英国内阁办公室毫不掩饰其对开源软件的热情。他们提供了一份政府行动计划,将开源纳入了他们的ICT战略,甚至为政府买家提供了开源采购工具包。他们看到了与其美国同行相同的优势:更具竞争力的软件市场、更多创新、更多跨部门协作、更少的孤岛、更好的安全性以及更多国内软件开发公司的机会。然而,尽管面临类似的挑战和相似的市场条件,英国尚未看到像美国那样的开源采用率。
几周前,我有机会与英国政府和行业中一些充满活力和才华横溢的人共度一周。双方都感到沮丧。政府方面渴望看到更大的开源采用率,而行业方面则感到由于各种原因无法实现这一目标。英国的政策仍处于早期阶段,但美国式的开源采用仍然感觉遥不可及。
一些人(包括我自己)认为,英国和欧洲倾向于自上而下的政策制定,而牺牲了以市场驱动的方法,后者侧重于消除障碍和创造激励。在美国,有人认为,开源始于学术和研究工作,通过在网络边缘提供核心互联网服务进入企业IT,并最终开始支持关键任务工作负载。美国的政策制定批准了,而不是领导了一场已经开始的变革,因此从未担心开源是否会成为主流或可行。套用法国政治家亚历山大·奥古斯特·莱德鲁-罗林的说法,美国的政策机构必须了解其人民的走向,以便能够领导他们。
在花了一周时间讨论这个问题后,我现在意识到这种解释是不够的。我们必须考虑到十多年来几乎相同的市场条件,这些条件本应推动英国走向开源采用。毕竟,良性忽视和不干预的亲市场政策正是英国之前所拥有的。显然,如果市场能够充分解决问题,内阁办公室就不会感到有必要采取行动。
在我们的会议中,“文化”经常被援引为采用速度较慢的另一个原因。与美国一样,“文化”是组织惰性的常见替罪羊。这是我个人非常反感的一点。“文化”是一种令人遗憾的、可以接受的表达挫败感的方式。你无法“修复”一种文化。但是,你可以修复结构:一套复杂的市场动态、政策和程序,这些因素共同塑造了所讨论的行为。
因此,如果我们认为这是一个结构性问题,那么值得回顾一下这种结构是什么样的。与美国一样,英国政府的IT并非由政府进行,而是由私营部门系统集成商(行话中的“SI”)进行,他们被合同聘用以满足政府提出的一系列要求。例如,当政府需要一个新的IT系统来支持一项福利计划时,他们将创建一个招标,其中定义了所需的能力,而实施细节则留给集成商。假设是,系统集成商将因其在其他公共部门项目上的专业化和经验而降低成本并改善服务交付。在大多数情况下,IT系统从公共部门向系统集成商的过渡是成功的,无论是在美国还是在英国。但是,尽管这些结构相似,但我现在确信,美国和英国采购制度之间的细微差异可能解释了它们开源采用率的巨大差异。
在这种安排中,政府与行业之间在政府应在多大程度上控制实施细节方面存在持续的紧张关系。在英国,我对政府和行业责任之间划定的界限感到惊讶。“风险”是经常被提及的话题。如果政府干预实施的任何方面,他们都会引入可怕的“风险”,这在政府看来似乎是一个昂贵、令人不快且令人厌恶的主张。集成商可以预见地阻止政府干预,他们辩称应该允许他们代表政府做出最佳选择。毕竟,政府不是为了摆脱IT业务才将这项工作进行招标的吗?
