Sem vložte zadání Vaší práce.
České vysoké učení technické v Praze Fakulta informačních technologií Katedra softwarového inženýrství
Diplomová práce
Kritéria pro výběr outsourcingu ICT v organizacích Bc. Jan Kučera
Vedoucí práce: Ing. František Klíma
8. května 2012
Poděkování Chtěl bych především poděkovat svojí rodině za podporu během psaní diplomové práce. Dále děkuji svému vedoucímu za vedení práce a v neposlední řadě děkuji pojišťovací společnosti, která mi umožnila zpracovat u nich případovou studii.
Prohlášení Prohlašuji, že jsem tuto práci vytvořil samostatně a použil jsem pouze podklady uvedené v přiloženém seznamu. Ve smyslu §60 Zákona č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některý zákonů (autorský zákon), nemám závažný důvod proti užití tohoto školního díla a k užití uděluji svolení.
V Praze dne 8. května 2012
..................... 7
České vysoké učení technické v Praze Fakulta informačních technologií c 2012 Jan Kučera. Všechna práva vyhrazena.
Tato práce vznikla jako školní dílo na Českém vysokém učení technickém v Praze, Fakultě informačních technologií. Práce je chráněna právními předpisy a mezinárodními úmluvami o právu autorském a právech souvisejících s právem autorským. K jejímu užití, s výjimkou bezúplatných zákonných licencí, je nezbytný souhlas autora.
Odkaz na tuto práci Jan Kučera. Kritéria pro výběr outsourcingu ICT v organizacích: Diplomová práce. Praha: ČVUT v Praze, Fakulta informačních technologií, 2012.
Abstract In this thesis is a complex description of outsourcing mainly focuses on Czech republic territory. The main benefit of this work is a metodology how to judge outsourcing in the organization and a brief best-practice how to manage outsourcing. In addition there is a sample IT auditor report. The last added value is a survey of using outsourcing in public and private sector. Keywords outsourcing, sourcing, audit, SLA
Abstrakt Tato práce poskytuje komplexní pohled na problematiku ICT outsourcingu. Zaměřuje se primárně na české prostředí a jejím hlavním přínosem je metodika hodnocení úrovně outsourcingu a dále pak navržený doporučený postup zavedení a provozu outsourcingu a ukázková auditorské zpráva. Dalším přínosem je i provedený průzkum v oblasti využití outsourcingu. Klíčová slova outsourcing, sourcing, audit, SLA
9
Obsah Úvod
19
I Analýza a návrh
21
1 Definice služby a její kategorie 23 1.1 Klasifikace služeb dle časového způsobu použití . . . . . . . . . 24 1.2 Klasifikace služeb dle volby poskytovatele . . . . . . . . . . . . 24 1.3 Klasifikace podle předmětu služby . . . . . . . . . . . . . . . . 25 2 Kritéria a manažerské rozhodování 2.1 Rozhodovací proces . . . . . . . . . . . . . . . . 2.2 Cíl rozhodnutí . . . . . . . . . . . . . . . . . . 2.3 Kritéria hodnocení . . . . . . . . . . . . . . . . 2.4 Klasifikace rozhodovacích problémů . . . . . . . 2.5 Výběr kritérií . . . . . . . . . . . . . . . . . . . 2.6 Metody výběru vah kritérií a hodnocení variant 2.7 Metoda párového srovnání . . . . . . . . . . . . 2.8 Výběr varianty . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . řešení . . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
3 Teorie o outsourcingu 3.1 Základní rozdělení . . . . . . . . . . . . . . . . . . . . . . . . . 3.2 Historie outsourcingu . . . . . . . . . . . . . . . . . . . . . . . . 3.3 Důvody pro outsourcing . . . . . . . . . . . . . . . . . . . . . . 3.4 Formy outsourcingu . . . . . . . . . . . . . . . . . . . . . . . . 3.5 Současné trendy v ICT . . . . . . . . . . . . . . . . . . . . . . . 3.6 Rozdělení outsourcingu podle lokace . . . . . . . . . . . . . . . 3.7 Cloud computing . . . . . . . . . . . . . . . . . . . . . . . . . . 3.8 Kategorie cloudů . . . . . . . . . . . . . . . . . . . . . . . . . . 3.9 Typy cloudů . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.10 Řízení podnikové informatiky - související standardy a doporučení
27 27 29 29 29 30 31 32 32 35 35 36 39 42 43 44 45 47 47 48 11
II Realizace
57
4 Doporučení pro IT outsourcing 4.1 Životní cyklus outsourcingu . . . . . . 4.2 Hlavní rizika přechodu na outsourcing 4.3 Vytvoření poptávky . . . . . . . . . . 4.4 Výběr poskytovatele . . . . . . . . . . 4.5 Podepsání a náležitosti smlouvy . . . . 4.6 Kvalita SLA . . . . . . . . . . . . . . 4.7 Řešení otázky garance dostupnosti . . 4.8 Právní podmínky . . . . . . . . . . . . 4.9 Projekt implementace a testování . . . 4.10 Penetrační testy . . . . . . . . . . . . 4.11 Audit outsourcingu . . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
59 59 60 60 60 61 62 63 64 64 65 65
5 Metodika hodnocení úrovně outsourcingu 5.1 Zhodnocení obecné části SLA . . . . . . . . . . . 5.2 Zhodnocení vztahu mezi firmou a poskytovatelem 5.3 Zhodnocení rizik . . . . . . . . . . . . . . . . . . 5.4 Zhodnocení interních kontrol . . . . . . . . . . . 5.5 Zhodnocení souladu s businessem . . . . . . . . . 5.6 Zhodnocení smlouvy na outsourcing . . . . . . . 5.7 Webová aplikace . . . . . . . . . . . . . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
67 69 69 69 70 70 70 70
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
6 Jak se uplatňuje outsourcing v praxi 73 6.1 Vyhodnocení průzkumu u bank a pojišťoven . . . . . . . . . . . 73 6.2 Vyhodnocení průzkumu ve veřejném sektoru . . . . . . . . . . . 75 7 Případová studie 83 7.1 Harmonogram případové studie . . . . . . . . . . . . . . . . . . 85 7.2 Výsledný graf dle metodiky hodnocení úrovně outsourcingu . . 85 Závěr
87
Literatura
89
A Seznam použitých zkratek
95
B Obsah přiloženého CD
97
C Přehled outsourcingových ICT poskytovatelů v ČR C.1 Accenture Central Europe B.V. . . . . . . . . . . . . . C.2 Adastra s.r.o. . . . . . . . . . . . . . . . . . . . . . . . C.3 Atos Czech republic . . . . . . . . . . . . . . . . . . . C.4 Autocont . . . . . . . . . . . . . . . . . . . . . . . . . 12
. . . .
. . . .
. . . .
. . . .
. . . .
99 100 100 100 101
C.5 C.6 C.7 C.8 C.9 C.10 C.11 C.12 C.13 C.14 C.15 C.16 C.17
CN Group . . . . . . . . . . . . . . . . . ČEZ ICT Services, a.s. . . . . . . . . . . DHL Information Services (Europe) s.r.o Hewlett-Packard s.r.o. . . . . . . . . . . IBM Česká republika, s.r.o. . . . . . . . Minerva Česká republika, a.s. . . . . . . Logica Czech republic s.r.o. . . . . . . . OKsystem s.r.o. . . . . . . . . . . . . . . S&T CZ s.r.o. . . . . . . . . . . . . . . . Telefónica Business Solutions . . . . . . T-Systems Czech Republic a.s. . . . . . Unicorn a.s. . . . . . . . . . . . . . . . . Zdroje . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
101 101 102 102 102 103 103 103 104 104 104 105 105
D Anketa veřejného sektoru 107 D.1 Seznam adresátů: . . . . . . . . . . . . . . . . . . . . . . . . . 109 E Anketa bankovního a pojišťovacího sektoru 113 E.1 Seznam adresátů: . . . . . . . . . . . . . . . . . . . . . . . . . 114 F Auditorská zpráva
117
13
Seznam obrázků 3.1 3.2 3.3 3.4 3.5 3.6 3.7 3.8 3.9
Make or Buy ilustrace [18] . . . . . . . . . . . . . . . . . . . . . . 37 Důvody pro outsourcing . . . . . . . . . . . . . . . . . . . . . . . . 39 Ukázková situace kapacity a potřeby zdrojů . . . . . . . . . . . . . 41 Typy částečného outsourcingu, zdroj vlastní . . . . . . . . . . . . . 42 Schématické rozdělení outsourcingu dle lokace . . . . . . . . . . . . 44 Různé formy Cloud computingu [67] . . . . . . . . . . . . . . . . . 46 Typy cloudů [68] . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 Rozdělení publikací dle nejlepší úrovně zaměření ve firmě . . . . . 50 Demonstrace vývoje Cobitu a souvisejících doporučení. Zdroj: prezentace COBIT 5 Executive Summary PowerPoint Presentation, www.isaca.org 51 3.10 Rozdíl Governance a Management, zdroj [31] . . . . . . . . . . . . 53 5.1 5.2
Ukázkový obrázek využití navržené metodiky hodnocení outsourcingu 68 Ukázkový screenshot webové aplikace na posouzení úrovně outsourcingu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
6.1
Graf 1. Rozložení institucí, zapojených do průzkumu (banky a pojišťovny) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.2 Graf 2. Typy outsourcingu, využívaného dotazovanými firmami (banky a pojišťovny) . . . . . . . . . . . . . . . . . . . . . . . . . . 6.3 Graf 3. Důvody pro volbu outsourcingu ICT (banky a pojišťovny) 6.4 Graf 4. Činnosti, pro které firmy využívají outsourcing ICT (banky a pojišťovny) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.5 Graf 5. Přehled pracovníků (jejich pozic), kteří vyplnili výzkum (banky a pojišťovny) . . . . . . . . . . . . . . . . . . . . . . . . . . 6.6 Graf 6. Velikost outsourcingového partnera (banky a pojišťovny) . 6.7 Graf 7. Používání interních SLA (banky a pojišťovny) . . . . . . . 6.8 Graf 8. Typ využívaného outsourcingu (veřejný sektor) . . . . . . . 6.9 Graf 9. Důvody pro volbu outsourcingu ICT (veřejný sektor) . . . 6.10 Graf 10. Přehled pracovníků (jejich pozic), kteří vyplnili výzkum (veřejný sektor) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.11 Graf 11. Velikost outsourcingových partnerů (veřejný sektor) . . . 6.12 Graf 12. Služby, zajišťované prostřednictvím outsourcingu (veřejný sektor) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
74 75 76 77 78 78 79 79 80 80 81 81 15
7.1 7.2
Přehled podílu nákladů na celkových investicích . . . . . . . . . . . Graf 13. Zhodnocení úrovně outsourcingu v pojišťovně . . . . . . .
84 86
D.1 Screenshot 1 ukázkového formuláře z ankety . . . . . . . . . . . . . 108 D.2 Screenshot 2 ukázkového formuláře z ankety . . . . . . . . . . . . . 109
16
Seznam tabulek
17
Úvod Cílem této práce je poskytnout komplexní pohled na IT outsourcing a vypracovat metodiku pro hodnocení jeho úrovně, kterou by mohl použít například interní auditor. Publikace je určena i pro ICT ředitele, kteří se chějí seznámit se současným ICT outsourcingem a využít doporučení, proč zvažovat zavedení této formy služeb ve své firmě a čemu se v té souvislosti vyhnout. V rešeršní části je definována služba, což je pojem velmi důležitý pro samotný outsourcing, jenž je dodávkou služby. Další část je zaměřena na manažerský proces rozhodování. Jak již název diplomové práce naznačuje, je vždy nutné při rozhodování vybrat vhodné varianty a kritéria, což platí i pro rozhodování o outsourcingu. Proto jsou zde popsány manažerské metodiky, jak správně vybrat kritéria a jak jim určit váhy pro finální rozhodnutí. Pozornost je věnována historii outsourcingu a popisu jeho kategorií a forem. Současně jsou uvedeny hlavní důvody pro jeho nasazení ve společnosti. Další část diplomové práce se věnuje řízení podnikové informatiky, především za využití nejběžněji používaných ICT doporučení ITIL a COBIT. V realizační části práce jsou nejprve doporučení pro IT outsourcing. Klíčovou kapitolou je návrh nové metodiky a metriky pro posouzení úrovně outsourcingu. Kladu si za cíl vytvořit použitelný návod, jak jej ohodnotit v dané společnosti. V rámci metodiky jsem vytvořil i jednoduchou webovou aplikaci. Zpracoval jsem i šablonu pro auditorskou zprávu IT outsourcingu (v příloze práce F). Prostřednictvím vlastního průzkumu ve veřejném sektoru a v sektoru bank a pojišťoven, působících na území České republiky je charakterizován současný stav využití IT outsourcingu. V případové studii v jedné české pojišťovací společnosti (nepřála si uvádět jméno, byla s ní také podepsána smlouva o mlčenlivosti) je zhodnoceno použítí IT outsourcingu, a to včetně mnou navržené metodiky. Součástí práce je také přehled hlavních poskytovatelů v České republice.
19
Část I
Analýza a návrh
21
KAPITOLA
Definice služby a její kategorie Outsourcing je dodávka jakékoliv služby (nemusí se týkat ICT). Proto se v této kapitole omezím jen na stručnou charakteristiku, a to včetně kategorizace služeb. Úvodem definice organizace W3C: „A service is an abstract resource that represents a capability of performing tasks that represents a coherent functionality from the point of view of provider entities and requester entities. To be used, a service must be realized by a concrete provider agent.“ [9] Jedna z nejoblíbenějších a nejcitovanějších knížek o marketingu uvádí: „Služba je jednání nebo konání, které jedna strana může nabídnout jiné a která je v zásadě nehmotné povahy.“ [43] Poslední citovaná definice je zaměřena na informatické služby (je obsažena v jednom z nejlepších doporučení v oblasti ICT): „ICT služba je služba poskytovaná jednomu nebo více zákazníkům. ICT služba podporuje podnikové procesy zákazníka a je založena na využití informačních technologií. ICT služba je vytvářena za pomoci personálu, procesů a techniky a měla by být definována v dohodě o úrovni služeb.“ [40] Služby lze klasifikovat podle časového způsobu použití [63], podle volby poskytovatele [63] a podle předmětu služby [66] (s tímto dělením se lze setkat u více autorů). Pro ICT služby existují i jiná dělení [3], například CPC nebo NAPCS, ale ta nejsou tak praktická pro použití v oblasti outsourcingu. 23
1
1. Definice služby a její kategorie
1.1 1.1.1
Klasifikace služeb dle časového způsobu použití Jednorázové služby
Jednorázové služby jsou ty, které se neopakují. Může se jednat například o audit IT infrastruktury realizovaný externím konzultantem (externí firmou), či o zpracování studie o rozvoji ICT v dané organizaci. Služby této kategorie se ve firmách vyskytují v omezeném množství. Příklad z praxe: zadání analýzy webu společnosti externí firmě.
1.1.2
Kontinuální služby
Tento druh služeb je poskytován „nepřetržitě“, tedy 24 hodin denně, sedm dnů v týdnu. Tuto nepřetržitost je ale u ICT služeb nutné brát částečně „s rezervou“, její specifikace je obsažena v konkrétní SLA (Service-level agreement). Pokud by firma požadovala opravdu stoprocentní službu, kde bude garance jejího neustálého zajištění, budou zřejmě náklady extrémně (a zpravidla i zbytečně) vysoké. Firmám zpravidla vyhovuje a plně dostačuje i „slabší“ SLA, které má podstatně přijatelnější náklady. V definici takové služby sice píšeme kontinuální, myslíme tím ale spíše termín „prakticky nepřetržité“ (více v kapitole o SLA). Příkladem takové služby může být poskytnutí účetní aplikace v podobě SAAS.
1.1.3
Diskrétně spotřebovávané služby
Typickou službou s tzv. diskrétní spotřebou může být instalace upgradu SW nebo údržba či oprava IT vybavení. Zpravidla je řešena paušální platbou s měsíčními limity.
1.2
Klasifikace služeb dle volby poskytovatele
ICT služby se dělí na poskytované interně (vlastními firemními útvary) a externím poskytovatelem [63].
1.2.1
Interně poskytované služby
Jedná se o služby poskytované vlastním ICT oddělením. Službu zajišťuje organizace sama sobě. S tímto řešením jsou spojeny výhody i nevýhody. Problémem může být škálování zdrojů i potenciální riziko odborné „zastaralosti“ zaměstnanců [63] (v praxi bývá jednodušší využít nové řešení od outsourcingových poskytovatelů, než učit vlastní pracovníky novým technologiím). Výhodou interních služeb je, že si více střežíme know-how firmy a že prakticky žádné, ani technologické detaily nejdou vně firmy. To bývá často důvodem zachování 24
1.3. Klasifikace podle předmětu služby plně interních ICT služeb [63], přestože externí poskytovatelé nabízejí zcela běžně smlouvy o utajení informací (NDA - Non-Disclosure Agreement - , případně Confidentiality Agreement -CA). Mnoho firem se stále ještě bojí dát své klíčové procesy „ven“. Obecně především menší firmy (dle [63]) se dříve bály cokoliv předat externí firmě a ponechávaly si zbytečně velké interní ICT oddělení. Nadnárodní korporace a státní organizace však ukazují opačný přístup: velmi populární jsou nyní například cloudová řešení, tedy v principu jednoznačně externí služby. Příkladem z praxe může být zakázka ve Velké Británii v hodnotě přes 1 miliardu korun společnosti Fujitsu [51]...
1.2.2
Externě poskytované služby
Dnes se již mnohem častěji přechází na externě poskytované ICT služby, což potvrdila i anketa provedená v rámci této diplomové práce. Nejedná se pouze o služby typu správa webu, ale i o správu ICT infrastruktury, vývoj informačního systému, podporu uživatelů atp. Při přechodu na externí služby je nutné zvážit výhody i nevýhody tohoto řešení a zvolit poskytovatele, který nabízí dobrou službu za rozumné finance, ale jenž má i dobré reference a zkušenosti, takže lze predikovat dlouhodobější udržení sjednané dohody. Je nutné také počítat s možností změny poskytovatele a ošetřit tento v budoucnu možný přechod, aby se firma nestala na poskytovali služby nezdravě závislá. Modelový příklad: bude-li firma chtít změnit poskytovatele správy tisku, tak je zřejmé, že tento přechod nebude komplikovaný a nezasáhne její chod. Pokud ale bude měnit poskytovatele ERP systému nebo softwaru pro účetnictví, měla by si dopředu ochránit, že export dat a návaznost na další podnikové aplikace z předchozího řešení budou zajištěny. Zvláštní variantou, jakýmsi „hybridem“, je situace, kdy poskytovatel je sice externí, ale je součástí stejného konsorcia, jako je tomu například u DHL či ČEZu.
1.3
Klasifikace podle předmětu služby
Služby dělíme na informační, aplikační, infrastrukturní, vývojové a podpůrné [66].
1.3.1
Informační služby
Tyto služby poskytují příjemci konkrétní informace v požadovaných formátech. Zde je nutné důsledně respektovat autorský zákon. Typickou informační službou může být předpověď počasí nebo data o měnových kurzech.
1.3.2
Aplikační služby
V této kategorii je hlavní funkcionalitou softwarové řešení. Mezi typické kandidáty patří například kancelářský “balík”, ERP, CRM, BI. Účelem služby je 25
1. Definice služby a její kategorie určitá konkrétní schopnost.
1.3.3
Infrastrukturní služby
Jedná se o podpůrné služby pro ICT infrastrukturu – typicky jde o software pro správu sítí (LAN, routerů, databázových systémů). Nejběžnější operace, které tato služba musí zajišťovat, je upgrade operačního systému, upgrade konkrétního hardware, správa celkové síťové infrastruktury, tedy zajišťování kabeláže i rozšiřování pomocí bezdrátů. Někdy se infrastruktura dělí i na správu služeb koncových stanic (PC) a ostatní infrastruktury (servery, síťové prvky, datová úložiště, LAN).
1.3.4
Vývojové služby
Tato kategorie obsahuje služby, které jsou pro firmu vyvíjeny “na míru”, nejčastěji externím poskytovatelem. Projekt musí mít správně definovaný cíl a důsledný dohled na realizaci. Z těchto služeb se v budoucnu velmi často stávají aplikační služby.
