Dojcsák Dániel
IT-outsourcing: tippek az informatikusok kerítésen kívülre rakásához
Az elmúlt években egyre elterjedtebb gyakorlattá vált - főleg a nagyvállalatok körében - hogy a biztonsági szolgálat és a takarítás mellett az IT üzemeltetést is egy külső cégre bízzák. Idén ugyan ugrásszerűen nem nőtt ezek száma, de a tavalyi számok megismétlődnek, és a következő években egyre több ilyen ügylet várható. A művelet persze nem egyszerű, számos helyen eshet hasra a két szerződő fél. Összeállításunkban a legfontosabb szabályok és legkiemelkedőbb veszélyek kapnak helyet, ami előfordulhat egy ilyen szerződés során.
Egyre elfogadottabb nézet, miszerint egy vállalat kizárólag saját főprofiljával, az úgynevezett "core business"-szel kell foglalkozzon, míg a kapcsolódó tevékenységeket bízza külső szakértő cégekre. Ami miatt ez nem eleve így alakult ki, az a bizalom hiánya. Miért merje egy vállalat egy külső cégre bízni minden fontos adatát? Dr. Novák Tamás informatikai- és munkajog szakértő Juhász Lajossal, a Navigator Zrt. vezérigazgatójával együtt térképezték fel a terület buktatóit, illetve összegyűjtötték azokat a szabályokat, melyeket érdemes szem előtt tartani.
A szakértők szerint az első és legfontosabb dolog a megfelelő módon előkészített szerződés megkötése. Ez egy adás-vétel esetén nem okoz különösebb gondot, hiszen csak a terméket, az árat és az átadás helyét, idejét, módját kell leírni. Egy outsourcing szerződés esetében viszont ki kell térni, hogy a cég mely tevékenységeit adja át a szolgáltatónak, felül kell vizsgálni, hogy mindenre kitértek-e amire szükség lesz a feladat ellátására, sőt meg kell vizsgálni minden harmadik féllel kötött szerződést is, melyet a szerződő cég fenntart. Ezekkel a kitételekkel elsősorban a szolgáltató bizonyosodhat meg arról, hogy megfelelő körülmélnyek között végezheti feladatatát, így a későbbiekben is elvárja, ezt is érdemes rögzíteni, hogy az új szoftver (pl.: egy új könyvelő program) vagy hardverelemek megjelenéséről őt is értesítik.
Az első ponthoz kapcsolódóan az elvégzendő feladatok mellett fontos kikötés, hogy mely tevékenységhez milyen garanciák, rendelkezésreállási idők csatlakoznak, mely területek vannak magasabb prioritáson. Ezt csakis a megrendelő tudja eldönteni, hisz ő ismeri saját ügyvitelét, de általánosságban elmondható, hogy az outsourcing cégek is tudnak segítséget nyújtani ebben. Közös érdek, hogy megvalósuljon egy mindkét fél által elfogadott legitim mérési szisztéma, mellyel megállapítható, hogy a felek eleget tettek-e szerződéses kötelezettségeiknek, főként hogy a szolgáltató a megígért szinten nyújtotta-e szolgáltatást.
Előfordulhat természetesen, hogy a fent említett garanciák kielégítetlenek maradnak és hiba csúszik a tervbe, ilyenkor kártérítési felelősség terheli az IT-outsourcing céget. Az ügyfélnek lehetősége van a szerződés szerinti átalány kártérítést, illetve esetleg azon felüli kockázati kártérítést követelni. Bár ez utóbbit a Navigator-hoz hasonló ravasz rókák már elvből elkerülik, hiszen a szerződéses szabadság elvére hivatkozva kizárják az átalány mértékét meghaladó kár megtérítését még kiugró mértékű hibás teljesítés esetén is.
