Számos publikáció foglalkozik a kiszervezés kérdéskörének vizsgálatával, és felsorol olyan elemzési szempontokat, amelyeket a kiszervezés előtt célszerű elvégezni, például [1], [2]. Ebben a cikkben a leglényegesebb kérdésekre – amit 3M2H-val jelöltünk – adunk válaszokat, elsődlegesen informatikai rendszerekkel kapcsolatos információbiztonsági, illetve minőségbiztosítási tevékenységek vonatkozásában.
Mit?
Azaz milyen tevékenységeket javasolt kiszervezni egy szervezetben?
A kiszervezés kérdésének témakörében a legáltalánosabb, legszemléletesebb döntést segítő eszköz a Harmon-féle folyamat-stratégiai mátrix. A Harmon-elmélet lényege, hogy a kiszervezés minden olyan esetben tanácsolható, ha a folyamat nem tartozik a stratégiailag nagy fontosságú, gyakran „core” tevékenységnek nevezett tevékenységek közé [3].
Valamely tevékenység kiszervezésének indokoltságát, lehetőségét tehát – függetlenül a tevékenységi területtől – akkor érdemes vizsgálni, ha a tevékenységnek nincs stratégiai fontossága a szervezet szempontjából. Ilyen esetekben ugyanis nem érdemes a szervezetnek az adott tevékenységre pazarolni az energiáját, helyette olyan tevékenységre célszerű koncentrálni, ami a fő tevékenységek közé tartozik.
Jelen tanulmányban a kiszervezés több kérdéskörét megvizsgáljuk. Először általános válaszokat adunk, majd a bevezetőben említett két konkrét tevékenységi körre példákat is felsorolunk.
Mikor?
Azaz milyen célok valósulnak meg a kiszervezéssel?
Véleményünk szerint egyértelműen állítható, hogy a kiszervezés akkor indokolt, ha valamilyen értéket teremt a vállalat/szervezet számára. A vállalati érték teremtésének számos megvalósulási módja lehetséges. A vállalati értéket általánosan úgy határozhatjuk meg, hogy bármely típusú érték, ami hosszútávon meghatározza egy vállalat egészségét, jólétét. Alapvető eleme a gazdasági érték, megtermelt profit, ami mellett további lényeges formái például a következők: működési költségek csökkentése, megfelelés szabályozási előírásnak, szolgáltatási színvonal emelése, túlterheltség megszüntetése, hatékonyság növelése, partneri kapcsolatok építése.
Az értékteremtés témakörét abból a szempontból is vizsgálhatjuk, hogy milyen általános célok elérésével, megvalósításával jön létre vállalati érték. Ilyenek például a következők:
- összpontosítás a stratégiai fontosságú területekre;
- valamely tevékenység jobb minőségben történő elvégzése;
- hatékonyabb feladatellátás;
- stratégiai célkitűzésekkel kapcsolatos kockázatok feltárása;
- új, mindkét cég számára előnyökkel járó partneri kapcsolat kiépítése a kiszervező cég és a szolgáltató között.
A felsorolt értékteremtési lehetőségek megvalósítására – az előzőekben írtaknak megfelelően – a nem stratégiai fontosságú területeken végzett tevékenységek kiszervezése által nyílik lehetőség. A kiszervezéssel az ezen tevékenységekre fordított energiák felszabadulnak, és a szervezet jobban tud összpontosítani a számára lényeges területekre. A kiszervezés ily módon a stratégia kikristályosodásához is hozzájárul. A szervezet alkalmazottjai számára világosabbá válik, hogy mi a szervezet stratégiai irányvonala, célkitűzése, ami nélkülözhetetlen a szervezet megfelelő működése érdekében. [4]
Az alábbiakban példákat mutatunk arra, hogy mik lehetnek a kiszervezés szükségességének indokai a vizsgált két területen.
