()

Wstęp

Dziś napiszę trochę o ryzyka związane z outsourcingiem i jak ich unikać. Troszkę też będzie o zarządzaniu kontrolami i bezpieczeństwem, ale sporo czasu poświecę na audyt. Trochę minęło, odkąd ostatnio pisałem, sporo na głowie było i nie miałem czasu, by oddać się temu twórczemu zajęciu. Dlatego daj mi chwilkę, bym odrdzewiał i mógł wrócić do formy 😉

Ryzyka związane z outsourcingiem

Bardzo wiele organizacji korzysta z outsourcingu, ale nie zna ryzyk związanych z tym rozwiązaniem. Słyszą od znajomych czy też od innych właścicieli firm o zbawiennym wpływie outsourcingu na organizacje. Ale o ryzykach z nim związanych to już nie mówią.

Dużo osób jest jeszcze starej mentalności, w której to nie mówiło się o problemach i rozwiązywało się je samemu. Na szczęście to się zmienia. Ale nie o tym chciałem mówić; przy podejmowaniu decyzji za czy przeciw należy rozważyć zarówno wszystkie plusy danego rozwiązania, jak i jego minusy. Czyli co będzie nam groziło w wypadku zaimplementowania tego rozwiązania.

Poniżej wymienię trochę przykładów związanych z outsourcingiem. Musisz się zastanowić, czy to rozwiązanie na pewno jest dla Ciebie.