1.3.5
Podpůrné služby
V podpůrných službách jsou zahrnuta například školení zaměstnanců v oblasti ICT. Může se jednat o školení zaměřená na určitý software či na informační bezpečnost, která je pro firmy čím dál více klíčová. Tyto služby mají podpůrný charakter, nejčastěji zaměřený na podporu zaměstnanců.
26
KAPITOLA
Kritéria a manažerské rozhodování Úvodem dva citáty, které mi utkvěly v paměti ve vztahu k manažerskému rozhodování: "Každé vyřešení jednoho problémů vytvoří několik problémů dalších". Murphyho zákon „Kdyby člověk vždycky věděl, co vlastně chce, to by se to rozhodovalo!“ Paulo Coelho. Tyto citáty demonstrují, že manažerské rozhodování je věcí opravdu nesnadnou. Problémy nejsou vždy „černobílé“, tj. vždy není jedna varianta řešení jen dobrá a druhá jen špatná. V této kapitole chci proto zmínit základní teorii manažerského rozhodování (dle [73])), a to s důrazem na kritéria. Již samotný název diplomové práce obsahuje slovo „kritéria“. Ta jsou základním kamenem manažerského rozhodování, které je nedílnou součástí řízení podnikové informatiky, týká se i outsourcingu. Proto této tématice – byť je více manažersky orientovaná – věnuji více pozornosti. V této kapitole vycházím především z přednášek z externího kurzu 3MA413 paní Švecové na VŠE (který jsem absolvoval) [73], dále z publikace [19] pana Forta, kurzu Manažerské rozhodování na ČVUT FD [62] a kurzu Manažerské rozhodování na ZČU vedeného panem Vackem [24] .
2.1
Rozhodovací proces
Nekvalitní rozhodovací proces vede velmi často k podnikatelskému neúspěchu [32] . Proto je dobré jej znát i v teoretické rovině a předcházet tak chybám. 27
2
2. Kritéria a manažerské rozhodování Rozhodování je volba mezi nejméně dvěma možnostmi [73]. Teorie většinou (dle [62]) rozděluje rozhodování na deskriptivní část („jak se to dělá“) a na část normativní („jak by se to mělo dělat“). Rozhodovací proces má dva kroky [73] – posuzování variant a výběr rozhodnutí. Nejběžnější faktory jsou [62]: závažnost rozhodnutí, časový horizont, riziko, strukturovanost problému. Definicí problému by mohla být například odchylka mezi žádoucím a skutečným stavem. Struktura rozhodovacího procesu - základní rozdělení od Simona [19]: 1. Analýza okolí 2. Návrh řešení 3. Volba řešení 4. Kontrola výsledků Někdy se používá rozšířená varianta (dle [19]): 1. Identifikace rozhodovacích problémů 2. Analýza a formulace rozhodovacích problémů 3. Stanovení kritérií hodnocení variant 4. Tvorba variant 5. Stanovení důsledků variant 6. Výběr varianty 7. Realizace zvoleného řešení 8. Kontrola realizovaného výsledku Zajímavá je metoda rozdělení rozhodovacího procesu od americké poradenské společnosti Kepner-Tregoe, která tvrdí [44], že díky této metodě bylo ušetřeno v řadě firem několik desítek milionu dolarů. Tato metodika je však velmi intuitivní, takže je až zarážející, že taková záležitost je považována za „know-how“, které se prodává a konzultuje. Každopádně v byznysu se jedná o častou metodiku (toto tvrzení je podložené existencí této metody také v doporučení ITIL V3 [40]), jejíž principy jsou: 1. Vyhodnocení situace (Situation Appraisal) 2. Analýza problému (Problem Analysis) 3. Analýza rozhodování (Decision Analysis) 28
2.2. Cíl rozhodnutí 4. Analýza potencionálních problémů a příležitostí (Potential Problem and Opportunity Analysis) Zásadní jsou i prvky rozhodovacího procesu [62], mezi něž patří: cíl rozhodnutí, kritéria hodnocení, subjekt a objekt rozhodování, varianty řešení a okolní podmínky.
2.2
Cíl rozhodnutí
Pokud je třeba o něčem rozhodnout [19], je nutné nejdříve stanovit cíl, respektive cíle, ze kterých budou později odvozena kritéria. Podle nich budou následně sestaveny varianty, z nichž bude proveden výběr. Jednotlivé cíle mohou být komplementární, tj. vzájemně slučitelné, či konfliktní. Konfliktním cílem by byla například velká garance služby a vysoká finanční kompenzace za nefunkčnost spolu s požadavkem na nízkou cenu řešení. Velmi často se také uvádí termín [16], že cíle by měly být SMART (angl. výraz chytrý), kde jednotlivá písmena znamenají: Specific, Measurable, Achievable, Relevant, Timebound. Cíle se dále dají rozdělit na kvantitativní (číselně měřitelné) a kvalitativní [24]. Je zřejmé, že porovnávat kvantitativní cíle není problém. U kvalitativních to tak jednoznačné není, takže se často používá jejich převod, který však ztrácí částečně přesnost cíle.
2.3
Kritéria hodnocení
Jedná se o hlediska, podle kterých se později vybírají varianty řešení. Představují schopnost, jak lze (snad) vybrat vhodnou variantu. Odvozují se z cílů [73]. Rozdělují se na maximalizační (např. rentabilita) a minimalizační (např. snížení nákladů). Stejně jako u cílů, rozlišují se kvantitativní a kvalitativní kategorie.
2.4
Klasifikace rozhodovacích problémů
Podle složitosti, náročnosti a důležitosti rozhodovacího procesu se zavádějí tři základní kategorie rozhodovacích problémů [19]. Jsou to jednak dobře strukturované problémy, které jsou jednoduše řešitelné, neboť jsou přesně specifikované a mají známé důsledky. Jejich řešení tedy spadá pod operativní management (nejnižší). Střední úroveň řízení (střední management) řeší hůře strukturované problémy, tedy ty s částečně větší nejistotou a větší důležitostí. Poslední kategorií jsou špatně strukturované nebo složité problémy za velké nejistoty a rizika, které řeší top-management. 29
2. Kritéria a manažerské rozhodování Pro analýzu a formulaci rozhodovacího problému můžeme použít nejčastěji dle [19] metody kauzální analýzy, například kauzální řetězec, Ishikawův diagram (doporučován i v ITIL V3), Paretovu analýzu či GAP analýzu.
2.5
Výběr kritérií
Posuzování kvalitativních kritérií je problematické, protože se jedná o souhrnné faktory, vyjadřující více okolností, a je těžké převést tato hodnocení na měřitelné hodnoty (například vlastnost pověst poskytovatele). Existují tři základní skupiny [73] kvalitativních kritérií, a to: nominální, ordinální a kardinální. Nominální kritéria značí, že jsme schopni přesně zařadit jistou kvalitativní vlastnost do jedné kategorie. Například ve zmíněné vlastnosti „pověst poskytovatele“ by to byly například kategorie: spolehlivý s hodně prověřenými referencemi, průměrný poskytovatel (kde existují kladné i záporné reference), špatný poskytovatel a nový hráč na trhu bez referencí. Globálně více problematickou vlastnost poskytovatele outsourcingu bychom mohli agregovat do těchto kritérií. Další možností posuzování kritérií je ordinální měření, kde nemáme přesné kategorie jako v předcházejícím případě, ale snažíme se pouze seřadit varianty dle vlastností. Například kdybychom znali poměr spokojených a nespokojených zákazníků providerů, mohli bychom zpracovat pořadí jednotlivých poskytovatelů podle poměru spokojených a nespokojených klientů. Dostali bychom tak unikátní a jednoznačné pořadí poskytovatelů.. Touto agregací bychom však ztráceli preciznost jinak přesnějšího popisu kvality poskytovatele (z tohoto pořadí bychom například nevěděli, jak velké byly problémy nespokojených zákazníků, případně o jak velké zakázky se jednalo atp, což je určité zanedbávání faktů). Kardinální měření je mixem nominální a ordinální varianty, jenž by u poskytovatele outsourcingu uměl například podle poměrů spokojených zákazníků vyjádřit, že firma A má o 1,5krát více spokojených zákazníků než poskytovatel B. Pro rozhodování o problému, jenž chceme systematicky řešit (což je i případ podnikové informatiky, neboť zde zvažujeme varianty sourcingu), tak dopředu musíme znát naše cíle. Ty by měly být odvozeny od podnikové strategie. Z cílů, které by měla IT služba zajišťovat, pak vytvoříme soubor kritérií. K tomu existuje několik doporučení a best-practices. Často se uvádí, že kritéria by měla být [19]: úplná, nezávislá, nepřekrývající se, minimálního rozsahu (čím více kritérií, tím těžší rozhodování) a jednoznačná. Na výběru kritérií by se ideálně mělo podílet více lidí [73], aby nebylo něco opomenuto a aby řešení poskytovalo opravdu to, co je požadováno. Pokud například vedení firmy rozhoduje o volbě dodavatele ERP systému a o tom, zda jej spravovat in-house (koupit licenci a nechat jej konfigurovat vlastními zaměstnanci), či zda tento proces outsourcovat, pak je vhodné se zabývat důkladným určením kritérií. 30
2.6. Metody výběru vah kritérií a hodnocení variant řešení Nejběžnější metody dle [73] pro určení kritérií jsou: 1. Brainstorming, Gordonova metoda 2. Brainwriting, Metoda „635“
2.5.1
Brainstorming
Smysl brainstormingu spočívá ve volné diskuzi více lidí nad otázkou, co očekáváme od požadovaného řešení problému. Tuto metodu vymyslel Alex Osborn v roce 1914 [28]. Většinou probíhá v dosti nemoderované podobě. Účastníci takového setkání vyslovují spontánně myšlenky, které je napadnout k dané oblasti. Tyto náměty se zpravidla píší na tabuli. Nejdůležitějšími prvky brainstormingu jsou: nekritizovat náměty ostatních, jít do velké šířky, držet návaznost na zmíněné nápady. Gordonova metoda [6] upravuje brainstorming tak že nejprve řeší skupina metaproblém, aby nebyl ovlivněn stereotypy pro danou otázku. Teprve později upřesní moderátor, co konkrétně je požadovaný řešený problém, na nějž se poté zaměří diskuse zúčastněných..
2.5.2
Brainwriting, metoda „635“
Brainwriting je další metodou, která se používá na generaci nápadů a požadavků pro řešení problémů. De facto se jedná o stručnější verzi brainstormingu, kdy účastníci samostatně píší náměty na papír. Metoda „635“ je druhem brainwritingu, kde jednotlivá čísla v názvu znamenají: 6 osob, 3 nápady, 5 minut.
2.6
Metody výběru vah kritérií a hodnocení variant řešení
Známe-li požadovaná kritéria, která jsme získali například použitím brainstormingu, přejdeme k jejich komplexnímu zformulování a k určení priorit. Existuje více postupů, které lze aplikovat.. Nejjednodušší je metoda převodu na stejné jednotky. Díky expertnímu názoru zde nejčastěji dojde k převodní tabulce, kde jsou všechna kritéria ohodnocena určitým počtem bodů. Jednotlivé varianty řešení problému jsou poté obodovány v každém kritériu na zadané škále maximálního počtu bodů a body ze všech kritérií sečteny. Takto je sestaven konečný žebříček variant. Tato metoda je velmi jednoduchá, názorná a průhledná. Jejím negativem je problematické určení počtu bodů pro jednotlivá kritéria. Ještě subjektivnějším postupem je takzvaná intuitivní metoda. Managementu jsou k rozhodnutí předloženy varianty řešení problému, kde jsou ohodnocena kritéria. Management díky „nejlepšímu svědomí a vědomí“ vybere 31
2. Kritéria a manažerské rozhodování po kolektivní diskuzi nejvhodnější variantu. Přestože se nejedná o systematický a teorií podložený přístup pro volbu správné varianty, je to v praxi pravděpodobně nejpoužívanější metoda. Teoretické metodiky, které jsou nejčastěji zmiňovány v odborné literatuře, jsou také hodně subjektivní a mají své výhody i nevýhody (k metodikám nelze z principu věci doložit žádný výzkum. Každé rozhodnutí je následně ovlivněno stavem okolí v budoucnu, který je těžko predikovatelný, ale jenž přitom zcela zásadně ovlivňuje zvolené řešení. Tudíž se metody rozhodování nedají vědecky porovnat podle jejich úspěšnosti).
2.7
Metoda párového srovnání
Tato metoda (někdy též nazývána Fullerova metoda [41]) slouží k určení vah kritérií. Používá se v jednoduché variantě a v rozšířené Saatyho verzi. Princip je vcelku jednoduchý, v realitě je ale při použití více kritérií těžko proveditelný. V běžné praxi se například u Saatyho verze většinou neprovádí test tranzitivity (pokud se nepoužívá speciální software). Postup metody [dle [73]]: do tabulky jsou do horního levého záhlaví zapsána předem vybraná kritéria (jedná se o křížovou tabulku). Dále se vyplňuje pravá horní trouhelníková část nad diagonálou algoritmem: kritérium, které je na řádku v levém záhlaví, porovnáme s kritériem v záhlaví ve sloupci. Pokud je kritérium v řádkovém záhlaví důležitější, napíšeme jedničku, pokud ne, napíšeme nulu. Když je vyplněna trojúhelníková část, uděláme logický transfer do druhého trojúhelníku (preference musí být obráceně). Posléze je do posledního nového sloupce sečten v každém řádku počet jedniček (tedy počet preferencí). Pokud nedošlo v průběhu zpracování k logické chybě, měla by vyjít čísla pro N kritérií v hodnotách 0 až N-1, kde každé číslo se bude vyskytovat jednou. Pokud tato situace nenastane, byla porušena tranzitivita. Znamená to, že například o kritériu 3 jsme prohlásili, že je důležitější než kritérium 2, přitom kritérium 1 jsme určili méně důležité než kritérium 2, ale více důležité než kritérium 3 (což logicky není možné). Aby metoda byla co nejpřesnější, je nutné tyto nekonzistence zkontrolovat a opravit. Následně (aby i nejméně důležité kritérium dostalo později přidělenou určitou váhu) přičteme ke každému součtu preferencí navíc jedničku. Provedeme součet jednotlivých preferencí a označíme celkový součet. Poté vyplníme poslední nový sloupec tabulky, která se bude jmenovat „výsledné váhy“ podle klíče: součet preferencí a celkový součet.
2.8
Výběr varianty
Známe-li váhy požadovaných kritérií, můžeme každou variantu řešení obodovat například na stupnici 0-10, následně vynásobit váhou kritéria a sečíst všechna takto vynásobená kritéria u jedné varianty. Posléze díky tomuto součtu vybereme variantu s největším součtem [19]. 32
2.8. Výběr varianty Existují též apriorní kritéria [19], která každá varianta musí splňovat. Tato kritéria tak nevstupují do metod jako je párové srovnání, protože požadované varianty je musí splňovat (všechny ostatní jsou ihned zamítnuty). V případě outsourcingu by to například bylo dodržení legislativy (ochrana osobních údajů a problematika jejich šíření do zahraničí - na zahraniční servery, vlastnictví certifikací, garantovaná minimální rychlost internetového připojení atp.). Tato kritéria musí být důkladně předem promyšlena. Především u zakázek ve státní správě je seznam těchto kritérií obvykle velmi rozsáhlý. Někdy až natolik, že evokuje domněnku, že se jedná o náznak korupčního jednání. Vzpomenout v té souvislosti lze na volbu nových policejních aut pro dálniční policii, kterou „zcela náhodou“ díky velmi rozsáhlému počtu kritérií splňovalo jen jediné auto. . . více v článku na iDnes [26]. I když ostatní automobilky měly auta splňující drtivou většinu kritérií, a většinu kritérií přitom splňovaly lépe než vítězné Passaty, neměly šanci vyhrát, protože jen Passaty splnily všechna apriorní kritéria. Tato kauza vyvolala pobouření veřejnosti, protože zcela evidentně mnohá kritéria byla zavádějící a nadbytečná. Například zcela nepochopitelné byly požadavky na vyhřívané přední sklo (na první pohled sice možná užitečná vlastnost auta jezdícího v zimě, aby řidiči měli vždy rychle viditelné přední sklo. Důvod k pochybnostem však budil fakt, že bylo požadováno, aby bylo v základní výbavě, uvedené ve standardní ročníkové výbavě. Navíc u policie jsou auta v provozu nepřetržitě 24 hodin denně a posádky se střídají, takže předpoklad situace, že by došlo k vychladnutí auta a zhoršení předního vidění, je velmi nepravděpodobný). Tento příklad z praxe má ukázat, že ani sebesofistikovanější metoda rozhodování, jakou by bylo například použití Saatyho metody pro výběr vah kritérií, nás při špatně (označme to jako potenciálně korupčně) zvolených apriorních kritériích nezachrání a tendr vyhraje varianta, kterou si někdo přál, aby vyhrála. Zneužít tedy lze i Saatyho metodou vypočítaných vhodných vah (kritéria se vyhodnotí několikrát, „až padne správné řešení“). Jedná se o pracnější variantu, při jejímž využití je ještě komplikovanější obvinit autora kritérií z předpojatosti. Tímto příkladem jsem chtěl demonstroval nebezpečí, které hrozí při přechodu na outsourcing (především ve státní správě). Na místě je důkladná kontrola, zda není zvoleno nevhodné řešení, pro které je však někdo jinak motivovaný.
33
KAPITOLA
Teorie o outsourcingu 3.1 3.1.1
Základní rozdělení Sourcing
Jedná se o podnikový proces, jenž rozhoduje, které služby si firma bude zajišťovat sama a které nakoupí [63]. Proces pokrývá i jednotlivé další kroky nákupu služeb v podobě výběru vhodného poskytovatele, sepsání smlouvy a kontroly jejího plnění. V oblasti ICT aktuálně probíhají dvě protichůdce situace [65]. Na jedné straně roste kvůli konkurenceschopnosti význam ICT v podniku (stává se jednu z hlavních činností podniku, takže by se spíše nabízelo řešení jej neoutsourcovat). Naproti tomu roste náročnost na zajištění ICT (pokud jde o finance a aktuální znalosti pracovníků), což naopak volbu outsourcingu podporuje. Pro rozhodování je také podstatné ujasnění záměru, zda firma bude ICT zdroje vlastnit a při volbě outsourcingu budou jen externě spravovány, nebo zda i vlastnictví zdrojů bude převedeno na dodavatele.
3.1.2
Outsourcing
Úvodem definice outsourcingu: „Outsourcing je smluvní vztah s partnerskou firmou, která zajišťuje vně společnosti jednu nebo více služeb pro danou společnost.“ Vlastní definice V literatuře se rovněž můžeme setkat s termínem „managed services“ [65],jenž označuje částečný outsourcing. Firma tímto způsobem zajišťuje jen menší služby, jako je například řízení bezpečnosti nebo hlasové služby. Někdy se také můžeme setkat s termínem multisourcing [12], který označuje komplexní pojetí outsourcingu ve firmě, napojený na strategii. V situaci, kdy se firma rozhodne pro externí služby v oblasti ICT, dochází také ke změně ve financování. Z investičního pojetí, běžného pro interně za35
3
3. Teorie o outsourcingu jišťované ICT, přechází spíše na pronajímání služeb, což jsou operativní náklady. Zvětšuje se tedy podíl variabilních nákladů. Pojem outsourcing je odvozen z termínu „Outside resource using“.
3.1.3
Outplacement
Při využití outsourcingu se část pracovníků, jejichž práci přebírá externí poskytovatel, stává pro firmu nepotřebnou [63]. Je tedy vhodné je převést do externí firmy (sociální důvody). Pro outsourcingového partnera může být tento krok přínosem v tom, že získá pracovníky, kteří dobře znají firmu. Toto řešení však může vést i k negativu: služby, které jsou zadány „ven“ především kvůli kvalitě, by měli (částečně) poskytovat původní pracovníci. Ouplacement tedy označuje termín, kdy firma pomáhá nepotřebným zaměstnancům. Může to být přímo sjednání práce v jiné firmě, nebo formou školení a psychologických rad či přímo finanční výpomocí.
