随着近年商业流程外包(business process outsourcing,简称BPO)的兴起,随之而来的风险--诸如从个人资料盗窃的孤立事件到可能给业务运作造成严重纷扰的大型灾祸,正在引起人们的担忧。
由于担心失去控制,发包的公司开始要求他们的服务提供商在工作流程中实施更严格的监控措施,以保障数据安全,防止欺诈。BPO客户把"最佳实践(best practices)"的移植当成当务之急,即把自己的最佳实践移植到外包服务提供商那里,包括全套的文档和定期的审查。此外,有的公司正在部署新的跟踪系统以使他们能够实时地监控他们发包出去的BPO业务。同时BPO业务的提供商也在对员工执行更严格的背景筛查,而且,有些较大的BPO公司对于违反安全制度执行零容忍政策(zero-tolerance policies)。那些主要的BPO目的国(如印度)政府也面临越来越大的压力,被要求强化私人信息和知识产权保护的法律,并且加强执法的力度。
三种类型的风险
沃顿商学院运营与信息管理教授Ravi Aron是外包趋势方面的权威。他说,除了老式的盗窃行为之外,外包产业面临的风险主要包括三大类型:
运营风险和战略风险须要多管齐下的防备措施。第一步,Paul Fielding(位于达拉斯的专注于全球金融机构国际外包和离岸关系的Booz Allen Hamilton公司的项目总监)说,客户公司认识到"当你外包一个项目时,你不能把对那个项目的责任(responsibility and accountability)也外包出去。"例如,客户公司为了维护数据安全,应当确保任何个人都不能完全地接触信息。"对金融机构来说,很重要的是要做到责任分割,这样任何个人都不能将整个公司置于风险之下," Paul Fielding说。为此,企业必须理解工作流(workflow)和供应链(supply chain),以识别出风险点,在这些点上设置控制阀。他跟踪研究过的案例都是涉及到单一的风险点,因而"他们都是可以防患于未然的。"
Paul Fielding还提出警告:不要过分依赖硬件和软件作为风险保障。更多的防火墙并不一定代表安全性提高了,除非它们维护得当;他还补充说,不少公司在最佳实践方面半心半意。固然,企业必须确保技术跟得上步伐,包括防毒软件更新。"对于每一项[安全]技术,都有人在琢磨如何破解它,"他说。
聚焦最薄弱环节
发包的企业应当把注意力集中的相互依赖性(interdependencies)上,沃顿商学院商业与公共政策教授、而且还是风险管理与保障专家的Howard Kunreuther说。"供应量和外包的最大挑战在于,当你与多个机构联为一体时,你如何着手更好地管理风险,"他说。"整个体系中的一个薄弱环节就能让大家都完蛋。"他举了一个例子,一个公寓套间的房主在房间安装了感烟器、报警器、洒水器、以及其他保护装置;但保险公司不为所动,除非那间公寓大楼的所有住户都采取了类似的保护措施。"这种相互依赖性的问题还完全没有被触及,然而它可能是思考风险问题时首先要面对的重中之中。" Kunreuther教授说。
当一个公司所面临的风险部分地取决于其他公司的行为时,安全问题就是相互依赖的。更重要的,其他公司的行为影响到第一家公司减低其风险暴露度的动机。"即使某家航空公司拥有完美无缺的检测系统也不能安枕无忧," Kunreuther教授在与人合写的一篇关于民航安全的论文中写道,"因为只有经由这家航空公司开始其旅程的旅客的行李才在被检测之列;那些从其他航空公司转过来的行李不在其内。"相互依赖的计算机网络也是如此:一旦一个黑客或病毒达到网络上的一台计算机,其他的计算机就相当容易被感染。类似这样潜在的未经控制的风险暴露减低了单个计算机操作员保护自己免受外部黑客攻击的动机。如果黑客经由一个"薄弱环节"已经进入到网络之中,那么最严格的网络安全也没有什么大用处了。