Az ügyfél adatainak mentését az outsourcer végzi majd. A döntés, hogy milyen módszerekkel, milyen gyakorisággal történjen ez meg, szintén közös kell hogy legyen. Egyszerűen az ügyfél képes kell legyen megítélni, milyen adatok mekkora biztonságot igényelnek, a szolgáltatónak tudnia kell az ehhez szabott megoldásokat nyújtani. Egy túldimenzionált biztonságpolitika nemcsak megbonyolíthatja a probléma kezelését, de jócskán meg is drágítja a folyamatokat, ezért kiemelten fontos, hogy az ügyfél adatainak és IT rendszerének biztonsági szintje össze legyen hangolva a tevékenységi körével.
Itt konkrétan arról van szó, hogy az egész rendszer legyen-e mentve, vagy csak az adatbázisok, lineáris vagy inkrementális mentés legyen, napi, heti, esetleg havi mentésre van-e szükség, de persze az is előfordulhat, hogy valakinek óránként szüksége van archiválásra. Juhász Lajos elmondása szerint a Navigator a szerződéskötést követően néhány hét alatt egy univerzális helyreállítási tervet dolgoz ki specifikusan az adott cégre, ami lehetővé teszi,hogy bármilyen probléma esetén a lehető leggyorsabban történjen meg a visszaállítás, emellett pedig egy katasztrófa tervet is kidolgoznak a legrosszabb esetre.
Érdekes kérdés lehet, hogy amennyiben a szolgáltató heti adatmentést javasolt a cégnek, és ezt el is végezte rendesen mondjuk a megbeszélt vasárnapi napon, de szerdán összeomlik a rendszer és elvesznek az adatok, akkor ki a felelős a vasárnaptól szerdáig tartó időszakból eredő károkért. Ilyen esetben a cég nyilván plusz munkaerőt kénytelen felvenni, újra rögzíteni az elveszett adatokat stb. - ezt megfelelő szerződés esetén nyugodtan számlázhatja is az outsourcernek. Az adatvesztések és az összeomlások megelőzésére viszont mára kötelező gyakorlattá vált a vírusok, kémprogramok és egyéb kártevők ellen megoldásokat kínáló szoftverek, tűzfalak telepítése. Ez ugyan a szolgáltató feladatkörébe tartozik, de természetes, hogy ezek megvásárlásának költségei az ügyfelet terhelik, az üzemeltetés viszont újra a szolgáltató feladata. Kritikusan fontos, hogy a frissítések a megjelenés után szinte azonnal kerüljenek aktiválásra, a javítócsomagok és új programverziók pedig alapos tesztelés után kerüljenek bevezetésre, elő se fordulhasson, hogy valamit élesben tesztelnek.
Fontos, hogy a rendszerek közti kapcsolatoknál egységes, jól dokumentálható megoldásokat válasszanak, mert csak így lehet ellenőrizhetővé és megfelelően biztonságossá tenni azokat. Kellemetlen lehet ugyanis, ha egy megtörtént katasztrófa vagy hiba esetén mindenki tétlenül áll és csak találgatni tud, hogy igazából mi okozta a kiesést. Nem mindegy ugyanis, hogy az internetszolgáltatásból eredő hiba vagy szoftveres, hardveres meghibásodás, esetleg emberi mulasztás, rossz döntés miatt fordulhat elő egy hiba. Ennél is amatőrebb dolog, mikor az ügyfél egyszerűen nincs tisztában azzal, hogy milyen egységekből áll a saját rendszere. A sokat emlegetett Magyar Posta Zrt. IT kiszervezése körül alakult ki olyan helyzet, hogy az anyacégnek fogalma sem volt arról, hogy a vidéki kispostákon milyen IT eszközökkel rendelkezik.