3.1.4
Insourcing
Insourcing je pravý opak outsourcingu: služba, která byla poskytovaná dodavatelem, je převáděna zpět do firmy. Nejčastějšími důvody k tomuto kroku může být potřeba zvětšení celého procesu ve firmě (to se však ICT služeb příliš netýká), nebo neúspěšný outsourcing, jenž se řeší zpětným převodem služby do firmy. Jako ukázkový příklad prvního důvodu (zvětšení ekosystému) může posloužit případ americké automobilky Henryho Forda [23]. Tato společnost se ve třicátých letech dvacátého století rozhodla pro vlastnictví „dodavatelských“ závodů, jako je ropná plošina, doly, ocelárny a rafinérie. Dodnes se uvádí, že ačkoliv z dlouhodobého hlediska je pro firmu taková situace těžko zvládnutelná, především pokud jde o efektivní finanční řízení, byl tento krok (dnešními slovy toto rozhodnutí pro insourcing) důvodem, proč automobilka zvládla bez větších potíží ekonomickou krizi. Při velkém insourcingu, respektive i za situace, že nikdy nebyla využita metoda dodávky služeb vně firmy, se nejčastěji uvádí termín velká vertikální integrace.
3.2
Historie outsourcingu
Žijeme v globalizované společnosti[59], kde působí nepřeberné množství firem specializujících se i na nejmenší segmenty trhu. Jsme v situaci, kdy na rozdíl od historie se spousta meziproduktů komoditizuje, což dává prostor právě pro vznik outsourcingu. To, co bylo dříve naprosto nepředstavitelné - řešit službu zadáním vně firmy, to se dnes stává naprosto běžnou realitou a málokoho tato praxe (například komplexní ICT outsourcing) překvapuje. Začátky ekonomického chápání outsourcingu můžeme datovat do období padesátých let dvacátého století [59], kdy ekonomové R. H. Coase a O. E. Williamson uveřejnili práce týkající se transakčních nákladů, které jsou pro 36
3.2. Historie outsourcingu outsourcing zcela zásadní. Při správě nákladů na ICT služby a obecně při externích službách je potřeba do nákladů započítat i náklady na výběr a převod služeb vně firmy, na jejich kontrolu a údržbu ze strany zadavatelské firmy. To vše jsou kroky, které stojí finanční prostředky. Základní teorie těchto ekonomů se týkaly neúplnosti nákladů a problematiky neurčitých kontraktů z pohledu budoucnosti, kde velkou roli hraje spekulativní a oportunistické chování dodavatelů.
Obrázek 3.1: Make or Buy ilustrace [18]
V padesátých letech 20. století začal být v managementu používán termín „make or buy“ (vyrob nebo kup), občas je možné se setkat i s alternativním Design or Buy (navrhni nebo kup)[22], kdy management volil strategii, zda dané zdroje má zajišťovat vlastními silami (make), nebo zda je vhodnější, a v této době myšleno především finančně, tento zdroj koupit, viz obrázek 3.1. Až v osmdesátých letech minulého století se při kupování zdrojů začaly preferovat i takové důvody, jako je snaha soustředit se na „core business“ či zlepšení kvality [65] 37
3. Teorie o outsourcingu Nejvýznamnějším kontraktem v historii [55] je komplexní outsourcing ICT pro firmu Kodak zajišťovaný firmou IBM, jenž se začal implementovat v roce 1989. Dodnes se v této oblasti někdy uvádí termíny, jako „éra před Kodakem a po Kodaku“, což ještě více vystihuje důležitost tohoto outsourcingu. Kritici namítají, že tento úspěšný převod ICT služeb byl umocněn tím, že firma IBM chtěla mít velkou a všeobecně známou referenci, aby si vytvořila dobré jméno, a tak byla ochotna nabídnout špičkové služby i za nízké ceny. Hodnota kontraktu byla 500 milionů USD [55]. Samotný Kodak ale uváděl jako hlavní důvod rozhodnutí pro tuto transakci snahu zaměřit se na core business. CIO společností Kodak K. Hudson obdržel několik oficiálních ocenění, např. „CIO of the year“. Další zajímavý postup, který byl zaznamenán u vzniku několika velkých outsourcingových firem, bylo oddělení ICT divize od podniku do samostatné firmy. To uskutečnila například americká automobilová firma General Motors, od které se odštěpila společnost EDS [11]. V poradenském sektoru lze uvést odtržení společnosti Accenture od společnosti Arthur Andersen. V českém prostředí byl tento model částečně naplněn odtržením divize ICT ve skupině ČEZ. Zde však byl kladen důraz na snížení nákladů na ICT v celé skupině, zatímco u Andersenu a GM bylo důvodem oddělení ICT to, aby primárně poskytovaly své služby širokému okolí. U ČEZ došlo k této konvergenci až „důsledkem situace na trhu“. Další historickou zajímavostí, kterou lze v této souvislosti zmínit, je fakt, že některé velké společnosti nabízely outsourcing v Evropě, ale v USA kvůli přesycení trhu své služby na počátku tisíciletí nenabízely[11]. Příkladem může být společnost Deloitte. Dle historického průzkumu byla ve Spojených státech v roce 1996 většina tehdejších outsourcingových poskytovatelů malými firmami, průměrně s 11 zaměstnanci, a jejich klienty byly také menší společnosti. Z české historie lze jako významný kontrakt zmínit komplexní outsourcing společnosti Continental firmou IBM, který se začal realizovat v roce 1996 [7]. Zde se jednalo o typický přechod, kdy ICT pracovníci české pobočky Continentalu se stali zaměstnanci IBM, proces proběhl bez komplikací. Hlavním impulsem k tomuto řešení byla praxe nadnárodní firmy Continental, která v oblasti ICT služeb globálně využívá společnosti IBM ve více lokalitách [7]. V tomto historickém přehledu je ještě důležité zmínit fakt, že mnoho poskytovatelů outsourcingových služeb pochází z původně poradenské firmy. Tento jev má logické opodstatnění: jak tyto společnosti poskytovaly firmám rady, jak upravovat procesy a zaměřit se na hlavní činnost, tak si vytvořily vlastní technologickou divizi, kterou pak svým klientům nabídly k dispozici. . . Proto mezi hlavní poskytovatele na světovém trhu patří velká poradenská čtyřka, tedy největší poradenské společnosti KPMG, Ernst and Young, Deloitte a PriceWaterhouseCoopers. Kdybychom chtěli být historicky přesní, tak na začátku tisíciletí byla posledně jmenovaná společnost dvěma subjekty, které se spojily až později, a každý z nich - tedy jak PriceWaterhouse, tak Coopers Lybrand, měla svoji technologickou outsourcingovou sekci. Nejdražší komerční outsourcingové ICT kontrakty [11] jsou realizovány 38
3.3. Důvody pro outsourcing například u společnosti Continental Airlines, kde poskytovatel EDS má smlouvu na 2100 milionů USD (podepsáno na deset let v roce 1991). Zajímavý je i kontrakt British Aerospace se společností CSC v hodnotě 1500 milionů USD z roku 1994, jenž je udržován dosud. V roce 2004 dosáhl trh outsourcingu na světě hodnoty 180 miliard dolarů [34], takže se jedná o opravdu velmi důležitý a globálně používaný systém zajištění služeb.
3.3
Důvody pro outsourcing
Obrázek 3.2: Důvody pro outsourcing
Hlavní důvody přechodu na outsourcing, získané kombinací zdrojů [65], [63] a především díky mezinárodnímu průzkumu The Outsourcing institute [50].
3.3.1
Soustředění se na hlavní činnost
Tento důvod se uvádí jako jeden z nejčastějších [65]. Vychází i z toho, že outsourcing by opravdu měl poskytovat pouze podpůrné služby [63]. Díky tomu se firma může lépe soustředit na svojí hlavní činnost. Tento důvod je velmi racionální a pokud je jedním z hlavních, proč se firma rozhoduje pro zadání služeb vně, je to jednoznačné pozitivum.
3.3.2
Snížení nákladů
Další, a podle několika průzkumů nejčastější důvod pro zavedení outsourcingu, bývá snaha o snížení nákladů (viz [38]), což však může být i velmi ošidný důvod. Finanční motivace mají svoji logiku a jsou jednou z hlavních oblastí, na které by se firma měla zaměřovat (vyrábět efektivně s co nejmenšími náklady). Ale pokud firma poddimenzuje rozpočet na ICT externí služby, může sice přechodem na dodavatele vzniknout okamžitá úspora, která však ovlivní ICT chod, který se zhorší a později může vést i ke zvýšení nákladů (aby se kvalita ICT vrátila na původní úroveň). To bývá nejčastější příčinou nezdaru outsourcingu, jenž pak bývá zatracován. Snížení nákladů je sice relevantní důvod, ale firma by měla rozhodovat v komplexní rovině. Nesnažit se najít jen nejlevnějšího poskytovatele, ale dát váhu i dalším kritériím. Potenciál 39
3. Teorie o outsourcingu pro snížení nákladů zde přitom objektivně existuje. Externí poskytovatel, zaměřený na ICT služby, může využít úspory z rozsahu a tedy lepšího dimenzování lidských zdrojů a infrastruktury, zatímco u zajištění služby vlastními specialisty hrozí jejich nedostatečné vytížení. Neefektivní je též vlastnictví více serverů jen kvůli krátkodobé potřebě v kritické sezóně atd. Dalším pozitivem outsourcingu je, že díky nákupu služeb se místo klasických kapitálových výdajů platí operativní výdaje průběžné.
3.3.3
Předvídatelné a kontrolované výdaje
Pro interně zajišťované ICT je typické, že prakticky v každé firmě se ví, kolik se za ICT utratí. Pokud bychom si však položili otázku, kolik se uratí za ICT pro vybraný BP (podnikový proces), odpověď bychom u drtivé většiny firem zřejmě hledali velmi těžko [65]. Při zavedení outsourcingu je mnohem přehledněji vidět, za co přesně vynakládáme prostředky.
3.3.4
Sdílení rizik
Při převedení služeb na dodavatele se částečně zbavujeme rizika, že některé činnosti budou „mimo provoz“ jen kvůli nefunkčnosti ICT. Samozřejmě se zde jedná spíše jen o přesun rizika na jiného poskytovatele. Ten však - jelikož je na tomto businessu zcela závislý - má podstatně vyšší motivaci dodržet garantované dostupnosti a potlačit rizika na minimum.
3.3.5
Snadnější pružnost zdrojů
Dalším důvodem pro outsourcing je snadnější pružnost zdrojů, zmiňovaný již v souvislosti s náklady. Firmy mají často silně předimenzované ICT zdroje, protože musí být připravené na špičky v nárazech. Udržovat takovou situaci je finančně velmi neefektivní. Pokud firma ICT zdroje poddimenzuje, je rychlé zvýšení dostupnosti infrastruktury značně komplikované. Využije-li služeb specializovaného poskytovatele, má větší jistotu: tím, že obsluhuje více klidentů, je pro něj mnohem snadnější předvídat a zajišťovat potřeby zátěže našeho ICT. Firma tedy může platit pouze za servery, zdroje, které opravdu aktuálně využívá. Viz obrázek 3.3., kde je názorně vidět, jak je vlastní infrastruktura vůči požadovaným potřebám neefektivní (žlutá barva - spuštěný výkon, růžová požadovaný výkon.).
3.3.6
Zlepšení kvality ICT
ICT z externích zdrojů mohou zlepšit kvalitu těchto služeb, neboť poskytovatelé mohou využít své zkušenosti s provozem ICT z podobných oborů. Pokud tedy firma pociťuje problém s kvalitou vlastních ICT služeb, může být právě outsourcing velmi dobrým řešením. To potvrdil i průzkum, jenž je součástí této diplomové práce. 40
3.3. Důvody pro outsourcing
Obrázek 3.3: Ukázková situace kapacity a potřeby zdrojů
3.3.7
Přístup k řešení na světové úrovni
Tento pojem částečně koreluje se zlepšením kvality, přesto má lehké odlišnosti. Předchozí důvod byl více zaměřen na dostupnost a současnou situaci. Přístup k řešení na světové úrovni reprezentuje alternativu, kdy díky přechodu na poskytovatele získáme nové (drahé) technologie, které bychom si jako firma sami nemohli dovolit. Je to dáno tím, že náklady na jejich pořízení sdílí více firem, které za ně platí dodavateli. Může se jednat například o unikátní specificky vyvinuté aplikace nebo konzultanty ICT na světové úrovni, nebo například o bezpečnostní prověrky, kterých jsme dříve nebyli schopni.
3.3.8
Standardizace ICT
Při využívání outsourcingového partnera lze počítat s tím, že se firemní ICT více standardizuje [65]. Pokud bude převod zajištěn správně, bude eventuální přechod na jiného outsourcingového partnera velmi jednoduchý. Služby se zpřehlední a standardizují. Navíc je velmi pravděpodobné, že proběhne soulad dle metodik jako je Cobit nebo ITIL, protože outsourcingový partner bude mít tendenci naše ICT povznést na vyšší úroveň. Lze předpokládat, že bude zajištěn také soulad s bezpečností, jako je například ISO norma 27001. Pro zajímavost lze uvést výsledek rozsáhlého celosvětového průzkumu z roku 2004[34] mezi CIO, jenž překvapivě prokázal, že už tehdy byl hlavním 41
3. Teorie o outsourcingu důvodem pro outsourcing nedostatek interních kvalitních technických pracovníků (nikoliv redukce nákladů, jak je často s outsourcingem mylně uváděno).
3.4 3.4.1
Formy outsourcingu Částečný ICT outsourcing
Díky komoditizaci, která postihla IT v posledních letech, se stal především částečný outsourcing zcela běžnou součástí firemního života. Částečný outsourcing se dělí na podkategorie, viz [63], a to na externí zajištění ICT služeb nebo ICT procesu:
Obrázek 3.4: Typy částečného outsourcingu, zdroj vlastní
Outsourcing služby zajišťuje například elektronickou poštu, nebo informatický systém účetnictví. Zajištění tiskových služeb a podobných podpůrných činností je dnes již běžnější prostřednictvím outsourcingu, než interně (viz výsledky vlastního průzkumu, uvedené v další části práce).
3.4.2
Komplexní ICT outsourcing
V tomto případě se na externího dodavatele přesouvá komplexně celé ICT firmy. Jedná se tedy o nejradikálnější variantu. Spousta firem si totiž uvědomuje, že nejsou schopny spravovat efektivně svoje ICT a držet krok se světovou úrovní služeb. Firmy často nejsou schopny monitorovat a finančně odhadovat náklady na ICT. To, co dříve znělo naprosto nepředstavitelně - poslat celý ICT útvar mimo firmu - se dnes považuje za běžné. Startovacím impulsem může například být fúze dvou a více firem. Za této situace, kdy se tak jako tak musí výrazně reorganizovat ICT, se přímo nabízí přechod do outsourcingu. Taková situace nastala například v roce 2003, kdy proběhla fúze společností Jitona a.s. a Tusculum a.s. (více viz [60]), čímž vznikla nábytkářská skupina s největším potenciálem v Česku s ročním obratem přes 2 mld. Kč. Přes 95 % produkce této společnosti jde na export, takže firma není u nás příliš známá. Proces komplexního outsourcingu byl v této firmě hodnocen pozitivně, neboť zkvalitnil služby a zpřehlednil financování. Je zde důležité uvést, že při takové změně by společnost měla myslet na budoucnost a provést tento proces důkladně a raději pomalu (proces ve zmíněné společnosti byl dokončen až v roce 2006, tedy po třech letech od započetí, a setkal se nakonec s kladným výsledkem). U tohoto typu outsourcingu může občas nastat odpor CIO (ředitele informatiky), pro42
3.5. Současné trendy v ICT tože z vedoucího pracovníka, který má pod sebou i desítky lidí, se po tomto kroku stane manažer, který „pouze“ dohlíží na dodavatele ICT, kontroluje stav ICT a hledá možnosti pro zlepšení, přičemž mnohá rozhodnutí přechází na poskytovatele, a to včetně řízení lidí a zodpovědnosti za chod systémů. Dále je důležité správně ošetřit, aby se firma neocitla v zajetí svého dodavatele a nenastal takzvaný „vendor lock“, kdy by případný přesun na jiného dodavatele byl enormně náročný. Zde je také důležité, aby všichni vlastníci podnikových procesů definovali včas a správně své požadavky na ICT procesy.
3.4.3
Outsourcing podnikového procesu
Externě může být zajišťován i podnikový proces (někdy též označováno Business Process Outsourcing, BPO). V takové situaci přesouvá firma některý podpůrný podnikový proces kompletně na dodavatele. Nejčastějším bývá outsourcing účetnictví, stravování nebo logistiky. Tento krok je veden snahou podniku soustředit se na core business, kdy méně důležité procesy komplexně předává „ven“. Nejedná se tedy jen o ICT outsourcing, ale o celý proces. V takové situaci se proces nejčastěji předává společnosti, která se zaměřuje na malou množinu procesů, které je schopna zajistit - například zmíněné účetnictví, kde jeho součástí bude i outsourcing ICT pro účetnictví.
3.5
Současné trendy v ICT
V minulosti byl pohled na informatiku ve firmě zcela odlišný od dnešního pojetí. Dříve se podniková IT architektura pojímala především v dělení na Aplikace, Firewally, servery, datová úložiště atp. Dnes je však velmi výrazný posun k servisně orientované architektuře. Podobný přesun z izolovaných ostrovů na služby a procesy se konec konců objevil i v managementu, kde od klasické hierarchické struktury řízení podniku se přechází na procesní řízení. To ovlivnilo i IT, které se více orientuje na procesy a z toho vyplývající důležitost služeb.
3.5.1
Změny v nákladech na ICT
Rostoucí význam ICT ve firmách je prokazatelný. Zvětšuje se konkurenceschopnost, s čímž souvisí i zvětšující se podíl nákladů firem na ICT. Samozřejmě, že je zde patrný rozdíl, ve společnostech jako jsou banky a pojišťovny dosahují výdaje na ICT enormní procentní zastoupení, zatímco například u fpodnikatelů v zemědělství se jedná pouze o malou podpůrnou činnost. Přesto je zde jasný celkový pokrok. Dle studie U.S. Department of Commerce’s Bureau of Economic Analysis (viz [10]) investovaly americké společnosti v roce 1965 do ICT 5 % svých celkových investic, zatímco v roce 1980 už 15 % a vyústěním byla situace, kdy v roce 2000 činil podíl výdajů na firemní investice do ICT již 43
3. Teorie o outsourcingu 50 %. Jistě i díky zvětšujícímu se podílu peněz v ICT průmyslu rostl i počet firem, pro které bylo zajímavé se zaměřit na zprostředkování ICT služeb.
3.5.2
Volba služeb pro outsourcing
Situace, kdy se rozhodujeme, které služby přenechat outsourcingu, by se měly týkat převážně podpůrné činnosti [65], zatímco outsourcovat naši hlavní činnost podnikání bychom neměli. Proces pro rozhodnutí, které služby outsourcovat, se výstižně označuje jako “porcování medvěda”.
3.6
Rozdělení outsourcingu podle lokace
Při zvažování zavedení outsourcingu bychom měli brát zřetel i na geografickou polohu poskytovatele služeb. Existují tři základní kategorie podle lokality dle [49], a to:
Obrázek 3.5: Schématické rozdělení outsourcingu dle lokace
3.6.1
OnShoring
OnShoring je outsourcing poskytovaný firmou působící ve stejném státě jako společnost, která tuto službu zadává. V literatuře se také můžeme setkat se synonymy slova onShoring v podobě: domestic outsourcing, nebo ve variantě onshore outsourcing. V této kategorii externí služby nejsou žádné kulturní nebo další bariéry mezi poskytovatelem a firmou, neboť veškerá práce je vykonávaná ve stejném kulturním prostředí. Náklady na pracovní sílu budou velmi podobné, jako v případě, že bychom se rozhodli služby neoutsourcovat. Menší firmy si zpravidla pro externí službu hledají lokálního partnera, a to především z důvodu nulové jazykové bariéry a snadnějšímu jednání. V současné době lze mapovat jev, kdy především větší a vyspělé státy se snaží resourcovat služby z offshoringu (poskytovatel ze vzdálené země) zpět do vlastního prostředí. Například prezident Spojených států B. Obama dle článku „President Obama Touts ‘OnShoring’: Is Made in America Back? “ [70] nabádá firmy k OnShoringu (důvodem je snaha oživit americkou ekonomiku a přinést zpět pracovní místa, která přenosem služby do zahraničí zanikla). Toto je ale 44
3.7. Cloud computing z hlediska outsourcingu spíše politický problém související s realokaci pracovníků.
3.6.2
NearShoring
NearShoring vyjadřuje outsourcování služeb z okolních států. Na rozdíl od OnShoringu se zde mohou vyskytnout menší rozdíly v kultuře a mentalitě lidí, ale na druhou stranu lze lépe dosáhnout finančních úspor. Příkladem by mohlo být outsourcování pro německou firmu poskytovatelem v Bulharsku (příklad této země byl vybrán cíleně, neboť podle studie Gartner [20] je Bulharsko aktuálně jednou z nejvhodnějších zemí pro poskytování outsourcingu v Evropě. Podle této studie si dobré hodnocení delší období drží i Česká republika, což potvrzují i dlouhodobá velká zastoupení globálních hráčů v outsourcingu u nás. Například společnost Accenture (dle [1]) nedávno slavila desetileté výročí outsourcingového týmu v České republice, jenž aktuálně čítá přes tisíc profesionálů).
