今天我們要看的流程再造是關於供應商管理

供應商基本上可以視為團隊的延伸，也屬於團隊的一部分，但有其特殊性管理方式也不同

我們今天就來看看當初團隊所處的情況，以及後續是怎麼協助再造的~

Situation

當初團隊進駐的時候，資訊相關的供應商幾乎是沒有管理制度的，該組織過往的策略是在各部門如果有資訊上面的需要可自行採購，包含軟硬體、網通設備等等。
既有 IT 團隊自己本身對於供應商的管理也是很鬆散，當筆者的團隊進一步確認外包所提供的服務內容時，往往服務內容實際上不符合應該有的品質，更進一步的說，
當時的組織與供應商合約，很難有辦法無法保護組織的利益。可想而知，在沒有人看管的情況下供應商的服務品質也沒有到水準。在團隊看來，有一句話可以形容當時的情況，供應商把組織當作提款機，雖然聽起來不好聽，但這是真真實實的狀況。

所以對於組織內，資訊相關供應商的管理大致上有幾個狀況:

1. 各部門有自己的供應商，當有新軟硬設備要安裝時，IT 僅僅是被告知要配合，造成資安疑慮
2. 各部門不懂資訊系統，所以很多東西可能會重複花錢
3. IT 本身對於供應商的品質控管等於沒有
4. 整個組織的資訊相關供應商現有服務狀況如同迷霧
5. 資訊相關的供應商預算，哪些服務需要預算支援，預算是否花得值得
6. 與供應商的合約是否真的能夠保護組織本身？

Task

所以對於團隊來說，在進入該組織時有幾項供應商的管理要進行的 Task

1. 確認組織各部門現有資訊供應商的服務有哪些，資安上是否有疑慮
2. IT 與各部門現有供應商的品質與配合度究竟如何
3. 提升 IT 本身要能夠控管供應商的能力
   • 提升 IT 與供應商的協作能力
   • IT 要能夠驗收供應商的 Deliver 結果
4. 收攏全組織的資訊相關需求，各部門有資訊需求一率向 IT 提出，由 IT 提供 solution
5. 規劃服務需要供應商的預算支出

Action

團隊實際的作為大致上可以分為以下幾個故事線

1. 每年預算會議，規劃一場由各單位向 IT 提資訊需求的會議：

   • 所有的資訊系統要由 IT 統一控管(就算各單位自己找供應商，最後也是要透過 IT 授權，才可以接觸資訊系統
   • 所有資訊系統相關的合約都要過 IT，評估、到最後簽約要同步過 IT，IT 沒有 sign，合約不成立
   • 這過程當然就會有很多的哀嚎與反對聲，很實際的是，原本各部門有自己的預算可以隨意找廠商來完成自己的需求，現在要在每年預算會議時，就要提出自己部門下一年度的需求。依照各部門的能力，有些部門可以提出，有些部門則是先抱怨，後面發現自己有需要的時候才到 IT 部門哀，不過對團隊來說是可預期的組織風格

2. 盤點組織現有供應商的服務項目與品質:

   • 團隊在該組織盤點了幾個大概的資訊需求：
     • NAS，大量儲存裝置
     • 因單位特殊性所需電腦設備
     • Server
     • 電腦軟體
       • 如 adobe 專業版、特定輸入法等
         這些都牽扯網路環境，所以團隊也進行了以下處理：
     • 防火牆 policy 檢視
     • 相關設備的安全性 patch
     • 相關軟體安全性
     • 相關設備可用性
     • 盤點既有 IT 供應商的品質：
       • 要求備份服務的供應商履行合約上備份服務與 DR 作業
         • 結果供應商根本就沒辦法提供相關服務，那過去的 IT 人員到底是....
       • 要求 VM 供應商執行相關作業
         • 在需要系統升級等作業時，結果該廠商員工愛來不來，連廠商管理層都叫不動
       • 要求防火牆供應商協助處理防火牆事宜
         • 只能說防火牆亂到供應商把原廠都請來了都還解不了...只能用其他方式 workaround
         • 不過此供應商的配合度與積極度是可以的，算是有想要做生意..

3. 針對數轉需求，團隊也遴選了現代化基礎建設相關的廠商：

   • 針對「以雲端為中心的行動化辦公室」的部分找來了微軟底下的配合廠商，團隊做了以下事情
     • M365 線上協作模式導入
     • Microsoft entra 管理帳號
       • 與廠商協同作業，自動化處理人員到、離職議題
     • Microsoft intune 裝置管理
       • 廠商同時也是微軟電腦設備供應商，所以任何裝置的軟硬需求(如出廠預設等)都有相關能力處理
   • 針對資安的部分，因團隊資源有限，透過資安特別預算遴選的廠商，團隊也要求做了以下幾件事
     • 每個月必須有資安匯報，包含組織現有一般 user 裝置狀況、帳號風險、服務設備風險與市場上的資安現況對應組織風險等
     • 資安事件發生時的顧問

4. 根據上述三點，IT 對於組織需要供應商的服務進行廠商遴選與編列年度預算

   • 這部分做到以下幾件事
     • IT 內部窗口需要成為把關者，透過團隊管理層的安排，讓團隊成員可以正確的交付與控管要求供應商應有的服務
     • 廠商的遴選從小規模測試開始，檢視廠商在服務交付的品質以及後續維運上面的配合是否有其標準
     • 平常就需要維持與廠商的溝通，確保廠商的人員異動狀況，避免緊急狀況時找不到人或是廠商的人員搞不清楚狀況
     • 檢視相關合約，確保錢花下去是真的能有其效果，而不是被廠商痛宰

Result

以上看似簡單，但實際上要做起來是真的很耗團隊資源與精神，但從各個小部分做起，團隊有以下的成果

• 有效控管組織對資訊的需求

  • 透過團隊的把關，將組織內部的資訊需求做整合，並提供專業的 solution 給組織內部
  • 這部分替組織省下了因為重工所支付的成本
  • 例如某個案子一開始對外開需求需要 600 萬客制費用，IT 把關後，降到每年支付 20萬左右，差了 30 倍

• 汰換不適任的供應商

  • 團隊透過相關機制，讓無法提供服務的廠商被淘汰 (聽說淘汰後已倒閉..)，減少無法產生效益被當冤大頭至少千萬的支出
  • 防火牆 HA 設立時，因原本規則被兩三廠商東改西改，改到連原廠顧問也不知道就算是 reclone 也不能 work，只能整台送回原廠...

• 導入合適的供應商

  • 為符合數轉需求，導入經驗豐富、配合度高的廠商，在實際上確實降低 IT 維運的負擔與提高資安韌性

• 其實看下來，團隊在供應商管理的部分，最重要的也是達成了以下目標

  • 營運增長與優化
  • 風險控管