Dags för CFO att ta kontroll över operationella risker vid outsourcing

Väl fungerande och tillgängliga it-system är centralt for alla typer av organisationer och verksamheter idag. Uteblivet it-stöd medför produktionsbortfall och det räcker oftast med att en länk i kedjan bryts för att användare, verksamhet, underleverantörer och inte minst kunder ska drabbas.
Nyckelord att ha med i diskussioner kring operationell risk och it är redundans – som spegling, säkerhetskopior, dubbla WAN – penetrationsskydd, behörigheter, informationssäkerhet, katastrofberedskap, organisation, styrning och beroenden till nyckelpersoner som exempel. Detta gäller oavsett om it-funktionen ligger internt, eller om den är utlagd externt.

Två viktiga kompetensområden är outsourcing processen i sig respektive it-säkerhet. Det finns ett antal företag och personer som är kunniga och specialiserade på dessa områden. Mitt råd är utnyttja dem om ni funderar på att lägga ut delar av it, är missnöjda eller om ni inte regelbundet gör intrångsanalyser och penetrations tester avseende er it-säkerhet.

Nu ska jag avslöja en ofta väl bevarad hemlighet; flertalet ”ledande it-företag” har inte kontroll på sina operationella risker.

Computer Sweden publicerade nyligen en kundnöjdhetsundersökning gjord av analysföretagen Whitelane och PA Consulting vilka menar att merparten av svenska kundföretag är nöjda med sina it-leverantörer. Listan toppades av tre it-företag med en kundnöjdhet på 80-85 procent medan företag nummer 20 på listan hade 61 procent nöjda kunder. 350 nordiska it-företag deltog i undersökningen som omfattade över 1 000 it-outsourcingkontrakt, varav 400 svenska. I min värld innebär detta att tre av 10 kunder inte är nöjda, och då sett till de 20 största it-leverantörerna av driftlösningar.

Hur missnöjda är de kunder som drabbats av driftstörningar på grund av fel och brister i teknik, processer och kompetenser hos sin it-leverantör? Hur ser det ut hos er?

Utan att peka ut några specifika leverantörer vill jag påminna om ett flertal stora incidenter som medförde att ett antal företag och myndigheter vid flera tillfällen de senaste tre åren drabbades under längre perioder då deras it-partners inte hade tillräcklig kvalitet och kontroll av interna processer och kompetenser, det vill säga saknade intern kontroll över den egna operationella risken.

Följande exempel är saxade ur Computer Sweden de senaste 24 månaderna:
”De tre stora it-haverierna i Stockholmsvården måste bli en väckarklocka för vårdgivarna anser Läkarförbundet som kräver bättre reservrutiner.”
”Tre månader efter bytet till nya mobiloperatörens telefonitjänst är det väldigt lite som fungerar som det ska på det statliga verket. Nu har man fått nog.”
”Webbhotellet dras åter med problem. Sedan ett par timmar ligger kundernas sajter nere.”
”Nu släpper man rapporten om outsourcing leverantörens omfattande it-haveri i november. En mängd system hos ett femtiotal myndigheter och företag slogs ut, i många fall i flera dagar.”

Frågan man som kund kan ställa sig är huruvida man är nöjd och vad man tillsammans med leverantören kan göra för att få till en mer optimal service, kundnöjdhet och framför allt för att säkerställa en god kontroll över de it-relaterade operationella riskerna!

Men, menar många, ”vi har avtal i form av SLA som garanterar 99,5 procents tillgänglighet!”  Absolut, visst kan det vara på det sättet, men verkligheten ser dessvärre annorlunda ut. Vid i stort sett samtliga ovanstående exempel förelåg SLA som garanterade en hög eller mycket hög tillgänglighet. Trots detta befann sig ett antal organisationer helt eller delvis utan it-stöd under längre perioder.

Vad kan man då göra för att minska de operationella riskerna? Det finns minst tre områden som kan ge snabb effekt – styrning och kontroll av it-leveransen, den formella avtalssidan, samt vikten av katastrof förberedelser. Har den egna ledningen gjort detta har man minskat de it-relaterade operationella riskerna på ett rimligt sätt enligt min mening.

Vad är viktigast – avtal eller relationer? Båda är viktiga! Hantera din it-partner som vilken annan direktrapporterande enhet som helst inom den egna organisationen – det vill säga säkerställ tydliga och mätbara mål och nyckeltal som företagsledningen, och inte bara it, löpande följer upp och styr.

Det är tyvärr långt ifrån självklart att it-leverantörerna är vana att arbeta på det här sättet. Personligen har jag varit med om en it-leverantör till ett börsnoterat företag som inte rapporterade sin leverans på ett adekvat sätt – parterna lutade sig mot en lång och informell relation. Det var först när CIO:n kunde presentera hur illa ställt det var, sett till en rullande 13 månaders period, och dessutom brutit ner de röda delarna i staplarna (se konceptuell illustration på föregående sida) i underliggande grundorsaker som leverantören förstod vidden av hur illa de egna interna processerna och kompetenserna faktiskt fungerade.