Információbiztonsági tevékenység területén a kiszervezés indoka lehet például valamely szabályozási előírásnak való folyamatos megfelelés biztosítása. Ilyen szabályozás például a 2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról [5]. A törvénynek több ezer önkormányzatnak és központi államigazgatási szervezetnek kell eleget tennie [6]. Az önkormányzatok vonatkozásában a törvényi megfelelés megvalósulásához szükséges tevékenység nem tekinthető stratégiailag nagy jelentőségű tevékenységnek. A kiszervezés ezen a területen tehát reális alternatíva.
Minőségbiztosítási tevékenység területén indoka lehet a kiszervezésnek a minőség folyamatos garantálása azon esetekben, amikor a rendszeresen jelentkező vevői igények, elvárások miatt gyakori rendszermódosításra van szükség a rendszer gyakorlatilag szünetmentes működése mellett. Ilyen terület például a banki informatikai rendszerek, ahol rendkívül fontos a megfelelő színvonalú minőségbiztosítás [7], ugyanakkor erre a tevékenységre gyakran nincs dedikált munkaerő, sok esetben a fejlesztői csapat felelőssége a minőségbiztosítási tevékenység elvégzése is. Ez azonban nem szerencsés, hiszen e két tevékenységet épp a minőség garantálása érdekében elkülönítetten célszerű ellátni.
Ugyancsak indokolt lehet a kiszervezés az üzemeltetési tevékenységek minőségbiztosítása területén. A vevői elégedettség szempontjából nagy jelentősége van a bevezetett termék folyamatos, megfelelő minőségű üzemeltetésének. Ide tartozik többek közt az üzemeltetési rend kialakítása, annak folyamatos felülvizsgálata. Szintén ilyen számos ellenőrzési feladat, mint például a változásmenedzsment előírtak szerinti működtetésének, konfigurációkezelésnek, incidenskezelésnek az ellenőrzése; a megfelelő dokumentáltság ellenőrzése.
Harmadik kiemelendő terület minőségbiztosítási témakörben, amelynél indokolt lehet a kiszervezés, a megrendelői elvárásoknak való folyamatos megfelelés biztosítása (compliance), illetve a megfelelés igazolása rendszeresen elvégzett belső audittal. A belső audit a különböző minőségi szabványok előírásainak való folyamatos megfelelés megvalósulását is eredményezi.
Egyre inkább igény mutatkozik arra is, hogy a belső audit stratégiai orientáltságúvá váljon, azaz a stratégia végrehajtását veszélyeztető stratégiai kockázatokra is rámutasson [8]. Ez a tevékenység általában túlmutat a szervezet addig megszokott feladatkörén, hatékony elvégzése érdekében indokolttá válhat a kiszervezése.
A minőségbiztosítási tevékenység kiszervezésének egyik járulékos célja lehet a kiszervező és a szolgáltató cégek között jó partneri kapcsolat kiépítése, amelynek eredményeként a kiszervező cég általános minőségbiztosítási rendszere, minőségbiztosítási folyamatai is fejlődhetnek, korszerűsödhetnek. Ez a cég egészének működése szempontjából is előnyös.
Miért?
Azaz milyen előnyökkel járhat a kiszervezés a belső megoldással szemben?
A legtöbb esetben kiszervezéskor a költséghatékonyság az elsődleges szempont. Az USA-ban például az önkormányzatok gazdálkodási problémáinak megoldására javasolják bizonyos tevékenységek kiszervezését [9].
A kiszervezés költséghatékonysága általában több, egymástól jelentősen eltérő szempont függvénye. Ilyen szempontok például a következők:
- milyen költséggel járna, ha belső munkaerőt vennénk igénybe a feladat ellátásához;
- mekkora eszközköltség jelentkezne a belső feladatteljesítés során;
- milyen határidővel lehetne belső eszközökkel megvalósítani a feladatot, az esetleges határidő-csúszásnak milyen költségvonzata lenne;
- jelentene-e valamely területen hatékonyságromlást a belső erőforrásokkal történő feladatteljesítés, és ha igen, az milyen költségeket eredményezne;
- a meglevő tudásbázis megfelelő színvonalúra emelése milyen költségekkel járna, milyen határidőre valósulna meg;
- a nem megfelelő teljesítésnek mik a várható következményei (bírság kiszabása, biztonsági kockázat növekedése).
