Ulkoistaminen - SecMeter

Sisältöön

Ulkoistaminen

Yritysturvallisuus > Riskienhallinta
Ulkoistamisella tarkoitetaan sopimusulkoistamista, jossa yrityksen itse tuottama suorite siirretään henkilöstöineen ulkopuolisen palveluntarjoajan hoidettavaksi. Toisin sanoen aiemmin itse tuotettu suorite tuotetaan jatkossa yrityksen ulkopuolella. Ulkoistamisen yhteydessä palvelu- tai liiketoimintavastuu säilyy edelleen ulkoistavalla organisaatiolla.

Harvinaisempia ratkaisuja ovat joint venture, jossa ulkoistaja ja palveluntarjoaja perustavat juridisen yhteisyrityksen tuottamaan ulkoistettavan suoritteen tai sisäinen ulkoistaminen, jossa suoritteen tuottava palvelu- tai liiketoimintayksikkö eriytetään juridisesti omaksi erilliseksi yhtiöksi.

Suoritteen siirtoprosessissa ja sopimuksissa on oleellista erottaa ulkoistuksen ja hankinnan erot. Ulkoistuksessa osaamista siirtyy yleensä organisaatiosta palvelun tuottajalle. Suoritteen osto ei ole ulkoistamista, ellei sitä ole aiemmin organisaatiossa itse tuotettu.

Toimiluvanvaraisen suoritteen ulkoistaminen
Organisaatio voi ulkoistaa toimiluvanvaraisen suoritteen ainoastaan sellaiselle palveluntarjoajalle, jolla on asianmukainen toimilupa.

Tavanomaisia ulkoistettuja suoritteita

  • henkilöstöruokailu
  • työterveyshuolto
  • siivous
  • vartiointi
  • kiinteistöhuolto
  • varastointi
  • postitus ja monistus
  • ICT
  • juridiikka
  • logistiikka
  • taloushallinto
  • tilintarkastus
  • sisäinen tarkastus
  • rekrytointi
  • valmistus.

Ulkoistamisen hyödyt
Ulkoistusta erityisesti joint venture-mallia perustellaan usein mielikuvahyödyillä, joiden toteutumisesta ei ole saatavissa riittävää varmuutta. Ulkoistamista perustellaan mm. seuraavilla argumenteilla:

  1. Uudet liiketoimintatarpeet ja -vaatimukset, joiden toteutuminen edellyttää laajaa uutta osaamista sellaisilta alueilta, joita ei ole aikaisemmin tarvittu omassa organisaatiossa.
  2. Muuttuva palvelu- ja liiketoimintaympäristö, jossa yrityksen on keskityttävä siihen minkä parhaiten osaa.
  3. Toimintatapojen ja prosessien kehittäminen tulee edullisemmaksi käytettäessä palvelun tarjoajan resursseja ja valmiiksi kehitettyjä menetelmiä.
  4. Kiristyvä kilpailutilanne, jossa yrityksen on keskityttävä omaan ydinliiketoimintaansa ja sen kehittämiseen. Osa kiinteästä kulurakenteesta siirtyy muuttuviksi kuluiksi ja kilpailuttaminen tulee mahdolliseksi.
  5. ICT-palveluihin liittyvät ammattitaitoisen työvoiman saatavuusongelmat. Palveluntarjoajalla on huomattavasti paremmat mahdollisuudet palkata ja pitää asiantuntevia henkilöresursseja palveluksessaan.
  6. Osaajat ovat tulossa eläkeikään ja on syntynyt tarve turvata osaamisen jatkuminen.

Ulkoistamispäätös
Yrityksellä tulee olla selkeä käsitys siitä, mitä päämääriä se haluaa tavoitella. Yrityksen on myös tunnistettava, onko ulkoistaminen oikea ratkaisu päästä tavoitteeseen.

Yrityksen siirtäessä suoritteita ulkopuolisen palveluntarjoajan hoidettavaksi, on usein kyseessä johdon tekemä tilaaja-tuottaja – malliin perustuva strategisen tason päätös. Päätöksellä haetaan useimmiten kustannustehokkuutta ja palvelun laatua.

Vaikka ongelmat olisivat ystäviämme, niitä ei voi menestyksellisesti ulkoistaa. Selkeät, toimivat ja hyvin kuvatut palvelu ja liiketoimintaprosessit on helpompaa siirtää ulkoiselle palveluntarjoajalle. Keskeneräiset palvelu- tai liiketoimintaprosessit on ennen siirtoa tuotteistettava valmiiksi.

