CIO畅谈如何做好IT外包治理

　　在企业信息化进程中，越来越多的项目外包出去，越来越多的风险随之而来。IT外包的质量控制，从哪儿开始抓起呢？

　　1776年，英国着名经济学家亚当·斯密的《国富论》出版，在书中，斯密对“社会分工”在推动生产发展中的作用做了集中讨论。我们今天所要讨论的主体——IT外包，便是“社会分工”思想在IT建设、IT服务中的延伸。

　　随着外包项目数量的逐渐增多，风险也越来越高：如何评估服务商、合同条款、质量控制和定价等都是潜在的“陷阱”，哪一个环节出现问题，整个项目的进程、质量都会受到影响。

　　如何对IT外包项目进行质量上的控制，我们请来了中储运发展股份有限公司（以下简称“中储运”）信息技术部经理唐军、北京燕京啤酒集团公司（以下简称“燕京啤酒”）信息中心主任谢广军和四川省农村信用合作社（以下简称“四川农信社”）计算机中心主任章鸿三位，在对IT外包项目的各阶段进行分解后，请三位向我们介绍他们是如何进行IT外包项目质量上的把控的。

　　一般情况下，在IT外包项目的整个流程中，哪个环节最容易出现问题，而且，这样的问题会影响到最终项目的质量验收？

　　唐军：我先简单介绍一下我们企业的情况：中储运是一家传统的物流企业，以仓储为主，在国内算得上是较大的物流供应商。IT不是我们的强项，所以几乎所有的IT项目都在采用IT外包的方式进行。在过去的工作中，我觉得外包服务商的选择这个环节非常重要，选得不好，就很容易出现问题。前段时间，我们有个项目在进行的过程中，服务商由于自己的战略转型，导致我们的项目被搁置了下来，这样不仅对项目的进程、质量，包括后续的二次开发、升级等都产生了影响。现在来看，这样一个没有出结果的外包项目，实际上就是一个失败的例子。

　　章鸿：我也来介绍一下四川农信社的背景：四川农信社是地方中小型的金融机构，其总部在成都。我们现在有5000多个营业网点，存贷款约是3亿元，每天交易量是300万笔，就数据量的规模来讲，我们可以排入全国前十大数据中心。

　　农村信用社是1996年从农业银行分离出来的，2006年之前四川农信社的电子化水平基本没有进步，还维持在1996年从农行分离出来的那个水平上。2006年的时候，计算机中心成立了。当时我们的压力很大，其他银行做的所有系统，核心业务、办公自动化、信贷管理、查询分析等，我们都得做，他们有的我们也都要有。他们信息化建设了十几年，甚至二十几年，而我们却是从2006年才开始的。我们计算机中心现有员工70多人，这跟其他银行2000～3000人的规模是没法比的。所以对我们来说，所有的项目都得外包，也就是说，要在短时间内IT建设赶上竞争对手的步伐，我们就一定会选择外包。

　　IT建设了两年多，也就跟IT外包商打交道打了两年多，我感觉最容易出现问题的环节，一个就是刚刚唐总提到的服务商的选择，一个是在项目进行过程中，如何分阶段地实现目标，而不是“一口吃个大胖子”。

　　谢广军：燕京啤酒就不用多介绍了吧，我们是一个生产、销售啤酒、饮料的企业，信息化建设开始于上个世纪90年代，很多项目都是采用外包的方式在做。刚刚章主任说的“如何分阶段的实现目标”这点，我很赞同。我们企业也在不断地出现这种情况，因为多数项目之前的需求调研时间都是不够的，随着系统的开发，用户的需求会越来越多，这个时候就需要信息部门或者CIO来控制客户的需求，划定哪些是主要的，哪些是可以后置的，但这个往往又很难把握和沟通，所以这个环节非常容易出现问题。

　　刚刚有两位CIO提到了“外包服务商的选择”这个关键环节，那么，我想请问三位在工作中，有没有可以跟我们分享的选择外包服务商的好方法呢？

　　章鸿：在选择外包服务商上，我认为准确的评估很重要。你在招标书里要对这些投标公司进行非常明确的提示，不然会有非常大的后患。

　　例如我们的报表系统，在做这个报表系统的时候就有很多公司来投标，这些公司有的可能只是做过几百个网点的城市商业银行或者比较小规模的农信社的项目，他们会认为可能他们的系统直接拿到我这里来就能用，随即就报了一个比较低的价格，中标了。

　　但是在做的过程中，他就非常痛苦，因为数据量跟他以前做的完全不是一个级别，我这边是海量级的，他以前的程序全部要重新写，包括表的索引的设计、表跟表的关系等全部要变，就相当于重新写了一个新系统，而不是他们最初想象的那样，所以他们的低价格导致了亏本，甚至是可能到最后的对簿公堂，我们现在有一个供应商跟我们就出现了这样的危机。