3.6.3
OffShoring
OffShoring je kategorie outsourcingu, kde partnerská firma zajišťuje svoji činnost z velmi vzdálených oblastí od sídla firmy, pro kterou poskytuje služby. Nejtypičtějším případem je situace, kdy si firmy z vyspělých státu světa (Spojené státy americké, Británie, Austrálie) své služby zajišťují například v asijských státech, často v Indii. Primární důvod pro volbu těchto destinací je jejich finanční nenáročnost. Kromě těchto úspor nabízejí firmy v těchto zemích dostatek relativně dostupné kvalifikované pracovní síly. Vyskytuje se zde však i spousta problémů, vzniklých především kvůli velké kulturní rozdílnosti, zpravidla se jedná o nepochopení v komunikaci. Velmi typická je situace, kdy firmy do Indie outsourcují helpdesk (telefonickou podporu). Související potíže především nedorozumění, vyplývající z jazykových znalostí a jiného kulturní prostředí - je parodováno v mnoha aktuálně vysílaných amerických sitkomech, což potvrzuje, že je to v praxi zřejmě velmi častý jev. Na motiv kulturních odlišností a s tím spojených problémů, a to speciálně při outsourcingu, vznikl seriál z produkce NBC s názvem Outsourced [47]. Je zřejmé, že jiný přízvuk, jiné kulturní zvyky mohou velmi ovlivnit tuto službu, takže by globální firma, rozhodující se pro OffShoring, měla zvážit i tyto faktory.
3.7
Cloud computing
Cloud computing je dnes velmi často skloňovaný termín. Jedná se o poskytování služeb prostřednictví internetu, kdy infrastruktura je pro koncového uživatele de facto skrytá. Ačkoliv se tedy v principu jedná o outsourcing (službu, kterou jsme si dříve zajištovali inhouse, nyní zajišťuje zpravidla provider 45
3. Teorie o outsourcingu na svých serverech), není toto pojetí jasně vymezené. Na cloud computing existují různé pohledy. Osobně se přikláním k názoru, že cloud je dodávka služby, a tedy ji lze zařadit mezi outsourcing je [72]. Někteří autoři, například [8], však s tímto pojetím nesouhlasí. Podle predikce analytické společnosti Gartner [21] se 15 % investic do klasicky chápaného outsourcingu „kanibalizuje“ na trh cloudových služeb. Tento trend je doložen ve více zdrojích. Proto by se globální hráči v oblasti outsourcingu, jako je například společnost Accenture, měly připravit na více se rozmáhající cloud [56]. Dnes je možné najít v cloudu celé velké podnikové systémy, jako je CRM od Microsoftu [64] nebo Oracle CRM On Demand [13]. Pokud se firma rozhodne používat některé specifické řešení od poskytovatele cloudu, zajišťuje si tak externí službu, jedná se tedy outsourcing. Z toho důvodu je nutné se o cloudu a jeho hlavních kategoriích zmínit.
Obrázek 3.6: Různé formy Cloud computingu [67]
46
3.8. Kategorie cloudů
3.8 3.8.1
Kategorie cloudů IAAS - Infrastructure as a Service
Infrastruktura jako služba – principem je využívání serverů poskytovatele jako virtuální služby, která se dá dobře dimenzovat (počet fyzicky běžících serverů pro firmu se může dynamicky měnit). Výhodou je, že firmě odpadá starost o servery, přičemž může využít již hotovou infrastrukturu. Nejtypičtějším zástupcem tohoto řešení dle průzkumu Zenoss [71] je aktuálně Amazon EC 2 [2], případně Rackspace [54].
3.8.2
PAAS - Platform as a Service
Platforma jako služba je další (z pohledu uživatele) model, kdy se dodavatel nestará jen o infrastrukturu, ale také o celou platformu (operační systém, load balancing, správu java runtime atp.) Ukázkovým příkladem dle průzkumu Zenoss [71] je Google App Engine GAE nebo Force společnosti Salesforce. U tohoto typu řešení, jako je GAE, je větší nebezpečí vendor locku než u IAAS [46]. Dle společnosti Gartner [48] bylo v minulém roce za PAAS utraceno 707 milionů dolarů a v roce 2015 se očekává růst na 1,9 miliardy dolarů. Zde je vidět relativně prudký očekávaný nárůst. Oproti rozšířenému SAAS je to stále málo: v roce 2011 bylo dle stejného průzkumu [48] za SAAS utraceno již přes 12 miliard dolarů.
3.8.3
SAAS - Software as a Service
Software jako servis je poskytnutí nejkomplexnějšího řešení, tedy konečného softwaru, kde nás nezajímá, kde to běží, ani na jaké platformě, ale jde nám čistě o funkci softwaru. Příkladem může být opět produkt od Googlu, tentokrát Google Apps tedy aplikace na Kalendář, správu kontaktů. . . v poslední době se začínají SAAS aplikace velmi prosazovat, typickém představitelem je například Salesforce se svým řešením na CRM. Tuto firmu následovaly i starší firmy klasicky známé z byznys prostředí jako jsou produkty Microsoft Dynamics [64] případně Oracle CRM [13].
3.9
Typy cloudů
Pokud se rozhodneme použít cloudových služeb, máme několik různých způsobů, jaký typ zvolit. S ohledem na bezpečnost se často rozdělují cloudové služby na Private, Hybrid a Public [4]. Pokud firm a využívá Public cloudů, běží její servery v „oblacích“ spolu s dalšími klienty. Potencionálně zde může snadněji dojít k bezpečnostnímu riziku, a to i přesto, že se poskytovatelé samozřejmě snaží, aby k něčemu takovému nedošlo. Výhoda Public cloudu vězí v jeho hlavní 47
3. Teorie o outsourcingu
Obrázek 3.7: Typy cloudů [68]
vlastnosti (sdílení prostředků více uživateli) – je to úspora nákladů, která z toho explicitně vyplývá. Pokud tedy firma potřebuje zajistit největší stupeň bezpečnosti, bude pro ni nejvhodnější Private (někdy též označován Internal) cloud, kdy veškerá fyzická infrastruktura není sdílená s žádnými dalšími zákazníky dodavatele. Teoreticky je tato varianta bezpečnější, ale samozřejmě také dražší. Kompromisním řešením je Hybrid cloud, kdy část cloudových služeb běží na Public cloudu, a služby bezpečnostně kritičtější běží v Private cloudu.
3.10
Řízení podnikové informatiky - související standardy a doporučení
Pokud se zabýváme rozhodováním o informatice (což souvisí i s outsourcingem), je dobré se zmínit o mezinárodních standardech a doporučeních, týkajících se řízení informatiky, její architektury, bezpečnosti a dalších souvisejících činností. Existuje několik oficiálních i neoficiálních institucí, nejznámější jsou dle [61]: • ISACA – instituce auditorů IT, autor Cobitu • ANSI – americký institut pro standardy 48
3.10. Řízení podnikové informatiky - související standardy a doporučení • ISO – mezinárodně uznávané normy • INTOSAI – organizace zajištující externí audity
3.10.1
Information Technology Infrastructure Library (ITIL)
ITIL je u nás v běžné praxi velmi používaný „standard“ pro řízení informatiky, a to jak ze strany uživatelů, tak dodavatelů řešení. Nejedná se přesně o standard, ale spíše o best-practice. Počátky tohoto doporučení dle oficiálního webu [38] jsou ve Velké Británii (1985). Důraz byl kladen především na Framework od Edwarda Deminga PDCA (plan-do-check-act cyklus). Velmi brzy od uvedení se začal používat a byl doplněn celkem rychle na 30 knížek, čímž se však stal pro hodně organizací hůře použitelný (díky svému rozsahu a roztříštěnosti). V roce 2000 byl vydán ITIL verze 2, který byl zredukován a uspořádán - a také samozřejmě inovován - již pouze do osmi knížek, což zlepšilo jeho použitelnost. Další zlom nastal v roce 2007, kdy byl vydán ITIL verze 3 (někdy též po poslední revizi označován jako ITIL 2011), jenž přinesl ještě větší důraz na IT služby a další zhuštění jeho zpracování. Inovativní pojetí je rozloženo pouze do pěti knížek (schématické rozdělení publikací, dle zaměření na firemní strukturu, viz obrázek 3.8). Další zajímavostí je souvislost mezinárodní ISO normy ISO/IEC 20000, pocházející také z Velké Británie (dříve známa pod označením, respektive její lokální specifikace: BS 15000). Tato norma byla vytvořena podle ITIL 2 (dle [17]). Použita byla i další doporučení, než zmíněný ITIL (ITIL V2 však byl opravdu nejvíce inspirujícím materiálem pro vznik této normy). Když v roce 2007 vyšel ITIL V3, byl kladen také důraz na to, aby byl zachován soulad s touto ISO normou. A tak i novější ITIL V3 koresponduje s tímto mezinárodně uznávaným standardem. O přesných rozdílech mezi ISO normou a ITIL V2 a R V3 and ISO/IEC 20000 [17]. V3 detailně pojednává publikace ITIL Zájemci o podrobný přehled o ITIL mohou čerpat vědomosti z oficiální šesté knížky, která obsahuje manažerské shrnutí, co je ITIL a jeho hlavní součástí (alternativně doporučuji publikaci od itSMF - An Introductory Overview R [39]). of ITIL 3.10.1.1
Důležitost ITIL
Rozšířenost a význam „standardu“ ITIL lze demonstrovat statistikami, týkajícími se certifikace ITIL odborníků. Dle údajů z roku 2011 (viz [37]) se snažilo získat ITIL certifikaci přes 250 tisíc kandidátů z celého světa, což je velmi velký počet odborníků zaměřených na jeden framework. Úspěšnost u nejnižšího certifikátu ITIL byla 88 %, zatímco u certifikace ITIL V3 Managers Bridge byla jen 65 %. Další spíše zajímavostí je, že nejvíce kandidátů pochází z Evropy, kde chtělo složit certifikaci 86 985 zájemců, následováno Asií (72 516 kandidátů) a Severní Amerikou (57 139 uchazečů). Rozdíly v průchodnosti uchazečů z jednotlivých regionů zjištěny nebyly, všude byla úspěšnost okolo 88 %. Rozdílná 49
3. Teorie o outsourcingu
Obrázek 3.8: Rozdělení publikací dle nejlepší úrovně zaměření ve firmě
byla jen průchodnost v Africe, kde tento ukazatel dosahoval pouze 79 %. Nejpilnějšími studenty byli uchazeči v Oceánii, kteří měli úspěšnost přes 91 %.
3.10.2
Cobit
Historie Cobitu je kratší než historie ITIL. První verze Cobitu, za kterou stála organizace ISACA (Information Systems Audit and Control Association), zabývající se především ICT audity, vyšla v roce 1996. Později - v roce 1998 - byla založena organizace The IT Governance Institute (ITGI), která se nyní stará o Cobit (viz [29]). Přesto je Cobit stále spjat ze svou mateřskou organizací ISACA, která byla založena ve Spojených státech v roce 1967 (viz historie ISACA [35]). Kromě Cobitu je ISACA také autorem příbuzných frameworků a doporuční především Val IT a Risk IT (Val IT se zabývá odpovědností a efektivností investic do ICT, Risk IT se věnuje různým úrovním a druhům rizik v ICT – jedná se o stručná doporučení, která mají okolo 100 stránek textu, tedy oproti ITIL je to úspornější forma...). Tyto související normy ale budou v budoucnu (zřejmě ještě během roku 2012) nahrazeny Cobitem 5, 50
3.10. Řízení podnikové informatiky - související standardy a doporučení který bude mnohem rozsáhlejší a bude obsahovat i Val IT a Risk IT část, takže ISACA přestane nabízet certifikace pro tato doporučení, které aktuálně nabízí, a nahradí je Cobit certifikacemi.
Obrázek 3.9: Demonstrace vývoje Cobitu a souvisejících doporučení. Zdroj: prezentace COBIT 5 Executive Summary PowerPoint Presentation, www.isaca.org
V současné době (ke dni 28. března 2012) je Cobit 5 téměř připraven (podle oficiálního webu), ale dosud nebyl finálně publikován. Kvůli zaměření organizace ISACA byl Cobit ze začátku orientován čistě na auditování ICT, takže se nejednalo o klasické best-practice, jako ITIL. Avšak postupným vývojem se i Cobit rozšířil do této oblasti, a tak se nyní již běžně uvádí, že zaměření Cobitu a ITIL je podobné. Tento historický posun je zřejmý například na obrázku 7 (získán z prezentace o chystaném Cobitu 5 od ISACA). V této prezentaci [31] se Cobit představuje také jako framework pro malé i velké organizace, státní i soukromé, jednoduše řešeno - dle ISACA jej můžeme použít všude. Hlavním posláním Cobit 5 je pomoci společnostem vytvořit optimální hodnotu ICT za adekvátní cenu a rizik. Z posledních dokumentů je patrné, že Cobit se čím dál více odklání od technologií a čím dálo víc klade důraz na Informace a IT Governance. Dle aktuálních informací [31] má mít budoucí verze Cobitu pět hlavních principů: 51
3. Teorie o outsourcingu 1. Meeting Stakeholder Needs 2. Covering the Enterprise End-to-End 3. Applying a Single Integrated Framework 4. Enabling a Holistic Approach 5. Separating Governance from Management Meeting Stakeholder Needs: zdůrazňuje fakt, že společnost existuje proto, aby vytvořila přidanou hodnotu pro Stakeholdery – tedy uskutečnění benefitů z realizace, optimalizace zdrojů a rizik. Covering the Enterprise End-to-End: stručně řečeno uvádí že Cobitu nejde jen o ICT funkce a řešení. Applying a Single Integrated Framework: tento princip je velmi důležitý, neboť ještě více rozvíjí již zmíněný vývoj Cobitu (příklad viditelný na obrázku 3.9). Jedná se o to, že Cobit se snaží integrovat více doporučení a standardů do jediného frameworku. Měly by zde tedy být dle ISACA integrovány jak enterprise normy, jako je COSO, ISO 9000, tak ICT orientované frameworky, jako je ITIL, bezpečnostní ISO 27000, architektonické rámce, jako je například TOGAF, či projektové řízení podle PRINCE2. Enabling a Holistic Approach: zkráceně lze charakterizovat, že se jedná o komplex mnoha oblastí, které dávají dohromady ucelený požadovaný výsledek. Separating Governance from Management: týká se rozdělení rolí pro Governance a Management. Jedná se o rozdíl mezi PDCA cyklem a Governance, názorně na obrázku č. 3.10. V Cobitu 5 bude pravděpodobně, podle zatím dostupných informací [30], ještě větší zaměření na služby a s nimi související outsourcing. Ze současného Cobitu verze 4. 1. jsou pro audit a monitorování outsourcingu nejdůležitější procesy: • DS1.3 Service Level Agreements – doporučuje SLA pravidelně aktualizovat, aby byl v souladu s business cíli • DS1.4 Operating Level Agreements – doporučuje zkoumat soulad SLA s OLA • DS1.5 Monitoring and Reporting of Service Level Achievements – hovoří o monitoringu a reportingu z SLA, jeho formátu a frekvenci • DS1.6 Review of Service Level Agreements and Contracts – současný provoz outsourcingu je v souladu s podepsaným SLA • DS2.2 Supplier Relationship Management – dokumentuje komunikaci s providerem, ujišťuje, že provider provádí interní kontroly 52
3.10. Řízení podnikové informatiky - související standardy a doporučení
Obrázek 3.10: Rozdíl Governance a Management, zdroj [31]
• DS2.3 Supplier Risk Management – hledá potenciální rizika u poskytovatele • DS2.4 Supplier Performance Monitoring – indikuje stěžejní performace kritéria a zjišťuje, jestli jsou monitorována • ME2.5 Assurance of Internal Control – zkoumá, jestli interní audit provádějí oprávnění pracovníci (například držitelé CISA certifikace) a zda jsou nezávislí • ME2.6 Internal Control at Third Parties - zkoumá podrobně interní kontroly providera, zda jsou například v souladu se standardy SAS 70 • ME3.1 Identification of External Legal, Regulatory and Contractual Compliance Requirements - zkoumá, zda je dodržena legislativa • ME3.3 Evaluation of Compliance With External Requirements – soulad firemních směrnic o ICT a outsourcingové realitě Organizace ISACA také vydává další doporučení pro interní a externí ICT auditory, které se dělí na kategorie [36]: • Standardy (standards) – zcela povinné požadavky na proces auditu • Návody (guidelines) – obsahují návody na aplikaci standardů • Procedury (procedures) – konkrétní příklady postupů auditů ICT 53
3. Teorie o outsourcingu Konkrétně outsourcingem, respektive především jeho auditem, se nejvíce zabývá Guidelines G4 (Outsourcing of IS Activities to Other Organisations) [33] a G16 (Effect of Third Parties on an Enterprise’s IT Controls) [32]. V Cobitu 4.1 se jedná především o sekci DS2 (Manage third-party services). Tato doporučení od ISACA jsou však velmi obecná, až stěží by se dala označit za konkrétní metodologii. Jistě je vhodné se z nich poučit, návody G4 a G16 jsou užitečné a určují základní doporučení, na co si dát pozor. Je to však jen základní stavební obecný blok, který je pro audit outsourcingu nutné značně rozšířit. Velmi stručný popis dokumentu G4 (Outsourcing of IS Activities to Other Organisations) [33] by se dal charakterizovat jako: Auditor má posoudit, který outsourcingový model byl použit, a jak dopadl, zda je toto využití vhodné. 1) Labor outsourcing - většinou OffShore (člověko outsourcing) 2) Labor and systems outsourcing (většinou OnShore model). Auditor má prověřit dle G4 [33]: • Existenci formální smlouvy mezi providerem a firmou • Potvrzení, že provider zajišťuje vše, co je legislativně nutné • Zda se vše monitoruje, kontroluje • Jestli si provider provádí interní audity • Kontrolu, zda provider reportuje incidenty, jak je určeno • Existenci monitoringu zakotvenou v SLA • Kontrolu bezpečnostních politik • Zjištění, zda má provider pojištění • Zda provádí opravdu vše provider, nebo dál přeprodává • Existenci recovery programu (disaster managment) Jakékoliv problémy během auditu způsobené nespoluprací providera, musí být zaznamenány. Výsledky auditu má obdržet management firmy, jenž zváží, zda jej dá k dispozici též providerovi. Implicitně se providerovi neposkytuje. Doporučení G16 (Effect of Third Parties on an Enterprise’s IT Controls) [32] je ve více oblastech podobné G4. Navíc zkoumané oblasti by se daly popsat jako: • adekvátnost výše poplatků • jak je řešena odpovědnost za implementaci, kontrolu a jejich výkon • odpovědnost za data 54
3.10. Řízení podnikové informatiky - související standardy a doporučení • kdo ručí za software (bezpečnost) • průběh auditu u providera (pokud existuje interní audit) • vytvořit doporučení pro úpravu kontraktu Dá se říci, že nejlepší napojení na ostatní doporučení a frameworky nalezneme u ISACA, kde u každého dokumentu jsou navazující dokumenty, což je velmi praktické. Například u auditu outsourcingu G4 se odkazuje na obecnější auditorské dokumenty S1,S5 a S6 - více v publikaci IT Standards, Guidelines and Tools and Techniques for Audit and Assurance and Control Professionals [36]. Jak vidno, existuje nyní velmi velké (a občas i nekonzistentní) množství standardů. Více organizací se proto snaží o částečné sjednocení. Mapováním Cobitu na další frameworky, aby byly v souladu, se zabývají další publikace. Ucelený přehled doporučení a standardů pro profesionály nabízí například nedávno vydaná zajímavá publikace ITAF – IT Assurance Framework. Jedná se o publikaci, která se neustále vyvíjí a je hodně komerčně orientovaná (a drahá), takže jsem se jejímu bližšímu studiu nevěnoval. Outsourcingu se v ní věnuje sekce ITAF (section 3630.6—Outsourced and Third-party IT Activities). Obecně se problematice outsourcingu a řízení ICT a standardům věnuje více publikací od renomovaných poradenských firem, jako je Gartner nebo studie Blackbooks of outsourcing od Datamonitoring Group [14]. Tyto průzkumy však bohužel nejsou veřejně dostupné (každá studie, byť má například rozsah pouze 20 A4, stojí okolo dvou tisíc dolarů, takže nebylo možné tyto studie pro zpracování diplomové práce zajistit).