另一方面,在美国,政府深度参与实施细节并不罕见。采购可能不会指定特定的供应商或提供商,但招标语言可以明确表明政府是否对一种通用方法相对于另一种方法有偏好,尤其是在机构的IT资产组合管理策略的背景下。例如,美国陆军通过其通用操作环境框架管理其IT资产组合,该框架定义了标准、平台和其他细节,而在英国,这些细节将完全属于行业的权限范围。
我的一位同事对英国一项新的合同实践感到非常兴奋:政府邀请行业参加公开会议,讨论新合同,行业可以提出关于这些合同的问题。我过了一会儿才意识到他谈论的是美国常见的做法:行业日。经过多年的挫败感,行业日等采购工具在美国应运而生,以鼓励政府和行业之间的讨论,尤其是在合同招标之前。美国的采购人员现在认为这些合作是明智合同的先决条件。我听到许多英国政府代表讨论在其采购中采用“资产组合管理”方法的可能性。这是个好消息。很难想象没有美国式的自由来与供应商互动和干预他们的实施,就能制定有效的资产组合管理策略。
这引出了两国外包策略之间的另一个区别:合同工具的期限和持续时间。在美国,即使在同一机构或部门内,也有成千上万份合同用于成千上万项任务。在经历了许多非常糟糕的长期合同之后,在这些合同下,集成商在多年时间内几乎没有竞争,结果可想而知地很差,现在立法和行政部门对较短的合同有明显的偏好。对于生命周期出了名地短的IT来说,尤其如此。在英国,我对现有合同的规模和范围感到震惊。一旦集成商或集成商团队获得了合同,似乎他们的在位就得到了多年的保证。这些大型、长期合同强烈鼓励集成商与其软件供应商签订大型、长期合同,进一步将政府锁定在它无法控制的IT系统中。我理解英国正在转向更多、更小的合同,但这些巨型合同已经对英国政府的创新产生的影响是可以预见的。
因此,美国机构有能力坚持新技术并鼓励新方法,而他们的英国同行则没有。他们可以根据自己的意愿或多或少地自由管理自己的IT资产组合。如果行业合作伙伴不遵守政府的愿景,他们也可以制造后果。无论政府对其自身IT项目的干预是否成功,额外的自由无疑使创新更有可能被引入到项目中。更频繁的竞争性招标也成为行业引入新方法的动力,以便将自己与竞争对手区分开来。不难想象,在更具干预性和更动荡(尽管风险略高)的合同制度下,英国政府的创新和开源采用率会更高。
英国的安全制度也经常被提及。这并不奇怪。认证和认可 (C&A) 是任何政府IT采购的核心。在美国,这项责任分布在许多指定认可机构 (DAA) 中,所有机构都根据国家控制和程序集工作,例如 FISMA 和 NIST 特别出版物 800-53。认可过程是分散且主观的,但 DAA 严重依赖国际公认的通用准则等标准认证,以为他们使用的产品创建基本级别的保证。该过程的多样性和主观性可能会让所有参与者感到沮丧,但它也为供应商和客户提供了更多自由,增加了引入新技术的机会。
在英国,C&A 责任仅由一个组织承担:通信电子安全组 (CESG)。与美国的同行一样,他们也依赖认可。与美国不同,他们似乎在认证制度方面遇到困难。CESG 在 2009 年 11 月发布了一些令人惊讶的坦诚和深刻的澄清指南,其中描述了这一挑战。缺乏广为人知的认证基线给 CESG 的认可过程以及想要进入英国政府市场的供应商带来了巨大的负担。新的商业产品保证 (CPA) 流程旨在纠正这一问题,但进展缓慢,CPA 网站上缺乏认证产品就证明了这一点。你可以想象这如何阻碍了开源的采用。
如果我们将所有这些采购和 C&A 挑战放在一起考虑,我认为开源采用问题是关于政府如何将新想法、方法和技术引入政府 IT 企业这一更大问题的一部分。任何引入更多开源软件的尝试都应解决认证、采购、竞争和资产组合管理等更根本的问题。
这并不意味着英国内阁办公室应该放弃其开源政策,或者英国应该采用美国式的采购或 C&A 结构。对于任何与美国联邦采购条例或国防部安全制度打过交道的人来说,出口那个特殊的怪物的前景是荒谬的。事实上,美国有很多东西要向英国的方法学习。例如,我很羡慕有一个负责认证和认可程序的机构。如果内阁办公室对降低成本、更多创新以及开源软件可以提供的其他一切感兴趣,那么它应该将其努力重点放在加速其采购和安全制度的改革上。这项改革应包括
- 重新关注国际认可的认证,以此作为减轻认可负担和降低进入门槛的一种方式
- 鼓励 IT 合同工具的更多周转和竞争
- 允许政府和行业之间在合同授予前后进行更多的对话。
- 允许政府更多地参与影响其 IT 系统命运的决策
具有讽刺意味的是,我为英国推荐的采购改革可以直接从美国管理和预算办公室的IT 改革 25 点计划中摘取。这是因为,归根结底,英国和美国比他们意识到的要相似得多。他们都面临着相同的 IT 市场、相同苛刻的任务要求以及相同的预算缩减。双方的决策者都可以从彼此的成功中学习到很多东西。毕竟,这就是开源之道。
评论已关闭。