Az előre látott veszélyforrásokat a cég tudta nélkül el lehet hárítani, amennyiben az nem igényel az ügyfél részéről döntést, jóváhagyást. A monitoring rendszerek manapság már képesek előre jelezni a korábban váratlan meglepetést okozó hibákat is, az erőforrások skálázásaból eredő problémákat pedig el is felejthetik jó monitoring mellett az ügyfelek. Érdemes a korábban említett harmadik fél által üzemeltetett IT szolgáltatásokat is bevonni a közös felügyeletbe, hiszen egy kimaradt felület komoly rés lehet a pajzson.
Végezetül a hardvereknél és szoftvereknél is bizonytalanabb tényezőről is szót kell ejteni, mégpedig az emberi erőforrásokról. Egy kiszervezés az eddigi gyakorlatok szerint a korábbi informatikai alkalmazottak legalább 70%-nak átvételével jár együtt, hiszen a szolgáltatónak is jóval egyszerűbb az adott vállalati kultúrát, megoldásokat ismerő alkalmazottak átvétele. A munkajogi törvények elmúlt évben bekövetkezett változásai éppen a kiszervezési ügyleteket voltak hivatottak segíteni, így a korábbi munkaadónál kötött szerződéses előnyök (és persze a hátrányok is) megilletik az új helyen is az alkalmazottak, az átvett munkaerőt kötelesek legalább 1-2 éven keresztül foglalkoztatni legalább azonos körülmények között. Ugyanakkor a szolgáltató cégnek is szüksége van bizonyos mozgástérre, hogy a magas szintű szolgáltatás nyújtásához kiválaszthassa a legmegfelelőbb számú és képességű alkalmazottakat.
Később ez a szerződéses viszony egyre jobban bizalmi viszony is lesz a két cég között, ami fontos a hosszútávú együttműködéshez. Érdekes tendencia, hogy míg a kisebb cégek inkább személyekhez ragaszkodnak és a szerződésben is konkrét neveket szeretnek látni kapcsolattartóként megjelölve, addig a nagyvállalatok jobban szeretnek osztályokkal, csoportokkal kommunikálni, függetlenül az azt lebonyolító személytől.
A kettő között ugyan csak formai különbség van, de az ügyfél elégedettségéhez ez is ugyanúgy hozzájárul, mint a szolgáltató azon törekvése, hogy a működtetés során folyamatosan odafigyel a lehetséges bővítési, fejlesztési pontokra, statisztikákat készít a működésről azzal a szándékkal, hogy azt minél jobban optimalizálni tudja. Mivel a szolgáltató pontosan ismeri az ügyfél IT hátterét és igényeit is, ezért képes szakmailag megalapozott tanácsokat nyújtani neki, levéve ezzel a döntés súlyát a laikusnak minősülő ügyfél válláról. A bizalmat az erősítheti az ilyen ügyleteknél, ha a fejlesztéseknek köszönhetően valóban költségtakarékosabb, hatékonyabb vagy kényelmesesbb működés valósul meg.
A túlzott bizalom egyetlen hátulütője a hosszú távú szerződés lejártakor csaphat vissza. Amennyiben egy 5-10 éves ciklus alatt természetesen bekövetkező hardver fejlesztést nem beruházással, hanem a kedvezőbbnek tűnő bérléssel oldja meg az ügyfél a szolgáltatón keresztül, akkor szembesülhet azzal a helyzettel, hogy nem tud szabadulni választott párjától és kénytelen az ő megoldásaira alapozni a követekező évadokat is, hiszen függőség alakult ki köztük. Éppen ezért fontos jó előre tisztázni, hogy a szétválás esetén a hardver és humán erőforrások kinek a tulajdonát képezik.
A milliárdos kiszervezési üzletek látványosan sok jogi akadállyal tűzdelt úton érhetők csak el. Mind a szolgáltató, mind az ügyfél kell, hogy lássa saját lehetőségeit, saját igényeit és szempontrendszerét ahhoz, hogy jó szerződést írhasson alá. Ugyan idén megtorpant az IT kiszervezési piac, nem került hálóba túl sok óriás cég, de a szereplők bíznak abban, hogy a megfelelő tájékoztatás és tárgyalások mellett egyre több céget vesznek rá arra, hogy jó pénzért bízzák IT feladataikat szakértőre. A szketpikusok számára egy szakértő jogász és független informatikus véleménye lehet mérvadó, de egyre biztosabb, hogy az IT üzemeltetés is koncentrált piaccá válik.
