規(guī)避IT外包風(fēng)險,IT治理保駕護航

經(jīng)濟學(xué)告訴人們一個道理：術(shù)業(yè)有專攻，讓專業(yè)人才專注于做擅長的事情將會收獲更大。IT項目外包讓CIO看到了專攻的切實好處，因為這可讓公司集中精力專注于其核心業(yè)務(wù)。但隨著IT外包項目數(shù)量的逐漸增多，風(fēng)險也會越來越高。無論哪一個環(huán)節(jié)出現(xiàn)了問題，不但整個IT項目的進程、質(zhì)量會受到影響，可能企業(yè)的核心業(yè)務(wù)也因此會被拖累。

　　因此，目前IT外包關(guān)注的焦點轉(zhuǎn)向了怎么樣有效地管理和控制IT外包項目的實施。在此過程中，如何降低IT外包風(fēng)險，提高外包成功率，成為了企業(yè)進行IT外包的重中之重。作為一種對IT信息技術(shù)有效管理的最新理念和系統(tǒng)框架，IT治理在IT外包的應(yīng)用正引起業(yè)界的廣泛關(guān)注。特別是新發(fā)布的IT治理最佳實踐方法ITIL v3.0版本新增加對IT外包風(fēng)險管理的內(nèi)容。本文與大家分享我公司應(yīng)用IT治理模式降低IT外包風(fēng)險的一些經(jīng)驗和總結(jié)。

　　一.IT治理外包模式風(fēng)險管理機制

　　由于缺乏IT外包管理經(jīng)驗，許多公司在外包過程中都會遇到外包風(fēng)險問題。知名研究公司Gartner指出，目前有一半的IT外包項目正遭受到失敗的風(fēng)險，原因是這些客戶沒有主動規(guī)避外包風(fēng)險，當(dāng)然也沒有制定管理外包風(fēng)險的計劃。

　　(1)為什么要管理IT外包風(fēng)險？

　　IT外包(IT Outsourcing)是指企業(yè)利用外部的專業(yè)IT資源為己服務(wù)，從而達到降低成本、提高效率、充分發(fā)揮自身核心競爭力的一種管理模式。IT外包常見動因包括：專注核心業(yè)務(wù)、加強IT機動性、獲取專業(yè)IT技能或者新能力、以及IT服務(wù)質(zhì)量升級等。因此，盡管存在許多挑戰(zhàn)，包括技術(shù)資源的匱乏、企業(yè)內(nèi)部的成本問題，但是應(yīng)該外包的IT業(yè)務(wù)還是要外包。目前，IT領(lǐng)域常見的外包有IT運維、軟件開發(fā)、數(shù)據(jù)中心托管、安全服務(wù)外包以及IT培訓(xùn)等形式。

　　在實踐中，有許多IT外包項目由于對風(fēng)險控制的不善而導(dǎo)致外包失敗。一般來說，風(fēng)險(Risk) 是指損失發(fā)生的不確定性，它是不利事件或損失發(fā)生的概率及其后果的關(guān)聯(lián)函數(shù)。IT外包風(fēng)險是由許多不確定因素造成的。那么，IT外包風(fēng)險系數(shù)究竟有多大呢？國內(nèi)暫時還沒有詳盡的數(shù)據(jù)。不過，關(guān)于IT外包服務(wù)的成功率可以作為參考。Gartner曾指出：中國的IT外包服務(wù)市場仍不夠成熟，大約50%的IT外包服務(wù)合同是以不能讓用戶滿意的方式提交的。如此高比率的IT外包服務(wù)合同不能讓用戶滿意，IT外包服務(wù)風(fēng)險也不容樂觀。因此，IT外包不僅僅是一個成本決策，也是有效管理風(fēng)險的戰(zhàn)略決策。企業(yè)在進行IT外包時，必須要正確地評估并努力控制IT外包風(fēng)險。

　　(2)消除外包潛在風(fēng)險的目標(biāo)

　　風(fēng)險管理(Risk Management)是指企業(yè)對可能遇到的風(fēng)險進行預(yù)測、識別、評估、分析并在此基礎(chǔ)上有效地處置風(fēng)險，以最低成本實現(xiàn)最大安全保障的科學(xué)管理方法。主要包括風(fēng)險管理計劃編制、風(fēng)險識別、定性風(fēng)險分析、定量風(fēng)險分析、風(fēng)險應(yīng)對計劃編制以及風(fēng)險監(jiān)督和控制六個過程，其目標(biāo)可以說是要將風(fēng)險大事化小、小事化了”。

