企业IT风险管理:评估外包风险

ZDNet安全频道原创翻译 转载请以文字链形式注明出处

作者：安东尼·皮洛士

安东尼认为，企业如果决定进行外包的话，需要对许多涉及的风险予以关注，只有这样才能保证其安全性。

无论是处于什么样的原因将关键IT流程外包的话，总是会存在风险因素的。如何保证供应商的服务，怎么确定适当的范围，怎样确保制定的目标被履行，这些都是需要慎重考虑，以防止在执行过程中出现问题。

在考虑外包的时间，所有人都需要经过深思熟虑，并且步骤也要有条不紊，以减轻所涉及潜在的高风险。

下面就是你需要确认的事情。

尽职调查
减轻风险的第一步，就是对外包服务提供商进行尽职调查。这样可以确认，它是否有接受外包的能力，以及资金能否维持在整个服务期中合同的执行。

如果是离岸外包的话，外包服务提供商的业务连续性规划也需要予以确认；以保证在基础设施和电力出现问题的时间，业务不会停顿。

内部审计
在评估外包商的能力之前，你需要对外包的工作部分给予确认。如果做不到这一点，与外包服务提供商就合同范围、成本和服务水平达成一致是不可能的。确认外包的部分，还有助于在表现欠佳出现分歧的时间，就费用和时间与外包服务提供商进行谈判时取得主动。

“对公司进行一次内部审计是非常有必要的，”来自DLA Piper律师事务所的合伙人和外包专家，凯·柏登说。“准确界定外包服务的范围是非常重要的，因为如果范围一塌糊涂的话，将会导致完全的失败。你需要花费足够时间找出为什么这样做的原因。”

对商业环境的分析将确认相关的过程，这是非常重要的，而且会在公司签定服务品质协议提供很大的帮助。

对需要提供的客户和期望目标不一致的认识，是很多公司和外包服务提供商之间纠纷的关键。举例来说，从二○○七年的外包状况分析报告中可以发现，有一半以上的外包合同存在不切实际的期望，这迫使公司不到十八个月就调整合同。

由于需求的变化不可避免可能对整个服务期产生影响，所以合同的弹性也需要考虑。缩短合同的时间，可以减轻风险，但是也需要有明确的步骤以应付可能的变化。

最常见的变化是在大量的交易时间通过某种形式的工具进行计算，以便进行调整。

日常管理
一旦签定了合同，就需要把工作重点转移到管理与外包服务提供商之间的关系上；已经外包并不意味着这部分不再被关注。

“外包可以非常有效地转移风险，特别是在价格和经营风险方面，但是对供应商管理是绝对关键，所有非常成功的公司一定是关注这个方面的。”来自Morrison & Foerster's Global Sourcing group律师事务所的苏珊·麦克莱恩提醒道。

根据同一报告显示，导致对外包不满的一个重要原因是合同管理不善。百份之六十一的外包者承认，他们对合同条款的重视超过合同管理。

“买家变得更加专业的话，可以充分了解积极地管理会给外包带来更多的好处。”TPI的合作伙伴，斯图尔特·哈里斯评论道。“这也可以让买家认识到以合适的方式管理外包关系是非常重要的。”

管理外包供应商不是简单的任务，它需要了解已经被接管的内部功能的知识。虽然其原有的管理团队是非常适合这个角色，但是管理内部团队和外部的外包团队有很大差异，所以过渡过程可能需要一些时间。

成功的供应商管理的一个重要部分是要确保双方都满意。如果供应商的需求会被忽略，该合同将因为无法吸引最优秀的人才以达到目标要求而蒙受损失。

与单一的外包供应商提供整套服务相比较，multisourcing这种选择一系列的外包商来处理不同的职能，所需要的管理是更复杂的。

外包咨询公司EquaTerra从一份二○○七年六月的研究报告上发现，multisourcing是一种越来越普遍的选择。这种做法虽然削减了依赖于单一供应商带来的风险，但使得外包供应商关系管理变得更为复杂。

规则和风险
公司必须遵守多个国家和国际规则而带来的持续压力，是外包风险的另一个来源。外包增加了新层面的规则，外包供应商和公司将不得不就双方谁负责监测，新的法律法规带来的责任由谁承担进行讨论。

相应的一个解决办法是，在公司的特定部门确定新的规则，而业务方面将是外包供应商负责。

然而，无论合同协议是怎么确定的，风险最终都是落在公司上。“从监管机构的角度来说，这是非常清楚的——外包服务可以，但责任不能外包” ，柏登警告说。 “如果是因为供应商的原因违反法律法规，那么你也有责任，你可能需要和外包供应商之间有一个合同条款来处理类似的事件。”

如果公司和外包供应商属于不同的司法管辖区的话，获得赔偿可能需要一个非常漫长的过程。

“外包相当于增加了一层风险，特别是如果客户和外包供应商在一个有不同的法律或政治制度的国家的话，”英国保险经纪商Lockton负责技术和传媒的主管，埃米莉·弗里曼警告道，“为了确保了解合同的权利，你需要了解外包供应商所在的位置。”

当然，只有外包供应商有支付能力的情况下，罚款才是有效的。这也就意味着，在最终的时间，是要有某种形式的保险，来承担这些风险。

尽管外包可能会造成新的风险，但对于避免过于依赖的情况产生，这是非常重要的。实际上，在很多他们不知道的情况下，公司的许多内部部门也是制造了大量的风险。对于外包来说，最大的风险就是在服务范围或管理上不恰当的关注。公司外包的做法，其实是可以有条不紊地降低其整体风险。