Till exempel kunde CIO:n påvisa samma underliggande ‘mänskliga misstag’ vid fyra påföljande incidenter som totalt resulterade i 8 timmars produktionsbortfall under samma kvartal (månad 8 och 9 nedan).
Först efter ett krismöte med it-leverantörens ledning förstod leverantörens ledning vidden av problemen och parterna kunde därefter ”starta om” tillsammans utifrån den av kunden (!) framtagna uppföljningsmetoden.

Vikten av att förstå vad redundans är och att ett SLA som anger x procent tillgänglighet inte alltid är värt vad man tror är mitt huvudbudskap!
Redundans innebär att leverantören av it-tjänsten säkerställt att det finns en alternativ lösning som kan ‘träda in’ som ersättare om huvudsystemet eller servrarna, datacentralen, databaserna, nätverket, elektriciteten, personalen och så vidare skulle fallera. Det är enligt min uppfattning vanligt att beställaren av it-tjänster inte tillräckligt noga säkerställer att adekvat redundans föreligger.

Beslut avseende SLA nivå kan vara ett dilemma i bemärkelsen att ju högre procentuell tillgänglighet desto dyrare tjänst. Samtidigt kan det innebära att man avtalsmässigt godkänt att systemen kan vara ur drift flera arbetsdagar i följd om man inte sett upp med hur avtalen formulerats.

Min rekommendation är att försök hitta rätt SLA nivå utifrån den egna verksamhetens behov – till exempel 99,5 procent under vardagar och kontorstid vilket betyder att man accepterar en större it-störning under upp till en timme per månad.

Emellertid, det är centralt att i avtalet också reglera hur kunden kompenseras vid längre driftstopp och vid stopp vid till exempel bokslut eller löneutbetalningar. En bortfallen dag i produktionsprocessen för ett företag med en årlig omsättning på 500 miljoner kronor och en marginal på 10 procent kostar 250 000 kronor minst.

Det finns exempel på organisationer med mycket stora operationella risker på grund av otillräcklig redundans och okunskap kring vad avtalen egentligen innebär. Jag har sett en kund med det verksamhetskritiska ERP-systemet installerat utan redundans eftersom ledningen ville köpa en billigare tjänst.

Våren 2013 drabbades ett antal nordiska verksamheter av svåra störningar under ett helt dygn eftersom leverantören lagt ut den nordiska nätverkstjänsten hos en underleverantör som fick ett centralt totalhaveri av sin WAN-tjänst, som inte var redundant. Huvudavtalen som utlovade 99,5 procent eller bättre tillgänglighet var inte mycket värda i det läget.

Givetvis finns det även exempel på företag, kundföretag såväl som it-leverantörer, som har mycket god kontroll över sina it-system och som löpande arbetar med förbättring och risk reduktion. Sök reda på ett eller två sådana företag och lär av dem. Det finns som tidigare nämnts även konsultföretag som specialiserat sig på upphandlingsstöd och som kan hjälpa till att genomlysa nuläget, riskerna och vid behov omförhandla befintliga avtal eller bistå i processen att byta it-leverantör.

Katastrofhantering inklusive kommunikationsplaner, alternativa arbetssätt och reservprocesser som innebär att verksamheten kan bedrivas i någon form även utan it-stöd är det sista exemplet på hur en ledning kan minska operationella risker inom it. Exempel inkluderar att tillsammans med it-leverantören, vilket även kan vara den interna it-avdelningen, träna hur man återupprättar it-stödet, att ledningen övar krisledning, medieträning och kommunikation samt att säkerställa att medarbetarna har tillräcklig kunskap hur man ska agera.

Nyligen inställde Sahlgrenska och Östra sjukhusen i Göteborg alla operationer i samband med ett lokalt strömavbrott, detta eftersom it-funktionen inte testat att reservbatterierna i datahallarna fungerade. Lyckligtvis skadades ingen patient.

Hur agerar du den dag dina it-system, eller de mobila nätverken, inte fungerar?

Låt mig avslutningsvis slå fast att det finns ett antal organisationer, företag och myndigheter, som ligger långt framme att hantera och kontrollera it-relaterade operationella risker och som ofta lagt ut delar hos kompetenta it-leverantörer.

Tillsammans finns en adekvat beredskap och man tränar regelbundet och gemensamt inför katastrof situationer. För så är det – vi kan inte gardera oss mot allt och vi kan inte förutse det okända, men stoppa inte huvudet i sanden utan analysera riskerna och agera proaktivt innan det oförutsedda inträffar och drabbar just din verksamhet.

Om skribenten: Björn Ovar Johansson är grundare av företaget Senior IT Executive, samt skribent för CIO Sweden, Computer Sweden samt verksam som föredragshållare. Du når Björn Ovar via cfoworld@idg.se