Asiakastyytyväisyys
Yleisten kokemusten perusteella pitkällä aikavälillä ulkoistaminen ei merkittävästi säästä yrityksen toimintamenoja. Ajan myötä toimintamenot pikemminkin kasvavat ja asiakastyytyväisyys laskee.

Tutkimusyhtiö META Groupin varapääjohtaja Mike Kennedyn mukaan noin 90 % amerikkalaisista asiakasyrityksistä vetää ulkoistamansa suoritteen takaisin kahden vuoden kuluessa. Kennedyn mukaan kuherruskuukausi ulkoistajan ja palveluntarjoajan välillä kestää yleensä tuon kaksi vuotta, jonka jälkeen palveluyritys ei juuri enää panosta asiakassuhteeseen. Lähde: (Tietoviikko 2.5.1997).

Tilintarkastus ja konsulttiyhtiö Ernst & Youngin Pohjoismaissa tekemän tutkimuksen mukaan yksi kolmasosa tutkimuksessa mukana olleista yrityksistä oli tyytymättömiä, jopa erittäin tyytymättömiä ulkoistamisratkaisuunsa. Lähde: (tekniikkatalous.fi 26.3.2009)

Johtaminen ja riskit
Tilintarkastus ja konsulttiyhtiö Ernst & Youngin Pohjoismaissa tekemän tutkimuksen mukaan ulkoistaminen voi tuoda kustannussäästöjä 10-20 prosenttia vuodessa, jos ulkoistaminen on hyvin suunniteltu. Lähde: (tekniikkatalous.fi 26.3.2009) Yleensä ulkoistamisen tuomat taloudelliset säästöt ovat kuitenkin parhaimmillaan vain noin 2-10 prosentin luokkaa.

Ulkoistamiseen tulee liittää kumppanuusstrategia, jossa kuvataan kuinka asioita viedään eteenpäin huomioiden asiakasyrityksen ja palveluntarjoajan tavoitteet. Tämä edellyttää, että toiminnan seuraamiseksi ja parantamiseksi kehitetään yhteiset prosessit ja mittarit.

Riskit määräytyvät sen mukaan mitä omia suoritteita ulkoistetaan. Ydinosaamisen liiallinen siirtyminen pois organisaatiosta on riski, johon on varauduttava ulkoistusprosessia suunniteltaessa.

Yrityksen tulee säilyttää itsellään ulkoistetun suoritteen johtamiseen ja hankintaan liittyvä välttämätön osaaminen. Ulkoistuksen epäonnistunut hallinnointi voi johtaa suoritteen laadun laskemiseen ja yrityksen julkisuuskuvan heikkenemiseen.

Syitä epäonnistumiseen voivat olla esimerkiksi:

  • ulkoistaminen perustuu väärään toimintamalliin
  • yrityksen sisäiset toimintaprosessit eivät tue ulkoistamista.

Ulkoistamiseen liittyviä riskejä voivat olla esimerkiksi:

  • ydinosaamisen siirtyminen pois organisaatiosta
  • palveluntarjoajan epäluotettavuus
  • laatupoikkeamat ja osaamaton toiminta
  • resursseja kuluttavia reklamaatioita on paljon
  • Ihmiset vaihtuvat, eikä palveluntarjoajan henkilöstö ymmärrä asiakkaan liiketoimintaa
  • asiakkaan rooli muuttuu peräänkatsojaksi.

Palvelusopimus
Ulkoistavan yrityksen vastuulla on määrittää palvelutasot ja valvoa sovitun palvelulupauksen toteutumista. Palveluntarjoajan tulisi omalta osaltaan sitoutua sovittuun palvelulupaukseen (SLA, Service Level Agreement) ja raportoida poikkeamista.

Ulkoistamiseen liittyvien sopimusten viitekehyksen rakenteessa tulee huomioida tilanne, jossa suoritteen määrää ja sisältöä olisi muutettava tulevaisuudessa. Vastuista sopiminen, yhteystietojen jako ja menettelytapoihin liittyvät sopimukset parantavat ulkoistavan yrityksen asemaa olennaisesti.

Palvelusopimuksessa on sovittava yksityiskohtaisesti palveluntarjoajan ylivoimaiset esteet myös silloin, kun osapuoli on itse sen kohteena tai siihen osallisena. Sopimuksen päättämismenettely tai palveluntarjoajan vaihtomahdollisuus on myös huomioitava. Erityisesti sopimuksen päättämisen kustannuksiin kesken sopimuskautta tulee kiinnittää erityistä huomiota.

