隨著近年商業(yè)流程外包(business process outsourcing��,簡稱BPO)的興起��,隨之而來的風險--諸如從個人資料盜竊的孤立事件到可能給業(yè)務運作造成嚴重紛擾的大型災禍�,正在引起人們的擔憂��。
由于擔心失去控制��,發(fā)包的公司開始要求他們的服務提供商在工作流程中實施更嚴格的監(jiān)控措施�,以保障數據安全,防止欺詐�。BPO客戶把"最佳實踐(best practices)"的移植當成當務之急,即把自己的最佳實踐移植到外包服務提供商那里���,包括全套的文檔和定期的審查�。此外�,有的公司正在部署新的跟蹤系統以使他們能夠實時地監(jiān)控他們發(fā)包出去的BPO業(yè)務。同時BPO業(yè)務的提供商也在對員工執(zhí)行更嚴格的背景篩查��,而且����,有些較大的BPO公司對于違反安全制度執(zhí)行零容忍政策(zero-tolerance policies)。那些主要的BPO目的國(如印度)政府也面臨越來越大的壓力�,被要求強化私人信息和知識產權保護的法律,并且加強執(zhí)法的力度��。
三種類型的風險
沃頓商學院運營與信息管理教授Ravi Aron是外包趨勢方面的權威���。他說�,除了老式的盜竊行為之外,外包產業(yè)面臨的風險主要包括三大類型:
- 運營風險(Operational risks)���。運營風險體現為時間���、成本、質量方面的偏差�。Aron教授說運營風險頻繁發(fā)生于工作流程轉移過程中的中斷,或易于發(fā)生人為差錯的反復性流程����。他指出,運營風險的發(fā)生不是由于主觀故意��;當服務提供商不是完全理解顧客的要求時��,更易發(fā)生運營風險��。
- 戰(zhàn)略風險(Strategic risks)��。戰(zhàn)略風險來源于服務提供商或它們的雇員故意的機會主義行為���。盜竊知識產權是最常見的--但遠遠不是唯一的--例子����。另一種類型的戰(zhàn)略風險涉及到服務商員工配置不足、偷工減料��。第三種是Aron教授所稱的"依賴失衡(asymmetry of dependence)":"前三年一切正常����,等到需要更新合同時�,服務商提出價格要加倍,因為他知道客戶已經不能自拔���,到這時候要轉換服務商談何容易����!"
- 綜合風險(Composite risks)����。復合風險表現為當一個客戶公司把一個流程外包相當長的一段時間之后,它自經不再具備自行實施這個流程的能力����。"例如,經過8到10年之后����,一個金融服務零售公司可能不再具備后臺運營能力(back-office operational capabilities),因為它所有的零售客戶都是由位于毛里求斯或馬尼拉的離岸服務商管理的,"Aron教授說�。潛在的問題就是,當這家客戶公司試圖推出一個新產品時�����,會發(fā)現所需的內部處理技能(in-house skills)都蕩然無存了��。Aron教授指出這類風險有一個相對容易的解決方案:企業(yè)對于外包出去的技能可以保持一個最低數量的自有能力���,有備無患����。
運營風險和戰(zhàn)略風險須要多管齊下的防備措施���。第一步��,Paul Fielding(位于達拉斯的專注于全球金融機構國際外包和離岸關系的Booz Allen Hamilton公司的項目總監(jiān))說���,客戶公司認識到"當你外包一個項目時,你不能把對那個項目的責任(responsibility and accountability)也外包出去�。"例如,客戶公司為了維護數據安全���,應當確保任何個人都不能完全地接觸信息����。"對金融機構來說,很重要的是要做到責任分割�,這樣任何個人都不能將整個公司置于風險之下," Paul Fielding說����。為此��,企業(yè)必須理解工作流(workflow)和供應鏈(supply chain)���,以識別出風險點����,在這些點上設置控制閥�����。他跟蹤研究過的案例都是涉及到單一的風險點�,因而"他們都是可以防患于未然的。"
Paul Fielding還提出警告:不要過分依賴硬件和軟件作為風險保障���。更多的防火墻并不一定代表安全性提高了�,除非它們維護得當;他還補充說�����,不少公司在最佳實踐方面半心半意�����。固然��,企業(yè)必須確保技術跟得上步伐�,包括防毒軟件更新。"對于每一項[安全]技術����,都有人在琢磨如何破解它,"他說��。
聚焦最薄弱環(huán)節(jié)
發(fā)包的企業(yè)應當把注意力集中的相互依賴性(interdependencies)上�,沃頓商學院商業(yè)與公共政策教授、而且還是風險管理與保障專家的Howard Kunreuther說�。"供應量和外包的最大挑戰(zhàn)在于,當你與多個機構聯為一體時��,你如何著手更好地管理風險,"他說����。"整個體系中的一個薄弱環(huán)節(jié)就能讓大家都完蛋。"他舉了一個例子��,一個公寓套間的房主在房間安裝了感煙器�、報警器、灑水器����、以及其他保護裝置;但保險公司不為所動���,除非那間公寓大樓的所有住戶都采取了類似的保護措施。"這種相互依賴性的問題還完全沒有被觸及�,然而它可能是思考風險問題時首先要面對的重中之中。" Kunreuther教授說���。
