中小企业该如何选择适用自身的SaaS产品？

尽管软件即服务（SaaS）承诺缓解IT待办事项的压力、缩短首次推广时间、削减成本，但最近的SaaS体验表明其使用方式尚不成熟。大部分机构已经有过比较良好的SaaS体验，很多机构都取得了重大财务收益。但如果做到控制IT范围的风险，减少提供商方面的风险，验证企业必须要接受的其他风险，组织机构将会取得更好的SaaS体验。

我的建议如下：

1、组织机构应负起内部责任，检查SaaS的管理情况，履行应尽的职责。

2、组织机构应当尽可能通过审查合同（包括解决故障时间处罚问题）减少外部风险。

3、那些不可控或者不可降低的其他风险应该向商家陈述，给出商家可以接受的计划，详细制定时间表与财务预期，然后再做推进SaaS的工作。

检查SaaS的管理情况

和所有的外包项目一样，组织机构并不会因为SaaS而省掉全部的责任。他们必须履行职责，对SaaS实施适当的管理。在本调查中，我们关注的四大关键性管理是：组织机构必须对灾难恢复与业务持续性规划、运行、管理、维护和预置过程、监控和事件响应程序拥有自主权。然而，令人不能接受的是对这些方面的关注程度非常低。尽管遵循最佳管理方式对于传统软件来说远非尽善尽美，但这些管理对于大多数大中型企业已相当普遍。全球95%的大型机构都有自身主要系统的灾难恢复程序，而我们中间只有约一半的机构对SaaS执行了这些管理。事实上，很多组织机构都承认根本就没有SaaS管理。

组织机构应设置对那些超出基本报告范围以外的SaaS提供商的主动监控，考虑如检查审核日志以及现场审查机制。

组织机构需要解决管理、业务持续性规划、运行、管理、维护和预置程序、监控和事件响应程序，这些是整体安全风险评估的组成部分，而评估主要是考虑保密性、真实性、使用管理、可用性和可靠性。

前端履行职责，获得后期更好体验

任何挑选IT提供商的过程都应包括履行应尽的职责这一步骤，即组织机构审查提供商的财务状况以及相关参考信息。在这方面，必须向对待任何传统软件一样对待SaaS。尽管上网搜索、参加研讨会，打电话咨询提供商提供的参考资料都是轻而易举的事情，而那些更加积极主动履行职责的组织机构会取得更好的SaaS体验。

举例来说，那些认为SaaS体验优于传统软件的组织机构更有可能已经检查了提供商的财务情况以及所了解到的并非来自于提供商的参考资料。执行了SaaS而对SaaS体验感到失望的组织机构中，没有几家对其提供商进行过财务状况检查。应该在一个业务水平层使用服务水平协议（SLAs）撰写商业预期。除技术测量指标如响应时间以外，SLAs应该解决业务问题，如圆满完成交易（比如执行撤销薪酬服务、顺利返还信用得分）和准确信息。提供商不会同意为他们不能控制的问题签SLAs（如盈利能力、由于某家因特网服务提供商所导致的服务中断）。

除了提供商做到履行职责以外，考虑SaaS时不可缺少的内容是技术责任。尽管有些性能问题是提供商的责任，但其他比重则在于组织机构或者在机构和提供商之间。越来越分散的工作团队、对数据安全的愈加谨慎、对丰富的因特网应用软件的网络要求全都强调对提供商技术能力进行审核的重要意义。技术责任涉及组织机构中技术人员代表（包括企业架构、身份管理、安全性、风险管理、网络以及应用开发）审查提供商的能力，确保他们会满足业务的技术需求。

比如，技术责任团队得进行检查，保证提供商的架构能够处理他们的服务器和全球分布的用户之间等待时间和带宽的限制（可能包括地理分布机制）。技术责任团队可与提供商探讨技术使用，如优化、数据压缩、缓存、错误恢复以及流量控制优化。

检查合同提供商风险最小化

组织机构不坚持增加权利保护而保留SaaS合同会将自身置于弱势地位。这可能是由于组织机构将传统软件作为客制化的体验，而将SaaS视为统一服务，就如同有线电视，只需要打开电视就可以。

组织机构不协商合同条款，他们大都最关注的是钱的问题。不过，保密性、审核与调查权以及性能要引起更多重视，以减少组织机构的风险。SaaS提供商慢慢地但是愿意了解向组织机构再次确保其服务的安全可接受度需要付出哪些努力。某大学的经验是其SaaS提供商起初发来一份两页纸的合同，缺少该大学需要的很多条款以令其业务合作伙伴安心。该大学表示，这家SaaS提供商不理解任何如数据保护、IT权利、可靠性或正常运行时间的法律问题。大学后来所签的合同增加到了11页。对于提供商的信用，提供商关注的是学习更多关于组织机构所希望的法律保护类型，提供商修改合同的意愿促成了这笔业务。

解决故障时间处罚

一旦组织机构开始依赖如电子邮件、客户关系管理或者薪酬系统，即使中断一个小时也会造成业务的严重瘫痪。然而，我们发现那些了解其他SaaS使用细节的人对于处罚的意识并不强。大多数用户并不知道如何保证故障时间服务。故障时间对组织机构所造成的成本大于其价值比例。因此，组织机构应该要求退款或者大于其所占比例的抵扣额，以刺激提供商履行职责，并适当返还企业所承受的中断成本。

做SaaS规划时注意集成和培训

SaaS的规划时间与资源配置需要理解SaaS实施过程中每个活动需要花费的时间。组织机构应该仔细考虑与现有系统集成以及培训所需要的时间。很多SaaS提供商提供用户培训和集成服务。这些服务应该在SaaS评估时考虑进来，可以作为谈判中待协商的问题。

来源：中国软件资讯网