效的達成控制IT外包風險的目標,CIO就必須要有一套合理的預防和規避IT外包風險的管理機制,這是非常重要的。
(3)IT治理外包模式風險管理機制
不同的學者從不同的角度曾給IT治理下過不同的定義,但有一點是共同的就是IT治理體現了對IT決策應負的責任。也就是說,他們都把IT治理定義為對IT和IT績效的決策過程,包括企業中誰應對IT負責,如何監督IT決策,以及為了支持企業目標需要什么樣的IT戰略和IT政策等。因此,IT治理主要涉及兩個方面:一是IT要為企業交付價值,二是IT風險要降低。因為現實中的風險,大多是異常的、不可預見的風險因素,所以IT外包合同簽訂后,外包關系的管理與控制就成為了外包工作的重心。外包關系一旦建立就意味著一個跨組織的利益聯盟的建立,也意味著需要對涉及到的雙方的責任、權利、義務進行明確。在有效控制外包風險的基礎上,實現外包雙方共同的目標利益。這時,我們可以發現這些IT外包目標與IT治理的目標是一致的。因此,我們完全可以將IT治理的理念引入到IT外包風險管理中。
事實上,隨著IT治理的深入廣泛應用,在IT治理的最佳實踐方法ITIL v3.0版本中,我們能看到新增加了對IT外包管理的內容。其中ITIL v3.0版本更是把IT治理的角色和責任、管理結構、報告機制對預防IT外包風險的作用明確提示了出來。ITIL v3.0版本認為一個好的IT治理外包模式涉及到兩種利益相關者:承包方和發包方。他們各自的決策權力應該在外包治理中得到明確規定,包括雙方的角色定義、職責分配和相應的組織機構設計。例如外包實施后,發包方的IT部門的職能和角色發生了重要的改變,某些傳統上的角色和職責通過外包轉移到了服務提供商的執行團隊,發包方應當對原有IT部門的職能和角色進行重新設計。
IT治理外包模式還要求要建立明確的管理結構。因為ITIL v3.0版本認為明確管理結構以支持角色和責任的行使,與清楚地定義角色和責任同樣重要。例如成立委員會之類機構,如用戶委員會、運營委員會、執行委員會,這類組織可以對IT需求進行評議和認可、或對執行過程進行監控。這些機構可以保證利益相關者參與并行使他們的角色和責任。最后,ITIL v3.0版本還認為需要建立明確的風險報告制度。也就是說,IT活動的結果應通過某種程度的服務等級報告制度來監控。因為在IT外包活動實施中承包方不會成為發包方的一部分,所以承包方要保證形成一種有效的風險報告框架,而且這種框架不會因為發包方不斷變化的需求而改變,這才可以保證和發包方規避風險的期望長期保持一致。
二.建立規避外包風險的IT治理的策略
IT治理外包模式是對IT外包風險的負責,而不是對采購合同的負責。因為采購合同的目標是簽訂更低成本的合同,但是后果可能是質量也不會很高。因此,IT治理外包模式不僅僅關注成本,更要關注結果和服務等級等風險問題。這里分享我公司建立規避外包風險的IT治理外包模式的策略和流程:
(1)確定合適的外包業務,防范依賴性風險
IT外包風險貫穿于外包的全過程,具體表現形式多種多樣。風險主要來自不良決策、預備不足、技術欠缺和治理失控。IT外包具有提升核心競爭力、降低管理成本等收益,但也造成了對承包方的事實依賴性。使到企業在制定新的經營管理決策時會受制于承包方的IT配合程度及IT完成能力。此外,隨著合作時間的延長,企業對承包方提供服務的依賴程度不斷加大,受其IT服務質量的影響也逐漸加強,會降低企業IT管理的自主性和靈活性。
因此, 對于企業和CIO而言,必須要劃清企業的核心業務及可以外包的IT系統范圍,避免核心IT競爭力隨著外包流失。企業在制定IT外包戰略時要確定合適的外包業務,如將附加值較低、成本較高的非核心IT業務外包,從而既能獲得IT外包帶來的好處,但又能降低對承包方的依賴性風險。因此,確定合適的IT外包業務范圍是規避風險的第一步。IT外包必須首先保證要企業的核心技術和信息足夠安全,其次才是通過外包能降低內部IT成本。假如不能達到這些目標,則企業在當前階段就不宜采用外包策略,否則外包帶來的風險大于成功的幾率,不能盲目追求為外包而外包”。
(2)制定內部規章,跟蹤IT外包服務水平
IT外包后企業并非高枕無憂,企業必須要對承包方和外包活動服務過程進行管理和監督,并對階段性和最終成果進行考核和業績評估。主動管理和監督外包事務的活動,加強對外包治理對于CIO來說是至關重要的。在通常情況下,由于企業IT部門在專業技術、管理方面的知識儲備不足,對外包治理往往是走過場。因此,CIO首要任務是要堅守底線,必須牢牢掌握外包治理的監督權,IT外包能把具體操作外包,但外包治理的責任是永遠不能外包的。
因此,在外包服務過程中,企業應成立負責跟蹤和監督外包服務的機構,參考專業的IT治理方法如最佳實踐ITIL v3版本,制定完善的外包服務風險內控制度,細化外包風險監控環節,以降低外包風險;并對承包方服務進行跟蹤評價,及時掌握承包方服務質量水平,防范操作風險和信譽風險。因為承包方若不嚴格按照合約履行義務,而是依據自身利益自行處理外包業務,將會偏離發包企業的整體戰略,導致利益受損,使發包企業面臨一定的戰略風險。
(3)建立IT外包應急機制,控制集中性風險
最后,很重要的一點是在IT外包實施過程中, 承包方可能會因破產、技術人員變動或其他不可抗力因素而無法按時、按質地完成外包服務。從而使發包企業面臨著突發的、影響整個機構運營、及整體IT規劃的集中風險。所以,IT治理最佳實踐ITIL v3版本建議企業在實施IT外包戰略時,要建立外包應急機制。主要是針對承包方可能發生的各種意外情況設計應急計劃和預案,如建立IT容災計劃、IT業務連續性計劃等,以控制和規避突發事件帶來的集中性風險,從而降低IT外包集中性風險所造成的損失。
俗話說:事雖難,作則必成;路雖遠,行則必至。IT外包風險雖然不可完全避免和消除,但如果能夠將良好的IT治理視為IT外包活動的一個要點來看待和處理,明確雙方的責任、認知和期望,就一定能極大地提高雙贏的可能性。
