① 如何管控外包業務風險
業務外包流程主要包括:制定業務外包實施方案、審核批准、選擇承包方、簽訂業務外包合同、組織實施業務外包活動、業務外包過程管理、驗收、會計控制等環節。如下圖所示。該圖列示的業務外包流程適用於各類企業的一般業務外包,具有通用性。企業在實際開展業務外包時,可以參照此流程,並結合自身情況予以擴充和具體化。
二、各環節的主要風險點及管控措施
(一)制定業務外包實施方案制定業務外包實施方案,是指企業根據年度生產經營計劃和業務外包管理制度,結合確定的業務外包范圍,制定實施方案。該環節的風險主要是:企業缺乏業務外包管理制度,導致制定實施方案時無據可依;業務外包管理制度未明確業務外包范圍,可能導致有關部門在制定實施方案時,將不宜外包的核心業務進行外包;實施方案不合理、不符合企業生產經營特點或內容不完整,可能導致業務外包失敗。
主要管控措施:第一,建立和完善業務外包管理制度,根據各類業務與核心主業的關聯度、對外包業務的控製程度以及外部市場成熟度等標准,合理確定業務外包的范圍,並根據是否對企業生產經營有重大影響對外包業務實施分類管理,以突出管控重點,同時明確規定業務外包的方式、條件、程序和實施等相關內容。第二,嚴格按照業務外包管理制度規定的業務外包范圍、方式、條件、程序和實施等內容制定實施方案,避免將核心業務外包,同時確保方案的完整性。第三,根據企業年度預算以及生產經營計劃,對實施方案的重要方面進行深入評估及復核,包括承包方的選擇方案、外包業務的成本效益及風險、外包合同期限、外包方式、員工培訓計劃等,確保方案的可行性。第四,認真聽取外部專業人員對業務外包的意見,並根據其合理化建議完善實施方案。
(二)審核批准審核批准,是指企業應當按照規定的許可權和程序審核批准業務外包實施方案。該環節的主要風險是:審批制度不健全,導致對業務外包的審批不規范;審批不嚴格或者越權審批,導致業務外包決策出現重大疏漏,可能引發嚴重後果;未能對業務外包實施方案是否符合成本效益原則進行合理審核以及做出恰當判斷,導致業務外包不經濟。
主要管控措施:第一,建立和完善業務外包的審核批准制度。明確授權批準的方式、許可權、程序、責任和相關控制措施,規定各層級人員應當在授權范圍內進行審批,不得超越許可權審批。同時加大對分公司重大業務外包的管控力度,避免因分公司越權進行業務外包給企業帶來不利後果。第二,在對業務外包實施方案進行審查和評價時,應當著重對比分析該業務項目在自營與外包情況下的風險和收益,確定外包的合理性和可行性。第三,總會計師或企業分管會計工作的負責人應當參與重大業務外包的決策,對業務外包的經濟效益做出合理評價。第四,對於重大業務外包方案,應當提交董事會或類似權力機構審批。
(三)選擇承包方選擇承包方,是指企業應當按照批準的業務外包實施方案選擇承包方。該環節的主要風險是:承包方不是合法設立的法人主體,缺乏應有的專業資質,從業人員也不具備應有的專業技術資格,缺乏從事相關項目的經驗,導致企業遭受損失甚至陷入法律糾紛;外包價格不合理,業務外包成本過高導致難以發揮業務外包的優勢;存在商業賄賂等舞弊行為,導致相關人員涉案。
主要管控措施:第一,充分調查候選承包方的合法性,即是否為依法成立、合法經營的專業服務機構或經濟組織,是否具有相應的經營范圍和固定的辦公場所。第二,調查候選承包方的專業資質、技術實力及其從業人員的職業履歷和專業技能。第三,考察候選承包方從事類似項目的成功案例、業界評價和口碑。
第四,綜合考慮企業內外部因素,對業務外包的人工成本、營銷成本、業務收入、人力資源等指標進行測算分析,合理確定外包價格,嚴格控制業務外包成本。第五,引入競爭機制,按照有關法律法規,遵循公開、公平、公正的原則,採用公開招標等適當方式,擇優選擇承包方。第六,按照規定的程序和許可權從候選承包方中擇優做出選擇,並建立嚴格的迴避制度和監督處罰制度,避免相關人員在選擇承包方過程中出現受賄和舞弊行為。