3.10.3
Další doporučení a standardy
Světově nejuznávanějšími a nejpoužívanějšími standardy jsou ISO normy, mezi nimiž je několik norem, týkající se řízení ICT a jeho controlingu, což s outsourcingem úzce souvisí (především oblast řízení, kde se jedná o strategická rozhodnutí, zda do outsourcingu jít nebo ne, jak jej spravovat a monitorovat, což se zase týká controlingu). ISO norma 20000 se týká best practice pro ICT. Jedná se o normu, jak již bylo dříve v textu zmíněno, vycházející především z ITIL. Další známá a používaná norma je ISO 27000, která se zaměřuje na ICT bezpečnost. Částečně související je americká norma ministerstva obrany TCSEC [15] či evropské doporučení ITSEC [27]. Sdružení auditorských spolků COSO navrhlo doporučení COSO Internal Controls, které je komerční a auditory hojně využívané. Obecně jsou tato doporučení vzájemně převoditelná (tyto normy stanovují parametry, které musí produkt splnit, aby dosáhl určité úrovně zabezpečení). Při volbě outsourcingu někdy může „hrát roli“ právě požadavek na splnění určité bezpečnostní kategorie, například státní instituce může mít požadavek, aby dodané řešení splňovalo kategorii ITSEC E5. 55
3. Teorie o outsourcingu Mezinárodním doporučením na ICT architektury [45] je TOGAF (The Open Group Architecture Framework) a Zachman.
3.10.4
Definice důvodů a cílů použít metody CSF a KPI:
Důležité jsou také pojmy a metody CSF a KPI [42] 3.10.4.1
Critical Success Factors (CSF)
Critical Success Factors (CSF) je metoda, kterou formuloval D. Ronald Daniel (v roce 1961), jež byla publikována v Harvard Business Review [57]. Jedná se o určení klíčových důvodů projektu. Například se může jednat o snížení nákladů či o zvýšení kvality ICT služby. 3.10.4.2
Key Performance Indicators (KPI)
Key Performance Indicators (KPI) je už detailnější rozpracování CSF do konkrétních cílů [65]. Pokud bude například v CSF uvedeno snížení nákladů, tak může být u KPI přesnější popis ve formě „snížení nákladů na ICT služby o 10 % ročně po dobu 5 let”. Pro outsourcing již méně důležitá, přesto s ním lehce související, jsou i auditorská doporučení od organizace INTOSAI či americký zákon SOX. Týkají se více finančního auditu firem, které však mají návaznost na řízení ICT a tedy i na outsourcing. Například zákon SOX musí dodržovat každá společnost (i česká), která je zástupcem americké firmy registrována u SEC. Zákon SOX byl přijat po účetních skandálech, jakým byla například situace v Enronu [52]. Pro banky je také - i v návaznosti na ICT - důležitý dokument Basel II z roku 2007, týkající se řízení rizik.
56
Část II
Realizace
57
KAPITOLA
Doporučení pro IT outsourcing V této kapitole jsou navržena doporučení, jak správně zavést a hodnotit outsourcing, kde a jaké metriky je vhodné použít, a to jak tvrdé metriky (dostupnost služby, doba odezvy), tak měkké (kvalita hodnocení služby uživateli). Doporučení se zabývá outsourcingem od jeho počátečních fází (označovaných jako pre-implementační,) přes jeho implementaci až po zhodnocení jeho současného stavu (jenž by v případě krachu mohl vést k insourcingu). V obecné rovině auditu ICT outsourcingu je možné alternativně vycházet, jako ve všech ostatních ICT auditech, například z doporučení od auditorské společnosti ISACA a jejích standardů [36], nejrelevantnější je sekce G4 a G16 a obecná doporučení S1, S5. Zde je především zakotveno, že se má při auditování vycházet z etického kodexu auditora a dalších typických náležitostí, co je vhodné zajistit pro každý audit, a to v případě interního auditu ICT outsourcingu, případně pro audit realizovaný externí společností nebo konzultantem. Doporučení si klade za cíl nabídnout návod, jenž může využít auditor ICT při hodnocení outsourcingu v konkrétní organizaci. Ukazuje záludnosti spojené s outsourcingem, na co si dát pozor a na co klást důraz.
4.1
Životní cyklus outsourcingu
Zavedení outsourcingu má charakter běžného podnikového projektu. Takže na začátku by měly být stanoveny cíle, harmonogram, způsob plnění a metrika hodnocení. 59
4
4. Doporučení pro IT outsourcing
4.2
Hlavní rizika přechodu na outsourcing
• Ujištění, že bezpečnost dat je zajištěna a že nebude docházet k únikům informací. • Ujištění, že i fyzické (mechanické) zabezpečení providera je dostatečné.
4.3
Vytvoření poptávky
Vytvoření kvalitní poptávky je další klíčovou součástí procesu. Poptávka by měla být tak obsáhlá, aby poskytla budoucímu dodavateli co nejreálnější obraz o tom, co se po něm požaduje, aby mohl stanovit reálnou cenu a způsob řešení. Měla by obsahovat především: • Základní informace o zadavateli (odvětví činnosti, kritéria hodnocení, CSF a KPI pro outsourcing) • Popis současného stavu • Rozsah poptávaných služeb • Informace spojené s přechodem na outsourcing (přesun pracovníků, majetku) • Požadovaný cílový stav Pokud se jedná o větší projekt, pak si solidní dodavatelská firma sama provádí audit poptávky, neboli Due diligence. V něm si ověřuje, zda je poptávka opravdu správně zadaná a zda odpovídá budoucím cílům.
4.4
Výběr poskytovatele
Dalším velmi důležitým krokem je volba dodavatele, pro kterou by firma měla zpracovat vhodná výběrová kritéria. Pravděpodobně nejčastější chybou při volbě poskytovatele je zaměření se pouze na cenu řešení, přičemž dalším parametrům, jako jsou reference a lokace poskytovatele či zkušenosti z podobných projektů, je věnován menší akcent. Při hledání poskytovatele by se společnost měla snažit získat stabilního partnera. Nevhodně napsaná smlouva, nevýhodná pro kteroukoliv stranu, se v budoucnu projeví špatným fungováním zvoleného řešení. Pokud například firma donutí dodavatele jít s cenou výrazně dolů, bude mít poté dodavatel tendence „ošidit“ nám poskytovanou službu, jak to jen jde, aby se mu taková zakázka vůbec finančně vyplatila. . . Společnost se tedy má snažit o win-win strategii, neboli podmínky výhodné pro obě strany. Dalším parametrem pro výběr dodavatele může být budoucí expanze do zahraničí a sídlo či působení daného poskytovatele v 60
4.5. Podepsání a náležitosti smlouvy lokalitě, kam chce zadávající společnost expandovat. Dále se může jednat o požadavek, aby poskytovatel služby byl držitelem mezinárodních certifikátů (například bezpečnostního certifikátu ISO 27001).
4.5
Podepsání a náležitosti smlouvy
Při přípravě smlouvy o outsourcingu by se mělo především myslet na: • Definici poskytovaných služeb • Monitoring a hodnocení • Cenu • Ochranu informací • Sankční vyrovnání • Zánik partnerství Definice poskytovaných služeb je zcela zásadní věc. V ní je nutné přesně specifikovat, co se po dodavateli požaduje. Je vhodné si zde nechat prostor i pro možné úpravy do budoucna (to platí pro celou smlouvu, která by měla být koncipována dlouhodobě, ideálně na 2-10 let, s možností úprav pro vyjádření spokojenosti pro obě strany). Pokud chceme mít garantovánu dostupnost a hodnotitelnost služby, musíme mít také stanoven monitoring. Mělo by být určeno, jak se bude provádět a kdo jej bude provádět, zda v tomto směru věříme dodavateli, nebo zda si chceme službu (například její dostupnost) monitorovat sami (více v části o SLA). Při určování ceny je třeba mít na paměti poměr spokojenosti obou stran a neakceptovat příliš vysokou cenu, ale ani ji nepodsadit tak nízko, aby zakázku nebyl dodavatel nucen šidit. Je velmi vhodné sem implementovat též pravidlo, jak se cena bude měnit v budoucnu. Není totiž zpravidla reálné určit ceny na deset let dopředu, ale je naprosto reálné uzavírat smlouvu na tuto dobu. Změny ceny musí pokrývat otázky jako je inflace, změna technologie (tj. například i zlevnění služby při technologickém pokroku) atp. Dalším zcela zásadním požadavkem je ochrana informací a firemního knowhow. Dokonce se jedná o jedno z hlavních kritérií, proč se firmy bojí přechodu na outsourcing, kdy část svého firemního know-how předávají tzv. ven. Je nutné se zajistit a mít garantovánu dostatečnou ochranu. Další důležitou součástí je ochrana osobních údajů. U varianty OffShoringu v této souvislosti může nastat problém, protože osobní data se do některých států nesmějí převádět (ukládat). Například pro českou firmu je bez problémů mít osobní data na serverech fyzicky umístěných v Evropě a USA. S některými dalšími státy však ČR nemá dohody, a tak není možné do těchto států legálně data umísťovat. 61
4. Doporučení pro IT outsourcing Podceněna by neměla být ani ujednání o sankčním vyrovnání. Pokud je pro firmu sjednávaná služba velmi důležitá, musí při její nefunkčnosti nad rámec povolenosti ze smlouvy přijít finanční sankce pro dodavatele. Proto je třeba brát v potaz i finanční sílu dodavatele. Pokud je zadavatelem velká firma, měla by si najít adekvátního partnera, jenž dokáže garantovat zaplacení případných sankcí. Například při volbě outsourcingového partnera pro firmu Kapsch, jenž v ČR zajišťuje mýtný systém, bylo jedním z klíčových faktorů to, že firma HP byla schopna garantovat finanční vyrovnání při případném selhání [25]. Zcela prioritní je také ujednání, co se stane po skončení smlouvy, případně při odstoupení během její platnosti. Je nutné zajistit, aby firma byla schopna převést služby na nového dodavatele. Tudíž je dobré ošetřit ve smlouvě, komu patří data a v jakém stavu budou firmě předána, případně přiložit schéma převodu služby zpět do firmy metodou insourcingu.
4.6
Kvalita SLA
• právní aspekty smlouvy • vyřešení odstoupení od smlouvy • vyřešení přechodu na jiného poskytovatele (migrace dat) • vyřešení finančních kompenzací při nefunkčnosti • vyřešení otázky, kdo a jak monitoruje službu • vlastnictví hardwaru a softwaru • jak a za co se účtuje • vyřešení otázky auditu třetí stranou • legální práva ohledně datové dostupnosti Pojem SLA je v ICT velmi často používaný (v Česku ho dle průzkumu [58] firmy Dimension Data Czech Republic uvádí jako hlavní standartní prostředek při nákupu služeb již více než 81 % firem, zatímco v roce 2009 se jich takto vyjádřilo pouze 60 %.). Plné znění zkratky je Service Level Agreement napovídá, že se jedná o smlouvu pro služby, která se běžně uzavírá při sjednání kontraktu mezi firmou a poskytovatelem ICT řešení. Smlouva popisuje a definuje přesné závazky poskytovatele. Typicky se jedná o služby, které mají běžet nepřetržitě (poskytovatel však zpravidla garantuje o trochu menší dostupnost, například 98 %). Smlouva obsahuje i stanovení reakční doby na opravu chyby atp. V zahraničí se též používá termín OLA, který je ale v běžné praxi prakticky synonymem pro SLA. Mezi nejčastěji problematické oblasti smluv patří řešení otázek: kdo a jak bude měřit dostupnost, jaké jsou sankce při selhání, jak je velká garance,co 62
4.7. Řešení otázky garance dostupnosti všechno by měla SLA ošetřit. Termín SLA k nám přišel ze zahraničí, v českém právu je to pojem neznámý. Proto při sepisování konkrétních SLA se často používá spíše jen termín „smlouva“. Při tvorbě SLA proti sobě stojí dva protichůdné světy: poskytovatel chce mít co nejměkčí sankce při nefunkčnosti služby, zatímco firma, která službu nakupuje, chce mít naopak smluvně zajištěnu neustále fungující službu, která je při výpadku nekompromisně finančně trestána.
4.7
Řešení otázky garance dostupnosti
Je třeba si uvědomit, že pokud firma nutí poskytovatele jít do velmi vysoké garance služby, je nutné počítat s tím, že náklady spojené se zajištěním takové dostupnosti velmi rostou. Firmy si přitom občas neuvědomují, že tak vysoká garance ani není potřeba. Příklad výpočtu garance služby: Garance 99,00% 99,50% 95%
Možný výpadek měsícně 7 hodin 12 minut 3 hodiny 36 minut 36 hodin
Možný výpadek denně 14 minut 7 minut 1 hodina 12 minut
Možnosti, proč může dojít k výpadku služeb a kritičnost jejich dopadů: • plánovaný výpadek služby kvůli upgradu softwarů ve večerních hodinách (restart serverů) • neplánovaný výpadek v pracovní době Zamezení výpadku kvůli restartu serverů, případně upgradu podnikových aplikací, je pro řešení finančně velmi náročné. Nejprve musíme řešit minimální replikaci na úrovni serverů, aby daná služba kvůli prakticky neškodnému restartu fungovala i v době, kdy ji pravděpodobně nikdo nepoužívá (jedná se o plánované restarty serverů údržbou). Zajištění migrace podnikových aplikaci bez (byť jen chvilkové) nedostupnosti je složité a drahé řešení. Ani velké instituce (např. bankovní) nepožadují absolutní dostupnost – například při migraci internetového bankovnictví ohlašují dopředu nedostupnost během brzkých ranních hodin, což prakticky nikomu nevadí. Banky tak dokáží ušetřit výrazné částky, které by musely vynaložit, pokud by daná služba měla fungovat i během migrace dat. Druhou kategorií jsou výpadky, které jsou neplánované a nastanou-li během pracovní doby, jsou pro firmu mnohem kritičtější. Každá důležitá služba by neměla být závislá na funkčnosti jediného konkrétního serveru, ale měla by být replikovaná, čímž se dá předcházet neplánovaným výpadkům. Na první pohled nepříliš dostatečná garance služby 95 %, která může mít jeden výpadek v době 36 hodin za měsíc, může být přijatelná, pokud by daný 63
4. Doporučení pro IT outsourcing výpadek byl rozložen na více drobných servisních činností během nočních hodin. I tak je tato dostupnost opravdu malá, lepší je volit větší garanci. Dostatečnou funkčnost poskytuje zpravidla už garance 99 %. Toto však nelze obecně konstatovat, je třeba dát do kontextu s konkrétním businessem firmy. Jít v garancích ještě dále by však pravděpodobně bylo pro firmu finančně příliš náročné (bez většího benefitu plynoucího z této garance). Další náležitostí ohledně garancí je jejich napojitelnost na sebe. Například pokud provider garantuje dostupnost internetového připojení 99 % - a firma by chtěla garantovat dostupnost služby běžící na serveru ve výši 99 %, musela by být garance dostupnosti fyzického serveru větší než oněch 99 % (kvůli závislosti na internetovém připojení). Další otázkou, kterou by bylo dobré ve smlouvě řešit, je specifikace, jak počítat údržbové výpadky mimo dobu, kdy je potřebná daná IT služba. Pro firmu nakupující ICT řešení by bylo například lepší mít garantovanou větší dostupnost služby v prioritních časech, zatímco odstávky mimo pracovní dobu by se do dostupnosti vzhledem k prioritě mohly počítat jen přes zmenšený koeficient. Nejproblematičtější otázkou garance je určení, jak se bude měřit. Bude za to zodpovědný poskytovatel (chce mu firma v tomto věřit?), bude za to zodpovědná firma? Jak je definována daná dostupnost služby, například garance dostupnosti serveru ? Je tím myšleno přístup pouze z lokální sítě, nebo se týká i dostupnosti z internetu? Tyto všechny otázky je potřeba ve smlouvě důkladně ošetřit. Někdy se řeší tím, že je zaveden termín servisní okno [69], což jsou plánované servisní odstávky, které se nepočítají do dostupnosti služeb.
4.8
Právní podmínky
Mohou existovat i právní bariéry, které mohou firmě outsourcing ztížit. Mezi hlavní patří především: Umožnují firemní rozpočtové směrnice převedení původně investičních nákladů na běžné výdaje? (outsourcing je většinou hrazen měsíčními poplatky, zatímco interní ICT - minimálně hardware – je řešen jako investiční náklady). Pokud se snažíme o komplexní outsourcing a o převod našich zaměstnanců na stranu poskytovatele, je tento proces právně schůdný? Dále je třeba zvážit i řešení pohybu pracovníků poskytovatele v zadavatelské firmě.
4.9
Projekt implementace a testování
V této fázi dodavatel implementuje projekt u klienta. Zde je vhodné, pokud je outsourcing rozsáhlejší, aby nasazení outsourcingu probíhalo postupně a nenastal najednou „Big Bang“, který by uživatelé mohli hůře snášet. 64
4.10. Penetrační testy
4.10
Penetrační testy
Pokud se firma rozhodne outsourcovat část nebo celou informatiku, měla by si preventivně nechat provádět (externí společností) penetrační testy. Klasický audit ICT, potažmo audit outsourcingu, zkoumá rozdíly doporučení a norem za asistence administrátora systému, nesnaží se o průniky a invence, hodnotí současný stav podle doporučení. Penetrační test poskytuje ujištění o bezpečnosti na základě pokusu o útok na bezpečnost firmy. Takový penetrační test provádí specialista, jenž se snaží dostat do informatického systému společnosti jak přes internet, přes známé bezpečností chyby, tak i formou sociálních útoků. Penetrační testy jsou realizovány “jakoby” pokusem o invazivní útok testovacím expertem, zatímco audit je spíše porovnání stavu vůči normám (neinvazivní). Pokud chceme zpracovat audit, respektive hodnocení úrovně outsourcingu některé části informačního systému, měli bychom si ujasnit, zda nám stačí pouze audit, nebo zda by nebylo vhodné přidat i penetrační testy - nejedná se o totéž.
4.11
Audit outsourcingu
Doporučovaný průběh auditu: 1. Plánování 2. Vstupní konference se zadavatelem 3. Práce na auditu 4. Výstupní prezentace auditu 5. Předání auditorské zprávy Definovat požadavky je to hlavní, na co je třeba myslet u outsourcingu, spolu s monitoringem a controllingem. V příloze práce F je ukázková auditorskou zprávu.
