https://www.informationsecurity.com.tw/seminar/2025_Digicentre/
https://secutech.tw.messefrankfurt.com/taipei/zh-tw/programme-events/AIoT_SecurityForum.html

觀點

我來!我見!我供應!

2008 / 06 / 02
編輯部
我來!我見!我供應!
小心選擇,勤奮管理,才能充分利用緊縮的服務。

Rich Hoffman回憶,剛任職於北美Hyundai資訊服務(HISNA)的CIO時,就像正好把車開進最嚴重的壅塞車陣裡。許多日常工作,在經理人埋頭苦幹的同時,也漏掉了一些錯誤與瑕疵。至於工作人員,還是欠缺不足。
Hoffman問他的經理們,為什麼不填滿那些職缺。其中一個經理拿出一堆疊他應該要整理,卻沒整理過的履歷給他看。人事資源供應廠商已給了他們資料,但沒經過任何篩選處理。「這家承包公司所做的就是從Monster.com下載100份履歷表,然後,快速翻動那堆紙說『請從當中選一個』,」Hoffman娓娓道來。
Hoffman的反應是:「那公司叫什麼名字?」他問他的經理。「他們已經沒在這邊服務了」那經理回答。
供應商與CIO之間的關係,會出現一些漏洞。首先,有些供應商(像是Hoffman的人事供應廠商)一開始已是下下之選,再加上沒有適當的管理,以致於一敗塗地。即便是表現優異的供應商,假如他們沒有被好好地管理,也可能會不經意地傷害一家公司。例如,當一個企業不了解它的IT資產,以及合約內容的需求時,很容易在不知不覺中聘僱(或是允許公司中的其他人去聘僱)多家不同的供應廠商,去做一樣的工作。
「對一個部門來說,用同樣的軟體,以15種方式,在15個不同的地方,執行15次,這並不是什麼罕見的事,雖然它也許可以一次就完成實施整個部門,」Liz Brady表示—麻州劍橋市的Forrester Research調查機構資深分析師。
在其它案例中,供應商可以自我表現的非常好,所以可以獨立地持續作業好幾年,最後的結果是,此供應商比它服務的公司本身還了解該公司。尤其,假如這個供應商的人事狀況穩固,而其服務的公司在編制改組期間,有大幅縮減人員,或是內部人事有大幅異動時,更是如此。
Forrester機構了解一家公司的狀況,他們歷經了供應商與幾個核心供應商鎖定(vendor lock-in,註1)的型式,其中一個是提供企業應用的SAP。在SAP的案例中,「那家供應商已經在那邊7年了,而他們的客戶在3到4年後有所變化,」Brady表示。在提供證照期間,SAP根本是爬進駕駛座,一路開到「掌控所有該組織所需的營運程序知識」為終點,使企業很困難或者可說是不可能轉換供應商。
CIO可以透過更好的IT治理,選擇供應商與管理合約,以避免很多這類的不幸。「供應商管理對任何一個CIO來講,應該是排列很高的優先處理事項。CIO依賴供應商就像依賴他們團隊的一部分,」Brady表示。
供應商管理辦公室
規模較大的公司,更有可能透過建立一個供應商管理辦公室(VMO, Vendor Management Office),正式將治理標準形式化。根據Forrester的數字來源,擁有至少1,000個員工的公司,有39%都有VMO;而有5,000個以上員工的公司,則幾近一半的公司設立有VMO。
在一些公司中,VMO負責應付所有的供應商事務,並且直接向營運長報告。在較大規模的公司中, IT部門甚至可能有自己的VMO。
既然中階市場中的企業IT部門,沒有能力雇用全部所需的專業人才,就會選擇更依賴供應商。它可能雇用從十幾個到幾百個,範圍從利基應用(niche application)到束之高閣的顧問—那些以Oracle、SAP或其它商業軟體工具為基礎,來建立整個企業解決方案的顧問。
在HISNA時,Hoffman擁有1億美元的預算,以因應這個汽車製造業者在北美的企業成員之IT需求。對他們而言,他很像一個外部的供應商,因為他們也可以選擇跟隨其他供應者,假如他們不滿意他的價格或服務。但HISNA本身來講是一家公司,而且聘雇自己的供應商。
Hoffman傾向於把HISNA的供應商關係,以三個層級方式來思考:策略型群組,關係稍微更密切與具策略性的夥伴。策略型供應商會填補商品立即的需求,就像辦公室用品公司。下一個層級,是由幾個重要的合作夥伴所組成的群組,包括提供人事資源的公司,但是代表人物是很容易被交互替換的。最後一個群組為提供高度客製,與關鍵性任務的解決方案。
為了確認沒有任何一個供應商持有太多力量,Hoffman認為,維持每一種類型的供應商雇用幾個,是最好的辦法。「我從不喜歡用單一個供應者來提供所有事項,每種至少需要三個,」Hoffman說著,不管是租賃或是購買硬體。「我不需要更多,也不能更少,因為他們其中之一總是會消失」。
