Outsourcing – aneb trocha teorie nikoho nezabije a možná i pomůže
Outsourcing je pojem, se kterým jsme se všichni bezpochyby seznámili.
Dnes si povíme něco o outsourcingu informačního systému a o jeho výhodách, vhodnosti využití a úskalích s ním spojených.
Outsourcing – stav nebo činnost, kdy organizace využívá k zajišťování vybraných podnikových činností a služeb externího dodavatele.
Tím se organizace může větší měrou věnovat svým hlavním činnostem a specializované činnosti zajišťovat externím dodavatelem.
Důvodů proč outsourcovat nějakou službu nebo činnost může být celá řada. V odborné literatuře se nejčastěji tyto důvody dělí do čtyř skupin:
- Konkurenční důvody – strategické, zaměřené především na dosažení konkurenční výhody.
- Věcné důvody – týkají se hlavně zdokonalení v oblasti hlavní činnosti organizace. Outsourcing zajišťuje přístup ke zdrojům potřebným pro rozvoj hlavní činnosti na vysoké úrovni.
- Finanční důvody – hlavním cílem je optimalizace nákladů a výnosů.
- Organizační důvody – outsourcing slouží zejména ke zjednodušení manažerských činností a zploštění organizační struktury podniku.To souvisí s rostoucí specializací podniku, pracovníků, ale i středního managementu.
Jako nejčastější důvody outsourcingu se uvádějí soustředění se na hlavní činnost podniku, přístup k možnostem využití služeb, které si organizace neumí nebo nemůže sama zajistit, sdílení rizik, uvolnění zdrojů pro jiné účely, snížení operativních nákladů, některé činnosti jsou těžko ovladatelné atd.
Možností jaké služby outsourcovat je tedy celá řada. Nejběžnějšími příklady jsou stravování, vedení účetnictví, ostraha budov, úklid, ale často také informační systémy, na které se zaměříme.
Specifika outsourcingu informačních systémů
Obor informačních technologií je jedním z nejrychleji se vyvíjejících se odvětví. Důsledkem tohoto rychlého vývoje je mj. i náročnost na inovace systémů a nutná rozvíjející se odbornost pracovníků. To bývá často důvodem outsourcingu těchto činností. Specializovaná firma je obvykle lépe připravena pružně reagovat na změny a poskytnout požadovanou kvalitu služeb. Kromě toho jsou tyto specializované firmy schopny "držet krok" s vývojem v oblasti, případně zajistit vývoj vlastními prostředky.
Důvody pro outsourcing v oblasti informačních systémů jsou mimo výše zmíněných:
- Rychlý vývoj technologií, na který organizace, které nemají tuto oblast, jako svou hlavní činnost nedokáží pružně reagovat.
- Standardizace informačních systémů, které se tak stávají konkurenčně nepodstatnými.
- Vyšší požadavky na kvalifikaci a specializaci pracovníků v oboru informačních systémů.
Pokud hovoříme o outsourcingu informačních systémů, pak se jedná buďto o outsourcingu ze samotné oblasti IS/IT nebo o outsourcingu v neinformatické oblasti s větším či menším dopadem na IS/IT. U outsourcingu samotného IS/IT dále rozlišujeme outsourcing provozu a outsourcing vývoje.
Outsourcing vývoje informačních systémů
Dodavatel podle individuálních potřeb zákazníka vyvine a implementuje informační systém nebo jeho část. V České republice je tento způsob vývoje informačního systému běžný a je častější než vývoj systémů vlastními silami.
Outsourcing provozu informačních systémů
Dodavatelská společnost zajišťuje služby, které organizace od informačního systému očekává a současně se stará i o údržbu celého systému. Provoz zajišťován dodavatelem, který najímá a organizuje veškeré zdroje potřebné k provozu.
Jak outsourcing vývoje, tak provozu informačních systémů (podrobněji budeme hovořit pouze o provozu) můžeme dále rozdělit na:
Outsourcing vlastnictví
Dodavatel vlastní hardware, software a ostatní komponenty a také zaměstnává pracovníky potřebné k provozu informačních systémů. Častým případem je situace, kdy dodavatel kupuje od podniku již fungující informační systém a přebírá jeho provoz i se zaměstnanci.
Outsourcing a odpovědnost
V tomto případě je nutné si uvědomit, že dodavatel služeb sice přebírá část aktivit spojených s provozem informačního systému, nicméně odpovědnost za výstupy vzhledem ke koncovému uživateli zůstává plně na provozovateli systému. Smluvně upravená pravidla mezi společností, která outsoucuje a dodavatelem nemají vliv na přenos odpovědnosti.
Rizika outsourcingu
- Možnost úniku citlivých nebo jinak chráněných informací mimo úřad.