(四)簽訂業務外包合同確定承包方後,企業應當及時與選定的承包方簽訂業務外包合同,約定業務外包的內容和范圍,雙方權利和義務,服務和質量標准,保密事項,費用結算標准和違約責任等事項。該環節的主要風險是:合同條款未能針對業務外包風險做出明確的約定,對承包方的違約責任界定不夠清晰,導致企業陷入合同糾紛和訴訟;合同約定的業務外包價格不合理或成本費用過高,導致企業遭受損失。
主要管控措施:第一,在訂立外包合同前,充分考慮業務外包方案中識別出的重要風險因素,並通過合同條款予以有效規避或降低。第二,在合同的內容和范圍方面,明確承包方提供的服務類型、數量、成本,以及明確界定服務的環節、作業方式、作業時間、服務費用等細節。
第三,在合同的權利和義務方面,明確企業有權督促承包方改進服務流程和方法,承包方有責任按照合同協議規定的方式和頻率,將外包實施的進度和現狀告知企業,並對存在問題進行有效溝通。第四,在合同的服務和質量標准方面,應當規定承包方最低的服務水平要求以及如果未能滿足標准應實施的補救措施。第五,在合同的保密事項方面,應具體約定對於涉及本企業機密的業務和事項,承包方有責任履行保密義務。第六,在費用結算標准方面,綜合考慮內外部因素,合理確定外包價格,嚴格控制業務外包成本。第七,在違約責任方面,制定既具原則性又體現一定靈活性的合同條款,以適應環境、技術和企業自身業務的變化。
(五)組織實施業務外包組織實施業務外包,是指企業嚴格按照業務外包管理制度、工作流程和相關要求,組織業務外包過程中人、財、物等方面的資源分配,建立與承包方的合作機制,為下一環節的業務外包過程管理做好准備,確保承包方嚴格履行業務外包合同。企業在組織開展業務外包時,應當根據業務外包合同條款,落實雙方應投入的人力資源、資金、硬體及專有資產等,明確承包方提供服務或產品的工作流程、模式、職能架構、項目實施計劃等內容。該環節的主要風險是:組織實施業務外包的工作不充分或未落實到位,影響下一環節業務外包過程管理的有效實施,導致難以實現業務外包的目標。
主要管控措施:第一,按照業務外包制度、工作流程和相關要求,制定業務外包實施的管控措施,包括落實與承包方之間的資產管理、信息資料管理、人力資源管理、安全保密管理等機制,確保承包方在履行外包業務合同時有章可循。第二,做好與承包方的對接工作,通過培訓等方式確保承包方充分了解企業的工作流程和質量要求,從價值鏈的起點開始控制業務質量。第三,與承包方建立並保持暢通的溝通協調機制,以便及時發現並有效解決業務外包過程存在的問題。第四,梳理有關工作流程,明確每個環節上的崗位職責分工、運營模式、管理機制、質量水平等方面的要求。
(六)業務外包過程管理根據業務外包合同的約定,承包方會採取在特定時點向企業一次性交付產品或在一定期間內持續提供服務的方式交付業務外包成果。
由於承包方交付成果的方式不同,業務外包過程也有所不同,前者的業務外包過程是指承包方對產品的設計製造過程,後者的業務外包過程是指承包方持續提供服務的整個過程。該環節的主要風險是:承包方在合同期內因市場變化等原因不能保持履約能力,無法繼續按照合同約定履行義務,導致業務外包失敗和本企業生產經營活動中斷;承包方出現未按照業務外包合同約定的質量要求持續提供合格的產品或服務等違約行為,導致企業難以發揮業務外包優勢,甚至遭受重大損失;管控不力,導致商業秘密泄露。
主要管控措施:第一,在承包方提供服務或製造產品的過程中,密切關注重大業務外包承包方的履約能力,採取動態管理方式,對承包方開展日常績效評價和定期考核。第二,對承包方的履約能力進行持續評估,包括承包方對該項目的投入是否能夠支持其產品或服務質量達到企業預期目標,承包方自身的財務狀況、生產能力、技術創新能力等綜合能力是否滿足該項目的要求。