Lista ryzyk

  • Wyższe koszty, niż się tego spodziewałeś — Pamiętaj, że mimo największych chęci może się zdarzyć, że umknie Ci jakieś ryzyko i rozwiązanie, które na początku nie podniesie kosztów. Lecz z czasem to może się zmienić. Zrób dobrą analizę, spędź trochę czasu i nie spiesz się z decyzją. Ale też nie odwlekaj jej w nieskończoność. Nikt nie lubi drabinki decyzji, a już zwłaszcza gdy temat stanie w połowie i czeka.
  • Słaba jakość i wykonanie — Może zdarzyć się tak, że mimo wszelkich zapewnień drugiej strony. Jakość i wykonanie będzie znacząco odbiegało od standardów narzuconych wewnątrz organizacji. Sprzedawca będzie chciał coś sprzedać, choć w innych zespołach będą wiedzieć, że to niemożliwe . Zawsze mi się przypomina mem, który często widuje na Linkedin. (Screen poniżej)
  • Różne cele — Osoby pracujące w organizacji i jej szefostwo mają podobne cele bądź też dążą do podobnych celów. Może nie zawsze, ale tak powinno być, ponieważ jeśli organizacja się rozwinie, to i oni się rozwiną. A osoby z zewnątrz nie mają takich samych celów jak ich pracodawca, a często w ogóle ich nie obchodzi, jakie to są cele. Są oni pracownikami firmy outsourcingowej i dążą do osiągnięcia celu swojego pracodawcy, a nie firmy, dla której prowadzą outsourcing.
  • Brak kontroli — Wraz z odesłaniem części zadań wyzbywamy się nad nimi kontroli. Oczywiście nie tak całkowicie, ale nie jest to taka sama sytuacja, jak w wypadku rozwiązywania danego problemu u siebie.
  • Błędy — Firma outsourcingowa może popełnić wiele błędów, łącznie z tymi w krytycznych strukturach. Dla przykładu: serwis zewnętrzny może stać się celem ataku, którego konsekwencje odbiją się na Twojej firmie. Ostatnimi czasy stał się popularny atak, w którym poprzez przejęcie firmy outsourcingowej dokonuje się przejęcia infrastruktury docelowej. Często infrastruktura docelowa jest lepiej chroniona z zewnątrz niż ta outsourcingowa, dlatego atakowana jest ta druga, bo tak łatwiej się dostać do punktu docelowego.
  • Problemy vendorów outsourcingu — Powiedzmy, że padną systemy pracowników outsourcingu. Lub też nie będą mieli oni wystarczająco osób do pracy, by wykonać zadania im przeznaczone. Dla Ciebie będzie wiązać się to ze zwiększeniem kosztów. Które trzeba będzie przeznaczyć na rozwiązanie danego problemu albo na przeniesienie outsourcingu do innej firmy.
  • Stracenie przewagi wobec innych firm — Jeśli firma, którą wynajęliśmy, nie jest wystarczająco skalowalna, może się wydarzyć, że dojdziemy do ściany. A konkurencja nas przegoni.
  • Słabe morale pracowników — Gdy zaczniemy outsourcować dany dział, wiele osób z innych działów zacznie się zastanawiać, czy z nimi nie stanie się to samo. Zaczną się przejmować, ich praca straci na jakości. Prawdopodobnie zaczną się również rozglądać na rynku pracy. Tym problemem trzeba zająć się zawczasu i odpowiednio to zakomunikować i przedstawić wszystkim pracownikom.
  • Audyt i zgodność — Przeprowadzenie audytu czy sprawdzenie zgodności w wypadku outsourcingu może być bardziej skomplikowane. Koszty audytu mogą wzrosnąć itd.
  • Prawo — Prawnik musi sprawdzić – w każdej filli, jeśli są one w różnych krajach – czy ten właśnie outsourcing nie będzie powodował jakichś niezgodności z prawem w danym kraju.
  • Przesyłanie danych za granicę — W dzisiejszych czasach jest to płynne i wiele firm korzysta np. z Azure, ale należy każdorazowo sprawdzić, czy dany typ danych może być wysyłany na jakieś serwery zagraniczne lub obsługiwany przez kogoś z zagranicy.
  • Różnice kulturowe i jezyk — To jest moja największa bolączka. Pracowałem w firmie, gdzie cześć supportu była w Indiach. Jest tam całkiem inna kultura pracy. Nie wspomnę o problemach językowych, jakie występowały w rozmowie z tym supportem. Trzeba się zastanowić, czy takie oszczędności są zawsze dobrym rozwiązaniem. W tym akurat przypadku generowały więcej problemów niż pożytku. Problem był rozwiązywany w tydzień zamiast w godzinę, co wiązało się z frustracją użytkownika jak i przestojem w pracy, czyli generowaniem strat.
  • Różnice w czasie pracy — Jest to też ciekawy punkt. Gdy zatrudniamy kogoś w innej strefie czasowej i ta osoba musi pracować w nocy, praca takiej osoby może stracić na jakości. Ludzie nie funkcjonują dobrze w nocy, nawet jeśli próbują Ci to wmówić. Jeśli mówią, że dobrze im się pracuje w nocy i widzisz to na wynikach, oznacza to tylko to, że gdyby pracowali w ciągu dnia, wyniki byłyby znacząco lepsze.
  • Polityka danego kraju — Problem, którego nie można pominąć, to polityka danego kraju, do którego się outsourcuje dany dział/usługę etc. Zawsze może zdarzyć się tak, że zmieni się nastawienie Twojego kraju do innego i będzie się mogło to wiązać z różnego rodzaju sankcjami, blokadami etc. Zawsze trzeba rozważyć również i ten problem.

Jak widzisz, ryzyk jest więcej, niż byś się spodziewał. Za chwilę opiszę Ci też plusy, bo są one znaczące, dlatego często decydujemy się na outsourcing. Ale do takiej decyzji, tak jak wspomniałem powyżej, potrzebujesz również rozważyć powyższą listę.

Plusy Outsourcingu

Jak sam widzisz, minusów jest sporo. Ale plusy też są i to znaczące, często wygrywają z ryzykami i firmy decydują się na to rozwiązanie. Ja jednakowoż zalecam rozwagę i aby na spokojnie rozważyć wszystkie ryzyka z powyższych. Dobrze, ale przejdźmy do plusów. Poniżej znajdziesz ich listę:

Lista plusów outsourcingu

  • Dostępność umiejętności i doświadczenia specjalistów — Organizacje mogą mieć problem ze znalezieniem pracownika z odpowiednimi umiejętnościami. Bądź też pracownika, który te umiejętność może wykorzystać w jednym projekcie i nigdzie więcej w organizacji. Dlatego też mogą zgłosić się do firmy, która posiada już takiego specjalistę i zatrudnić go tylko do tego projektu bądź też na stałe do danych zadań.
  • Ekonomia wynikająca ze skalowania — Firmy, które specjalizują się tylko w outsourcingu, mają lepszą wprawę w skalowaniu powiązanym z ograniczeniem kosztów. Co często przekłada się na mniejsze koszty organizacji, która wynajmie daną firmę do outsourcingu.
  • Redukcja kosztów — Bardzo często wyoutsourcowanie danego działu czy usługi wiąże się z ogromną redukcją kosztów. Mamy mniejszą ilością osób w firmie, mniejszą księgowość, kupujemy mniej wyposażenia itd. Lista jest naprawdę długa 🙂
  • Obiektywne podejście do sprawy — Często osoba z zewnątrz ma obiektywne podejście do sprawy, ponieważ nie pracuje w danej firmie. Dlatego audyt powinien być przeprowadzany przez osobę z zewnątrz. Dodatkowo taka osoba może mieć inne pomysły, które usprawnią daną funkcję, działanie etc.

Dopiero po poznaniu tych obu list powinieneś zacząć się zastanawiać, czy dalej chcesz iść w outsourcing. Choć pominąłem jeszcze jedną o unikaniu ryzyk związanych z pierwszą listą, bo nie jest tak, że one są i koniec nie da się ich uniknąć. Dobrze więc, do decyzji wrócisz po kolejnej liście — zapraszam Cię do dalszego czytania.

Unikanie ryzyk zwiazanych z outsourcingiem

Tak jak wspomniałem powyżej. Możemy, uniknąć niektórych ryzyk musisz jednak pamiętać, że nie chodzi w outsorsingu tylko obniżenie kosztów za wszelką cenę. Możesz stracić reputacje bądź też pieniądze klientów.

Lista unikania ryzyka

  • SLA (Service level agreement) – Jest to dokument, który określa poziom jakości usługi, jakości pracy, czasu na rozwiązanie danego problemu oraz odstępstw od jakości. Powinno się w nim określić dokładnie każdą wykonywaną czynność, komunikację oraz ścieżki eskalacji i zarządzanie problemem.
  • Kontynuowanie biznesu — Umowa powinna wymagać od firmy outsourcingowej, by była ona odpowiednio zabezpieczona. Musi istnieć możliwość zmierzenia tego. Musisz mieć pewność, że Twój biznes będzie dalej funkcjonował.
  • Polityki bezpieczeństwa i kontroli — Firma outsourcingowa powinna wymienić, jakie kontrole bezpieczeństwa ma wprowadzone. Dane klienta, jak również dane firmy muszą być odpowiednio zadbane. W takich organizacjach powinien być wymagany minimum raz do roku zewnętrzny audyt, który potwierdzi bezpieczeństwo danych Twojej organizacji.
  • Sprawdzenie pracownicze — Firma taka powinna określić, jak sprawdza pracowników. By nie było sytuacji, w której na przykład napastnik zatrudnia się w firmie outsourcingowej, by sprawdzić, jak wygląda infrastruktura i przejąć ją w późniejszym terminie.
  • Własność intelektualna — Gdy firma zewnętrzna tworzy na przykład oprogramowanie. W umowie musi znaleźć się informacja, że kod stworzony przez danego developera staje się własnością naszej organizacji.
  • Role i odpowiedzialności — Umowa powinna zawierać informacje odnośnie ról i odpowiedzialności obu stron. By każdy wiedział, za co jest odpowiedzialny i czego po kim można się spodziewać.
  • Określenie grafiku — Powinno się określić, w jakim czasie, jaka ilość usług bądź produktów powinna zostać wykonana.
  • Regulacje — umowa powinna wymagać od obu stron przestrzegania praw i obowiązków regulacyjnych. Odnośnie wszelkich produktów czy usług, własności intelektualnej czy też ochrony pracy i bezpieczeństwa.
  • Gwarancje — Umowa powinna zawierać gwarancje w razie niewykonania pracy odpowiedniej jakości bądź też wyrządzenia szkód dla organizacji.
  • Rozwiązanie kontraktu — Umowa powinna zawierać informacje, jak rozwiązać kontrakt oraz cały proces tego rozwiązania.
  • Płatności — Umowa powinna zawierać informacje o kwocie i jak zostanie ona przekazana. Oraz o ilości jak i jakości wykonania danej usługi bądź produktu z uwzględnieniem, że dopiero po zaliczeniu obu tych parametrów płatność zostanie przekazana w odpowiedni sposób.