Egyre elfogadottabb nézet, miszerint egy vállalat kizárólag saját főprofiljával, az úgynevezett "core business"-szel kell foglalkozzon, míg a kapcsolódó tevékenységeket bízza külső szakértő cégekre. Ami miatt ez nem eleve így alakult ki, az a bizalom hiánya. Miért merje egy vállalat egy külső cégre bízni minden fontos adatát? Dr. Novák Tamás informatikai- és munkajog szakértő Juhász Lajossal, a Navigator Zrt. vezérigazgatójával együtt térképezték fel a terület buktatóit, illetve összegyűjtötték azokat a szabályokat, melyeket érdemes szem előtt tartani.
A szakértők szerint az első és legfontosabb dolog a megfelelő módon előkészített szerződés megkötése. Ez egy adás-vétel esetén nem okoz különösebb gondot, hiszen csak a terméket, az árat és az átadás helyét, idejét, módját kell leírni. Egy outsourcing szerződés esetében viszont ki kell térni, hogy a cég mely tevékenységeit adja át a szolgáltatónak, felül kell vizsgálni, hogy mindenre kitértek-e amire szükség lesz a feladat ellátására, sőt meg kell vizsgálni minden harmadik féllel kötött szerződést is, melyet a szerződő cég fenntart. Ezekkel a kitételekkel elsősorban a szolgáltató bizonyosodhat meg arról, hogy megfelelő körülmélnyek között végezheti feladatatát, így a későbbiekben is elvárja, ezt is érdemes rögzíteni, hogy az új szoftver (pl.: egy új könyvelő program) vagy hardverelemek megjelenéséről őt is értesítik.
Az első ponthoz kapcsolódóan az elvégzendő feladatok mellett fontos kikötés, hogy mely tevékenységhez milyen garanciák, rendelkezésreállási idők csatlakoznak, mely területek vannak magasabb prioritáson. Ezt csakis a megrendelő tudja eldönteni, hisz ő ismeri saját ügyvitelét, de általánosságban elmondható, hogy az outsourcing cégek is tudnak segítséget nyújtani ebben. Közös érdek, hogy megvalósuljon egy mindkét fél által elfogadott legitim mérési szisztéma, mellyel megállapítható, hogy a felek eleget tettek-e szerződéses kötelezettségeiknek, főként hogy a szolgáltató a megígért szinten nyújtotta-e szolgáltatást.
Előfordulhat természetesen, hogy a fent említett garanciák kielégítetlenek maradnak és hiba csúszik a tervbe, ilyenkor kártérítési felelősség terheli az IT-outsourcing céget. Az ügyfélnek lehetősége van a szerződés szerinti átalány kártérítést, illetve esetleg azon felüli kockázati kártérítést követelni. Bár ez utóbbit a Navigator-hoz hasonló ravasz rókák már elvből elkerülik, hiszen a szerződéses szabadság elvére hivatkozva kizárják az átalány mértékét meghaladó kár megtérítését még kiugró mértékű hibás teljesítés esetén is.
Az ügyfél adatainak mentését az outsourcer végzi majd. A döntés, hogy milyen módszerekkel, milyen gyakorisággal történjen ez meg, szintén közös kell hogy legyen. Egyszerűen az ügyfél képes kell legyen megítélni, milyen adatok mekkora biztonságot igényelnek, a szolgáltatónak tudnia kell az ehhez szabott megoldásokat nyújtani. Egy túldimenzionált biztonságpolitika nemcsak megbonyolíthatja a probléma kezelését, de jócskán meg is drágítja a folyamatokat, ezért kiemelten fontos, hogy az ügyfél adatainak és IT rendszerének biztonsági szintje össze legyen hangolva a tevékenységi körével.