A direkt módon mérhető költségmegtakarításon túlmenően számos egyéb szempontot is érdemes figyelembe venni. Ezek nem feltétlen eredményeznek pénzügyi előnyt, kiszervezésük valamely más módon járul hozzá az értékteremtéshez. Az alábbiakban ilyen jellegű szempontokat sorolunk fel:
- Egyre inkább jelent üzleti előnyt egy szervezet számára, ha üzleti és technikai szempontból a lehető legjobb minőségű alkalmazásokat használja. Az informatikai rendszerek folyamatos fejlesztésénél, új alkalmazások bevezetésénél, az alkalmazások és technológiák integrálásánál, illetve az üzleti folyamatok hibamentes működésénél ennek kiemelkedő jelentősége és mérhető haszna van.
- Többféle szaktudás ötvözése, illetve a különböző képzettségekkel rendelkező szakemberek együtt dolgozása gyakran problematikus. Sokszor még abban az esetben is felmerülnek nehézségek, ha minden szakember megtalálható a szervezeten belül.
- Valamely speciális feladat ellátására általában egyszerűbb, kifizetődőbb szakértő céget találni, mint megfelelő képzettségű szakembert/szakembereket. Általában a belső munkatárs kiképzése sem reális alternatíva a feladat ellátására – például a képzés időtartama miatti jelentős időkiesés következtében.
- A függetlenség, objektivitás sok esetben eredményesebben biztosítható külső erőforrással. Belső munkatárs nem minden esetben képes megfelelő távolságtartással, külső szemlélettel hozzáállni olyan feladat megoldásához, ami munkatársai által történt feladatteljesítéshez kapcsolódik.
- Időszakosan, alkalmanként végzendő tevékenység végzésére a szervezeten belül általában nehéz megfelelő szaktudású munkatársat találni. Ilyen jellegű feladat ellátása belső erőforrással sok esetben nem hatékonyan történik.
A következőkben példákat mutatunk arra, hogy milyen előnnyel járhat a kiszervezés az információbiztonsági, illetve minőségbiztosítási területeken.
Információbiztonsági tevékenység területén azon önkormányzatok számára, ahol nincsenek meg a feltételek az IT-biztonsági törvény elvárásainak teljesítésére, a kiszervezés reális alternatívát jelenthet. Ez a tevékenység jellemzően olyan, amely speciális szaktudást igényel, ugyanakkor nem folyamatosan, nem teljes munkaidőben végzendő, sokkal inkább bizonyos időszakonként, akkor azonban koncentráltan. Ennek a tevékenységnek az ellátására tehát nem célszerű minden egyes szervezetben felállítani/megteremteni a feltételeknek megfelelő eszközparkot, illetve humán erőforrást. Hatékonyabb megoldást jelent, ha több ilyen szervezet ugyanahhoz a szolgáltatóhoz szervezi ki az ellátandó tevékenységet.
Minőségbiztosítási területen szoftverfejlesztési tevékenység minőségbiztosításával kapcsolatban időnként tapasztalható, hogy a fejlesztést végző cég túlterhelt, erőforráshiánnyal küzd. Ennek egyik jellemző következménye, hogy az elkészített/módosított rendszer nem megfelelő tesztelés, minőségi ellenőrzés után kerül ki a felhasználókhoz. A nem megfelelő minőségű teljesítés vevői elégedetlenséget, bizalomvesztést eredményezhet. Az ilyen kellemetlen következmények és ezekhez kapcsolódó indirekt költségek megfelelő kiszervezéssel elkerülhetőek.