Czy iść w outsourcing – podsumowanie

By wszystko zadziałało, należy na bieżąco kontrolować outsourcingową organizację poprzez sprawdzanie zgodności z kontraktami. Poprzez SLA, kontrolę jakości produktów bądź usług oraz audyty bezpieczeństwa. Tak jak powiedziałem, trzeba mierzyć wszystko na bieżąco. I trzeba to wliczyć w koszty naszej pracy.

Dopiero wtedy, po określeniu powyższych trzech list i zastanowieniu się, czy taki nakład pracy i takie ryzyko przeważają, czy też nie, nad danym rozwiązaniem outsourcingowym, możesz zdecydować, czy idziesz w tę stronę, czy jednak zostajesz przy tym, co jest.

Zarządzanie kontrolami

Tak jak wspomniałem powyżej, wszystko trzeba kontrolować. Teraz zajmiemy się kontrolkami. Wiele organizacji wprowadza kilka lub jeden duży standard, za którym podążają.

Raz do roku robią analizę ryzyka i na bieżąco sprawdzają, czy spełniają normy zgodności. Choć w dzisiejszych czasach bycie na styk ze zgodnością nie rozwiązuje wszystkich problemów i trzeba być proaktywnym.

Kontrole są zazwyczaj wdrażane jako wynik jednego lub wielu z poniższych:

  • Polityki — Kontrola może zostać wprowadzona, by zapewnić zgodność z polityką lub by móc zmierzyć efektywność danej polityki.
  • Regulacje — Kontrola zostaje również wprowadzona z tego powodu, że organizacja musi zapewnić zgodność z regulacjami.
  • Wymagania — Kontrola zostaje wprowadzona z powodu wymagań prawa bądź też klienta.
  • Ryzyka — Analiza ryzyka może zmusić organizację do wprowadzenia danego rodzaju kontrolek celem zapewnienia bezpieczeństwa.
  • Incydenty — Na podstawie incydentów organizacje orientują się, że muszą wprowadzić dany rodzaj kontrolek, by zapewnić bezpieczeństwo w przyszłości i uniknąć tego typu zagrożeń.

Samo wdrożenie kontrolek to nie wszystko, trzeba je sprawdzać. Wiele kontrolek pomocnych znajdziemy w standardach bezpieczeństwa. Poniżej wymienię Ci kilka z nich, ale jeśli chcesz dostać szerszy opis, to zapisz się do newslettera, tam znajdziesz plik z opisem 17 standardów wraz z minimum wymaganych do ich zaliczenia i linkami do kontrolek i innych szczegółów:

Lista standardów

COBIT | ITIL | ISO/IEC 27001 | NIST | CIS Controls | PCI-DSS | GDPR | AICPA – SOC2 | SOX | HIPAA | CCPA | GLBA | FISMA | FedRAMP | FERPA | ITAR | COPPA

Zarządzanie Bezpieczeństwem

Pomyślałem, że pisząc o standardach powyżej i ich kontrolkach należałoby nadmienić troszkę o aktywnościach związanych z zarządzaniem bezpieczeństwem. W większości w organizacjach są to:

  • Zarządzanie bezpieczeństwem — Stworzenie polityki bezpieczeństwa informacji w firmie oraz zapewnienie zgodności między nią a systemami. Oczywiście wchodzi w to też samo zarządzanie i ciągły rozwój bezpieczeństwa w organizacji.
  • Analiza ryzyka — Polega na znalezieniu kluczowych punktów w organizacji i określeniu ryzyk, jakie grożą danej części biznesu. Należy również określić, co robimy z danym ryzykiem. Jeśli bardziej interesuje Cię ten temat, zapraszam Cię do tego artykułu
  • Obsługa incydentów — Incydent to inaczej naruszenie w jakiś sposób polityki bezpieczeństwa – na przykład przekazanie maila nieodpowiedniej osobie. Trochę więcej o zespole zarządzającym bezpieczeństwem dowiesz się tutaj
  • Zarządzanie Podatnościami — To proces, w którym proaktywnie wyszukujesz podatności w systemach czy procesach biznesowych. Aktywności, jakie tu wykonujesz, to skanowanie podatności, ocena podatności, zarządzanie aktualizacją czy też przeglądanie kodu. Jest tego sporo i jest to całkiem ciekawe zajęcie. Chyba nic nie daje takiej satysfakcji, jak odnalezienie ciężkiej podatności i jej załatanie. Choć wiesz, że kolejna już czyha za rogiem. 😉
  • Zarządzanie dostępem i tożsamością — Te praktyki odnoszą się do zarządzania, kto gdzie ma dostęp i gdzie taki dostęp powinien mieć.
  • Standardy Zarządzanie — W wypadku zarządzania bezpieczeństwem powinno się również wiedzieć, jakie prawa, standardy, regulacje czy wymagania są niezbędne do spełnienia przez organizacje.
  • Zarządzanie ryzykiem zewnętrznych dostawców — To dział, który zajmuje się określeniem ryzyk związanych z dostawcami produktów bądź usług. Ich zadaniem jest zrobienie analizy ryzyka dostawcy, przygotowanie umowy i pilnowanie na bieżąco, czy dostawca spełnia wszystko zgodnie z zawartą umową.
  • BCP i DRP — Te plany mają przygotować organizacje na ciężkie czasy i nie pozwolić jej przerwać swojej działalności mimo problemów, jakie nastąpią. Więcej na ten temat możesz poczytać w tym artykule

Audyt zarządzania IT

Dobrze więc, przejdźmy teraz na kolejny punkt z listy tematów, które chcę poruszyć, czyli audyt. Audyt zarządzania IT bardziej dotyczy procesów tam istniejących niż samych technologii.

Bardziej polega on na przeprowadzeniu wywiadu i przeglądzie dokumentacji niż na samym sprawdzaniu krok po kroku konfiguracji sprzętowych. Przy audycie będą sprawdzani zarówno specjaliści IT, jak i grupa biznesowa czy użytkownicy końcowi. Nikogo to nie ominie i każdy dostanie po uchu.

Problemy z zarządzaniem IT mogą się zamanifestować przez na przykład poniższe objawy:

Problemy z zarządzaniem IT

  • Niezadowolenie u użytkowników końcowych bądź pracowników IT — Wypaleni lub przepracowani ludzie z niskim morale w dziale IT mogą zacząć rozwiązywać problemy użytkowników po macoszemu – tak tylko, by załatać i mieć z głowy. Po jakimś czasie może to się wiązać z dużymi problemami.
  • Słabo działające systemy — Długie czasy przestoju w pracy bądź też długie rozwiązanie problemów będzie się wiązać z gorszą jakością.
  • Brak standaryzacji w oprogramowaniu czy sprzęcie — Jest to wielki problem, ponieważ każde urządzenie czy każde oprogramowanie ma całkiem inne problemy i całkiem inne rozwiązania. Co może wiązać się z dłuższym czasem ich rozwiązania bądź brakiem rozwiązania problemu w ogóle.
  • Dysfunkcyjne projekty — Działy IT, które mają dużo projektów bądź też projekty są opóźnione czy porzucane w połowie, mogą źle wpływać na morale pracowników i wiązać się z brakiem dyscypliny w wykonywaniu przyszłych projektów. Bo po co mam się starać, jeśli i tak zaraz albo przerwie się projekt, albo będzie on wisiał pół roku a na jego miejsce wrzucą znowu pilny projekt, który tak samo przerwą w połowie.
  • Dużo “niezastąpialnych” ludzi — Jest to duży problem i brak podziału obowiązków jest naprawdę bolączką wielu firm. Tworzą oni specjalistów od wszystkich własnych systemów i gdy taki specjalista jest chory bądź, co gorsza, odchodzi z pracy, nie ma kim go zastąpić. I wtedy jest stres i panika.