Itt konkrétan arról van szó, hogy az egész rendszer legyen-e mentve, vagy csak az adatbázisok, lineáris vagy inkrementális mentés legyen, napi, heti, esetleg havi mentésre van-e szükség, de persze az is előfordulhat, hogy valakinek óránként szüksége van archiválásra. Juhász Lajos elmondása szerint a Navigator a szerződéskötést követően néhány hét alatt egy univerzális helyreállítási tervet dolgoz ki specifikusan az adott cégre, ami lehetővé teszi,hogy bármilyen probléma esetén a lehető leggyorsabban történjen meg a visszaállítás, emellett pedig egy katasztrófa tervet is kidolgoznak a legrosszabb esetre.
Érdekes kérdés lehet, hogy amennyiben a szolgáltató heti adatmentést javasolt a cégnek, és ezt el is végezte rendesen mondjuk a megbeszélt vasárnapi napon, de szerdán összeomlik a rendszer és elvesznek az adatok, akkor ki a felelős a vasárnaptól szerdáig tartó időszakból eredő károkért. Ilyen esetben a cég nyilván plusz munkaerőt kénytelen felvenni, újra rögzíteni az elveszett adatokat stb. - ezt megfelelő szerződés esetén nyugodtan számlázhatja is az outsourcernek. Az adatvesztések és az összeomlások megelőzésére viszont mára kötelező gyakorlattá vált a vírusok, kémprogramok és egyéb kártevők ellen megoldásokat kínáló szoftverek, tűzfalak telepítése. Ez ugyan a szolgáltató feladatkörébe tartozik, de természetes, hogy ezek megvásárlásának költségei az ügyfelet terhelik, az üzemeltetés viszont újra a szolgáltató feladata. Kritikusan fontos, hogy a frissítések a megjelenés után szinte azonnal kerüljenek aktiválásra, a javítócsomagok és új programverziók pedig alapos tesztelés után kerüljenek bevezetésre, elő se fordulhasson, hogy valamit élesben tesztelnek.
Fontos, hogy a rendszerek közti kapcsolatoknál egységes, jól dokumentálható megoldásokat válasszanak, mert csak így lehet ellenőrizhetővé és megfelelően biztonságossá tenni azokat. Kellemetlen lehet ugyanis, ha egy megtörtént katasztrófa vagy hiba esetén mindenki tétlenül áll és csak találgatni tud, hogy igazából mi okozta a kiesést. Nem mindegy ugyanis, hogy az internetszolgáltatásból eredő hiba vagy szoftveres, hardveres meghibásodás, esetleg emberi mulasztás, rossz döntés miatt fordulhat elő egy hiba. Ennél is amatőrebb dolog, mikor az ügyfél egyszerűen nincs tisztában azzal, hogy milyen egységekből áll a saját rendszere. A sokat emlegetett Magyar Posta Zrt. IT kiszervezése körül alakult ki olyan helyzet, hogy az anyacégnek fogalma sem volt arról, hogy a vidéki kispostákon milyen IT eszközökkel rendelkezik.
Az előre látott veszélyforrásokat a cég tudta nélkül el lehet hárítani, amennyiben az nem igényel az ügyfél részéről döntést, jóváhagyást. A monitoring rendszerek manapság már képesek előre jelezni a korábban váratlan meglepetést okozó hibákat is, az erőforrások skálázásaból eredő problémákat pedig el is felejthetik jó monitoring mellett az ügyfelek. Érdemes a korábban említett harmadik fél által üzemeltetett IT szolgáltatásokat is bevonni a közös felügyeletbe, hiszen egy kimaradt felület komoly rés lehet a pajzson.