第三,建立即時監控機制,一旦發現偏離合同目標等情況,應及時要求承包方調整改進。第四,對重大業務外包的各種意外情況做出充分預計,建立相應的應急處理機制,制定臨時替代方案,避免業務外包失敗造成企業生產經營活動中斷。第五,有確鑿證據表明承包方存在重大違約行為,並導致業務外包合同無法履行的,應當及時終止合同,並指定有關部門按照法律程序向承包方索賠。第六,切實加強對業務外包過程中形成的商業信息資料的管理。
(七)驗收在業務外包合同執行完成後需要驗收的,企業應當組織相關部門或人員對完成的業務外包合同進行驗收。該環節的主要風險是:驗收方式與業務外包成果交付方式不匹配,驗收標准不明確,驗收程序不規范,使得驗收工作流於形式,不能及時發現業務外包質量低劣等情況,可能導致企業遭受損失。
主要管控措施:第一,根據承包方業務外包成果交付方式的特點,制定不同的驗收方式。一般而言,可以對最終產品或服務進行一次性驗收,也可以在整個外包過程中分階段驗收。第二,根據業務外包合同的約定,結合在日常績效評價基礎上對外包業務質量是否達到預期目標的基本評價,確定驗收標准。第三,組織有關職能部門、財會部門、質量控制部門的相關人員,嚴格按照驗收標准對承包方交付的產品或服務進行審查和全面測試,確保產品或服務符合需求,並出具驗收證明。
第四,對在驗收過程中發現異常情況的,應當立即報告,查明原因,視問題的嚴重性與承包方協商採取恰當的補救措施,並依法索賠。第五,根據驗收結果對業務外包是否達到預期目標作出總體評價,據此對業務外包管理制度和流程進行改進和優化。
(八)會計控制會計控制是指企業應當根據國家統一的會計准則制度,加強對外包業務的核算與監督,並做好外包費用結算等工作。該環節的主要風險是:缺乏有效的業務外包會計系統控制,未能全面真實地記錄和反映企業業務外包各環節的資金流和實物流情況,可能導致企業資產流失或貶損;業務外包相關會計處理不當,可能導致財務報告信息失真;結算審核不嚴格、支付方式不恰當、金額控制不嚴,可能導致企業資金損失或信用受損。
主要管控措施:第一,企業財會部門應當根據國家統一的會計准則制度,對業務外包過程中交由承包方使用的資產、涉及資產負債變動的事項以及外包合同訴訟潛在影響等加強核算與監督。第二,根據企業會計准則制度的規定,結合外包業務特點和企業管理機制,建立完善外包成本的會計核算方法,進行有關會計處理,並在財務報告中進行必要、充分的披露。第三,在向承包方結算費用時,應當依據驗收證明,嚴格按照合同約定的結算條件、方式和標准辦理支付。
② 找第三方外包開發小程序APP,要注意哪些問題如何避免被坑
首先,一定要多對比,多了解,找幾家公司綜合考慮,包括:公司成立時間、公司規模、過往相關案例、售後服務包括哪些、價格如何等。
其次,就是合同簽訂的時候,付費方式、開發功能、交付日期、售後服務等寫進去,有條件的話,可以找律師來過一下合同。
還有就是盡量找本地的第三方開發公司,不僅溝通方便,而且相對有保障。
③ IT外包有何風險及如何防範
在控制it外包風險與安全方面,做到心中有底、手中有招、控制有術,建立事前預防、事中控制、事後監督的三道防線。(一)事前預防
在日常工作中,各種外包風險的前期預兆是會表現出來的,關鍵是沒有及時發現,馬上糾正或是對發現的問題思想麻痹,錯誤擴大化變成案件,形成損失並為糾正錯誤付出高昂代價。因此,把風險消滅在萌芽狀態,才是風險控制的重點。