Audytowanie dokumentów

Sercem audytu IT jest sprawdzenie dokumentacji i zgromadzonych rekordów. Bo to właśnie one powiedzą, jak wygląda praca na co dzień, gdzie dział jeszcze niedomaga, gdzie trzeba coś poprawić, a czasem nawet gdzie jest wkładane zbyt dużo wysiłku, gdyż jest on nieadekwatny w danym wypadku.

Poniżej wypiszę Ci listę dokumentów, jakie powinien przeczytać audytor, który będzie audytował systemy informatyczne.

Lista dokumentów do przeglądu:

  • Plany i Strategie IT — Bedą to dokumenty, w których są zaplanowane dalsze strategie i plany związane z IT. Ale również poza dokumentami będą to agendy meetingów, logi z decyzji, jakie zapadły itd.
  • Schematy organizacji IT i opisy stanowisk– Te dokumenty dadzą pogląd na strukturę organizacji: jak wygląda, ile ma szczebelków itd. Opis stanowisk daje informacje, do czego dana osoba może mieć dostęp. Audytor powinien też dostać listę aktualnych umiejętności pracowników, by porównać, czy ich umiejętności odpowiadają danemu stanowisku.
  • Proces oceny wydajności pracownika — Audytor powinien przejrzeć proces oceny wydajności pracownika i sprawdzić aktualne KPI i czy są one spełniane.
  • Polityka awansowania pracownika — Na pewno pomocnym będzie dla audytora. Polityka awansowania pracownika — niezależnie czy będzie ona napisana, czy też tylko w głowach. Czy w wypadku otwarcia się pozycji wewnątrz organizacji. Organizacja pyta się, czy ktoś spośród pracowników chciałby zacząć pracować, czy też od razu poszukuje kogoś z zewnątrz.
  • Manuale HR-ek – Procedury HR odnośnie zatrudnienia, awansu czy też zwolnienia dyscyplinarnego będą niezbędne. Muszą istnieć i być regularnie przeglądane i poprawiane w razie potrzeby.
  • Cykle życia procedur i procesów — Procesy typu rozwój oprogramowania czy zarządzanie zmianą muszą odzwierciedlać wymagania zarządzania IT. Audytor powinien zażądać rekordów dotyczących zmian, by sprawdzić, jak działa proces i czy działa on poprawnie.
  • Dostarczanie procesów IT — Dział IT powinien mieć specjalne podejście do dostarczania procesów IT poprzez zwiększenie swojej uwagi przy tworzeniu rozwiązania. Dzięki temu przed dostarczeniem danego rozwiązania zminimalizuje się istniejącą liczbę zagrożeń. Dostarczanie dóbr i usług powinno być zgodne z procesami, politykami i standardami organizacji.
  • Zarządzanie jakością dokumentów – Dostarczenie rekordów, że takie zarządzanie istnieje.
  • BCP i DRP — Tu nie będę się powielał, wystarczy spojrzeć wyżej. Audytor musi sprawdzić te dokumenty oraz to, czy zostały przetestowane.

Podsumowanie

Dobrze więc – poznałeś outsourcing, ryzyka z nim związane oraz dałem Ci do myślenia, by nie rzucać się na niego od razu, ale by się dwa razy zastanowić. Powiedziałem również troszkę o zarządzaniu kontrolami i bezpieczeństwem oraz dałem Ci trochę przykładów.

Po czym płynnie przeszedłem na część o audycie. Oczywiście o audycie to jeszcze nie koniec, a wręcz to dopiero początek naszej podróży z audytem, ale na dziś wystarczy, bo i tak sporo tego wyszło. Więc czytaj i podziel się opinią, co sądzisz o artykule za pomocą gwiazdki bądź komentarza.

Pozdrawiam – Pusz

Jak przydatny był ten Artykuł

Kliknij gwiazdke by zagłosować

Średni / 5. Liczba głosów

Brak głosu. Kliknij proszę doceń moją prace

Przepraszam że ten post nie był dla Ciebie przydatny

Popraw ten post!

Napisz mi co mogę poprawić