　　一般來說，IT外包的風(fēng)險在于：成本容易超出客戶預(yù)算、內(nèi)部的信息系統(tǒng)專業(yè)能力流失、失去對信息系統(tǒng)的控制、外包承包方倒閉、使用的IT外包產(chǎn)品種類受限制、難以對外包承包方的職能與安排進行控制、形成對外包承包方的依賴、存在損失戰(zhàn)略信息的風(fēng)險、承包方的文化與人員的適應(yīng)性差。雖然控制外包風(fēng)險不等于是風(fēng)險已經(jīng)消逝，但是我們可依據(jù)一些常用的法則來爭取讓風(fēng)險大事化小，小事化了”，以降低IT外包風(fēng)險的危害。因此，為了高效的達成控制IT外包風(fēng)險的目標(biāo)，CIO就必須要有一套合理的預(yù)防和規(guī)避IT外包風(fēng)險的管理機制，這是非常重要的。

　　(3)IT治理外包模式風(fēng)險管理機制

　　不同的學(xué)者從不同的角度曾給IT治理下過不同的定義，但有一點是共同的就是IT治理體現(xiàn)了對IT決策應(yīng)負的責(zé)任。也就是說，他們都把IT治理定義為對IT和IT績效的決策過程，包括企業(yè)中誰應(yīng)對IT負責(zé)，如何監(jiān)督IT決策，以及為了支持企業(yè)目標(biāo)需要什么樣的IT戰(zhàn)略和IT政策等。因此，IT治理主要涉及兩個方面：一是IT要為企業(yè)交付價值，二是IT風(fēng)險要降低。因為現(xiàn)實中的風(fēng)險，大多是異常的、不可預(yù)見的風(fēng)險因素，所以IT外包合同簽訂后，外包關(guān)系的管理與控制就成為了外包工作的重心。外包關(guān)系一旦建立就意味著一個跨組織的利益聯(lián)盟的建立，也意味著需要對涉及到的雙方的責(zé)任、權(quán)利、義務(wù)進行明確。在有效控制外包風(fēng)險的基礎(chǔ)上，實現(xiàn)外包雙方共同的目標(biāo)利益。這時，我們可以發(fā)現(xiàn)這些IT外包目標(biāo)與IT治理的目標(biāo)是一致的。因此，我們完全可以將IT治理的理念引入到IT外包風(fēng)險管理中。

　　事實上，隨著IT治理的深入廣泛應(yīng)用，在IT治理的最佳實踐方法ITIL v3.0版本中，我們能看到新增加了對IT外包管理的內(nèi)容。其中ITIL v3.0版本更是把IT治理的角色和責(zé)任、管理結(jié)構(gòu)、報告機制對預(yù)防IT外包風(fēng)險的作用明確提示了出來。ITIL v3.0版本認為一個好的IT治理外包模式涉及到兩種利益相關(guān)者：承包方和發(fā)包方。他們各自的決策權(quán)力應(yīng)該在外包治理中得到明確規(guī)定，包括雙方的角色定義、職責(zé)分配和相應(yīng)的組織機構(gòu)設(shè)計。例如外包實施后，發(fā)包方的IT部門的職能和角色發(fā)生了重要的改變，某些傳統(tǒng)上的角色和職責(zé)通過外包轉(zhuǎn)移到了服務(wù)提供商的執(zhí)行團隊，發(fā)包方應(yīng)當(dāng)對原有IT部門的職能和角色進行重新設(shè)計。

　　IT治理外包模式還要求要建立明確的管理結(jié)構(gòu)。因為ITIL v3.0版本認為明確管理結(jié)構(gòu)以支持角色和責(zé)任的行使，與清楚地定義角色和責(zé)任同樣重要。例如成立委員會之類機構(gòu)，如用戶委員會、運營委員會、執(zhí)行委員會，這類組織可以對IT需求進行評議和認可、或?qū)?zhí)行過程進行監(jiān)控。這些機構(gòu)可以保證利益相關(guān)者參與并行使他們的角色和責(zé)任。最后，ITIL v3.0版本還認為需要建立明確的風(fēng)險報告制度。也就是說，IT活動的結(jié)果應(yīng)通過某種程度的服務(wù)等級報告制度來監(jiān)控。因為在IT外包活動實施中承包方不會成為發(fā)包方的一部分，所以承包方要保證形成一種有效的風(fēng)險報告框架，而且這種框架不會因為發(fā)包方不斷變化的需求而改變，這才可以保證和發(fā)包方規(guī)避風(fēng)險的期望長期保持一致。

　二.建立規(guī)避外包風(fēng)險的IT治理的策略

　　IT治理外包模式是對IT外包風(fēng)險的負責(zé)，而不是對采購合同的負責(zé)。因為采購合同的目標(biāo)是簽訂更低成本的合同，但是后果可能是質(zhì)量也不會很高。因此，IT治理外包模式不僅僅關(guān)注成本，更要關(guān)注結(jié)果和服務(wù)等級等風(fēng)險問題。這里分享我公司建立規(guī)避外包風(fēng)險的IT治理外包模式的策略和流程：