1、制定IT業務外包戰略。銀監會頒布的《銀行信息科技風險管理指引》和《商業銀行外包風險管理指引》中對外包業務都提出了要求,重點考慮IT業務外包要能促進公司的科技業務發展、信息系統安全運營和科技業務管理水平,緊密配合公司業務發展規劃,全面權衡外包的利益與風險,決定將哪些IT業務外包,制定IT業務外包戰略規劃。
2、建立IT業務風險與安全管理體系。體系制定要做到統一框架,統一標准、統一措施、統一監督管理,內容由IT業務風險與安全管理策略、管理制度與規范、技術標准、指引、流程、操作手冊等組成。通過制定風險與安全管理體系,指導公司IT業務風險與安全管理工作的開展,使其符合國際、國內的有關安全標准和我國的法律法規;在公司內部形成一個信息科技風險與安全管理機制,確保落實,保護公司所有信息科技資源和資產的安全;明確信息系統的防護、檢測和應急恢復等各項信息科技風險與安全管理指標、原則和違規行為的處理措施;對與公司合作組織、商業夥伴、承包商和服務提供者提出相關的安全約束。項目管理者聯盟
3、做好IT業務風險與安全的認知與培訓。通過舉辦培訓班、研討會、發送郵件、贈送報刊等方式,為公司科技人員和業務人員提供IT業務風險與安全方面知識的培訓,通過持續不斷的培訓學習,掌握本公司IT業務風險與安全管理制度規范,提高全員風險與安全防範意識,積極參與信息科技風險與安全防範工作中,形成全員參與信息科技安全管理的風險管理文化。
4、建立IT業務外包供應商信息管理系統,設計科學、全面的風險指標評估體系。西格瑪中有句名言:有什麼樣的指標、就有什麼樣的結果。建立科學的IT業務外包供應商評估指標體系,有利於統一供應商與銀行的IT業務發展目標。該指標體系需要從質量、成本、交付、服務、技術、資產、流程這些方面入手,確定外包供應商成立及上市時間、行業經驗、規模、安全、人力、財務、問題響應時間、是否有產品保險、企業文化以及各種認證等重點內容,詳細設計3K(KCS、KCSA和KRI)指標,每一項指標都要給出相應的分值區間,通過建立外包供應商信息管理系統,把設計的評估指標納入系統中,詳細記錄外包供應商及其供應鏈上的各方面信息,通過系統統計分析,從而科學有效的評估外包供應商的服務能力。
(二)事中控制
銀行與外包合作商簽署合同,項目正式進入合作操作階段,在日常IT項目運營過程中,銀行作為甲方應做好如下幾方面的工作。
1、認真執行制度、不斷完善制度
從出現的有關銀行計算機系統風險安全與犯罪案件分析中,大多數都是因為沒有章不循,沒有按制度辦事,按業務處理流程辦事造成的,這就要求銀行加強對制度執行嚴肅性的管理,違章必究,否則制定的各項制度規范形同虛設,起不到應用的作用。同時,還要注意IT業務外包供應商風險與安全管理制度規范建設與信息系統同步規劃、同步建設、同步管理,能緊隨銀行信息科技業務的發展、環境的變化、中心工作的更替、創新的要求,及時得到調整、修訂和補充。
2、選擇適合自己的外包供應商,簽署合作合同
簽署合同是IT業務外包不可避免的風險。因此,根據前期對市場的調研分析,搜集的供應商信息,尋找合格的IT服務供應商,詢價和報價,通過招投標方式,建立適合公司科技與業務經營發展需要的供應商,並協同法律部門做好外包合同文本的制定和簽署,合理規避和防範合同風險的發生。
3、加強與外包供應商的合作與交流
一旦項目簽署合同開始啟動,銀行作為甲方要提供項目研發辦公條件,盡快讓外包商到行里來工作,向同事一樣給予相關方面的必要幫助。同時,銀行科技人員以及業務人員要參與到項目建設中,既可以讓自己的技術和業務人員與外包公司技術人員熟悉、了解掌握產品技術性能和業務功能,便於項目研發過程中問題的溝通交流,還可以全程對項目進度、質量進行跟蹤,以便於在規定的時間內,高質量的完成軟體項目的研發投產,讓項目利益所有者都滿意。
4、建立外包供應商服務評價體系