Végezetül a hardvereknél és szoftvereknél is bizonytalanabb tényezőről is szót kell ejteni, mégpedig az emberi erőforrásokról. Egy kiszervezés az eddigi gyakorlatok szerint a korábbi informatikai alkalmazottak legalább 70%-nak átvételével jár együtt, hiszen a szolgáltatónak is jóval egyszerűbb az adott vállalati kultúrát, megoldásokat ismerő alkalmazottak átvétele. A munkajogi törvények elmúlt évben bekövetkezett változásai éppen a kiszervezési ügyleteket voltak hivatottak segíteni, így a korábbi munkaadónál kötött szerződéses előnyök (és persze a hátrányok is) megilletik az új helyen is az alkalmazottak, az átvett munkaerőt kötelesek legalább 1-2 éven keresztül foglalkoztatni legalább azonos körülmények között. Ugyanakkor a szolgáltató cégnek is szüksége van bizonyos mozgástérre, hogy a magas szintű szolgáltatás nyújtásához kiválaszthassa a legmegfelelőbb számú és képességű alkalmazottakat.
Később ez a szerződéses viszony egyre jobban bizalmi viszony is lesz a két cég között, ami fontos a hosszútávú együttműködéshez. Érdekes tendencia, hogy míg a kisebb cégek inkább személyekhez ragaszkodnak és a szerződésben is konkrét neveket szeretnek látni kapcsolattartóként megjelölve, addig a nagyvállalatok jobban szeretnek osztályokkal, csoportokkal kommunikálni, függetlenül az azt lebonyolító személytől.
A kettő között ugyan csak formai különbség van, de az ügyfél elégedettségéhez ez is ugyanúgy hozzájárul, mint a szolgáltató azon törekvése, hogy a működtetés során folyamatosan odafigyel a lehetséges bővítési, fejlesztési pontokra, statisztikákat készít a működésről azzal a szándékkal, hogy azt minél jobban optimalizálni tudja. Mivel a szolgáltató pontosan ismeri az ügyfél IT hátterét és igényeit is, ezért képes szakmailag megalapozott tanácsokat nyújtani neki, levéve ezzel a döntés súlyát a laikusnak minősülő ügyfél válláról. A bizalmat az erősítheti az ilyen ügyleteknél, ha a fejlesztéseknek köszönhetően valóban költségtakarékosabb, hatékonyabb vagy kényelmesesbb működés valósul meg.
A túlzott bizalom egyetlen hátulütője a hosszú távú szerződés lejártakor csaphat vissza. Amennyiben egy 5-10 éves ciklus alatt természetesen bekövetkező hardver fejlesztést nem beruházással, hanem a kedvezőbbnek tűnő bérléssel oldja meg az ügyfél a szolgáltatón keresztül, akkor szembesülhet azzal a helyzettel, hogy nem tud szabadulni választott párjától és kénytelen az ő megoldásaira alapozni a követekező évadokat is, hiszen függőség alakult ki köztük. Éppen ezért fontos jó előre tisztázni, hogy a szétválás esetén a hardver és humán erőforrások kinek a tulajdonát képezik.
A milliárdos kiszervezési üzletek látványosan sok jogi akadállyal tűzdelt úton érhetők csak el. Mind a szolgáltató, mind az ügyfél kell, hogy lássa saját lehetőségeit, saját igényeit és szempontrendszerét ahhoz, hogy jó szerződést írhasson alá. Ugyan idén megtorpant az IT kiszervezési piac, nem került hálóba túl sok óriás cég, de a szereplők bíznak abban, hogy a megfelelő tájékoztatás és tárgyalások mellett egyre több céget vesznek rá arra, hogy jó pénzért bízzák IT feladataikat szakértőre. A szketpikusok számára egy szakértő jogász és független informatikus véleménye lehet mérvadó, de egyre biztosabb, hogy az IT üzemeltetés is koncentrált piaccá válik.