65
KAPITOLA
Metodika hodnocení úrovně outsourcingu Metodika, kterou navrhuji pro hodnocení úrovně outsourcingu ICT v podniku, je postavena spíše jako obecná. Je totiž nemožné stanovit pevná čísla pro tvrdé metriky, využívané pro porovnání všech forem outsourcingu pro různé firmy. Stručně řečeno: business core aplikace musí běžet jinak (častěji) než podpůrná služba, a proto je nelze číselně kvantifikovat. Tato metodika se proto snaží především hodnotit zavedení outsourcingu do firmy jako komplexního cedlku. Tedy od samotného rozhodnutí pro zadání služby vně firmy až do případného konce takové spolupráce (převod služby na jiného poskytovatele, či zpět do firmy, tedy na Insourcing). Aplikace této metodiky by firmám měla napovědět, jak je u nich ve společnosti outsourcing realizován a poskytnout kvalifikované ohodnocení, na jaké úrovni se tak děje. Metodika je postavena na zjišťování procesů ve firmě a na jejich následném eventuálním zajištění formou outsourcingu. Způsob pokládaných otázek vede ke zjištění best-practice. Reaguje na jasné vize, jak by se správně outsourcing měl realizovat. Outsourcing samozřejmě může teoreticky fungovatj bez náležitého smluvního "ošetření", takzvaně „na dobré slovo“. Hodně záležitostí lze řešit ústní dohodou o outsourcingu, a to i bez důkladného vyhodnocení jeho ekonomické výhodnosti. Takový způsob řešení může být ve firmě sice částečně funkční, ale potenciálně velmi nebezpečný, neboť skrývá značná rizika. Metodika hodnocení má 6 hlavních kategorií : • Zhodnocení obecné části SLA • Zhodnocení vztahu mezi firmou a poskytovatelem • Zhodnocení rizik • Zhodnocení interních kontrol 67
5
5. Metodika hodnocení úrovně outsourcingu • Zhodnocení souladu s businessem • Zhodnocení smlouvy na outsourcing V každé kategorii jsou dílčí otázky, kde každá otázka se hodnotí čtyřmi čísly: • 0 - určitě ne • 1 - spíše ne • 2 - spíše ano • 3 - určitě ano Výsledky z každé kategorie se vyhodnocují tak, že se sečtou hodnoty, vydělí se teoretickým maximem (počet otázek krát 3) a poté se vynásobí pěti, což nám poskytne interpolaci do standartní a nejběžněji používané pětibodové stupnice, kde pět znamená nejlepší úroveň. Následně se z tohoto výpočtu pro lepší přehlednost zpracuje polární graf - viz obrázek 5.1.
Obrázek 5.1: Ukázkový obrázek využití navržené metodiky hodnocení outsourcingu
68
5.1. Zhodnocení obecné části SLA
5.1
Zhodnocení obecné části SLA
Zjištění, reviduje se SLA na pravidelné bázi v souladu s business cíli podniku? Zjištění, zda se SLA opravdu monitoruje a kontroluje. Kontrola musí probíhat na pravidelné bázi - role v SLA. Kontrola by měla probíhat interně – t.j. spoléhání se čistě na "stranu"providera je chybou? Existence ustanovení pro škálování - zmenšení či zvětšení služby? Existence tvrdých kvalitativních a kvantitativních požadavků na služby (dostupnost, doba odezvy na incident, doba vyřešení incidentu...)? Jak je řešena finanční stránka: existují finanční sankce při nedostatečném plnění SLA? Je dostatečně nastavené účtování změny rozsahu služeb (zmenšování či zvětšování)?
5.2
Zhodnocení vztahu mezi firmou a poskytovatelem
Jsou přesně definované role, „kdo za co zodpovídá“? Existují jak na straně providera, tak firmy konkrétní osoby zodpovědné za určité části smluvních prací? Dokumentuje se komunikace s poskytovatelem služby? Existuje (a jak funguje?) domluvený a používaný standartní komunikační kanál s providerem? Reportuje nám provider pravidelně o jeho pravidelných interních kontrolách? Registrují se incidenty, na standartním bugovacím nástroji (který umožňuje stanovit priority, evidovat čas a způsob řešení incidentů. . . )? Existuje u providera projektový manažer, přes kterého lze vše koordinovat? Porovnávají se ceny providera vůči konkurenci při stejné kvalitě? Neboli zpracovává se benchmarking našich cen oproti dostupným na aktuálním trhu? Existuje ve smlouvách ustanovení, které umožňuje zpracovat informační audit "třetí"společností i u providera?
5.3
Zhodnocení rizik
Existuje právní garance převodu všech dat a informací v případě zániku (či jiných potíží) providera? Ať už z důvodu vypovězení smlouvy, krachu providera, či zájmu o přechod k jinému poskytovateli? Kontrolují se legislativní a regulační stránky související s ICT oblastí, zda například nepředáváme osobní data, ke kterým nemáme povolení atp.? Popřípadě kontrola nutnosti dodržování specifických zákonů pro naše odvětví (například bezpečnostní standardy pro tajné informace. . . )? Monitoruje se riziko zániku providera? Zodpovídá partnerský provider za únik dat? Či jejich nedostupnost? Ať již z důvodu úniku z řad jeho zaměstnanců, případně kvůli špatnému zabezpečení? 69
5. Metodika hodnocení úrovně outsourcingu
5.4
Zhodnocení interních kontrol
Mají naši pracovníci, kteří zpracovávají interní kontroly, potřebné znalosti a certifikace (např. CISA) k provádění auditu? Máme jistotu, že kontrolující pracovníci jsou opravdu nezávislí? Jedná se o nezávislost jednak s ohledem na vztahy k providerovi, jednak ve smyslu, že kontrolují činnost, za kterou jsou ve firmě sami zodpovědní (zda tedy nedochází ke střetu zájmu)? Dostává výsledky interních auditů k dispozici management firmy? Pracuje se s audity dále (tj. vychází se z nich při řízení firmy či další činnosti), nebo se jen tzv. ukládají „do šuplíku“?
5.5
Zhodnocení souladu s businessem
Zkoumá se přímý dopad ICT služeb na přidanou hodnotu businessu? Zjišťuje se pokud možno na měsíční bázi, kde je jasně vidět, jak byly čerpány náklady na služby a jaký byl efekt například na obrat společnosti, prodej produktů atp.? Zvažoval se při investici do outsourcingu, jako se zkoumá u běžných investic, dopad na NPV či ukazatele jako je ROI?
5.6
Zhodnocení smlouvy na outsourcing
Obsahuje smlouva výčet všech poskytovaných služeb, včetně jejich detailního popisu a způsoby kontroly? Existuje prostor pro zmenšení paušálního pevného balíčku služeb či k potřebě redukce služby? Kvantifikuje smlouva dostupnost, dobu odezvy, dobu vyřešení incidentů? Existuje záchranný program, jak řešit velký výpadek služeb, jak postupovat? Zajišťuje smlouva s poskytovatelem dostatečnou ochranu interních informací? Existují NDA dohody? Řeší smlouva případné rozšíření o další služby nad rámec objednaných služeb pro již sjednané období? Je řešen pohyb pracovníků firmy, zajišťující pro nás formou outsourcingu určitou činnost, uvnitř firemních prostor? Je specifikováno, kdy k tomu mají právo a jak mají postupovat? Existuje možnost odstoupit od smlouvy předčasně? Jsou ve smlouvě zakotvena práva, povinnosti, sankce a finanční vyrovnání při vypovězení smlouvy? Je ve smlouvě stanoven způsob a časový harmonogram pro případnou revizi cen, parametrů a dílčích služeb?
5.7
Webová aplikace
V rámci diplomové práce byla vytvořena i jednoduchá webová aplikace, která umí ohodnotit firmu dle tohoto modelu a nakreslit výsledný graf. Na její vytvoření bylo použité PHP [53] a knihovna Jpgraph [5]. Zdrojové kódy aplikace jsou na přiloženém CD. Zvolený jazyk PHP byl zvolen pro jeho běžné zastoupení na hostingových serverech, a knihovna Jpgraph, protože obsahovala vykreslovací prostředky na kreslení polárních grafů. Smyslem webové aplikace 70
5.7. Webová aplikace bylo dát snadný nástroj pro rychlé určení úrovně outsourcingu pro masové použití dle metodiky vytvořené v této práci. Aktuálně funkční verzi je možno najít na http://dip.gevepaci.cz/ (Pozn. Jsem si vědom, že nejsem schopen garantovat funkčnost odkazu v řádu více let, ale počítám s tím, že link bude funkční nejméně dva roky od odevzdání práce. Zdrojové kódy však budou vždy k dispozici na přiloženém CD, takže bude možné kdykoliv tuto pomocnou aplikaci rozchodit.)
Obrázek 5.2: Ukázkový screenshot webové aplikace na posouzení úrovně outsourcingu
71
KAPITOLA
Jak se uplatňuje outsourcing v praxi V této kapitole se zaměřím na nejčastější příklady použití outsourcingu v praxi. Jak již bylo uvedeno, společnost se může rozhodnout jak pro částečný, tak pro komplexní outsourcing, či ještě sofistikovanější multisourcing (komplexní outsourcing je zajištěn více poskytovateli). V Česku a východní Evropě se outsourcing obecně zatím používá méně než na Západě (viz předchozí kapitoly). Jeden z důvodů může korespondovat s mým oblíbeným rčením „můj dům, můj hrad“, které vystihuje odpor ředitelů IT zadat služby vně podniku, protože tím podle nich dochází k oslabení jejich pozice (počet jimi řízených zaměstnanců se zmenší, stanou se více manažery).
6.1
Vyhodnocení průzkumu u bank a pojišťoven
Během průzkumu byly osloveny všechny bankovní a pojišťovací instituce, působící v České republice (podle registru ČNB). Z celkového počtu 82 institucí se jich ankety zúčastnilo dvanáct. Oproti souběžnému průzkumu mezi veřejným sektorem, je to znatelně menší návratnost, která však byla celkem předvídatelná. Bankovní a pojišťovací sektor má obecně menší tendenci „svěřovat se“ v průzkumech. Dotazované údaje považují více za interní informace, neboť u nich se ICT přímo týká jejich „core“ businessu. První graf [1] demonstruje, který typ institucí vyplnil průzkum o využívání outsourcingu ICT. Druhý graf ukazuje, že nejvíce zúčastněných firem preferuje pouze částečný outsourcing. Toto zjištění je v souladu s charakteristikou outsourcingu, zmíněnou v úvodu práce. V žádném pramenu se nedoporučuje outsourcovat hlavní činnost firmy, jíž ICT v případě bank nepochybně je. Proto je logické, že komplexní outsourcing ICT jedním poskytovatelem nevyužívá žádná banka či 73
6
6. Jak se uplatňuje outsourcing v praxi
Obrázek 6.1: Graf 1. Rozložení institucí, zapojených do průzkumu (banky a pojišťovny)
pojišťovna. Tři menší pojišťovny využívají komplexní outsourcing, avšak od více poskytovatelů. V grafu 3 je vidět, že hlavním důvodem pro externě zajištěné ICT služby byl především zájem získat kvalitní ICT specialisty a teprve na druhém místě byla jako důvod uvedena redukce nákladů. Z grafu 4 je patrné, že nejčastěji využívanou externí službou u těchto firem je zajištění webových služeb, tisku a vývoje softwaru. Z grafu 5 je zjevné, že výzkum vyplnili opravdu vysoce postavení lidé (je potěšující, že takto vytížení manažeři si našli čas na tento akademický průzkum). Z grafu 6 je patrné, že nejčastější partner pro externě zajišťovanou službu má více než 100 zaměstnanců. Pozn. Příčinou, že součet je více než sto procent, je fakt, že firmy mohou využívat více poskytovatelů, takže bylo možné zaškrtnout v dotazníku více voleb. Většina firem dle grafu 7 využívá interní SLA i pro služby, zajišťované pouze interním ICT útvarem. To se dá hodnotit jako velmi pozitivní trend, neboť se v tomto případě může snadněji přejít na případný outsourcing (znalost SLA, jejího zpracování i realizace). Pro kontrolu smluv využívají všechny instituce smluvně dohodnuté metody. Jen jedna firma uvedla, že nasazení outsourcingu vedlo ke zhoršení kvality služeb. Cloudové služby dotazované banky 74
6.2. Vyhodnocení průzkumu ve veřejném sektoru
Obrázek 6.2: Graf 2. Typy outsourcingu, využívaného dotazovanými firmami (banky a pojišťovny)
a pojišťovny příliš nevyužívají. Pouze dvě instituce prohlásily, že cloud používají. Průzkum se dá celkově vyhodnotit tak, že pro podpůrné služby, jako je správa tisku a správa webu, je dnes outsourcing naprosto běžným postupem. V této oblasti jej využívá většina firem. (Podrobné výsledky dotazníku mezi bankami a pojišťovnami jsou na přiloženém CD.)
6.2
Vyhodnocení průzkumu ve veřejném sektoru
Do průzkumu ve veřejném sektoru se zapojila více než třetina z osloveného sta institucí. Návratnost tak byla relativně velká. Instituce byly vybrány tak, aby pokryly co největší spektrum veřejných institucí. Především se jednalo o veřejné vysoké školy, soudy, knihovny, krajské úřady, ministerstva, specializované úřady či ústavy. Nejhorší návratnost byla z ministerstev, zatímco krajské úřady, knihovny a vysoké školy vyplnily dotazník podstatně častěji. Na rozdíl od bank a pojišťoven, jak je vidět na grafu 8, zde bylo zaznamenáno několik institucí, které outsourcing vůbec nevyužívají (jednalo se spíše o menší instituce jako je Národní institut pro další vzdělávání či Krajský soud v Českých Budějovicích). Nejčastějším důvodem pro externě zajišťované ICT služby (viz graf 9) byl nedostatek vlastních kvalitních ICT specialistů. Na druhém místě to byl záměr zlepšit kvality ICT a až na třetím místě se umístila snaha o snížení nákladů. Nejčastější osobou, která v rámci veřejného sektoru spolupracovala na průzkumu, byl ředitel informatiky, jak je zobrazeno na grafu 10. 75
6. Jak se uplatňuje outsourcing v praxi
Obrázek 6.3: Graf 3. Důvody pro volbu outsourcingu ICT (banky a pojišťovny)
Co se týče velikosti outsourcingového partnera, viz graf 11, pak je zřejmé, že u státních institucí je nejběžnějším partnerem pro tyto služby menší poskytovatel. Pozn. Součet procent je i zde více než 100, neboť stejně jako u bank a pojišťoven mohou společnosti využívat více poskytovatelů a tak je logické, že někteří odpovídající zaškrtli více možností. Nejběžnější takto sjednanou službou (viz graf 12) je zajištění datové infrastruktury. Stejně jako u bank a pojišťoven, i u veřejného sektoru se velmi často vyskytuje zajištění webových služeb a vývoj softwaru. Ve volitelném slovním hodnocení bylo zjištěno, že některé společnosti zavedly outsourcing promyšleně pro vybrané činnosti a jsou s ním spokojené. Bylo však zaznamenáno i několik příkladů, kde byly evidentně špatně zpracované smlouvy, případně byla pro outsourcing zvolena nevhodná oblast. Týká se to například Národního technického muzea, kde ředitel ICT v průzkumu uvedl, že jim neúměrně vzrostla zátěž interních zaměstnanců v souvislosti s kontrolou, že se kvalita této služby zhoršila a celkově instituce pociťuje špatné zkušenosti. Domnívám se, že v tomto konkrétním případu se jedná o špatně provedený přechod na outsourcing, kde se do nákladů spojených s touto změnou nepočítaly transakční náklady a otázky kontroly. Pokud došlo ke zdražení i zhoršení kvality služeb, musely být chybně sepsány smlouvy. Tuto domněnku potvrzuje i více názorů z průzkumu, které obsahovaly myšlenku, že nejtěžší je právě správně nastavené SLA a financování služeb. 76
6.2. Vyhodnocení průzkumu ve veřejném sektoru
Obrázek 6.4: Graf 4. Činnosti, pro které firmy využívají outsourcing ICT (banky a pojišťovny)
(Podrobné výsledky ankety ve veřejném sektoru jsou v elektronické podobě na CD.)
77
6. Jak se uplatňuje outsourcing v praxi
Obrázek 6.5: Graf 5. Přehled pracovníků (jejich pozic), kteří vyplnili výzkum (banky a pojišťovny)
Obrázek 6.6: Graf 6. Velikost outsourcingového partnera (banky a pojišťovny)
78
6.2. Vyhodnocení průzkumu ve veřejném sektoru
Obrázek 6.7: Graf 7. Používání interních SLA (banky a pojišťovny)
Obrázek 6.8: Graf 8. Typ využívaného outsourcingu (veřejný sektor)
79
6. Jak se uplatňuje outsourcing v praxi
Obrázek 6.9: Graf 9. Důvody pro volbu outsourcingu ICT (veřejný sektor)
Obrázek 6.10: Graf 10. Přehled pracovníků (jejich pozic), kteří vyplnili výzkum (veřejný sektor)
80
6.2. Vyhodnocení průzkumu ve veřejném sektoru
Obrázek 6.11: Graf 11. Velikost outsourcingových partnerů (veřejný sektor)
Obrázek 6.12: Graf 12. Služby, zajišťované prostřednictvím outsourcingu (veřejný sektor)
81
KAPITOLA
7
Případová studie V rámci diplomové práce byla provedena případová studie v jedné české pojišťovací společnosti. Firma při zpracování této případové studie aktivně spolupracovala a poskytla potřebné informace, avšak vyžádala si, že zůstane v anonymitě. Proč byla vybrána právě pojišťovací společnost? Protože - jak dokazuje průzkum společnosti Inside (viz. obrázek 7.1), je to právě sektor ekonomiky Banky a pojišťovny, pro které je ICT velmi stěžejní a ICT investice tvoří velmi značnou část jejich celkových investic. Ze stejného důvodu, a pro získání přehledu, jak je tato oblast zajišťována v ostatních podobných institucích, byl proveden i průzkum, během kterého byly dotazovány veškeré instituce u nás působící v sektoru Bank a pojišťoven. (viz předchozí kapitola a přiložené CD) Pojišťovací společnost, kde byla prováděna případová studie, působí na českém trhu a zajišťuje především povinné ručení a havarijní pojištění (motorových vozidel). V této společnosti existuje přibližně 200 pracovních stanic. Outsourcing ICT je zde používán již řadu let, a to především na dílčí podpůrné služby. Jedná se o zajištění vývoje a správy prezentační části webu a BPO zajištění tisku. Z povahy podnikání, kdy samotné pojišťovací aplikace jsou hlavní podnikatelskou činností, je pochopitelné, že se hlavní pojišťovací software vyvíjí inhouse. Společnost řeší řízení informatiky velmi pokrokově, a i na služby poskytované interním IT útvarem existují interní SLA garantující parametry dodávané služby (což v českém prostředí není běžné, viz vyhodnocení ankety). U každé ICT investice se také vyhodnocují finanční ukazatele, jako celkové náklady a ROI. Na monitorování většiny služeb se používá software Nagios (který zohledňuje servisní okna, při měření dostupnosti). Při nedostupnosti větší než garantované v SLA existují finanční sankce pro zaměstnance. Co se týče používání best-practice, Cobit případně dalších doporučení od ISACA, pak se zde nepoužívají. Pravidelně se realizují penetrační testy, na které je najímána externí firma. Čistě informační audit externí firmou se neprovádí, ale je součástí rozsáhlejšího komplexního auditu. 83
7. Případová studie
Obrázek 7.1: Přehled podílu nákladů na celkových investicích
Interní audit se realizuje pouze automatickým softwarovým řešením (například se používá Rapid 7). Při výběru kritérií a jejich vah pro každý projekt, který se v ICT řeší, se používá intuitivní metoda určení kritérii a vah expertním odhadem. Hlavním důvodem pro zavedení outsourcingu do vývoje prezentační části webu bylo přinést specifickou znalost pracovníka (například SEO optimalizaci) a snadnější zvětšování či zmenšování lidských zdrojů (především v tom smyslu, že je potřeba více dílčích specialistů, kteří ale nejsou nutné na plný pracovní úvazek, takže by jejich zaměstnání ve firmě bylo i finančně neefektivní). Vedoucí pracovníci této společnosti ale občas pociťují obecně u interních zaměstnanců větší "zápal"a osobní vztah k firmě. Samotný outsourcing webu zajišťují této firmě dvě společnosti. První společnost zajišťuje SEO (optimalizace webu pro vyhledávače) a optimalizuje PPC kampaně. Správně je zde řešeno, že existuje rámcová smlouva a platební modely se pravidelně revidují. Měří se dopad na podnikání (počet uzavřených smluv) a podle něj se účtuje cena za tuto službu. Monitoring efektivnosti SEO je svěřen externí firmě. Pravidelné měsíční reporty o umístění ve vyhledávačích 84
7.1. Harmonogram případové studie dodává outsourcingová firma – občas probíhá namátková kontrola. Zde je lehce potenciální prostor pro zlepšení. Jako hlavní nedostatek tohoto kontraktu by bylo možno označit, že přestože existuje standardizované rozhraní na hlášení incidentů a úkolů, není smluvně ošetřen čas nápravy nebo vyřešení úkolu – vychází se zde z domluvy „na dobré slovo“ s externí firmou. Druhá společnost zajištuje prezentační část webu pojišťovny. Model, který se velmi osvědčil, je existence projektového manažera u outsourcingového partnera, jenž dostává úkoly od pojišťovny a dílčí řešení již řídí a zajišťuje on sám, zatímco dříve bylo řešeno napřímo s konkrétními lidmi (grafik, kodér) a výsledky byly horší. Se společností existuje rámcová smlouva i SLA. Dobře je ošetřeno několik typů a kategorií incidentů, kde je ošetřen i čas, dokdy musí firma problém vyřešit. Při výběru partnera na outsourcing byl kladen důraz, aby partner byl dostatečně veliký a bylo možné bezproblémové navýšení rozsahu služeb poskytovaného outsourcingovým partnerem. Pochvalu zaslouží také smluvní vyřešení otázky vlastnictví dat (grafiky, zdrojových kódů. . . ) a potenciálního přechodu na jiného poskytovatele. Přesto pojišťovací firma pociťuje, že byť je tato část smluvně ošetřená, existuje částečný vendor-lock, protože přechod na jiného poskytovatele by byl časově i finančně náročný, neboť současný poskytovatel má velké know-how. Pojišťovna je spokojená se současným fungováním outsourcingu v oblasti ICT, který využívá, a dalo by se říci, že má drtivou většinu oblasti outsourcingu správně vyřešenu.