因很多外包公司特別是跨國公司,外包、分包普遍存在,也就降低了供應鏈的透明性和可追溯性,有意無意的形成漏洞,加大了供應鏈風險。所以,要採取日常業績跟蹤和階段性評比方法,更加深入的了解外包供應商及其供應鏈的一些情況,避免信息不對稱,便於更好地建立外包供應商信息管理系統,根據有關業績的跟蹤記錄,對供應商的業績表現進行綜合考核,全面、正確的評價外包商工作情況。
5、做好項目建設的計劃與控制
為避免人員頻繁變動、項目延期、交付的技術文檔不齊全及系統上線後支持服務跟不上等現象。要求銀行科技人員與外包項目經理及項目組成員建立項目進度與質量控制溝通機制(如周例會、項目周報、問題跟蹤管理報告等),定期監測與度量項目進展情況,識別有否偏離計劃之處,及時發現問題、反饋問題、了解原因、解決問題,確保實現項目目標。
6、建立應急管理機制,保持業務持續性
你不能防範每種風險,但是你卻可以迅速發現問題,並提前思考解決方法,動員所有的選擇,這才是風險與安全管理的精髓。銀行要制定可行的外包供應商應急管理計劃,項目外包會使得銀行對外包供應商產生依賴,如果外包供應商不能如期履行合同,而導致銀行業務中斷所引起的後果必須高度重視。這就需要銀行要嚴格審查外包供應商提供的執行方案,並針對外包供應商不履行合同或者發生緊急事件制定應急應對方案。
(三)事後監督
外包項目完成後,銀行相關職能部門應做好對外包項目從立項、招投標、建設、投產使用等全過程進行檢查審計,主要做好如下幾方面工作。
1、與完善規章制度相結合,實現各項工作制度化
在事後監督檢查過程中,加強檢查IT業務外包制度是否建立健全、科學有效、符合工作實際,不斷完善規章制度,使外包各項工作有章可依,工作制度化。
2、與獎懲相結合,維護法規與制度的嚴肅性
適當的處罰,能促進責任人改正錯誤,增強法律法規觀念,更好的促進工作,依據制定的IT業務外包風險與安全管理制度規范,檢查項目外包實施過程中各項工作是否按制度辦事,針對檢查出來的問題,要查明原因,對於不按制度辦事的違章行為要給予處罰,做的好的要表彰,做到獎罰分明,維護制度的嚴肅性。
3、與內審計相結合,制定外審策略
在做好內審的同時,也可以邀請外審機構對外包商以及外包供應鏈上公司的風險與安全管理能力等進行全面的評估。
4、與規范化管理相結合,實現業務操作程序化
事後監督工作要深入到科技業務一線,認真執行規范化操作規程,從細節入手,查找不足、堵塞漏洞,促進外包供應商管理制度化、程序化、規范化。
5、與IT服務內容相結合,做好多外包商的監督管理
監督、定期重新評估外包風險,並把所搜集信息和評估結果納入外包供應商信息系統管理,通過合同和SLA協議管理供應商,要注重周期性地審查外包合同,並根據環境和銀行業務發展的需要及時修改合同、重新設定外包服務標准。
總的來說,it外包要在國家法律法規和公司的制度規范內展開,要建立健全IT業務外包過程中信息披露和檢查監督及考核機制,建立一個功能完善的外包供應商信息管理系統,有效防範IT業務外包風險,確保信息安全。
參考資料: http://www.ppwaibao.com/news/details.php?id=132
④ 中小企業如何避免IT外包帶來的風險
中小型企業如何避免IT外包的風險
(「外來員工如何保守秘密」)
IT外包(ITOutsourcing),就是客戶將全部或部分IT工作包給專業性公司完成的服務模式。客戶整合利用其外部優秀的IT專業化資源,從而達到降低成本、提高效率、充分發揮自身核心競爭力和增強客戶對外環境的應變能力的一種管理模式。隨著中小型企業信息化建設的深入開展,IT外包服務的重要性日益顯著,很中小型業都希望利用IT服務提供商的專業技能提高企業信息化水平。但在不成熟的IT外包中還是存在一定的風險,如果處置不當會使企業蒙受巨大損失。企業該如何避免這些風險呢?
