Počítačová konvergence, otevřené standardy a konektivita, to vše v naší digitální ekonomice přispívá k tomu, že na ni mnozí nahlížejí jako na pátou technologickou revoluci průmyslového věku. A jedním z jejích klíčových rysů je tendence k outsourcování. V dnešním složitém a náročném světě si jen hrstka firem může dovolit dělat všechno sama. Většina se potřebuje zaměřit na to, v čem vyniká, a u dalších úkolů se opřít o odborné znalosti zvenčí.



Outsourcování samozřejmě není nic nového – lidé to dělají celá staletí. V domácnosti lidé kupříkladu běžně outsourcují úklid, malování a další úkoly. V podnikatelské sféře tomu není jinak – jen velmi málo organizací se ve všem spoléhá na vlastní zdroje. Oproti minulosti se však čím dál větší podíl práce dá digitalizovat. Díky tomu můžeme outsourcovat práci dodavateli na druhé straně planety stejně snadno jako dodavateli v našem městě. Pokud tu práci umějí udělat, není už problém ji k nim dostat.
Z toho vyplývá zajímavá otázka. Když je svět čím dál propojenější, je v něm tím pádem i méně bezpečno? Předpokládejme, že svou mzdovou agendu outsourcujete účetnické firmě. Vzroste vám tím riziko, anebo klesne? A záleží na tom, kde poskytovatel služby sídlí či pracuje?

Skutečné riziko?

Takže co je pravdy na těch „nových“ rizicích? O poplašné zprávy rozhodně není nouze – obzvláště když dojde na offshoring asijským firmám. Tiskem například proběhla zpráva, že v roce 2005 bývalý pracovník call centra v Indii nabídl investigativnímu novináři prodej informací o britských bankovních účtech. Psalo se rovněž o tom, jak byly na prodej podrobnosti o hypotékách a účtech za lékaře. Často se ovšem stává, že takové historky nejsou podložené. Například firma, která byla z těchto praktik obviněna, podle všeho není nijak napojená na britské banky, o nichž se psalo. [1] Tyto historky proto jen zastírají skutečný stav věci.
K úniku citlivých informací ovšem může dojít kdekoli – ne jen v Asii. Například v dubnu 2005 společnost CitiFinance, úvěrová pobočka newyorské Citigroup, přišla o důvěrné informace o 3,9 milionu klientů vinou kurýrní společnosti UPS, která převážela zálohovaná data na páskách. A zabezpečení může být naopak vysoké bez ohledu na sídlo společnosti. Zaměstnancům jednoho indického poskytovatele IT služeb se prohledávají tašky každé ráno po příchodu do práce a u dveří musí rovněž odevzdat mobilní telefony. Na svých stolech nenajdou žádné dokumenty, na nichž pracovali předchozí den, protože ty byly po jejich odchodu skartovány. Nemohou kopírovat ani přesouvat soubory a nemohou volat nikam jinam než na technickou podporu. Na počítači mají nastavená minimální práva, není tedy možné přihlásit se na internet ani posílat e-maily mimo firmu. Takové zabezpečení se navíc netýká pouze IT firem.

Skutečné problémy

Tím ale nechceme tvrdit, že outsourcování a offshoring jsou zcela bezproblémové. Vezměte si například nové regulační prostředí, které přišlo po firemních skandálech Enronu a WorldComu. K nejvýraznějším patří regulační rámec Basel II (revize bankovních pravidel kapitálové přiměřenosti) a americké Sarbanes-Oxleyho reformy, které mají dopad na všechny společnosti obchodované na amerických burzách. Podle nich nemůže firma s nikým sdílet rizika „compliance“. Takže pokud dodavatel služby nesplní vaše očekávání, jistě jej můžete zažalovat, ale stát po vás pořád půjde kvůli „non-compliance“. V kostce: zabezpečení si klidně můžete outsourcovat, ale zodpovědnosti vás nikdo nezbaví.

Povolení ke kontaktu?

