经济学告诉人们一个道理:术业有专攻,让专业人才专注于做擅长的事情将会收获更大。IT项目外包让CIO看到了专攻的切实好处,因为这可让公司集中精力专注于其核心业务。但随着IT外包项目数量的逐渐增多,风险也会越来越高。无论哪一个环节出现了问题,不但整个IT项目的进程、质量会受到影响,可能企业的核心业务也因此会被拖累。
因此,目前IT外包关注的焦点转向了怎么样有效地管理和控制IT外包项目的实施。在此过程中,如何降低IT外包风险,提高外包成功率,成为了企业进行IT外包的重中之重。作为一种对IT信息技术有效管理的最新理念和系统框架,IT治理在IT外包的应用正引起业界的广泛关注。特别是新发布的IT治理最佳实践方法ITIL v3.0版本新增加对IT外包风险管理的内容。本文与大家分享我公司应用IT治理模式降低IT外包风险的一些经验和总结。
一.IT治理外包模式风险管理机制
由于缺乏IT外包管理经验,许多公司在外包过程中都会遇到外包风险问题。知名研究公司Gartner指出,目前有一半的IT外包项目正遭受到失败的风险,原因是这些客户没有主动规避外包风险,当然也没有制定管理外包风险的计划。
(1)为什么要管理IT外包风险?
IT外包(IT Outsourcing)是指企业利用外部的专业IT资源为己服务,从而达到降低成本、提高效率、充分发挥自身核心竞争力的一种管理模式。IT外包常见动因包括:专注核心业务、加强IT机动性、获取专业IT技能或者新能力、以及IT服务质量升级等。因此,尽管存在许多挑战,包括技术资源的匮乏、企业内部的成本问题,但是应该外包的IT业务还是要外包。目前,IT领域常见的外包有IT运维、软件开发、数据中心托管、安全服务外包以及IT培训等形式。
在实践中,有许多IT外包项目由于对风险控制的不善而导致外包失败。一般来说,风险(Risk) 是指损失发生的不确定性,它是不利事件或损失发生的概率及其后果的关联函数。IT外包风险是由许多不确定因素造成的。那么,IT外包风险系数究竟有多大呢?国内暂时还没有详尽的数据。不过,关于IT外包服务的成功率可以作为参考。Gartner曾指出:中国的IT外包服务市场仍不够成熟,大约50%的IT外包服务合同是以不能让用户满意的方式提交的。如此高比率的IT外包服务合同不能让用户满意,IT外包服务风险也不容乐观。因此,IT外包不仅仅是一个成本决策,也是有效管理风险的战略决策。企业在进行IT外包时,必须要正确地评估并努力控制IT外包风险。
(2)消除外包潜在风险的目标
风险管理(Risk Management)是指企业对可能遇到的风险进行预测、识别、评估、分析并在此基础上有效地处置风险,以最低成本实现最大安全保障的科学管理方法。主要包括风险管理计划编制、风险识别、定性风险分析、定量风险分析、风险应对计划编制以及风险监督和控制六个过程,其目标可以说是要将风险大事化小、小事化了”。
一般来说,IT外包的风险在于:成本容易超出客户预算、内部的信息系统专业能力流失、失去对信息系统的控制、外包承包方倒闭、使用的IT外包产品种类受限制、难以对外包承包方的职能与安排进行控制、形成对外包承包方的依赖、存在损失战略信息的风险、承包方的文化与人员的适应性差。虽然控制外包风险不等于是风险已经消逝,但是我们可依据一些常用的法则来争取让风险大事化小,小事化了”,以降低IT外包风险的危害。因此,为了高效的达成控制IT外包风险的目标,CIO就必须要有一套合理的预防和规避IT外包风险的管理机制,这是非常重要的。
(3)IT治理外包模式风险管理机制
不同的学者从不同的角度曾给IT治理下过不同的定义,但有一点是共同的就是IT治理体现了对IT决策应负的责任。也就是说,他们都把IT治理定义为对IT和IT绩效的决策过程,包括企业中谁应对IT负责,如何监督IT决策,以及为了支持企业目标需要什么样的IT战略和IT政策等。因此,IT治理主要涉及两个方面:一是IT要为企业交付价值,二是IT风险要降低。因为现实中的风险,大多是异常的、不可预见的风险因素,所以IT外包合同签订后,外包关系的管理与控制就成为了外包工作的重心。外包关系一旦建立就意味着一个跨组织的利益联盟的建立,也意味着需要对涉及到的双方的责任、权利、义务进行明确。在有效控制外包风险的基础上,实现外包双方共同的目标利益。这时,我们可以发现这些IT外包目标与IT治理的目标是一致的。因此,我们完全可以将IT治理的理念引入到IT外包风险管理中。