中小型企業IT外包存在的風險
1 控制的角度:IT外包可能會在及時提供服務和保證服務質量方面存在失控;靈活性被降低,對需求的任何變更必須取得外包商的同意;成本可能在沒有被感知的狀態下上漲;外包商及其員工可能獲准接觸公司機密資料:組織的知識產權保護方面也可能會有風險。
2 不確定性的角度:IT外包在技術和業務都不確定的情況下,對未來業務起支持作用的信息系統將有哪些要求?外包會使組織失去為滿足業務需求而進行變革的能力嗎?另外由於技術的不可分性,外包可能引起極度的混亂。
3 成本的角度。IT外包可能不會降低信息系統的成本,反而會由於難以預見和未予說明的變化導致費用更高;風險還來自特定外包商的本性及行為;外包切斷了組織對它所處的商業領域中的信息技術的最新發展及應用情況進行學習的途徑,這可能導致組織的未來的學習費用急升。
4 靈活性的角度。IT外包不可避免地使企業失去部分靈活性,分為:短期靈活性、中期適應性和長期進化性圈
根據以上分析,實施IT外包的中小型企業和IT外包提供商之間的合作,因為信息不對稱、信息扭曲、外包市場的成熟度不高以及技術更新、等多種因素的影響,存在著多種風險。當把自己的IT系統授權給服務商管理時,企業在某種程度上就失去了對信息系統的控制權。IT外包服務風險需要從中小型企業自身、IT服務提供商、信息及知識產權等三方面進行分析。
中小型企業自身產生的風險
在IT外包服務過程中,中小型企業作為管理的主體,其對IT外包的管理思路、管理行為、知識水平等, 都對IT外包服務有著非常大的影響,可能也會直接或間接地導致風險的發生。
選擇低水平的不成熟的IT外包服務商存在的風險。在IT外包服務商選擇環節,由於中小型企業選擇標准、選擇過程存在疏忽與漏洞,或沒有全面考察評估提供商的綜合服務水平和綜合實力,片面地追求IT服務商的局部優勢和低廉的價格,可能導致中小型企業選擇低水平且沒有豐富經驗的的服務商,從而會使IT外包在服務的及時性和服務質量方面失去控制,這樣就容易導致中小型企業在運行管理上的損失。這種風險是最嚴重也是最致命的,因為一旦選擇了不合適的IT服務商,在後來服務的過程中也就很難有挽回的餘地。
隨著時間的推移和服務范圍的擴大,中小型企業對IT外包服務商所提供的服務的依賴性會逐漸增強,就會逐漸的失去信息化控制力,最終可能導致中小型企業完全依賴外包服務商,對需求的任何變更都必須經由或取得外包服務商的同意,這樣就降低了IT外包服務的可用性和靈活性。中小型企業內部對IT部門的重視程度會逐漸降低,IT人員的技術水平和綜合能力會大打折扣,創新能力也會下降,最後可能導中小型企業IT總體水平下降,從而會失去信息化控制力和競爭力。
IT外包服務合同造成的風險。在IT外包合同的制定過程中,如果中小型企業沒有全面的詳細的制定合同細則以適應需求快速變更及其他可能發生的種種變化,如沒有詳細地指明服務商必須提供的最低服務水平、服務范圍和標准,發生故障時的服務級別及響應時間,信息泄密處理機制等,就容易使中小企業處於被動地位。同時,在合同執行期間,中小企業如果不能對服務商的財務狀況、支持能力、關鍵人員進行有效的監督和管理,忽視必要的審計檢查和文檔交接,最終也可能導致總體服務水平的下降。
外包服務商帶來的風險
在IT外包服務的過程中,IT外包服務商作為這項服務的承擔者,中小企業以合同方式對其明確了服務內容和服務標准,但仍不能確定外包服務商最後是否能夠提供合同約定的服務。從外包服務商的角度來說,主要會帶來以下幾方面風險。