Turvallisuustasosopimus
Turvallisuustasosopimus voidaan laatia normaalin palvelulupauksen rinnalle korostamaan turvallisuuden merkitystä suoritteen tuottamisessa ja siitä huolehtimisen tärkeydestä. Sopimus mahdollistaa esimerkiksi sen, että asiakkaan on mahdollista seurata ja kehittää suoritteen turvatasoa yhdessä palveluntarjoajan kanssa.

Kokonaisuuden kannalta haasteena on eri osapuolten vastuiden määrittely ja yhteistyö mahdollisissa kriisitilanteissa. Yrityksen on huomioitava sopimuksessa ulkoistettujen suoritteiden jatkuvuuden turvaaminen erilaisten häiriö-, keskeytys- ja kriisitilanteiden varalta.

Kaukoulkoistaminen (offshoring)
Kaukoulkoistaminen on tullut jäädäkseen. Kaukoulkoistuksen haasteina ovat osaaminen, huoltovarmuus, luotettavuus, luottamuksellisuus ja hintaeroosio. Suurin osa palveluntarjoajista pyrkii tuottamaan palveluita halvan kustannustason maissa.

Esimerkiksi Venäjästä, Kiinasta, Intiasta, Bangladeshista ja Brasiliasta on tullut keskeisiä alihankintamaita kokonpano- ja ohjelmistoteollisuudelle. Julkishallinnossa kaukoulkoistamiseen on nähty liittyvän liian suuria riskejä ja haluttu rajoittaa suoritteiden tuottamista ulkomailla.

Ulkoistuksen lopettamien
Ulkoistuksen lopettaminen tulee tarpeelliseksi mm. seuraavista syistä:

  • palveluntarjoaja kilpailutetaan uudelleen
  • suorite tuotetaan jatkossa itse
  • suorite muuttuu kokonaan tarpeettomaksi
  • suorite korvaantuu uudella suoritteella.

Ulkoistetun suoritteen siirtäminen takaisin omaan tuotantoon on yleistymässä, joskaan kyseessä ei ole vielä Suomessa kovin yleinen ilmiö. Syynä on usein ulkoistamisratkaisun nopea hintaeroosio tai heikko laatutaso.

Lainsäädäntö
Julkishallinnossa tärkeimmät tietojärjestelmien suunnittelua ja toteutusta määrittelevät lait ovat laki viranomaisten toiminnan julkisuudesta (Julkisuuslaki 621/1999), henkilötietolaki (523/1999) sekä arkistolaki (831/1994). Järjestelmien suunnitteluun vaikuttaa lisäksi kunkin hallinnonalan mahdolliset asiaa koskevat erityissäännökset, sekä sähköistä allekirjoitusta, asiointia ja sähköistä viestintää koskevat lait.

Esimerkiksi henkilötietolaki ei rajoita henkilötietojen käsittelyä koskevien palvelujen hankkimista ulkopuolisilta, jos se tapahtuu yrityksen omaan lukuun. Organisaatio toimii tällöin edelleen henkilötietolain tarkoittamana rekisterinpitäjänä joka viime kädessä vastaa siitä, että käsittely tapahtuu henkilötietolain mukaisesti.

Case ”Kela ulkoisti System z10 -keskuskoneensa käyttöpalvelut IBM:lle”
Sopimuksen hankintayksikön mukainen kokonaisarvo arvonlisäveroineen oli noin 65 miljoonaa euroa seitsemän vuoden aikana. Kelan perusteli päätöstä sillä, että keskuskoneen osaajat ovat tulossa eläkeikään ja on syntynyt tarve turvata osaamisen jatkuminen. Keskuskoneille on entistä vaikeampi löytää ja kouluttaa osaajia.

Kelan palveluksessa oleva käyttö- ja suunnitteluhenkilöstö sai jatkaa laitoksen palveluksessa. Osa joutui kuitenkin siirtymään uusiin tehtäviin. Kela kertoi keskittyvänsä jatkossa uuden etuusjärjestelmän arkkitehtuurin kehittämiseen. Kela rakensi it-järjestelmät pääsääntöisesti itse. Sen palveluksessa oli vuonna 2012 yli 500 it-osaajaa. Lähteet: (talouselama.fi 28.12.2011, MAO:232/12 Dnro 400/11/JH Antopäivä 27.6.2012, tietoviikko.fi 2.12.2011, 19.4.2012)

Ruotsin Liikennehallitus (Transportstyrelsen) oli huolimaton ulkoistamisessa
Tammikuussa 2016 syyttäjä ja säpo ryhtyivät tutkimaan Liikennehallituksen ylijohtaja Maria Ågrenin toimintaa. Maria Ågrenin kerrottiin tehneen Ruotsin tietoturvalakien vastaisia päätöksiä ulkoistaessaan keväällä 2015 ICT-palveluita IBM:n Tšekin ja Serbian tytäryhtiöiden palvelukeskuksiin. Maria Ågren päätti olla tekemättä kaikkia lain vaativia turvatoimia arkaluontoisten tietojen suojaamiseksi täysillä järjestelmänvalvojan käyttövaltuuksilla toimiville henkilöille.