A belső auditálási tevékenység vonatkozásában előfordulhat, hogy a cégen belüli erőforrásokkal megvalósuló belső audit felületessé válik, nem követi megfelelően a szabványok előírások módosulásait. Az is tapasztalható, hogy elsiklik olyan dolgok felett, amelyek csak ritkán fordulnak elő és kevés információ áll róluk rendelkezésre. Körültekintően kiválasztott független szervezet megbízásával jelentősen csökkenthető a nem megfelelő minőségű belső audit végzésének a kockázta. Abban az esetben, amikor a belső audit végzésekor egyik kiemelt cél a stratégiai célkitűzésekkel kapcsolatos kockázatok feltárása, előnyt jelent, ha azt olyan cég végzi el, amelynek nagyobb rálátása van a külső piaci környezetre is.
Hová?
Azaz milyen szaktudással rendelkezzen az a cég, ahová kiszervezésre kerül a tevékenység?
A szolgáltató kiválasztásánál rendkívül fontos szempont, hogy rendelkezik-e a szolgáltató a szükséges szaktudásokkal, ismeretekkel, megfelelő megbízhatósággal. Ha nincs jelen a piacon olyan cég, ahol mindezek megtalálhatók, akkor a kiszervezés nem reális alternatíva.
Az előzőekben felsorolt példákra általában jellemző, hogy nem elegendő egyfajta szakmai tudás a feladat elvégzéséhez, hanem többféle szaktudás ötvözése, széles látókör, a különböző összefüggéseket is átlátó képesség szükséges a folyamatos, megfelelő színvonalon megtörténő feladatellátáshoz. A felsorolt példákban szerteágazó szakmai háttér, valamint komplex tudásbázis biztosítja a feladatok hatékony, színvonalas ellátását. Ugyancsak elvárás, hogy garantált legyen a cég megbízhatósága, ahová a tevékenység kiszervezésre kerül.
Tömören összefoglalva olyan céghez érdemes kiszervezni a tevékenységeket, amely – a két példánál maradva – információbiztonsági, illetve minőségbiztosítási területeken stratégiai célként jelöli meg a magas színvonalú szolgáltatás nyújtását az ügyfelei számára, és garantálja a teljes megbízhatóságot.
Hogyan?
Azaz milyen módon biztosítható a kiszervezés esetleges hátrányainak elkerülése?
A kiszervezéssel kapcsolatban folyamatosan figyelni, értékelni és kezelni kell a felmerülő kockázatokat. Ilyen, a kiszervezőt esetlegesen negatívan érintő kockázatok például a következők:
- A kiszervezett tevékenységhez szükséges szaktudás később hiányozni fog a kiszervező szervezetben. Ez többféle módon is előállhat: például új terület kerül felvételre a stratégiai fontosságú területek közé, ahol szükséges ilyen irányú szaktudás, és/vagy versenyelőnyt jelentene a tevékenység belső erőkkel történő elvégzése. Ha ilyen jellegű igény merül fel, akkor a legcélszerűbb megoldás a partnernél meglevő ismeretek, tudás visszaintegrálásra. Erre általában akkor van mód, ha a kiszervező cég megfelelő partnerkapcsolatot épít ki, illetve tart fenn a szolgáltatóval.
- Nem megfelelő motiváltsági szint a szolgáltatónál. Ha a kiszervező szervezet ennek jeleit érzékeli, akkor azonnal másik szervezetet kell keresni a tevékenység végzésére, vagy meg kell oldani a visszaszervezését. Motiválatlan partnerrel való együttműködés általában gyenge minőségű teljesítést eredményez, ami jelentősen ronthatja a szervezet hírnevét.
- Tisztázatlan döntési jogosultságok a kiszervező és a szolgáltató között. Ez a problémakör eléggé gyakori, mivel a szerződésekben erre a területre nem térnek ki megfelelő részletezettséggel a felek. Ennek a problémának a kezelésére az egyetlen jó megoldás a megfelelő kommunikáció kiépítése az érintettek között, amelynek segítségével az ilyen jellegű problémák kezelhetővé válnak.