美国的一些金融服务公司已经认识到全行业统一行动的必要性。识别和管理外包风险是位于华盛顿DC的BITS(Banking Industry Technology Secretariat,银行业技术秘书处)的一个持久主题。在过去的2年,BITS的一个包含40个成员的IT服务提供商工作组制订了4个文档,作为其成员组织设计风险管理战略的指南。"这些文档内容全面,为外包生命周期的全过程提供建议和思路," BITS的资深顾问Faith Boettger说,"这份报告是从金融机构作为一个用户的视角来写的:金融机构需要做些什么,应当采取那些与风险相应的控制手法,具体国家的背景信息有哪些,等等。"
BITS的资料几乎无所不包,从雇员背景筛查的关键思路到外包合同终止条款方面的建议。但即使BITS做的这项工作也不能确保万无一失。并不存在一个正确的答案可供一个机构来考量某个特定类型的风险,Boettger女士说。考量具体的风险很大程度上依赖于发包出去的服务的细微之处以及所内含的风险。"我们提供了思路让组织用来管理风险(to manage risk),而不是测量风险(to measure risk),"她提醒说。
将组织延伸
如果发包的公司把自己的最佳实践成功地转移到服务提供商那里,许多风险就可以避免,Paul Fielding说。做到这一点远非写到纸面上就可以了,客户公司和服务提供商须要持久地密切协作。"通常,我们看到的合同是一些人试图利用合同语言免除自己的责任,而外包供方被赋予了自我监督的责任," Fielding说。指导原则应当是"信任,但要查证确实(trust, but verify)。"
如何做到?沃顿商学院的Aron教授提出一种"延伸的组织形态"。这种模式结合了两种治理方式——一种是由外包"市场"所施加的,另一种是内部的管理体系。"市场"的主要约束是成本效率,而内部管理带来系统的控制。"延伸的组织形态"可以给企业带来外包给第三方供应商所具有的成本优势,同时又使得发包公司有能力对项目的实施情况进行实时的控制。
"延伸的组织"的关键是成立一个项目小组(program office),发包公司和外包商在精心设计的监控体系的帮助下,密切合作。比如印度班加罗尔的IT服务提供商Wipro使用自己开发的Veloci-Q系统,允许顾客在线监控项目的进程,实施质量控制,并对班组甚至个人的工作绩效进行实时的跟踪。另一家印度外包公司Office Tiger所使用的TigerTracks也是一个类似的工具。这两种工具监控的绩效指标数量达到客户要求的4~5倍。之所以能够做到这样,是因为它们有这样的信念:它们应该成为客户公司的延伸,Aron教授说。Booz Allen公司的Jon Watts认为还可以走得更远一些:外包商和发包公司可以结成联盟,相互持有对方的股份,以确保利益的一致。
安全方面的担忧对于BPO产业来说是一个品牌认知的问题——威胁到行业的成长。在最近的Booz Allen Hamilton离岸外包安全调查中,30个应答者中的24个感到他们公司在离岸外包地点的系统和数据存在很高程度的安全隐患。Watts建议BPO行业可以向瑞士银行业——曾经是替客户完全保密的同义语——学习。"只要你说'瑞士银行业',你的意思就是说绝对的保密和绝对的信任。"
其实,并没有靠得住的理由相信离岸外包就一定意味着更大的风险。Aron教授说美国公司在所谓CPI国家(中国、菲律宾、印度)的离岸外包中心的风险暴露度实际上比在本土更低。"社会保险号码对一个印度或中国的坐席员并没有什么用处,他们不能够在新德里或上海申请信用卡。" Aron教授还说呼叫中心的岗位在CPI国家是受人羡慕的,员工更加在意失去它们,因而更加不会犯规。
另一方面,Jon Watts怀疑实际发生的安全事故比披露出来的要"多得多"。他担心BPO产业不会主动规范自身的行为,直到它们不得不这样做。"一次重大得事故可能引发一些改革,"他说,"大量的证据表明,除非有大事发生,这类问题是不易得到关注的。BPO产业的最终挑战是赶在重大事故发生之前就采取行动。"
本文节译自Reining in Outsourcing Risk,原文链接:
http://www.strategy-business.com/press/sbkw2/sbkwarticle/sbkw051130?pg=0
丰祖军是优胜资讯高级顾问,联系方式:feng.zujun@gmail.com
优胜资讯
