外包风险的管理（上）_

外包风险的管理（上）

丰祖军编译 2006/02/17

　　随着近年商业流程外包（business process outsourcing，简称BPO）的兴起，随之而来的风险--诸如从个人资料盗窃的孤立事件到可能给业务运作造成严重纷扰的大型灾祸，正在引起人们的担忧。

　　由于担心失去控制，发包的公司开始要求他们的服务提供商在工作流程中实施更严格的监控措施，以保障数据安全，防止欺诈。BPO客户把"最佳实践（best practices）"的移植当成当务之急，即把自己的最佳实践移植到外包服务提供商那里，包括全套的文档和定期的审查。此外，有的公司正在部署新的跟踪系统以使他们能够实时地监控他们发包出去的BPO业务。同时BPO业务的提供商也在对员工执行更严格的背景筛查，而且，有些较大的BPO公司对于违反安全制度执行零容忍政策（zero-tolerance policies）。那些主要的BPO目的国（如印度）政府也面临越来越大的压力，被要求强化私人信息和知识产权保护的法律，并且加强执法的力度。

三种类型的风险
　　沃顿商学院运营与信息管理教授Ravi Aron是外包趋势方面的权威。他说，除了老式的盗窃行为之外，外包产业面临的风险主要包括三大类型：

运营风险（Operational risks）。运营风险体现为时间、成本、质量方面的偏差。Aron教授说运营风险频繁发生于工作流程转移过程中的中断，或易于发生人为差错的反复性流程。他指出，运营风险的发生不是由于主观故意；当服务提供商不是完全理解顾客的要求时，更易发生运营风险。

战略风险（Strategic risks）。战略风险来源于服务提供商或它们的雇员故意的机会主义行为。盗窃知识产权是最常见的--但远远不是唯一的--例子。另一种类型的战略风险涉及到服务商员工配置不足、偷工减料。第三种是Aron教授所称的"依赖失衡（asymmetry of dependence）"："前三年一切正常，等到需要更新合同时，服务商提出价格要加倍，因为他知道客户已经不能自拔，到这时候要转换服务商谈何容易！"

综合风险（Composite risks）。复合风险表现为当一个客户公司把一个流程外包相当长的一段时间之后，它自经不再具备自行实施这个流程的能力。"例如，经过8到10年之后，一个金融服务零售公司可能不再具备后台运营能力（back-office operational capabilities），因为它所有的零售客户都是由位于毛里求斯或马尼拉的离岸服务商管理的，"Aron教授说。潜在的问题就是，当这家客户公司试图推出一个新产品时，会发现所需的内部处理技能（in-house skills）都荡然无存了。Aron教授指出这类风险有一个相对容易的解决方案：企业对于外包出去的技能可以保持一个最低数量的自有能力，有备无患。

　　运营风险和战略风险须要多管齐下的防备措施。第一步，Paul Fielding（位于达拉斯的专注于全球金融机构国际外包和离岸关系的Booz Allen Hamilton公司的项目总监）说，客户公司认识到"当你外包一个项目时，你不能把对那个项目的责任（responsibility and accountability）也外包出去。"例如，客户公司为了维护数据安全，应当确保任何个人都不能完全地接触信息。"对金融机构来说，很重要的是要做到责任分割，这样任何个人都不能将整个公司置于风险之下，" Paul Fielding说。为此，企业必须理解工作流（workflow）和供应链（supply chain），以识别出风险点，在这些点上设置控制阀。他跟踪研究过的案例都是涉及到单一的风险点，因而"他们都是可以防患于未然的。"

　　Paul Fielding还提出警告：不要过分依赖硬件和软件作为风险保障。更多的防火墙并不一定代表安全性提高了，除非它们维护得当；他还补充说，不少公司在最佳实践方面半心半意。固然，企业必须确保技术跟得上步伐，包括防毒软件更新。"对于每一项[安全]技术，都有人在琢磨如何破解它，"他说。

聚焦最薄弱环节

　　发包的企业应当把注意力集中的相互依赖性（interdependencies）上，沃顿商学院商业与公共政策教授、而且还是风险管理与保障专家的Howard Kunreuther说。"供应量和外包的最大挑战在于，当你与多个机构联为一体时，你如何着手更好地管理风险，"他说。"整个体系中的一个薄弱环节就能让大家都完蛋。"他举了一个例子，一个公寓套间的房主在房间安装了感烟器、报警器、洒水器、以及其他保护装置；但保险公司不为所动，除非那间公寓大楼的所有住户都采取了类似的保护措施。"这种相互依赖性的问题还完全没有被触及，然而它可能是思考风险问题时首先要面对的重中之中。" Kunreuther教授说。

　　当一个公司所面临的风险部分地取决于其他公司的行为时，安全问题就是相互依赖的。更重要的，其他公司的行为影响到第一家公司减低其风险暴露度的动机。"即使某家航空公司拥有完美无缺的检测系统也不能安枕无忧，" Kunreuther教授在与人合写的一篇关于民航安全的论文中写道，"因为只有经由这家航空公司开始其旅程的旅客的行李才在被检测之列；那些从其他航空公司转过来的行李不在其内。"相互依赖的计算机网络也是如此：一旦一个黑客或病毒达到网络上的一台计算机，其他的计算机就相当容易被感染。类似这样潜在的未经控制的风险暴露减低了单个计算机操作员保护自己免受外部黑客攻击的动机。如果黑客经由一个"薄弱环节"已经进入到网络之中，那么最严格的网络安全也没有什么大用处了。

　　美国的一些金融服务公司已经认识到全行业统一行动的必要性。识别和管理外包风险是位于华盛顿DC的BITS（Banking Industry Technology Secretariat，银行业技术秘书处）的一个持久主题。在过去的2年，BITS的一个包含40个成员的IT服务提供商工作组制订了4个文档，作为其成员组织设计风险管理战略的指南。"这些文档内容全面，为外包生命周期的全过程提供建议和思路，" BITS的资深顾问Faith Boettger说，"这份报告是从金融机构作为一个用户的视角来写的：金融机构需要做些什么，应当采取那些与风险相应的控制手法，具体国家的背景信息有哪些，等等。"

　　BITS的资料几乎无所不包，从雇员背景筛查的关键思路到外包合同终止条款方面的建议。但即使BITS做的这项工作也不能确保万无一失。并不存在一个正确的答案可供一个机构来考量某个特定类型的风险，Boettger女士说。考量具体的风险很大程度上依赖于发包出去的服务的细微之处以及所内含的风险。"我们提供了思路让组织用来管理风险（to manage risk），而不是测量风险（to measure risk），"她提醒说。

本文节译自Reining in Outsourcing Risk，原文链接：
http://www.strategy-business.com/press/sbkw2/sbkwarticle/sbkw051130?pg=0

丰祖军是优胜资讯高级顾问，联系方式：feng.zujun@gmail.com

优胜资讯公司供稿 CTI论坛编辑