- Náročná výměna dodavatele služeb v případě špatné kvality služeb nebo úpadku dodavatele.
- Špatně nastavený smluvní vztah svazující odběratele a neumožňující správnou funkčnost systému.
- Nízká úroveň znalostí dodavatele v oblasti poskytovaných služeb.
- Řízení odpovědnosti.
Specifika outsourcingu ve veřejné správě
Orgány veřejné správy jsou odlišné především důrazem na utajení a na bezpečnost spravovaných informací.
Bezpečnost informací lze charakterizovat jako zachování důvěrnosti, integrity a dostupnosti daných informací.
Systém managementu bezpečnosti informací
(z anglického Information Security Management System) je dokumentovaný systém prokazující, že popsaná informační aktiva jsou chráněna, rizika bezpečnosti informací jsou řízena, jsou zavedena opatření s požadovanou úrovní záruk a ta jsou kontrolována. ISMS může být zaveden pro specifický IS, jednotlivé části IS nebo může zahrnovat celou organizaci.
Základním vodítkem pro tuto oblast mohou být ISO normy ISO/IEC 27001 (BS 7799-2) a ISO/IEC 17799, které jsou úzce propojeny, avšak každá z nich však plní jinou funkci.
Norma ISO 17799 – přehled katalog bezpečnostních opatření, které mohou být vybrány při budování ISMS
Norma ISO 27001 – požadavky na způsoby zavádění, monitorování, udržování a zkvalitňování systémů pro řízení bezpečnosti informací organizace.
Certifikační audit ISMS
Pro posouzení, zda provedená implementace ISMS odpovídá požadavkům, kladených normou ISO/IEC 27001 slouží tzv. certifikační audit. Kladný výsledek auditu ISMS je zejména známkou úrovně managementu bezpečnosti informací v těchto směrech:
- Úplnost systému řízení bezpečnosti informací.
- Efektivita implementace.
- Komplexnost ve vztahu k řízení bezpečnosti informací.
Přínosy ze zavedení ISMS
Bezpečnosti informací lze dosáhnout implementací takových opatření, které mohou existovat ve formě pravidel, postupů, procedur, organizační struktury a programových funkcí. Tato opatření musí být zavedena proto, aby bylo dosaženo specifických bezpečnostních cílů organizace:
- Snižování rizik souvisejících s únikem či ztrátou citlivých informací
- Řízení investic směřujících do bezpečnosti
- Požadavek na kontinuální zlepšování zaručuje dlouhodobě efektivní řízení nákladů.
- Úspora nákladů spočívající v minimalizaci rizik nepředvídatelných nákladů v důsledku úniku či ztráty informací a pokut při nedodržení smluvních závazků vůči zákazníkům.
- Soulad s právními předpisy.
- Pozitivní působení na povědomí odpovědných pracovníků – jednoznačné vymezení odpovědností a pravomocí při nakládání s informacemi.
- Konkurenční výhoda – zvýšení důvěryhodnosti společnosti, plnění požadavků zákazníků, marketingový nástroj)
Shrnutí výhod outsourcingu služeb v oblasti IT
- Ekonomická výhodnost a finanční kontrola konkrétních činností.
- Využití nabídky vysoce specializovaných pracovníků.
- Přínos a přenos expertních zkušeností a znalostí.
Děkuji panu Ing. Janu Houžvičkovi za společnosti Relsie, spol. s r.o. za cenné připomínky k tématu.
Zdroje:
Bruckner, T., Voříšek, J.: Outsourcing informačních systémů. Ekopress, Praha 1998. ISBN 80-86119-07-6.
Pirht, J.: Outsourcing informačních systémů, kvalifikační práce VŠE Praha 2007.
Gála L., Pour J., Toman P.: Podniková informatika. Grada Publishing, Praha 2006. ISBN 80-247-1278-4.
ISO/IEC 17799:2005 Informační technologie – Soubor postupů pro management bezpečnosti informací
BS ISO/IEC 17799:2000, Překlad a interpretace pro české prostředí, British Standards Institution 2002, Risk Analysis Consultants
BS 7799-2:2005 Systémy managementu bezpečnosti informací – specifikace s návodem pro použití
ISO/IEC 27001:2005 Požadavky na systémy managementu bezpečnosti informací (resp. BS 7799-2:2004).
ISO/IEC 27002: Návody pro zavádění ISMS
ISO/IEC 27003: Návod k implementaci ISMS (souvisí s ISO 13335-3)
ISO/IEC 27004: Metriky a měření
ISO/IEC 27005: Řízení rizik
ISO/IEC 27006: Kontinuita podnikání a obnova po havárii
Zákon č. 310/2002 Sb., o utajovaných skutečnostech
Zákon č. 101/2000 Sb., o ochraně osobních údajů
Odpovědět na příspěvek