7.1
Harmonogram případové studie
• 11. ledna – schůzka s generálním ředitelem společnosti • 3. února – schůzka s ředitelem IT • 12. března - schůzka s ředitelem IT • 29. března – schůzka s Risk Information Security Officer – podepsání smlouvy o mlčenlivosti • 4. dubna – celodenní meeting ve společnosti, především schůzky s IT Support Managerem, IT Development Managerem • 5. dubna – schůzka se Senior Online Marketing Specialistou • 24. dubna – schůzka s ředitelem IT
7.2
Výsledný graf dle metodiky hodnocení úrovně outsourcingu
85
7. Případová studie
Obrázek 7.2: Graf 13. Zhodnocení úrovně outsourcingu v pojišťovně
86
Závěr Práci se podařilo splnit zadání v obou částech. V rešeršní části prezentuje formy zajišťování outsourcingu, dopad na řízení informatiky a faktory, které vedou k nasazení outsourcingu v ICT oblasti. V realizační části byla vytvořena sada doporučení, jak IT outsourcing zavádět a kontrolovat. Dále byla vypracována obecná metodika, včetně metriky, která hodnotí nasazení outsourcingu ve společnosti. Z principu rozdílnosti firem a služeb nebylo možné hodnotit typické tvrdé metriky, jako je dostupnost služby, a tak se metodika více zaměřuje na obecné náležitosti ohledně smluv a kontrol, které jsou pro outsourcing zcela klíčové. Do budoucna by mohl být nový cíl větší zaměření na cloudová řešení. Provedený průzkum využití outsourcingu odhalil některé rozdíly v nasazení externě zajišťovaných ICT služeb ve veřejných (státních) organizacích a v soukromém sektoru. Případová studie byla vypracována dle parametrů vedoucího práce v české pojišťovací společnosti. Potvrdila z velké části doporučení uvedená v práci. Následně byla společnost ohodnocena i vlastní metodikou vytvořenou v rámci diplomové práce. Také cíl poskytnout komplexní pohled na ICT outsourcing se podařilo realizovat. Práce tedy splnila veškeré stanované cíle.
87
Literatura [1]
Accenture: Celebrating 10 years of Outsourcing in the Czech Republic. [cit. 2012-04-07]. Dostupné z WWW:
[2]
Amazon: Amazon Elastic Compute Cloud. [cit. 2012-04-09]. Dostupné z WWW:
[3]
April, Daniel: Towards a classification of ICT services. [cit. 2012-04-15]. Dostupné z WWW: <www.stat.go.jp/english/info/meetings/voorburg/pdf/joha_tow.pdf>
[4]
Armbbrust, M.: A View of Cloud Computing. ACM, 2010.
[5]
Asial: Jpgraph. [cit.
[6]
Bartonková, H.: Firemní vzdělávání. Grada, 2010.
[7]
Barum: Řízení změn v IS ve společnosti Barum Continental spol. s r.o. [cit. 2012-04-09]. Dostupné z WWW:
[8]
Bishop, Jerry: Is Cloud Computing Outsourcing? [cit. 2012-04-06]. Dostupné z WWW:
[9]
Booth: Web Services Architecture. [cit. 2012-04-05]. Dostupné z WWW:
2012-03-19].
Dostupné
z
WWW:
[10] Breja, Abhishek: Inovation Management. [cit. 2012-04-15]. Dostupné z WWW: [11] Bruckner, T.: Outsourcing informačních systémů. Ekopress, 1998. [12] Cohen, A. Y., Linda; Gartner: Multisourcing – Moving Beyond Outsourcing to Achieve Growth and Agility. Harvard Business School Press, 2006. 89
Literatura [13] CRM portál: Oracle CRM On Demand na nové verzi 19. [cit. 2012-01-04]. Dostupné z WWW: [14] Datamonitor Group: The Black Book of Outsourcing. [cit. 2012-02-01]. Dostupné z WWW: [15] Departmnet of defense: Truested computer system evalution criteria. [cit. 2012-04-02]. Dostupné z WWW: [16] Doran: There’s a S.M.A.R.T. way to write management’s goals and objectives. Management Review - AMA FORUM, 1981. R [17] Dugmore, Jenny: ITIL V3 and ISO/IEC 20000. [cit. 2012-02-02]. Dostupné z WWW:
[18] Emerald: Make or buy. [cit. 2012-04-12]. Dostupné z WWW: [19] Fotr, J.: Manažerské rozhodování, postupy a procesy. EKOPRESS, s.r.o., 2011. [20] Gartner: Gartner Identifies Top 30 Countries for Offshore Services in 2010-2011. [cit. 2012-04-09]. Dostupné z WWW:
[21] Gartner: Gartner Top Predictions for 2012: Control Slips Away. [cit. 2012-04-13]. Dostupné z WWW: [24] Honců, Marek: MANAŽERSKÉ ROZHODOVÁNÍ. [cit. 2012-04-12]. Dostupné z WWW:
[25] HP: HP Outsourcing 2008. [cit. 2012-04-13]. Dostupné z WWW:
[26] Idnes: Policie chce nová silná auta. Podmínky tendru splní jen VW Passat. [cit. 2012-04-17]. Dostupné z WWW:
Literatura [27] I/ITSEC: I/ITSEC Home. [cit. 2012-04-01]. Dostupné z WWW: [28] Infinite Innovations: History and use of brainstorming. [cit. 2012-04-24]. Dostupné z WWW: [29] ISACA: Cobit 4.1. [cit. 2012-04-02]. Dostupné z WWW:
[30] ISACA: COBIT 5 Initiative—Status Update. [cit. 2012-04-08]. Dostupné z WWW:
[31] ISACA: COBIT5 ExecSummary. [cit. 2012-04-05]. Dostupné z WWW:
[32] ISACA: G16 EFFECT OF THIRD PARTIES ON AN ENTERPRISE’S IT CONTROLS. [cit. 2012-04-15]. Dostupné z WWW:
[33] ISACA: G4 OUTSOURCING OF IS ACTIVITIES TO OTHER ORGANISATIONS. [cit. 2012-04-13]. Dostupné z WWW: [35] ISACA: History of ISACA. [cit. 2012-04-09]. Dostupné z WWW:
[36] ISACA: IT Standards, Guidelines, and Tools and Techniques for Audit and Assurance and Control Professionals. [cit. 2012-04-16]. Dostupné z WWW: [38] ITIL: Itil Official Website. [cit. 2012-04-20]. Dostupné z WWW:
R [39] itSMF: An Introductory Overview of ITIL V3. [cit. 2012-04-01]. Dostupné z WWW:
[40] ITSMF: ITIL V3Glossary of Terms and Definitions. ITSMF London, 2007. 91
Literatura [41] Kalcev, Jan: Vícekriteriální hodnocení variant VHV. [cit. 2012-04-05]. Dostupné z WWW:
[42] Klíma, František: Finanční řízení informatiky - Přednáška outsourcing ICT služeb, SLA. [cit. 2012-04-03]. Dostupné z WWW: [45] Lankhorst, M.: Enterprise architecture at work : modelling, communication, and analysis. Springer, 2009.
[46] Nachmani, Ofir: The Cloud Lock-In (Part 2): The Great Lock-In of PaaS. [cit. 2012-02-08]. Dostupné z WWW:
Dostupné
z
WWW:
[48] Novák, Jiří: Gartner: Platforma jako služba získává na atraktivitě. [cit. 2012-04-11]. Dostupné z WWW:
[50] The Outsourcing Institute: Top Ten Outsourcing Survey. [cit. 2012-04-18]. Dostupné z WWW:
[51] PC Tuning: Společnost Fujitsu dodavatelem vládního cloudu ve Velké Británii. [cit. 2012-04-20]. Dostupné z WWW:
[52] PEREGRINE, MICHAEL: Another View: Sarbanes-Oxley and the Legacy of Enron. [cit. 2012-04-04]. Dostupné z WWW:
2012-01-04].
Dostupné
z
WWW:
[54] Rackspace: Cloud Computing. [cit. 2012-04-08]. Dostupné z WWW: 92
Literatura [55] Rao, Madhu T.: KEY ISSUES FOR GLOBAL IT SOURCING: COUNTRY AND INDIVIDUAL FACTORS. [cit. 2012-04-07]. Dostupné z WWW:
[56] Renski, Boris; Livschitz,Victoria; Overby, Stephanie; Rad, Alexandr: Outsourcing a cloud: Dva kohouti na jednom dvorku? [cit. 2012-04-05]. Dostupné z WWW:
[58] Ryba, Albert: Průzkum: Firemní IT oddělení zažívají velkou proměnu. [cit. 2012-04-07]. Dostupné z WWW: [61] Svatá, V.: Audit informačního systému. Professional Publishing, 2011. [62] Vacek, Jiří: MANAŽERSKÉ ROZHODOVÁNÍ. [cit. 2012-04-14]. Dostupné z WWW: [63] Voříšek, J.: Principy a modely řízení podnikové informatiky. Oeconomica, 2008.
[64] Vylíčil, Tomáš: Microsoft Dynamics CRM Online: cloudové CRM jde do prodeje. [cit. 2012-01-24]. Dostupné z WWW: [67] Wiki: Johnston, Sam. [cit. 2012-04-12]. Dostupné z WWW: [68] Wiki: Johnston,Sam. [cit. 2012-04-12]. Dostupné z WWW: [69] WWW Consorcium: Vybrané právní aspekty SLA. [cit. 2012-03-05]. Dostupné z WWW: 93
Literatura
[70] Zachary Roth: President Obama Touts ‘Onshoring’: Is Made in America Back? [cit. 2012-04-03]. Dostupné z WWW: [72] Špinar, Petr: Outsourcing, nebo cloud? [cit. 2012-04-04]. Dostupné z WWW: [73] Švecová, L.: Přednášky 3MA413. VŠE, 2012.
94
PŘÍLOHA
A
Seznam použitých zkratek Due deligence jedná se o audit ICT od poskytovatele outsourcingu, uskutečněný před podepsáním smlouvy (aby bylo jasnější, co konkrétně firma potřebuje) OffShoring outsourcing zajišťovaný poskytovatelem sídlícím na jiném kontinentu (typický příklad je outsourcovaný help desk pro americkou firmu v Indii) NearShoring outsourcing poskytovaný v rámci kontinentu, například pokud outsourcingová firma v Česku zajištuje služby pro firmu v Německu OnShoring poskytovatel outsourcingu je ze stejného státu, případně i města InSourcing opak outsourcingu, tedy situace, kdy outsourcingový proces se přenáší zpět do interní struktury, tedy začne jej vykonávat opět samotná firma Outsourcing proces, kdy poskytovatel zajišťuje služby pro jinou firmu ITIL doporučení, best-practice, jak řídit podnikovou informatiku COBIT doporučení společnosti ISACA, jak správně řídit a kontrolovat podnikovou infrastrukturu SLA Service-Level Agreement – smlouva zajištující úroveň outsourcingové služby CSF Critical Success Factors - určení klíčových důvodů projektu KPI Key Performance Indicators - detailnější rozpracování CSF do konkrétních cílů 95
A. Seznam použitých zkratek NDA Non-Disclosure Agreement, někdy též Confidentiality Agreement (CA) - smlouva podepsána pro utajení informací, typicky mezi poskytovatelem služby a firmou, aby získané informace poskytovatel dál nešířil. SAAS Cloudové řešení Software as a service IAAS Cloudové řešení Infrastructure as a Service PAAS Cloudové řešení Platform as a Service Coso Mezinárodní norma na audit
96
PŘÍLOHA
Obsah přiloženého CD
readme.txt...................................stručný popis obsahu CD src pruzkum .............................. podrobné výsledky průzkumu impl...........................zdrojové kódy utility na tvorbu grafu thesis ...................... zdrojová forma práce ve formátu LATEX text ....................................................... text práce thesis.pdf ............................. text práce ve formátu PDF thesis.ps ................................ text práce ve formátu PS 97
B
PŘÍLOHA
Přehled outsourcingových ICT poskytovatelů v ČR V České republice je trh ICT outsourcingu již zcela tradičním oborem, kterého se účastní firmy desítky let. Při vytváření seznamu ICT poskytovatelů u nás jsem kladl důraz na významnost klientů, velikost poskytovatele a množství výskytu dodavatele v literatuře věnující se ICT outsourcingu. V přehledu se vyskytují jak typicky české firmy zaměřené na naše prostředí, tak i velcí globální hráči, kteří u nás mají významné pobočky, jako je třeba světový lídr [12] v oblasti ICT outsourcingu společnost Accenture. Vycházel jsem také z dat časopisu IT systems, publikace Příručka manažera X Outsourcing [16]. Většina dodavatelů o sobě uvádí velmi stručné reference, a tak se dá jen stěží odhadnout, jak velké outsourcingové projekty u klientů se opravdu uskutečnily – přesnější data o rozpočtech projektů jsou veřejně nedohledatelná (jedná se o data, která podléhají firemnímu tajemství). Seznam byl také konzultován se zástupci firem Accenture, T-systém, HP a IBM a i podle jejich vyjádření tento přehled pokrývá největší outsourcingové dodavatele ICT služeb na českém území. Dá se říci, že v České republice je trh outsourcingu již zcela tradičním oborem, kterého se účastní firmy desítky let. V následujícím výčtu jsou uvedeny především větší společnosti. Hodně firem (do 50 zaměstnanců) využívá ICT outsourcing zajišťovaný drobnou ICT firmou. Takových firem jsou však stovky, takže je v přehledu nelze vyjmenovat. Je však důležité zmínit, že tuto specifickou část trhu skutečně zajištují tyto menší firmy, jejichž výhodou je lokální charakter a nižší ceny, diskutabilní ovšem může být kvalita, která se velmi liší. Obrat a zisk byl čerpán z výročích zpráv společností, získaných z webu ministerstva spravedlivosti www.justice.cz, údaje jsou z posledních zveřejněných výročních zpráv, takže z roku 2010 nejčastěji. Jsou zatíženy zčásti chybou, že se jedná o celkový obrat, zisk firem a ne pouze outsourcingové divize, tento konkrétní podúdaj není možné veřejně získat (to se podařilo pouze 99
C
C. Přehled outsourcingových ICT poskytovatelů v ČR u Autocontu).
C.1
Accenture Central Europe B.V.
• Web: http://www.accenture.com/cz-en/Pages/index.aspx • Obrat: 1,5 miliardy Kč • Čistý zisk: 880 milionů Kč Společnost Accenture je nadnárodní společnost zaměřená na poskytování poradenství v managementu, technologických řešeních a outsourcingu. Počet pracovníků se dynamicky zvyšuje. V letech 2008 měla firma 180 tisíc pracovníků (dle [1]), a v roce 2011 již 240 tisíc, což dokazuje enormní růst společnosti. V České republice působí od roku 1991, na světové scéně má počátky jako divize Arthur Andersen (historicky velmi významná poradenská společnost, která de facto přestala existovat po kauze s Enronem na počátku tohoto tisíciletí). V naší zemi zaměstnává Accenture přes 2 tisíce pracovníků. Tržby z globálního hlediska dosahovaly 25,5 mld. USD.
C.2
Adastra s.r.o.
• Web: http://www.adastra.cz/ • Obrat: 93 milionů Kč • Čistý zisk: 7 milionů Kč Společnost Adastra je mezinárodně konzultační společnost, která se zaměřuje na Data Warehousingu a Business inteligence, v posledních letech rozšířila význam outsourcingové části [3]. Evropské pobočky řídí společnost z pražské centrály. Významnými klienty v Česku jsou například společnosti Ahold, ČSOB, Česká pojišťovna či Vodafone.
C.3
Atos Czech republic
• Web: http://cz.atos.net/ • Obrat: 1,3 miliardy Kč • Čistý zisk: 99 milionů Kč Atos je další světový poskytovatel IT služeb (působí ve 42 zemích). Tržby celosvětové společnosti byly 8,7 miliard EUR [2]. Kromě outsourcingu společnost nabízí konzultační činnost a systémovou integraci. Zajímavostí je, že tato společnost je partnerem olympijských her. Její akcie jsou obchodovány na francouzské burze. Hlavním sídlem firmy je tedy spíše Evropa. 100
C.4. Autocont
C.4
Autocont
• Web: http://www.autocont.cz/ • Obrat: 830 milionů Kč • Čistý zisk: 74 milionů Kč Autocont je českou společností s obratem okolo 1,5 miliard Kč v roce 2010. V divizi služeb dosahuje obrat 830 milionů Kč. V roce 2010 zaměstnávala 726 zaměstnanců.
C.5
CN Group
• Web: http://www.cngroup.dk • Obrat: 148 milionů Kč • Čistý zisk: 15 milionu CN Group je druhou společností z našeho seznamu, která má počátky v České republice. Společnost byla založena v Praze v roce 1994, v posledních letech se snaží zaměřit na skandinávský trh, proto také jmenovala nového CIO Steen Westh Nielsena. Přestože má pobočky i po Evropě, pořád drtivou většinu zaměstnanců tvoří Češi. Počet zaměstnanců (okolo 140) řadí v našem přehledu společnost CN Group spíše mezi ty menší. Hlavním zaměřením firmy je právě outsourcing.
C.6
ČEZ ICT Services, a.s.
• Web: http://www.cez.cz/cs/o-spolecnosti/skupina-cez/spolecnosti-skupinycez-v-cr/cez-ict-services.html • Obrat: 4,7 miliardy Kč • Čistý zisk: 670 milionu Kč V tomto seznamu je tato společnost velmi specifickým „hráčem“. Jedná se o divizi společnosti ČEZ, která vznikla při sjednocování ICT v rámci celého ČEZ konsorcia, kde došlo k předání veškerého ICT na tuto dceřinou společnost. I z českého outsourcingového hlediska je to společnost důležitá. Její obrat byl v roce 2009 téměř 5 miliard Kč [5]. 101
C. Přehled outsourcingových ICT poskytovatelů v ČR
C.7
DHL Information Services (Europe) s.r.o
• Web: http://www.dhl.cz/. • Obrat: 5,8 miliardy Kč • Čistý zisk: 145 tisíc Kč Společnost DHL Information Services je v tomto seznamu z části unikátní, protože na rozdíl od ostatních společností tohoto výčtu poskytuje především IT služby firmám ve stejném konsorciu, tedy v DHL. Firma působící v Praze poskytuje komplexní outsourcingové služby pro celý svět, kde firmy konsorcia DHL působí.
C.8
Hewlett-Packard s.r.o.
• Web: http://www.hp.com/cz • Obrat: 2 miliardy Kč • Čistý zisk: 980 milionů Kč Zcela notoricky známá IT firma HP má i svoji divizi zaměřující se na outsourcing. Patří mezi jedny z nejkomplexnějších outsourcingových dodavatelů, kteří nabízejí opravdu hodně služeb. Tím, že se jedná o velikou korporaci, volí si velké společnosti tohoto poskytovatele především pro outsourcing, protože je schopen garantovat kvalitu služeb. V případě nesplnění termínů přechodu na outsourcing či selhání služeb je společnost schopna garantovat finanční kompenzaci, což byl například jeden z hlavních důvodů, proč projekt outsourcingu ICT pro české zastoupení firmy Kapsch vyhrál právě HP [6]. Zajímavým klientem je také plzeňský Prazdroj.
C.9
IBM Česká republika, s.r.o.