　　对于如何控制你的外包服务商，我们有一个小方法。像刚刚唐总提到的，外包服务商对你的投入到底有多少很重要。外包服务商往往全国都有业务，很多个项目同时在做，那么它对你的投入到底有多少，这也是我们这样的金融单位在建设IT系统时非常关心的问题。

　　针对于此，我们的做法比较明确：要求与我们合作核心业务系统的公司必须在成都组建分公司，而且分公司的软件项目的经理、工作人员等关键岗位，我们会直接要求我们想要的人员，这些人必须达到一定资质，是技术骨干，公司中这样的人也必须保证一定的数量，为后续的服务打基础。

　　唐军：我们在选择外包商的时候，起初总是想找一些做过类似项目、有经验的IT服务商，但这种比较理想的很难找得到，想找一个完全熟悉你业务的IT外包商非常难。

　　后来，我们就转而找那些做过比较相近的项目的服务商。当然，还有一些指标就是技术实力、开发力量，但这些都是通常的指标。再有一个就是通过跟外包商前期的沟通，来了解它愿不愿意在仓储物流这个行业的信息化领域有长期的发展规划和决心，如果是这样的，我们就会达成一个战略合作伙伴的合作方式，建立一个“双赢”的模式。

　　谢广军：刚才章主任和唐总也做了一些方法的介绍，我们的方法也差不多。如果我们选IT外包服务商，我们会主要考虑以下几个方面的因素：

　　第一，其在行业内的经验。如果之前没有这个行业的经验，那么一个全新的行业、全新的项目对于任何一个开发商来说都是非常困难的；

　　另外一个是章主任提到过的，就是质量、成本的问题，在我们招标的过程中，不是价格越低越好，要对质量和成本等问题做一个量化的提示和约束。

　　其三，就是在项目进行过程中，一定要有公司内部业务部门、IT部门人员的深入参与，大家共同来做这个项目，便于及时掌握、了解项目开发的节奏、质量，这是非常有好处的。

　　非常感谢三位的宝贵经验。在选择合适的外包服务商之后，我们又需要如何做，来保证项目的顺利进行，直至完成？

　　谢广军：在实施过程中一定要加强与开发商的定期沟通，了解项目的进度，对项目的实施细节进行讨论。

　　另外，在操作过程中，“过程文档”的收集和整理也是避免IT外包项目风险的一个手段：一方面是项目进行一定要有套“标准化”的东西可依；另一方面也是防止开发商人员的流动而导致项目出现问题，让新来的接手人员能够通过文档很快地进入到项目中来。

　　还有，我们还采取了这样一个办法，在项目开发过程中，我们找了一家监理公司，把那些我们自己不太熟悉、不太了解的项目交给监理公司，因为他们专业性更强，对项目的质量和进度的控制更客观。

　　唐军：我也谈谈我个人的一些经验吧。我们公司在做的一些IT项目，几乎没有能够按时保质完成的。一般来讲，项目都会有一定的延期，很难在设计好的时间期限内完成，但是这里面的影响因素很多，这就需要我们要准确地把握项目的边界点，不能让一个项目无限地延时、扩大。

　　业务在不断变化、需求也在不断变化，这样会造成项目在管理上的问题：一方面希望将业务人员的要求都实现，一方面项目的时间不能无限延期，这样看似矛盾的问题，解决的最好办法就是要选择，一些需求可以放在以后升级、变更中实现。

　　这要明确地划出界限，控制一个IT外包项目的时间。一般的做法是在IT外包项目进行的过程中，尽量将风险划开，把项目分成一个一个的阶段，一部分可以放在项目后续的完善中实现，按阶段、按计划地完成，类似于“阶段性研究”。

　　章鸿：从我们的经验来看，对项目质量的管控，引入一些标准化的管理是非常重要的。在前面，对一些外包商选择时，可能我们对他们的资质有过一些要求了，那么这种资质是怎么得来的，这时候可能情况就比较复杂：有的是通过各种做工作的方式，但它的项目开发可能不一定是按照行业内软件开发的标准来做，这样的话，资质到底值多少就不得而知了。

　　针对这个方面，我们会对开发商有比较严格的要求。像我们现在正在运行的核心业务系统，它涉及大概1000多个交易、近100万个代码行、800～900个表、记录数达到7亿条，在这么一个大规模的系统开发、升级、变更中，可能每做一个变更如果不小心一点，可能就会对系统产生比较大的影响。