至於人力合約方面,他則致力於擁有5個供應者,因為「我總是想擺脫其中的一到兩個,」有很多理由。有時候他們轉移戰略,轉戰到不同的市場;有時候是HISNA對他們來說規模變得太大了。
但是,為什麼一個CIO,會隨時備有許多不同的供應商在手邊呢?即使有個供應商非常的脫穎而出。Hoffman說,因為最終你仍可能必須終止合作,即使有些是你最好的供應商。當供應商改變了彼此關係,它的效能可能會跟著變糟。而且隨著合併與收購,直到最近的融資合併活動,沒有誰能保證,明天還能擁有今天所信賴的供應商,或者新東家可能會帶來什麼樣的改變。
Hoffman挑選他的供應廠商是以大量的度量標準、專業技術以及其它方面為基礎,包括他們的認證、在此行業的時間長、過去的集會預算紀錄、前一張合約的最後到期日等。但是,他也會盡可能把規模問題銘記在心。例如,與海外服務公司的關係,「我們和Tier 2公司之間的合作,是產生最佳作用的。對Tier 1的公司來說,我們的規模不夠大,無法滿足他們,而Tier 3又不足以負荷我們的需求。」(在此案例中,Tier 1公司可能是Tata Consultancy Services顧問服務公司,一家立基在孟買的IT服務公司,每年收益超過40億美元)。
Hoffman說,他可以從Tier 2公司獲得較多的重視,像是Infogain公司—位於美國加州Los Gatos城鎮,於印度擁有上百位軟體開發人員。「我們的規模對他們來說是夠大的。我們得到他們的重視,也得到他們最好的服務,」Hoffman表示。「如果我去Tata公司,我只會掙到一個不起眼的傢伙來處理我的案子,因為我不是GE集團」。
廠商建議書、績效追蹤與培訓
有了這些戰略上的常識,會是一個好的開始,但是它們能發揮的作用也僅止於此。還必須真正地去分析供應商的報價與績效表現。CIO們已逐漸開始仰賴供應商管理系統,一系列的軟體計畫,使IT治理不但有根據可幫公司撰寫廠商建議書(RFPs, Requests for Proposals),而且可以評量報價,以及比對各式各樣的度量標準,追蹤供應商過去的表現。很多工具就近在咫尺,但是大多數人還沒開始善加利用。根據Forrester的研究,以中央擁有供應商管理辦公室的292個企業為對象,結果有1/4到1/3的企業表示,有運用軟體來作合同管理(contract management)、或服務水準協定(SLA, Service Level Agreement)、或是服務交付管理(service delivery management)。
然而,有些較大規模的中型企業,正促使供應商本身實施供應商管理流程。Brady說,Forrester從幾個公司回覆的訊息:「他們期待著他們的供應廠商,自我評估過去的展現,並且主動回報給他們。」其中一個公司告訴Forrester機構,它們已經開發了一個PowerPoint版式,可提供給每一種不同策略的供應商—從全世界的SAP,到像是Sun Microsystems的伺服器供應商皆可使用;它們必須填寫表格,每季提交成果。表格的問題在追蹤供應廠商如何處理截止期限、預算費用,以及其它服務水準協議等等。
既然供應商管理工具所能發揮的作用和使用它的人息息相關,公司已特別注意雇用來為合約把關的人員,它們特別偏愛那些擁有商業背景的人,像是持有企業管理碩士學位的人或是商業分析師。此外,那個負責追蹤合約的人,必須是經過認證的,供應廠商亦同,Marguerite Raaen表示,他是一位顧問,過去曾任職CIO,在許多其它公司擔任執行IT職位,包括美國教育部及英國電信公司大東電報局(Cable & Wireless)。
在她的職涯中,Raaen已經養成雇用顧問的習慣,來教導她的員工如何撰寫提案需求,如何簽定適切的服務水準協定、無懈可擊的合同內容,以及如何檢視報價與運用整個行業標準的字母湯(alphabet soup,註2)。包括CMMI (Capability Maturity Model Integration,能力成熟度整合模式。一種程序改善的方式,由美國賓州匹茲堡的卡內基梅隆大學軟體工程學會所開發)。
她同時也雇用顧問教導她的員工,有關供應商管理工具,包含企業資料管理軟體,它可以追蹤供應商工作狀況的流程和品質;生命週期管理軟體,則可追蹤IT資產的生命週期;而聯邦政府的eCPIC (Electronic Capital Planning and Investment Control,電子資本計畫與投資管控) 系統,則是用來獲取IT投資的最大回饋。