事实上,随着IT治理的深入广泛应用,在IT治理的最佳实践方法ITIL v3.0版本中,我们能看到新增加了对IT外包管理的内容。其中ITIL v3.0版本更是把IT治理的角色和责任、管理结构、报告机制对预防IT外包风险的作用明确提示了出来。ITIL v3.0版本认为一个好的IT治理外包模式涉及到两种利益相关者:承包方和发包方。他们各自的决策权力应该在外包治理中得到明确规定,包括双方的角色定义、职责分配和相应的组织机构设计。例如外包实施后,发包方的IT部门的职能和角色发生了重要的改变,某些传统上的角色和职责通过外包转移到了服务提供商的执行团队,发包方应当对原有IT部门的职能和角色进行重新设计。
IT治理外包模式还要求要建立明确的管理结构。因为ITIL v3.0版本认为明确管理结构以支持角色和责任的行使,与清楚地定义角色和责任同样重要。例如成立委员会之类机构,如用户委员会、运营委员会、执行委员会,这类组织可以对IT需求进行评议和认可、或对执行过程进行监控。这些机构可以保证利益相关者参与并行使他们的角色和责任。最后,ITIL v3.0版本还认为需要建立明确的风险报告制度。也就是说,IT活动的结果应通过某种程度的服务等级报告制度来监控。因为在IT外包活动实施中承包方不会成为发包方的一部分,所以承包方要保证形成一种有效的风险报告框架,而且这种框架不会因为发包方不断变化的需求而改变,这才可以保证和发包方规避风险的期望长期保持一致。
二.建立规避外包风险的IT治理的策略
IT治理外包模式是对IT外包风险的负责,而不是对采购合同的负责。因为采购合同的目标是签订更低成本的合同,但是后果可能是质量也不会很高。因此,IT治理外包模式不仅仅关注成本,更要关注结果和服务等级等风险问题。这里分享我公司建立规避外包风险的IT治理外包模式的策略和流程:
(1)确定合适的外包业务,防范依赖性风险
IT外包风险贯穿于外包的全过程,具体表现形式多种多样。风险主要来自不良决策、预备不足、技术欠缺和治理失控。IT外包具有提升核心竞争力、降低管理成本等收益,但也造成了对承包方的事实依赖性。使到企业在制定新的经营管理决策时会受制于承包方的IT配合程度及IT完成能力。此外,随着合作时间的延长,企业对承包方提供服务的依赖程度不断加大,受其IT服务质量的影响也逐渐加强,会降低企业IT管理的自主性和灵活性。
因此, 对于企业和CIO而言,必须要划清企业的核心业务及可以外包的IT系统范围,避免核心IT竞争力随着外包流失。企业在制定IT外包战略时要确定合适的外包业务,如将附加值较低、成本较高的非核心IT业务外包,从而既能获得IT外包带来的好处,但又能降低对承包方的依赖性风险。因此,确定合适的IT外包业务范围是规避风险的第一步。IT外包必须首先保证要企业的核心技术和信息足够安全,其次才是通过外包能降低内部IT成本。假如不能达到这些目标,则企业在当前阶段就不宜采用外包策略,否则外包带来的风险大于成功的几率,不能盲目追求为外包而外包”。
(2)制定内部规章,跟踪IT外包服务水平
IT外包后企业并非高枕无忧,企业必须要对承包方和外包活动服务过程进行管理和监督,并对阶段性和最终成果进行考核和业绩评估。主动管理和监督外包事务的活动,加强对外包治理对于CIO来说是至关重要的。在通常情况下,由于企业IT部门在专业技术、管理方面的知识储备不足,对外包治理往往是走过场。因此,CIO首要任务是要坚守底线,必须牢牢掌握外包治理的监督权,IT外包能把具体操作外包,但外包治理的责任是永远不能外包的。
因此,在外包服务过程中,企业应成立负责跟踪和监督外包服务的机构,参考专业的IT治理方法如最佳实践ITIL v3版本,制定完善的外包服务风险内控制度,细化外包风险监控环节,以降低外包风险;并对承包方服务进行跟踪评价,及时掌握承包方服务质量水平,防范操作风险和信誉风险。因为承包方若不严格按照合约履行义务,而是依据自身利益自行处理外包业务,将会偏离发包企业的整体战略,导致利益受损,使发包企业面临一定的战略风险。
(3)建立IT外包应急机制,控制集中性风险
最后,很重要的一点是在IT外包实施过程中, 承包方可能会因破产、技术人员变动或其他不可抗力因素而无法按时、按质地完成外包服务。从而使发包企业面临着突发的、影响整个机构运营、及整体IT规划的集中风险。所以,IT治理最佳实践ITIL v3版本建议企业在实施IT外包战略时,要建立外包应急机制。主要是针对承包方可能发生的各种意外情况设计应急计划和预案,如建立IT容灾计划、IT业务连续性计划等,以控制和规避突发事件带来的集中性风险,从而降低IT外包集中性风险所造成的损失。
俗话说:事虽难,作则必成;路虽远,行则必至。IT外包风险虽然不可完全避免和消除,但如果能够将良好的IT治理视为IT外包活动的一个要点来看待和处理,明确双方的责任、认知和期望,就一定能极大地提高双赢的可能性。