Když si najmete jinou společnost, aby vaším jménem komunikovala se zákazníky, je třeba přemýšlet o jiných záležitostech – a ze všeho nejdůležitější je ochrana dat vašich klientů. Ta jsou důvěrná bez ohledu na metodu komunikace, ať už jde o komunikaci přímou, e-mailem, prostřednictvím internetových stránek nebo SMS.
Je třeba zvážit několik klíčových oblastí. Zaprvé je třeba zajistit, aby se data klientů dostala k poskytovateli služby pouze zákonnou cestou. Směrnice Evropské unie o ochraně dat například pojednávají o exportu takových dat do dalších zemí.
Za druhé je důležité, aby dodavatel podnikl odpovídající kroky k ochraně jakýchkoli dat, které od vás obdrží nebo která vaším jménem nashromáždí. Pokud firma sídlí v jiné zemi, musí se řídit nejen místními zákony, ale i těmi, jimiž jste vázáni vy. V závislosti na povaze vašeho podnikání je v některých případech třeba zajistit, aby outsourcující firma pracovala v souladu se zákony země, kde sídlí vaši zákazníci. Vždy mějte na paměti, že ze zákonů se nelze smluvně vyvázat. Zákony v zemích, s nimiž obchodujete, mají vždy větší právní sílu než vaše smlouva.
Za třetí je tu otázka ověření totožnosti. Outsourcující firma musí znát skutečnou totožnost každého, s kým jedná, a být s to doložit, že podnikla náležité kroky k jeho ověření. Bez ohledu na to, kdo se na tomto šetření podílel, smluvně odpovědná za něj bude vždy vaše společnost.
A v neposlední řadě – pokud personál vašeho dodavatele používá ke své práci IT systémy, úrovně přístupu musí být jasně nastaveny a pravidelně aktualizovány.

Jak ochránit data při outsourcingu

• Ještě než outsourcujete činnost, která má něco společného s daty klientů, pročtěte si zákony na ochranu osobních údajů.
• Vyžadujte po svém dodavateli, aby vaše data chránil podle vašich kritérií, nebo ještě lépe.
• Zajistěte, aby dodavatel ověřil totožnost zákazníka, ještě než schválí transakci.
• Zkontrolujte postupy dodavatele určené pro kontrolu přístupu zaměstnanců k vašim systémům a datům.

Po čem se poohlédnout

Jistě, mohli byste se taky rozhodnout strčit hlavu do písku a počkat, dokud outsourcování neodejde. Jenže to byste nejspíš zbankrotovali. Outsourcování je skutečná – a cenná – součást moderního podnikání a už tu zůstane.
V tomto okamžiku je důležité pojmenovat nejdůležitější problémy a řešit je. A jako v jakémkoli jiném vztahu se vyplatí mít přehled, s kým hodláte obchodovat, ještě než se začnete dohadovat nad podrobnostmi ve smlouvě.
Je třeba se poohlédnout po firmě, která splňuje následující čtyři kritéria:

1. Vyberte si dodavatele služby, který ve svém oboru dosahuje vynikajících výsledků a vyvíjí vlastní iniciativu. Mnozí vám dají pouze to, oč je požádáte. Musíte si najít dodavatele, který neustále sleduje změny v oboru a neustále posunuje hranice toho, co je možné.
2. Vyberte si dodavatele, jenž zabezpečení nepovažuje za náklad, ale za klíčovou hodnotu. Musíte si být jisti, že vám nabídne nejvhodnější bezpečnostní řešení, které vyhovuje vašim potřebám, a co nejlépe využije nejmodernější technologie za cenu, kterou si můžete dovolit. Mnoho dodavatelů na zabezpečení lidově řečeno kašle, dokud se něco nestane. To by neměli. Zabezpečení má mít prioritu a má se brát vážně.
3. Najděte si dodavatele, který je ochoten svou nabídku pružně modifikovat. Prosím žádná „univerzální řešení“, obzvláště ne na dnešním trhu. Mnohé společnosti dnes raději některé úkony outsourcují, než aby jim věnovaly velké vnitropodnikové zdroje. Ať už chcete jen konzultace ohledně zabezpečení, řízený model služby, nebo plné outsourcování, vyberte si dodavatele, který se pružně přizpůsobí vašim požadavkům.
4. Najděte si dodavatele, který je připraven zajistit vám nejen bezpečnost, ale i interakce. Nebude to jednoduché – v současné době spousta společností dostane pelmel smluv, které ve skutečnosti nic nezaručují. Dodavatel musí být připraven podívat se na životní cyklus jakékoli interakce a poskytnout vám komplexní rady a záruky.

V neposlední řadě mějte na paměti, že svět bude čím dál složitější – obzvláště co se technologií týče. Jak vy, tak váš dodavatel musíte být odborně na výši, abyste mohli své podnikání bránit proti elektronickým útokům, anebo spolupracovat s firmou, která je dostatečně vybavená na to, aby to za vás zařídila. Kriminální živly dokáží rychle využít jakékoli slabiny ve vaší obraně.
Ale nenechte se odradit. Kdo neriskuje, nikdy nevyhraje – a outsourcování není nic nového. Je to jen další riziko, které je třeba zvážit a pochopit. A tak jako u ostatních rizik se vyplatí v případě potřeby vyhledat odbornou pomoc. I tu platí dvakrát měř a jednou řež.

Odkazy:
[1] InsightExec, červen 2005, http://www.insightexec.com/cgi-bin/item.cgi?id=131545

Autor působí v oddělení outsourcingu služeb ve společnosti BT Global Services.