較大型的組織有較多的預算,Raaen就有辦法支付最高級的顧問,來作教育訓練。對於較小的組織,她則是在舉辦冰淇淋聯誼會或是比薩派對的時候,找專家來輕鬆談。她喜歡把錢投資在教育訓練上,因為失敗的後果是很不堪設想的。「假如你有幾個應用軟體失敗了,那麼業務員會發瘋、財務人員會發瘋、採購人員也會發瘋,然後你也差不多玩完了」她說。「因此,當你一開始有了預算,你所要做的事就是開始開拓一個明確的預算比例,去做風險管理。」對Raaen而言,那個百分比是7或8。
除了教育訓練本身可以帶來的好處之外,「我還要具備一個技能是,可以證實我能將風險最小化,以便在任何錯誤發生時,得以證明是我要求供應商,為我的廠商建議書簽署以績效為基礎的合同,也證明我所雇用的廠商,它們有教育我們如何做企業資料管理,」她說。其他CIO可能只想多多少少地撤銷教育訓練預算,「就看那個CIO有沒有氣魄,」她說。
「教育訓練後的不同著實令人驚奇」Raaen說著。還在大東電報局時,一開始她就遇到了幾個失敗的方案。但是在她任職期間的三年,她說,「我們沒有任何失敗的計畫。」Raaen把她的成功一部分歸因於,推行供應商管理標準,以及將它們施教於她的員工。中型企業可能會想,它們沒有能力負擔所有教育訓練上的投資;但是Raaen看到的是—它們無法負擔的,將是不做的後果。
與供應商討價還價
CIO在中型企業,與在相同性質但擁有更多預算,和更多進行中的計畫的企業比起來,更容易失敗。Raaen幾年前,在一個較小的中型企業服務期間,感到相當的壓力。當時她任職於Intelisys公司之營運發展暨嵌入式科技副總裁,一個電子商務解決方案供應商,其客戶包括美國大通曼哈頓銀行(Chase Manhattan Bank)與福特汽車公司。
在小型企業,「假如一個計畫告吹,馬上會被關注。假如只有6個供應商,而其中一個失敗了,你的執行長和董事會們會馬上知道。而你的財務長會去密告是你做的好事,」她嘲諷著。
還有呢,小型企業的客戶比較可能會「畢其工於一役」。在Intelisys時,假如Raaen的進度落後了,她的客戶會拿起電話,直接打給執行長,然後說,「我們無法安裝你們的線上採購軟體,因為Marguerite小姐還沒給我們它的密碼…」任何工作期限的疏忽,都會立即地讓狀況愈演愈烈,她表示。
老天爺不允許任何事有所差池。如果Raaen支付一個供應廠商撰寫軟體,「而且如果我安裝了那軟體後沒有作用,天殺的!我就馬上有機會見到董事委員了!」基於這個理由,所以有建立標準、工具,以及針對近距離監視供應商的教育訓練之必要,「尤其在小公司中更顯得重要,那會減少你失敗的機會。然後也會擁有更緊縮的預算控制,」她說。
比較這些策略問題的背景,相形之下,與供應商談價格似乎不重要了。但是對一個較小的中型企業而言,還是可以有很大的差異,Chapman and Cutler公司的CIO,Todd Nugent表示,一個位於芝加哥的法律公司,專注於一般公司與財政領域。Nugent發現,許多IT執行者非常善於談判服務水準協定,「但是又拙於價碼的談判。」事實上,議價甚至不在單子裡。「價格?那就是價格!喔,沒問題,可以開支票了!」Nugent學著,他從他的一些員工所雇用的供應商所言。
當然,Chapman and Cutler不是GE集團;但是中型企業仍然有足夠的支配力量,去和它的網路設備商、筆記型電腦和行動電話廠商們議價。當在找投標者時,Nugent讓供應廠商了解,他也同時與它們的競爭廠商對話,讓他們知道最低價。就像每個人都知悉購買一部新車的技巧一樣。當Nugent有了更多的靈活性,他就將採購期延至季後或年後,那時候供應商的業務人員就會心甘情願地降價,以符合它們此階段的銷售目標。
當購買價值數十萬美元的Sun Microsystems設備時,「表面組態(configuration)運作的很好」到了年終時,「很意外地,它們給的價格很棒—我們拿到15%的折扣」Nugent說。
Nugent在亞洲推展業務期間,更是精益求精他的談判技巧;在亞洲為了幾個銅板討價還價,常常在下午茶時間,被當作幾小時長的肢體舞蹈上演。可以的話,他會把他最得意的幕僚送到這邊,得到相同的訓練。他的方式是指導他們,然後讓他們自己去價格談判。當他們告訴Nugent,他們已經達到他們認為的廠商最佳價格,「我接手過來,而且再降到更低價格。我讓他們看到我是怎麼做的,指示他們再多做一點什麼,就能再擠一點出來,」Nugent表示。
然而,那是有限的。Nugent理解,假如他壓榨的太過分,這個交易中供應商會沒有利潤,接著,任何簡單的服務,供應廠商可能都已經盤算好了。「你可以讓某人的價錢壓到很低,那價位也可以讓他們對你聽而不聞」。Nugent表示。

Joan Indiana Rigdon是CIO Decisions雜誌的投稿作家。



註1 供應商鎖定(vendor lock-in)意思是,你採用了一個技術,即將自己鎖定在這家供應商身上,不能輕易轉換提供商。
註2字母湯(alphabet soup) ,此處指產業中眾多字母組合的辭彙或專有名詞縮寫。