　　(1)確定合適的外包業(yè)務(wù)，防范依賴性風(fēng)險

　　IT外包風(fēng)險貫穿于外包的全過程，具體表現(xiàn)形式多種多樣。風(fēng)險主要來自不良決策、預(yù)備不足、技術(shù)欠缺和治理失控。IT外包具有提升核心競爭力、降低管理成本等收益,但也造成了對承包方的事實依賴性。使到企業(yè)在制定新的經(jīng)營管理決策時會受制于承包方的IT配合程度及IT完成能力。此外,隨著合作時間的延長,企業(yè)對承包方提供服務(wù)的依賴程度不斷加大，受其IT服務(wù)質(zhì)量的影響也逐漸加強，會降低企業(yè)IT管理的自主性和靈活性。

　　因此, 對于企業(yè)和CIO而言，必須要劃清企業(yè)的核心業(yè)務(wù)及可以外包的IT系統(tǒng)范圍，避免核心IT競爭力隨著外包流失。企業(yè)在制定IT外包戰(zhàn)略時要確定合適的外包業(yè)務(wù),如將附加值較低、成本較高的非核心IT業(yè)務(wù)外包，從而既能獲得IT外包帶來的好處，但又能降低對承包方的依賴性風(fēng)險。因此，確定合適的IT外包業(yè)務(wù)范圍是規(guī)避風(fēng)險的第一步。IT外包必須首先保證要企業(yè)的核心技術(shù)和信息足夠安全，其次才是通過外包能降低內(nèi)部IT成本。假如不能達到這些目標(biāo)，則企業(yè)在當(dāng)前階段就不宜采用外包策略，否則外包帶來的風(fēng)險大于成功的幾率，不能盲目追求為外包而外包”。

　　(2)制定內(nèi)部規(guī)章,跟蹤IT外包服務(wù)水平

　　IT外包后企業(yè)并非高枕無憂，企業(yè)必須要對承包方和外包活動服務(wù)過程進行管理和監(jiān)督，并對階段性和最終成果進行考核和業(yè)績評估。主動管理和監(jiān)督外包事務(wù)的活動，加強對外包治理對于CIO來說是至關(guān)重要的。在通常情況下，由于企業(yè)IT部門在專業(yè)技術(shù)、管理方面的知識儲備不足，對外包治理往往是走過場。因此，CIO首要任務(wù)是要堅守底線，必須牢牢掌握外包治理的監(jiān)督權(quán)，IT外包能把具體操作外包，但外包治理的責(zé)任是永遠不能外包的。

　　因此，在外包服務(wù)過程中,企業(yè)應(yīng)成立負責(zé)跟蹤和監(jiān)督外包服務(wù)的機構(gòu)，參考專業(yè)的IT治理方法如最佳實踐ITIL v3版本，制定完善的外包服務(wù)風(fēng)險內(nèi)控制度，細化外包風(fēng)險監(jiān)控環(huán)節(jié)，以降低外包風(fēng)險;并對承包方服務(wù)進行跟蹤評價，及時掌握承包方服務(wù)質(zhì)量水平，防范操作風(fēng)險和信譽風(fēng)險。因為承包方若不嚴格按照合約履行義務(wù)，而是依據(jù)自身利益自行處理外包業(yè)務(wù)，將會偏離發(fā)包企業(yè)的整體戰(zhàn)略，導(dǎo)致利益受損，使發(fā)包企業(yè)面臨一定的戰(zhàn)略風(fēng)險。

　　(3)建立IT外包應(yīng)急機制，控制集中性風(fēng)險

　　最后，很重要的一點是在IT外包實施過程中, 承包方可能會因破產(chǎn)、技術(shù)人員變動或其他不可抗力因素而無法按時、按質(zhì)地完成外包服務(wù)。從而使發(fā)包企業(yè)面臨著突發(fā)的、影響整個機構(gòu)運營、及整體IT規(guī)劃的集中風(fēng)險。所以，IT治理最佳實踐ITIL v3版本建議企業(yè)在實施IT外包戰(zhàn)略時，要建立外包應(yīng)急機制。主要是針對承包方可能發(fā)生的各種意外情況設(shè)計應(yīng)急計劃和預(yù)案，如建立IT容災(zāi)計劃、IT業(yè)務(wù)連續(xù)性計劃等，以控制和規(guī)避突發(fā)事件帶來的集中性風(fēng)險，從而降低IT外包集中性風(fēng)險所造成的損失。

　　俗話說：事雖難，作則必成;路雖遠，行則必至。IT外包風(fēng)險雖然不可完全避免和消除，但如果能夠?qū)⒘己玫腎T治理視為IT外包活動的一個要點來看待和處理，明確雙方的責(zé)任、認知和期望，就一定能極大地提高雙贏的可能性。