IT外包服務商內部的不穩定性帶來的風險。在外包模式下,中小企業的IT應用在技術上依賴於外包服務商,服務商內部的不穩定性成為重要的風險來源。內部穩定性主要包括組織架構的穩定性、關鍵人員的穩定性和技術能力的穩定性。當前IT產業的高速發展使外包服務商的內部穩定性受到極大威脅,在合同執行期間,服務商的組織架構、關鍵人員、技術能力等方面的任何變化都有可能使IT外包服務陷入困境,最終導致服務商無力提供外包合同中規定的服務。
IT外包服務商對中小型企業業務需求理解不透徹帶來的風險。外包服務商的技術水平一般比較高,對IT的理解很透徹。但由於不了解行業,他們對企業的內部流程等業務需求有時不能充分了解。如果外包服務商沒有和企業進行充分的溝通和交流,就容易導致在需求分析階段無法進行高質量的需求分析,使後續階段為改正需求分析階段產生的錯誤付出高昂的代價。
使中小企業隱性成本增加的潛在風險。選擇IT外包的一個重要目標是減少IT運行和投資的費用。隨著對外包服務商的依賴性越來越強,中小型企業付出的隱性成本會在不知不覺中增加,如選擇服務商時發生的交易成本、將IT業務交給服務商時發生的轉換成本等。更嚴重的是,如果服務商不斷追求先進的IT技術,卻不能使IT設備得到有效運行或運行質量難以達到合理水平,中小企業會由於業務停頓而蒙受巨大損失。在實際外包過程中,很多中小型企業往往忽略了隱性成本的核算。
信息泄漏及知識產權風險
在IT外包服務過程中,中小型企業將自己的部分或全部信息系統提供給外包服務商運行和管理,服務商及其員工就有了接觸公司機密資料的機會,這樣中小型企業的商業秘密及其相關信息就極有可能會泄漏給競爭對手。此外,在些核心項目外包的過程中,外包服務商往往比中小型企業更具有知識產權意識,可能將共同設計、開發的項目搶先佔為己有,從而導致知識產權糾紛。中小型企業必須清醒地認識到,IT外包過程中的信息泄露和知識產權風險有可能導致嚴重後果,使中小型企業蒙受巨大損失。
那麼如何避免或者減少這些風險,權衡中間的利弊關系呢?
當前,中小型企業的信息化建設不是很成熟,基礎仍然比較薄弱,還不具備實施應用系統外包或者業務流程外包的條件。但是,行業各級單位將最底層的IT基礎服務外包出去的條件已經成熟,而且需求非常迫切。根據以上情況,中小型企業在制定IT外包服務戰略規劃時應首先明確信息化業務的主次之分,劃分優先等級,區分核心業務和非核心業務。中小型企業應以逐步推進的方式,首先選擇IT知識培訓、桌面終端維護、通信網路維護等外圍項目進行外包,取得預期效果後再考慮防病毒系統維護、數據中心運作管理、數據備份和災難恢復等系統的外包。對於影響中小型企業關鍵業務的核心應用系統的外包要謹慎對待,要進行充分的考察和評估。
全面評估IT外包風險。評估需要確定哪些外包風險是可以接受的、哪些是不能接受要盡快改進的。評估過程中應充分考慮核心業務系統的外包風險,包括影響企業業務創新能力、影響IT技術應用能力、與企業的IT戰略計劃發生沖突等各類風險。
科學選擇外包服務商。從滿足企業現有和未來信息化發展的角度,對服務商支持外包業務的技術能力、關鍵技術人員的綜合素質、業務處理的操作能力、控制突發事件的能力以及服務商的財務狀況等五個方面進行全面評估,科學選擇外包服務商。要不斷完善對外包服務商的評測能力,加強對外包服務商所提供服務的質量進行監督、考核。