當一個公司所面臨的風險部分地取決于其他公司的行為時�����,安全問題就是相互依賴的���。更重要的�,其他公司的行為影響到第一家公司減低其風險暴露度的動機���。"即使某家航空公司擁有完美無缺的檢測系統也不能安枕無憂��," Kunreuther教授在與人合寫的一篇關于民航安全的論文中寫道���,"因為只有經由這家航空公司開始其旅程的旅客的行李才在被檢測之列;那些從其他航空公司轉過來的行李不在其內����。"相互依賴的計算機網絡也是如此:一旦一個黑客或病毒達到網絡上的一臺計算機,其他的計算機就相當容易被感染��。類似這樣潛在的未經控制的風險暴露減低了單個計算機操作員保護自己免受外部黑客攻擊的動機�����。如果黑客經由一個"薄弱環(huán)節(jié)"已經進入到網絡之中����,那么最嚴格的網絡安全也沒有什么大用處了。
美國的一些金融服務公司已經認識到全行業(yè)統一行動的必要性��。識別和管理外包風險是位于華盛頓DC的BITS(Banking Industry Technology Secretariat,銀行業(yè)技術秘書處)的一個持久主題�。在過去的2年,BITS的一個包含40個成員的IT服務提供商工作組制訂了4個文檔�,作為其成員組織設計風險管理戰(zhàn)略的指南。"這些文檔內容全面�����,為外包生命周期的全過程提供建議和思路�," BITS的資深顧問Faith Boettger說,"這份報告是從金融機構作為一個用戶的視角來寫的:金融機構需要做些什么�,應當采取那些與風險相應的控制手法,具體國家的背景信息有哪些���,等等��。"
BITS的資料幾乎無所不包,從雇員背景篩查的關鍵思路到外包合同終止條款方面的建議��。但即使BITS做的這項工作也不能確保萬無一失����。并不存在一個正確的答案可供一個機構來考量某個特定類型的風險,Boettger女士說�?��?剂烤唧w的風險很大程度上依賴于發(fā)包出去的服務的細微之處以及所內含的風險。"我們提供了思路讓組織用來管理風險(to manage risk)���,而不是測量風險(to measure risk)�����,"她提醒說���。
將組織延伸
如果發(fā)包的公司把自己的最佳實踐成功地轉移到服務提供商那里,許多風險就可以避免�����,Paul Fielding說�。做到這一點遠非寫到紙面上就可以了,客戶公司和服務提供商須要持久地密切協作�。"通常,我們看到的合同是一些人試圖利用合同語言免除自己的責任��,而外包供方被賦予了自我監(jiān)督的責任��," Fielding說。指導原則應當是"信任�����,但要查證確實(trust, but verify)����。"
如何做到?沃頓商學院的Aron教授提出一種"延伸的組織形態(tài)"����。這種模式結合了兩種治理方式——一種是由外包"市場"所施加的,另一種是內部的管理體系���。"市場"的主要約束是成本效率����,而內部管理帶來系統的控制��。"延伸的組織形態(tài)"可以給企業(yè)帶來外包給第三方供應商所具有的成本優(yōu)勢�,同時又使得發(fā)包公司有能力對項目的實施情況進行實時的控制。
"延伸的組織"的關鍵是成立一個項目小組(program office)���,發(fā)包公司和外包商在精心設計的監(jiān)控體系的幫助下,密切合作。比如印度班加羅爾的IT服務提供商Wipro使用自己開發(fā)的Veloci-Q系統���,允許顧客在線監(jiān)控項目的進程��,實施質量控制����,并對班組甚至個人的工作績效進行實時的跟蹤���。另一家印度外包公司Office Tiger所使用的TigerTracks也是一個類似的工具����。這兩種工具監(jiān)控的績效指標數量達到客戶要求的4~5倍�。之所以能夠做到這樣,是因為它們有這樣的信念:它們應該成為客戶公司的延伸��,Aron教授說�����。Booz Allen公司的Jon Watts認為還可以走得更遠一些:外包商和發(fā)包公司可以結成聯盟����,相互持有對方的股份,以確保利益的一致。
安全方面的擔憂對于BPO產業(yè)來說是一個品牌認知的問題——威脅到行業(yè)的成長���。在最近的Booz Allen Hamilton離岸外包安全調查中��,30個應答者中的24個感到他們公司在離岸外包地點的系統和數據存在很高程度的安全隱患����。Watts建議BPO行業(yè)可以向瑞士銀行業(yè)——曾經是替客戶完全保密的同義語——學習���。"只要你說'瑞士銀行業(yè)'�,你的意思就是說絕對的保密和絕對的信任�。"
其實,并沒有靠得住的理由相信離岸外包就一定意味著更大的風險�。Aron教授說美國公司在所謂CPI國家(中國、菲律賓��、印度)的離岸外包中心的風險暴露度實際上比在本土更低��。"社會保險號碼對一個印度或中國的坐席員并沒有什么用處��,他們不能夠在新德里或上海申請信用卡���。" Aron教授還說呼叫中心的崗位在CPI國家是受人羨慕的��,員工更加在意失去它們��,因而更加不會犯規(guī)���。
另一方面,Jon Watts懷疑實際發(fā)生的安全事故比披露出來的要"多得多"��。他擔心BPO產業(yè)不會主動規(guī)范自身的行為����,直到它們不得不這樣做。"一次重大得事故可能引發(fā)一些改革��,"他說��,"大量的證據表明�����,除非有大事發(fā)生���,這類問題是不易得到關注的��。BPO產業(yè)的最終挑戰(zhàn)是趕在重大事故發(fā)生之前就采取行動����。"
本文節(jié)譯自Reining in Outsourcing Risk,原文鏈接:
http://www.strategy-business.com/press/sbkw2/sbkwarticle/sbkw051130?pg=0
豐祖軍是優(yōu)勝資訊高級顧問�,聯系方式:feng.zujun@gmail.com
優(yōu)勝資訊