　　而且，我们这个系统面对的是全省几千万的客户，没法接受它停下来的事实。我们也花了资金采购了专业化的从开发到发布的管理工具，另外也要求服务商必须严格按照软件开发的要求来做。但是，完全按照要求来做，可能也是有点理想化。但是如果双方都明白如果这个系统如果出了问题，对于甲方和乙方都是非常严重的后果的话，双方应该能够求同存异，共同来努力地按照一种标准、规范来做，降低风险。

　　谢主任提出了一个非常有意思的名词——“IT监理”，我想请问，借助第三方监理机构的帮助来保证IT外包项目的质量，三位是如何考虑的？

　　唐军：我们到目前为止还没有引入过IT监理这种方式来做事，因为实际上我们信息部门就在履行第三方监理的角色。原因主要是我们会认为第三方的监理机构并不是我们仓储物流行业最专业的人士，最终的评估可能还不如我们系统内部的行业内的专家更明确需求是什么。

　　也许第三方的监理机构可能对技术方面更精通，但是若要评估这个系统是否更适合用户的使用效果，可能未必是权威的。这中间的协调工作是我们信息部门在做。

　　章鸿：从我们现阶段的工作来看，还没有引入第三方监管这样一个措施，但是刚刚谢总提到的这个思路，我个人的感觉是有必要的。现在我们系统对整个项目的阶段性控制，一是需求上我们尽量精简和明确，就是把核心的东西明确提出来，对业务部门尽量跟他们讲清楚道理——“不能说想变就变”。我们的每一个项目组都是甲乙方混编，所以说项目进度的控制我们甲方也是非常清楚的。另外，我们在合同中都有限时的条款，把一个项目按时间分成不同的阶段，每一个阶段都有一个时间点，过了这个时间点，每超多少天，我们都有相应的处罚性条款。

　　下一步，我认为非常有必要引入第三方的监理公司，按照标准化的流程进行监理。但我想问谢主任一个小问题，假如开始一个比较新的项目，可能会面临我怎么知道我引入的这个监理可以对整个项目进行控制，而不仅仅是一个形式上的东西？现实是引入监理公司非常有必要，但如何保证监理公司的实力是可以帮你来做项目的监督管理的？我也希望谢总给我们介绍一下。

　　谢广军：对于监理公司这个问题，我们公司是这样处理的。在跟监理公司签订合同时，有一些约束条款，包括收益、项目控制、人员等，特别是我们不熟悉的业务层面的人员，一定是经过我们同意的人员在负责监理，而且监理过程中，监理机构也有标准化操作文件，按照这个标准化的东西来约束监理公司，最后将这三个方面的利益平衡，也让监理公司尽责任。

　　自从我们有一个系统尝试性地引入了监理公司以后，服务商过程控制也变得非常严格、标准，包括我之前提到的“记录文档”。之前，在没有监理公司的时候，很多事情很难说清楚，责任不明，有监理公司在的时候，不仅对开发商是一个约束，对我们来说也是一种约束。我认为对于项目质量的控制上，引入第三方监理是非常有好处的。

　　假如系统都外包了，过程监控也交给监理机构了，那么，我们自己的IT力量怎样来培养呢？

　　谢广军：在系统开发过程中，我们自己的IT人员和业务人员是深度参与的，甚至会参与到代码开发中。有时候会涉及到知识转移的问题，针对系统构架、功能做培训，因为最终系统维护还是要落实到公司内部来做。开发的过程中企业可能没有必要组织很多的技术人员，可是在维护和应用的过程中，必须由自己的人参与，这也包括后期的二次开发、升级的工作。

　　章鸿：我们现在计算机中心的软件开发人员大概有30个人，其中有10个是在做核心业务系统，他们现在已经全面接管了核心业务系统的所有工作：系统优化、调整。当时系统开发时他们也都是全程参与的。所以对他们来说，接管这个核心系统难度不大。

　　我另外还有20个人，有大概12个人员在负责我们的渠道业务，比如：代收水费电费、电话银行、大小额支付、报表系统；还有大概七八个在做办公自动化、经营管理系统等，平均下来，大概每个人要涉及1.5个系统的管理、维护、升级等一系列工作。

　　我们的培养方法不是培养“救火员”，而是培养项目管理人员：我们在每一个系统都固定了我们自己的IT人员来做项目经理的“副手”，他更多的工作是参与对项目整体方向的把握，出现问题时，不至于茫然。

　　唐军：我认为最好的培养的方法就是让我们自己的IT人员直接参与到外包项目中去，与服务商共同组建一个团队，从最开始的需求调研，到后期的开发、上线，整个流程走下来，他就对这个项目非常了解了，任何问题都难不倒他。而且有过这样的“实战经历”后，以后项目运行过程中出现了什么问题，他也能够很好地处理和把控。这应该也算是降低外包风险的一种方式吧。