管理好外包合同。外包合同是企業最重要的監理依據,是在外包過程中最重要的文檔資料之一。外包合同既是IT服務商開展專業技術服務工作的依據,也是企業對IT服務商交付的外包服務進行監控、協調、管理、評估、驗收以及付費的依據。外包合同可以說是發生外包關系雙方一切工作的出發點和落腳點,外包合同管理,主要涉及選擇外包服務商、制定外包合同、簽署外包合同、更新或終止外包合同等事項。簽署外包合同之後,企業信息技術部門或者相關負責人,就增加了一項任務:對IT外包業務進行管理、控制、監測和評估,協調企業和外包服務商之間的關系,保證外包服務到位,確保本企業的利益不受損害。
嚴格監控IT外包服務。只有嚴格加強管理力度,外包服務過程中的諸多問題,如服務內容規劃、服務時間進度計劃、服務質量管理、服務成本管理、服務技能管理、人際溝通管理、爭議裁決、需求變更程序等才能得到落實和解決。企業應成立監管小組,負責定期和不定期地對服務商進行有效監管。監管的主要內容應包括服務商的服務質量、關鍵人員變動情況、全面履行合同情況、服務再次分包情況等。中小型企業的管理層應定期接收關於企業IT外包風險的信息。報告的風險信息應該包括企業當前面臨的或潛在的外包風險、應對外包風險的措施及步驟、採取的具體措施可能帶來的不良後果等。監管的目的是使監管小組和企業高層管理者可以用定性和定量的方法來監控IT外包風險,避免風險的發生。
做好IT外包服務的過程管理。過程管理包括過程策劃、過程實施、過程檢查和過程改進四個部分,企業在IT外包服務管理過程的各個階段都有其工作側重點。在過程策劃階段,應該認真做好IT服務外包的需求獲取、需求分析、服務操作流程制定、服務計劃、等工作;在過程實施階段,應該使服務項目實施人員就服務內容、服務方式、服務流程、服務質量達成一致,使其嚴格遵循外包合同以及信息技術相關標准、規范開展技術服務工作,並做好記錄,實現痕跡化管理;在過程監測階段,應在服務實施前、實施中、實施後加強監督、測試、確認和評審,可以採用過程抽樣、過程還原試驗等方法來加強對服務的監控;在過程改進階段,應主動發現外包服務商在日常工作中存在的不足,通過多種溝通渠道督促服務商改正缺點,進一步提高服務質量。
增強風險防範意識,加大知識產權保護力度。在外包服務過程中,中小企業需要增強風險防範意識,加強涉密信息的管理,明確IT服務商的相關責任,共同簽署保密協議。同時要積極加強知識產權保護工作,從維護企業利益的角度出發,在合同中明確約定知識產權相關條款。
IT外包要揚長避短
IT外包是眾多企業的常見做法。對於缺乏專業技術人才或解決方案的企業,IT外包是一種既能節省成本又能提高效率的方法。但IT外包並不是「萬能葯」,過分依靠技術外包單位會削弱企業自身的信息技術研發能力,導致企業產生依賴心理,甚至影響企業在信息技術方面的自主創新能力。
因此,著眼於長遠,企業在進行IT外包時應當揚長避短,即揚外包技術單位之長,避技術外包之短。揚外包單位之長,是要根據企業的需求,找准合適的技術外包單位為企業提供服務;避外包之短,是要在外包的同時不能削弱企業自身在信息技術方面的競爭力。對此,在當前信息技術越發成為影響企業管理效率與業務質量的重要因素的情況下,一方面,企業要選擇合適的信息技術合作夥伴,加強溝通,增進理解,讓外包服務商及時了解企業自身的業務、管理需求;另一方面,企業要善於通過與外包服務的合作,提升企業自身技術人員的能力,增強企業自身信息技術整體能力,確保企業信息技術核心競爭力的提升。