- Nem megfelelő szintű adat/információbiztonság a szolgáltatónál. Ez az eset kellő körültekintéssel, megfelelő vizsgálattal még a kiszervezésre vonatkozó döntés előtt felismerhető. Ebben a tekintetben erősen ajánlott megvizsgálni annak a szervezetnek a biztonsági felkészültségét, helyzetét, ahová a tevékenységet kiszervezzük [4]. Hasonlóan a motiválatlan partnerrel kapcsolatban leírtakhoz, ha nem megfelelő az adatkezelési, illetve információbiztonság a szolgáltatónál, az visszahat a kiszervező szervezetre, nagy mértékben ronthatja a hírnevét.
A kockázatok kezelése érdekében megfelelő, előre rögzített kontrollokat szükséges alkalmazni az esetlegesen felmerülő hátrányok elkerülése/elhárítása érdekében. A kontrollok megfelelő működését olyan mérőrendszer felállításával célszerű támogatni, amelynek segítségével mérhetővé, számszerűsíthetővé válik a nyújtott szolgáltatás. Amennyiben a mért értékek nem az elvárásnak megfelelőek, azonnal meg kell tenni a szükséges módosításokat.
Összegzés
Elmondható, hogy minden területen, de különösen az IT-rendszerek információbiztonságával kapcsolatos, illetve IT-rendszerek minőségbiztosítási felügyelete körébe tartozó tevékenységek esetén a kiszervezéssel kapcsolatos döntéshozatal előtt számos szempontot alaposan meg kell vizsgálni. Ezek közül elsődlegesen a 3M2H kérdéscsomag elemzését javasoljuk, azaz az alábbi kérdésekre szükséges kielégítő választ kapni:
Mit, azaz milyen tevékenységeket javasolt kiszervezni egy szervezetben?
Mikor indokolt a kiszervezés, milyen célok valósulnak meg általa?
Miért érdemes kiszervezni, milyen előnyökkel járhat a kiszervezés a belső megoldással szemben?
Hová érdemes kiszervezni, azaz milyen szaktudással rendelkezzen az a cég, ahová kiszervezésre kerül a tevékenység?
Hogyan biztosítható a kiszervezés esetleges hátrányainak elkerülése?
Amennyiben ezen kérdésekre megnyugtató, a kiszervezést támogató választ kapunk, akkor nagy valószínűséggel érdemes a kiszervezés mellett dönteni.
Referenciák:
[1] M. Alter: When to Outsource: 5 Decisions, http://www.inc.com/michael-alter/small-business-strategy-when-to-outsource.html, 2012
[2] DATAMARK: What to Outsource and What to Keep In-House http://www.datamark.net/blog/outsource-keep-house, 2014
[3] P. Harmon: Business Process Change - A Guide for Business Managers and BPM and Six Sigma Professioinals, 2008
[4] Dr. Szenes K.: Érdemes-e kiszervezni? – Ha igen, akkor pedig hogyan? IIR IT Outsoursing szemináriumon elhangzott előadás, 2014
[5] 2013.év L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról
[6] Több ezer önkormányzat és államigazgatási szervezet kockáztat információbiztonsági bírságot, http://www.eco.hu/hir/tobb-ezer-onkormanyzat-es-allamigazgatasi-szervezet-kockaztat-informacio-biztonsagi-birsagot-2/, 2014
[7] D. Rigler Outsourcing for Global Quality Management, http://www.sourcingfocus.com/site/blogentry/7013/, 2013
[8] How Outsourcing Can Improve Internal Audit’s Strategic Capabilities http://deloitte.wsj.com/cfo/2013/06/05/how-outsourcing-can-improve-internal-audits-strategic-capabilities/, 2013
[9] C. Niccolls: Municipalities Need to Outsource in 2013,
http://outsourcing.about.com/od/clouds/a/Municipalities-Need-To-Outsource-In-2013.htm