外包風險的管理（上）

豐祖軍編譯 2006/02/17

　　隨著近年商業(yè)流程外包（business process outsourcing，簡稱BPO）的興起，隨之而來的風險--諸如從個人資料盜竊的孤立事件到可能給業(yè)務運作造成嚴重紛擾的大型災禍，正在引起人們的擔憂。

　　由于擔心失去控制，發(fā)包的公司開始要求他們的服務提供商在工作流程中實施更嚴格的監(jiān)控措施，以保障數(shù)據(jù)安全，防止欺詐。BPO客戶把"最佳實踐（best practices）"的移植當成當務之急，即把自己的最佳實踐移植到外包服務提供商那里，包括全套的文檔和定期的審查。此外，有的公司正在部署新的跟蹤系統(tǒng)以使他們能夠?qū)崟r地監(jiān)控他們發(fā)包出去的BPO業(yè)務。同時BPO業(yè)務的提供商也在對員工執(zhí)行更嚴格的背景篩查，而且，有些較大的BPO公司對于違反安全制度執(zhí)行零容忍政策（zero-tolerance policies）。那些主要的BPO目的國（如印度）政府也面臨越來越大的壓力，被要求強化私人信息和知識產(chǎn)權保護的法律，并且加強執(zhí)法的力度。

三種類型的風險
　　沃頓商學院運營與信息管理教授Ravi Aron是外包趨勢方面的權威。他說，除了老式的盜竊行為之外，外包產(chǎn)業(yè)面臨的風險主要包括三大類型：

運營風險（Operational risks）。運營風險體現(xiàn)為時間、成本、質(zhì)量方面的偏差。Aron教授說運營風險頻繁發(fā)生于工作流程轉(zhuǎn)移過程中的中斷，或易于發(fā)生人為差錯的反復性流程。他指出，運營風險的發(fā)生不是由于主觀故意；當服務提供商不是完全理解顧客的要求時，更易發(fā)生運營風險。

戰(zhàn)略風險（Strategic risks）。戰(zhàn)略風險來源于服務提供商或它們的雇員故意的機會主義行為。盜竊知識產(chǎn)權是最常見的--但遠遠不是唯一的--例子。另一種類型的戰(zhàn)略風險涉及到服務商員工配置不足、偷工減料。第三種是Aron教授所稱的"依賴失衡（asymmetry of dependence）"："前三年一切正常，等到需要更新合同時，服務商提出價格要加倍，因為他知道客戶已經(jīng)不能自拔，到這時候要轉(zhuǎn)換服務商談何容易！"

綜合風險（Composite risks）。復合風險表現(xiàn)為當一個客戶公司把一個流程外包相當長的一段時間之后，它自經(jīng)不再具備自行實施這個流程的能力。"例如，經(jīng)過8到10年之后，一個金融服務零售公司可能不再具備后臺運營能力（back-office operational capabilities），因為它所有的零售客戶都是由位于毛里求斯或馬尼拉的離岸服務商管理的，"Aron教授說。潛在的問題就是，當這家客戶公司試圖推出一個新產(chǎn)品時，會發(fā)現(xiàn)所需的內(nèi)部處理技能（in-house skills）都蕩然無存了。Aron教授指出這類風險有一個相對容易的解決方案：企業(yè)對于外包出去的技能可以保持一個最低數(shù)量的自有能力，有備無患。

　　運營風險和戰(zhàn)略風險須要多管齊下的防備措施。第一步，Paul Fielding（位于達拉斯的專注于全球金融機構國際外包和離岸關系的Booz Allen Hamilton公司的項目總監(jiān)）說，客戶公司認識到"當你外包一個項目時，你不能把對那個項目的責任（responsibility and accountability）也外包出去。"例如，客戶公司為了維護數(shù)據(jù)安全，應當確保任何個人都不能完全地接觸信息。"對金融機構來說，很重要的是要做到責任分割，這樣任何個人都不能將整個公司置于風險之下，" Paul Fielding說。為此，企業(yè)必須理解工作流（workflow）和供應鏈（supply chain），以識別出風險點，在這些點上設置控制閥。他跟蹤研究過的案例都是涉及到單一的風險點，因而"他們都是可以防患于未然的。"

　　Paul Fielding還提出警告：不要過分依賴硬件和軟件作為風險保障。更多的防火墻并不一定代表安全性提高了，除非它們維護得當；他還補充說，不少公司在最佳實踐方面半心半意。固然，企業(yè)必須確保技術跟得上步伐，包括防毒軟件更新。"對于每一項[安全]技術，都有人在琢磨如何破解它，"他說。

聚焦最薄弱環(huán)節(jié)

　　發(fā)包的企業(yè)應當把注意力集中的相互依賴性（interdependencies）上，沃頓商學院商業(yè)與公共政策教授、而且還是風險管理與保障專家的Howard Kunreuther說。"供應量和外包的最大挑戰(zhàn)在于，當你與多個機構聯(lián)為一體時，你如何著手更好地管理風險，"他說。"整個體系中的一個薄弱環(huán)節(jié)就能讓大家都完蛋。"他舉了一個例子，一個公寓套間的房主在房間安裝了感煙器、報警器、灑水器、以及其他保護裝置；但保險公司不為所動，除非那間公寓大樓的所有住戶都采取了類似的保護措施。"這種相互依賴性的問題還完全沒有被觸及，然而它可能是思考風險問題時首先要面對的重中之中。" Kunreuther教授說。

　　當一個公司所面臨的風險部分地取決于其他公司的行為時，安全問題就是相互依賴的。更重要的，其他公司的行為影響到第一家公司減低其風險暴露度的動機。"即使某家航空公司擁有完美無缺的檢測系統(tǒng)也不能安枕無憂，" Kunreuther教授在與人合寫的一篇關于民航安全的論文中寫道，"因為只有經(jīng)由這家航空公司開始其旅程的旅客的行李才在被檢測之列；那些從其他航空公司轉(zhuǎn)過來的行李不在其內(nèi)。"相互依賴的計算機網(wǎng)絡也是如此：一旦一個黑客或病毒達到網(wǎng)絡上的一臺計算機，其他的計算機就相當容易被感染。類似這樣潛在的未經(jīng)控制的風險暴露減低了單個計算機操作員保護自己免受外部黑客攻擊的動機。如果黑客經(jīng)由一個"薄弱環(huán)節(jié)"已經(jīng)進入到網(wǎng)絡之中，那么最嚴格的網(wǎng)絡安全也沒有什么大用處了。

　　美國的一些金融服務公司已經(jīng)認識到全行業(yè)統(tǒng)一行動的必要性。識別和管理外包風險是位于華盛頓DC的BITS（Banking Industry Technology Secretariat，銀行業(yè)技術秘書處）的一個持久主題。在過去的2年，BITS的一個包含40個成員的IT服務提供商工作組制訂了4個文檔，作為其成員組織設計風險管理戰(zhàn)略的指南。"這些文檔內(nèi)容全面，為外包生命周期的全過程提供建議和思路，" BITS的資深顧問Faith Boettger說，"這份報告是從金融機構作為一個用戶的視角來寫的：金融機構需要做些什么，應當采取那些與風險相應的控制手法，具體國家的背景信息有哪些，等等。"

　　BITS的資料幾乎無所不包，從雇員背景篩查的關鍵思路到外包合同終止條款方面的建議。但即使BITS做的這項工作也不能確保萬無一失。并不存在一個正確的答案可供一個機構來考量某個特定類型的風險，Boettger女士說�？剂烤唧w的風險很大程度上依賴于發(fā)包出去的服務的細微之處以及所內(nèi)含的風險。"我們提供了思路讓組織用來管理風險（to manage risk），而不是測量風險（to measure risk），"她提醒說。

本文節(jié)譯自Reining in Outsourcing Risk，原文鏈接：
http://www.strategy-business.com/press/sbkw2/sbkwarticle/sbkw051130?pg=0

豐祖軍是優(yōu)勝資訊高級顧問，聯(lián)系方式：feng.zujun@gmail.com

優(yōu)勝資訊公司供稿 CTI論壇編輯

相關鏈接:

呼叫中心人力全程優(yōu)化解決方案研討班（廣州） 2009-08-17

優(yōu)勝資訊新課程—辦公室電話禮儀 2008-09-24

電話營銷項目需要策劃而不宜盲動 2008-05-19

決勝千里——呼叫中心未來價值 2008-04-29

外包服務質(zhì)量管理問題的幾點思考 2008-04-28