• Web: http://www.ibm.cz • Obrat: 1 miliarda Kč • Čistý zisk: 2 miliony Kč Další velmi známou nadnárodní společností je IBM. Většina lidí má firmu IBM spojenu s hardwarem počítačů. Zde však máme zcela zásadní ukázku rozvoje ICT služeb: společnost IBM se před lety zbavila divize osobních počítačů, neboť v ní neviděla perspektivu, a tak vznikla společnost Lenovo. IBM 102
C.10. Minerva Česká republika, a.s. své podnikatelské aktivity zaměřila na poskytování ICT služeb a tedy i outsourcingu, což je nyní jejím hlavním zdrojem příjmů. Centrála v Brně zaměstnává v současnosti přes 2 tisíce lidí. Strategické IBM Servisní středisko v Brně je jedno ze sedmi, které má IBM v Evropě [7]. Mezi významné klienty patří například ABB. Dle prezentace [7] z této pobočky poskytovalo IBM monitoring, správu a podporu na 15 tisících serverech pro 80 tisíc userid.
C.10
Minerva Česká republika, a.s.
• Web: http://www.minerva-is.eu/ • Obrat: 160 milionů Kč • Čistý zisk: 1 milion Kč Minerva je typicky českou společností, působící na trhu již přes 20 let. V posledních letech nastala její expanze na Slovensko. Minerva se podílí i na projektech v Litvě, Polsku, Maďarsku a na Ukrajině. Společnost se také pravidelně umísťuje v žebříčku TOP 100 ICT společností v ČR, který vydává IDG [8]. Má za sebou například ukázkový přechod na komplexní outsourcing u nábytkářské společnosti Jitona [9].
C.11
Logica Czech republic s.r.o.
• Web: http://www.logica.cz • Obrat: 1,1 miliardy Kč • Čistý zisk: 130 milionů Kč Logica je velkou především evropskou společností, která zaměstnává celosvětově přes 40 tisíc IT odborníků. Mezi hlavní zákazníky patří například PRE, RWE, Dopravní podnik hlavního města Prahy.
C.12
OKsystem s.r.o.
• Web: http://www.oksystem.cz/ • Obrat: 340 milionů Kč • Čistý zisk: 38 milionů Kč Další tradičně českou společností je OKsystem. Na trhu informačních technologií působí od roku 1990 [10]. Kromě poskytování outsourcingu se firma zaměřuje také na zabezpečení profesionálních ICT kurzů. Zajímavostí je, že 103
C. Přehled outsourcingových ICT poskytovatelů v ČR společnost vlastní oprávnění Národního bezpečnostního úřadu pro práci s utajovanými informacemi až do stupně Důvěrné [11]. Mezi její klienty se řadí například Ministerstvo práce a sociálních věcí ČR či firma Sodexo (české zastoupení). Za zmínku stojí informace, že samotné firmě Sodexo patří na světové úrovni druhá pozice na žebříčku [12] poskytovatelů outsourcingu (veškerého outsourcingu, tedy nikoliv pouze ICT).
C.13
S&T CZ s.r.o.
• Web: http://www.sntcz.cz/ • Obrat: 700 milionů Kč • Čistý zisk: -15 milionů Kč Další nadnárodní společností je S&T, které vstoupilo na český trh v roce 1999 akvizicí společnosti Hermes plus [13]. Společnost aktuálně v České republice zaměstnává 230 odborníků. Hlavní zaměření firmy je outsourcing a systémová integrace. Globálně působí firma v 19 zemích.
C.14
Telefónica Business Solutions
• Web: http://www.o2bs.com/ • Obrat: nezjištěno • Čistý zisk: nezjištěno Dceřiná společnost Telefonicy zaměřená na business zákazníky a státní správu. Významným zákazníkem jsou státní instituce jako ministerstvo dopravy nebo ministerstvo vnitra.
C.15
T-Systems Czech Republic a.s.
• Web: http://www.t-systems.cz/ • Obrat: 3 miliardy Kč • Čistý zisk: 280 milionů Kč U nás dosud méně veřejnosti známá společnost ze skupiny Deutsche Telekom. Patří tedy do rodiny společnosti, jako je například v Česku T-mobile. Zaměřuje se na systémovou integraci ICT a outsourcing pro firmy. Společnost je to z globálního hlediska opravdu veliká, zaměstnává na celém světě 47 tisíc ICT odborníků a na její služby spoléhá globálně přes 160 tisíc firem [14]. Rozsahem se tedy jako jediná z našeho seznamu blíží globální jedničce Accenture. Klientem české divize je například Unipetrol. 104
C.16. Unicorn a.s.
C.16
Unicorn a.s.
• Web: http://www.unicorn.cz/ • Obrat: 44 milionů Kč (Unicorn je rozdělen na několik společností, tato částka je obrat jen Unicorn a.s.) • Čistý zisk: 14 milionů Kč
C.17
Zdroje
Seznam nejvýznamnějších outsourcingových poskytovatelů v České republice lze zakončit českou společností „extravagantního“ podnikatele Vladimíra Koláře. Společnost byla založena v roce 1990 [15]. Její obrat v roce 2009 dosáhl 1,2 miliardy Kč [15]. Významným klientem je například Komerční banka. Dceřinou společností je Vigour, která poskytuje ICT odborníky. Zdroje pro přehled outsourcingu: 1 http://www.accenture.com/us-en/pages/index.aspx 2 http://cz.atos.net/cs-cz/o-nas/default.htm 3 http://www.adastra.cz/ 4 http://www.cngroup.dk/web/guest/history 5 http://www.securities.com/
6 http://h10126.www1.hp.com/services/pdf/outsourcing-portfolio-outsourcingovych-sluzeb pdf 7 http://www-05.ibm.com/cz/public/pdf/RadekSazama_Outsourcing. pdf 8 http://www.minerva-is.eu/o-spolecnosti.html 9 http://www.systemonline.cz/outsourcing-ict/outsourcing-v-prumyslovem-podniku. htm 10 http://www.oksystem.cz/o-nas/ 11 http://www.oksystem.cz/df/1312 12 http://www.iaop.org/content/23/152/2040/ 13 http://www.sntcz.cz/about_us/21533.cz.php 14 http://www.t-systems.cz/tsip/cs/601968/home/o-t-systems/o-nas; jsessionid=B8461FE0E23D01673BFFD84F369B0BAC 105
C. Přehled outsourcingových ICT poskytovatelů v ČR 15 http://www.unicorn.eu/o_spolecnosti.html 16 Příručka manažera X outsourcing
106
PŘÍLOHA
D
Anketa veřejného sektoru Průvodní email: Dobrý den, obracím se na Vás se žádostí o spolupráci, související s přípravou mé diplomové práce na ČVUT v Praze - Kritéria pro výběr outsourcingu ICT v organizacích. Součástí diplomové práce je i zmapování situace v outsourcování IT ve státním/veřejném sektoru v ČR. Proto Vás chci poprosit, zda byste si našli chvilku času a vyplnili přiložený dotazník ankety k využívání outsourcingu, zaměřený pouze na základní informaci v tomto směru (nikoliv finanční či jiná interní data). Předpokládám, že Vám nezabere více než pět minut... Případně zda byste moji prosbu předali zodpovědné osobě ve Vaší organizaci. Vámi poskytnuté údaje budou samozřejmě použity výlučně jen pro potřeby této diplomové práce. Mohu tedy poprosit o tuto pomoc a o vyplnění formuláře do 15.4.? Formulář naleznete na adrese: https://docs.google.com/spreadsheet/viewform?formkey=dFlyT252WTNuTy1KNGwzRnotMDg4V0E6MQ Děkuji Jan Kučera student Fakulty informačních technologií ČVUT [email protected] Mirotická 769/8, Praha 4 - Libuš, 142 00
107
D. Anketa veřejného sektoru Ukázka formuláře - přikládám jen variantu pro banky, neboť jsou obdobné
Obrázek D.1: Screenshot 1 ukázkového formuláře z ankety
108
D.1. Seznam adresátů:
Obrázek D.2: Screenshot 2 ukázkového formuláře z ankety
D.1
Seznam adresátů:
Ministerstvo Ministerstvo Ministerstvo Ministerstvo Ministerstvo
obrany financí práce a sociálních věcí vnitra životního prostředí
[email protected] [email protected] [email protected] [email protected] [email protected] 109
D. Anketa veřejného sektoru Ministerstvo pro místní rozvoj Ministerstvo průmyslu a obchodu Ministerstvo dopravy Ministerstvo zemědělství Ministerstvo školství, mládeže a tělovýchovy Ministerstvo kultury Ministerstvo zdravotnictví Ministerstvo spravedlivosti Úřad vlády Národní bezpečnostní úřad Český telekomunikační úřad Úřad průmyslového vlastnictví Český statistický úřad Český úřad zeměměřický a katastrální Český báňský úřad Energetický regulační úřad Úřad pro ochranu hospodářské soutěže Správa státních hmotných rezerv Státní úřad pro jadernou bezpečnost Mendelova univerzita v Brně ČVUT VŠE Západočeská univerzita v Plzni Vysoké učení technické v Brně Střední uměleckoprůmyslová škola Arcibiskupské gymnázium v Praze Gymnázium, Praha 4, Postupická Gymnázium Na Vítězné pláni, Praha Gymnázium Budějovická Gymnázium Arabská Magistrát Praha Magistrát Brno Magistrát Ostrava Magistrát Plzeň Magistrát Liberec Magistrát České Budějovice Městská knihovna v Praze Národní knihovna Moravská zemská knihovna v Brně Knihovna města Ostravy Moravskoslezská vědecká knihovna v Ostravě Knihovna města Plzně Nemocnice Na Homolce
110
[email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected]. [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected]
D.1. Seznam adresátů: Nemocnice Na Bulovce Thomayerova nemocnice Akademie věd Národní technická knihovna Národní památkový úřad Státní úřad inspekce práce Národní technické muzeum Hygien. stanice hl.m. Prahy Krajská hyg. stanice Zlín. kraje Krajs. hyg. stanice Ústec. kraje Antidopingový výbor ČR St. veterinární správa Národní institut dětí a mládeže MŠMT Dům zahraničních služeb MŠMT Nár. institut pro další vzd. MŠMT Nár. ústav odb. vzděl. MŠMT Pedagogické muzeum Česká školní inspekce Centrum pro zjišťování výsledků vzdělávání - CERMAT Národní divadlo Národní galerie Český rozhlas Česká televize Česká tisková kancelář Nejvyšší soud ČR Nejvyšší správní soud Vrchní soud v Praze Vrchní soud v Olomouci Městský soud v Praze Krajský soud v Č. Budějovicích Krajský soud v Ústí nad Labem Krajský soud v Brně Krajský soud v Plzni Krajský soud v Hradci Králové Krajský soud v Ostravě Krajský úřad Moravskosl. kraje Krajský úřad Plzeň. kraje Krajský úřad Královéhr. kraje Krajský úřad Jihočes. kraje Krajský úřad Ústeckého kraje Krajský úřad Jihomor. kraje Krajský úřad Středočes. kraje Krajský úřad Olomouc. kraje
[email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] reditel@kr-olomoucky.
111
D. Anketa veřejného sektoru Krajský úřad Pardub. kraje Krajský úřad Karlovar. kraje Policie ČR Kriminalistický ústav Praha Policie ČR Národní protidrogová centrála SKPV Ředitelství služby cizinecké policie St. zdravotní úřad Státní fond životního prostředí ČR Univerzita Karlova
[email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected]
Seznam emailových adres byl získán z domovských stránek daných institucí.
112
PŘÍLOHA
E
Anketa bankovního a pojišťovacího sektoru Průvodní email: Dobrý den, obracím se na Vás se žádostí o spolupráci, související s přípravou mé diplomové práce na ČVUT v Praze - Kritéria pro výběr outsourcingu ICT v organizacích. Součástí diplomové práce je i zmapování situace v outsourcování IT v bankách a pojišťovnách na území České republiky. Proto Vás chci poprosit, zda byste si našli chvilku času a vyplnili přiložený dotazník ankety k využívání outsourcingu, zaměřený pouze na základní informaci v tomto směru (nikoliv finanční či jiná interní data). Předpokládám, že Vám nezabere více než pět minut... Případně zda byste moji prosbu předali zodpovědné osobě ve Vaší organizaci. Vámi poskytnuté údaje budou samozřejmě použity výlučně jen pro potřeby této diplomové práce. Výsledky budou do práce zařazeny anonymizovaně. V analýze budou použity informace z anketního formuláře, vyjma jména respondenta, tedy banky/pojišťovny (tento údaj nebude nikde publikován, slouží jen pro kontrolu, jestli někdo nezadal záměrně informace o více bankách). Pokud máte zájem seznámit se s výsledky této ankety, které budou součástí diplomové práce (tedy bez uvedení názvu dotazovaných organizací), samozřejmě Vám je zašlu na Vámi uvedenou adresu. Mohu tedy poprosit o tuto pomoc a o vyplnění formuláře do 15.4.? Formulář naleznete na adrese: https://docs.google.com/spreadsheet/viewform?formkey=dF9ETXNfcDdfT1RVNllBSnJ3cloxeXc6MA Děkuji Jan Kučera student Fakulty informačních technologií ČVUT 113
E. Anketa bankovního a pojišťovacího sektoru [email protected], Mirotická 769/8, Praha 4 - Libuš, 142 00
E.1 E.1.1
Seznam adresátů: Banky a záložny
Komerční banka, a.s Československá obchodní banka, a.s GE Money Bank, a.s. Česká národní banka Česká spořitelna, a.s Fio banka, a. AKCENTA, spořitelní a úvěrní družstvo UNIBON – spořitelní a úvěrní družstv WPB Capital, spořitelní družstvo Citfin, spořitelní družstvo Moravský Peněžní Ústav – spořitelní družstvo Hypoteční banka, a.s. Peněžní dům, spořitelní družstvo Evropsko-ruská banka, a.s. Artesa, spořitelní družstvo AXA Bank Europe, organizační složka Poštová banka, a.s., pobočka Česká republika Záložna CREDITAS, spořitelní družstvo ZUNO BANK AG, organizační složka Citibank Europe plc, organizační složka UniCredit Bank Czech Republic, a.s. Air Bank a. ING Bank N.V LBBW Bank CZ a. Českomoravská záruční a rozvojová banka, a.s. Raiffeisenbank a. J & T Banka, a. PPF banka a.s. Equa bank a.s. COMMERZBANK Aktiengesellschaft, pobočka Praha BRE Bank S.A., organizační složka podniku Všeobecná úverová banka a.s., pobočka Praha Volksbank CZ, a.s. Raiffeisen stavební spořitelna a.s. Českomoravská stavební spořitelna, a.s. Wüstenrot-stavební spořitelna a.s. Modrá pyramida stavební spořitelna, a.s. 114
[email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected]
E.1. Seznam adresátů: Oberbank AG Česká exportní banka, a.s. HSBC Bank plc
E.1.2
[email protected] [email protected] [email protected]
Pojišťovny
ACE European Group Ltd, organizační složka AEGON Hungary Closed Company Ltd., organizační složka AGA International SA - organizační složka Allianz pojišťovna, a.s. Amcico pojišťovna a.s. Atradius Credit Insurance N.V., organizační složka Aviva životní pojišťovna, a.s. AXA pojišťovna a.s. BNP Paribas Cardif Pojišťovna, a. s. Cestovní pojišťovna ADRIA Way družstvo CG Car- Garantie Versicherungs-Aktiengesellschaft CHARTIS EUROPE S.A., pobočka pro Českou republiku Coface Austria Kreditversicherung AG Česká podnikatelská pojišťovna, a.s., Vienna Insurance Group Česká pojišťovna a.s. Česká pojišťovna Zdraví a.s. ČSOB Pojišťovna, a. s., člen holdingu ČSOB D.A.S. pojišťovna právní ochrany, a.s. DEUTSCHER RING Lebensversicherungs-Aktiengesellschaft Evropská Cestovní Pojišťovna, a.s. Exportní garanční a pojišťovací společnost, a.s. Generali Pojišťovna a.s. HALALI, všeobecná pojišťovna, a.s. Hasičská vzájemná pojišťovna, a.s. HDI Versicherung AG, organizační složka ING pojišťovna, a.s. INTER PARTNER ASSISTANCE, organizační složka Komerční pojišťovna, a.s. Kooperativa pojišťovna, a.s., Vienna Insurance Group KUPEG úvěrová pojišťovna, a.s. Maxima pojišťovna, a.s. Agra pojišťovna Pojišťovna České spořitelny, a.s., Vienna Insurance Group Pojišťovna VZP, a.s. QBE Insurance (Europe) Limited, organizační složka
[email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] 115
E. Anketa bankovního a pojišťovacího sektoru Servisní pojišťovna a.s. Slavia pojišťovna a.s. Triglav pojišťovna, a.s. UNIQA pojišťovna, a. s. VICTORIA VOLKSBANKEN pojišťovna, a.s. Vitalitas pojišťovna, a.s. Wüstenrot pojišťovna a.s.
[email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected]
Seznam emailových adres byl získán z domovských stránek daných institucí.
116
PŘÍLOHA
Auditorská zpráva
117
F
Šablona Auditorská zpráva - outsourcing Jan Kučera
Název auditu: Adresát: (společnost, pro kterou je audit zpracován) Popis auditu, jeho hloubky: Důvod, proč byl audit vyžádán: Budeme provádět i penetrační testy? Popis oddělení, kterých se především týká: Stručné resumé auditora:
Typ auditu: (Interní nebo externí)
1 Šablona auditorské zprávy - Outsourcing Jan Kučera
Obecná část auditu Model prověřovaného outsourcingu: (částečný, komplexní) Jméno outsourcingového partnera/providera: Stručný popis oblasti outsourcingu:
Čas realizace auditu:
Zhodnocení interních kontrol, jejich efektivnosti:
Harmonogram auditu: (výpis akcí a jejich časový rozvrh) Požadavek na soulad se standardy a zákony: Jméno auditorské společnosti, provádějící audit: Jména a kontakty na odpovědné osoby: Adresa auditorské společnosti: Podpis zodpovědné osoby: Datum vypracování: Zhodnocení stavu:
Existovala podpora top managementu pro implementaci outsourcingu? Braly se v úvahu i kulturní rozdíly mezi zaměstnanci outsourcingové firmy?
2 Šablona auditorské zprávy - Outsourcing Jan Kučera
Hodnocení SLA Existence SLA/OLA dokumentu: Zhodnocení monitoringu a controlingu SLA: (především kdo provádí monitorování, zda provider nebo firma) Existence finančních kompenzací: za neplnění smlouvy za nedodržení dostupnosti či dalších částí SLA Zhodnocení stavu přechodu na jiného poskytovatele: Doba nápravy: (doba od vzniku incidentu do jeho vyřešení) Doba poskytování služeb: (zhodnocení vhodné například pro helpdesk) Dimenzování služby – garantovaná kapacita x požadavky firmy: Zhodnocení dostupnosti funkcionality: Možné zvětšení/ zmenšení rozsahu služeb: Řešení adekvátnosti ceny: Je zvolen vhodný model účtování? (paušální cena, cena za jednotku, cena za výsledek, cena na vázaná kritéria) Existují doplňkové služby? Jak jsou účtovány? Je zohledněn obecný cenový vývoj tržních cen v čase? Platební podmínky: Jak je řešena splatnost faktur, jaká jsou penále z prodlení, v jaké měně se obchod uskuteční (důležité především u offshore) Je dostatečně řešeno předčasné odstoupení od smlouvy? Je na to v SLA myšleno? Je zajištěna exkluzivita dodavatele? Nebo může náš poskytovatel využívat služby třetích stran na poskytnutí služeb pro nás: Nehrozí potencionální vendor lock?
3 Šablona auditorské zprávy - Outsourcing Jan Kučera
Penetrační testy Byly prováděny penetrační testy?
Resumé penetračních testů: Nalezené chyby a jejich řešení: Doporučení, jak se chránit do budoucna:
Před implementační část Při výběru kritérií pro poskytovatele byla použita standardizovaná metodika: (Brainstorming, Gordonova metoda…) Na určení vah kritérií (pokud se rozhodovalo podle váhových kritérií) se použila metodika: (bodová stupnice, párové porovnání, Saatyho metoda, intuitivní mechanismus) Byl proveden audit Due deligence? (audit ze strany providera před outsourcingem – vhodný především při přechodu na komplexní outsourcing)
4 Šablona auditorské zprávy - Outsourcing Jan Kučera