Ruotsin IBM käyttää 11 eri maassa toimivia konsultteja. Kolme IBM henkilöstöön kuuluvaa ylläpitäjää Tšekissä sai täydet käyttövaltuudet kaikkiin tietoihin ja lokitiedostoihin. Käyttövaltuudet mahdollistivat mm. tietojen kopioinnin ja edelleen lähettämisen sekä mahdollisten operaatioiden jälkien peittämisen. IBM kieltytyi vastaamasta toimittajien esittämiin kysymyksiin.

Serbiassa toimiva yhtiö hoiti mm. palomuurisäännöt ja kaiken viestinnän. Yhtiön 14 työntekijää toimi ylläpitäjän käyttövaltuuksilla, vaikka heille ei oltu tehty henkilöturvallisuusselvitystä. Serbialla tiedetään olevan läheiset suhteet mm. Venäjän tiedustelupalveluun.

Ruotsin pääministeri Stefan Löfven totesi mm. ”Tämä on hyvin vakavaa. Toiminta on ollut Ruotsin lain vastaista ja altistanut Ruotsin ja Ruotsin kansalaiset vahingoille.” Esimerkiksi serbialaisilla työntekijöillä oli mahdollisuus seurata liikenneviraston ja 34 muun ruotsalaisen viranomaisen tietoliikennettä Ruotsin hallituksen sisäisessä verkossa. Romaniassa ruotsalaisten arkaluonteisia terveystietoja käsittelivät henkilöt, joilla ei ollut asianmukaista turvallisuusluokitusta.

Säpo oli lähettänyt Maria Ågrenille asiasta kirjeen, mutta Ågren ei ymmärtänyt ulkoistamispäätöksiin liittyvää ongelmaa, että kyse oli lain perusteella salassapidettävistä tiedoista, jotka eivät saaneet joutua ulkopuolisten haltuun.

Liikennehallituksen ulkoistamispäätökset olivat mm. vaarantaneet ajokorttirekisteriin tallennettujen miljoonien ruotsalaisten terveystietojen ja Ruotsin lukuun toimivien agenttien henkilötietojen luottamuksellisuuden. Säpon mukaan myös Ruotsin siviili- ja hävittäjälentäjien nimet, kotisosoitteet sekä ajoneuvotiedot olivat saattaneet joutua vieraan valtion tiedustelupalvelun haltuun.

Ruotsin parlamentaarinen puolustusvaliokunta peruutti lomat ja kokoontui kriisikokoukseen. Liikennehallituksen ulkoistamispäätökset olivat vaarantaneet Ruotsin kokonaismaanpuolustuksen ja kansalaisten turvallisuuden.

Säpon raportti osoitti, että Liikennehallituksen ylijohtaja Maria Ågren oli ilmoittanut Ruotsin hallitukselle ulkoistamispäätöksestä helmikuussa 2016, Vasta vuotta myöhemmin hallitus ymmärsi syntyneen ongelman.

Liikennehallituksen ylijohtaja Maria Ågren menetti tapauksen johdosta virkansa vuoden 2017 alussa. Pääministeri Stefan Löfven kertoi, että Liikennehallituksen johto vaihdetaan jo tehtyä laajemmin. Lisäksi tapahtuneesta aloitettiin erillinen selvitys. Hallitus ilmoitti myös kiristävänsä viranomaisten ICT-palveluiden ulkoistamiseen liittyvää sääntelyä.

Stefan Löfven kertoi torstaina 27.7.2017, että infrastruktuuriministeri Anna Johansson ja sisäministeri Anders Ygeman jättää tehtävänsä. Ygeman ehti toimia sisäministerinä kolme vuotta. Oppositio vaati myös puolustusministeri Peter Hultqvistin eroa, mutta hän sai jatkaa tehtävissään.

Lähteet: (expressen.se 19.7.2017, svt.se 19.1.2017, 21.7.2017, 23.7.2017, dn.se 17.7.2017, 20.7.2017, 22.7.2017, 31.7.2017, hs.fi 24.7.2017, 27.7.2017, yle.fi 22.7.2017, 24.7.2017, mtv.fi 27.7.2017, iltalehti.fi 27.7.2017, aamulehti.fi 27.7.2017)

Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön