This presentation is on IT Outsourcing and Audit. It aims to provide a framework on establishing control while outsourcing. It is presented in VII. IT Governance and Audit Conference in Istanbul by me.
2. VII.BİLGİ TEKNOLOJİLERİ YÖNETİŞİM VE DENETİM KONFERANSI
3-4 MART 2016, İSTANBUL
BT DIŞ KAYNAK HİZMET ALIMI NEDİR?
BT kullanılarak gerçekleştirilen iş süreçlerinin, uygulama
hizmetlerinin ve altyapı çözümlerinin verimli bir biçimde
sağlanmasında tedarikçilerin kullanılması.
Gartner
3. VII.BİLGİ TEKNOLOJİLERİ YÖNETİŞİM VE DENETİM KONFERANSI
3-4 MART 2016, İSTANBUL
RİSKLER
• İhtiyacın doğru belirlenmemesi
• Etkin fizibilite analizinin yapılmaması
• Tedarikçi bağımlılığı
• İş Sürekliliği ve Yedeklilik planlarının
yetersizliği
• Bilgi güvenliği riskleri
• Yasal düzenlemelere uyumsuzluk
• Yetersiz sözleşme yönetimi
• Değişiklik yönetiminde sorunlar
....
4. VII.BİLGİ TEKNOLOJİLERİ YÖNETİŞİM VE DENETİM KONFERANSI
3-4 MART 2016, İSTANBUL
BAŞARISIZLIK ÖRNEKLERİ
• Queensland Sağlık Müdürlüğü Bordrolama Uygulaması
• Amerikan Donanması Ses, Video, Network ve Sistem Eğitimleri
• Havayolu Şirketi Sistem Kesintisi
• Küresel Banka Sistem Kesintisi
5. VII.BİLGİ TEKNOLOJİLERİ YÖNETİŞİM VE DENETİM KONFERANSI
3-4 MART 2016, İSTANBUL
BT DIŞ KAYNAK HİZMET ALIM SÜRECİ
Strateji ve
Yönetişim
Yaklaşımının
Belirlenmesi
Hizmet Alımı
Öncesi Karar
Verme Süreci
Hizmet Alım
Süreci
Hizmetin
Takibi ve
Teslim
Alınması
Süreci
Hizmet
Sonrası
Gözden
Geçirme
Süreci
6. VII.BİLGİ TEKNOLOJİLERİ YÖNETİŞİM VE DENETİM KONFERANSI
3-4 MART 2016, İSTANBUL
STRATEJİ VE YÖNETİŞİM YAKLAŞIMININ BELİRLENMESİ
Göz Önünde Bulundurulması Gereken Noktalar:
Dış kaynak hizmet alım kararı verilirken genel
şirket stratejileri değerlendirilmelidir.
Yalnızca maliyet odaklı hizmet alımları genellikle
beklenen faydayı sağlamamaktadır.
Yasal ve itibari riskler asla göz ardı edilmemelidir.
Dış kaynak hizmeti sonsuza dek süremez, sonrası
için planlarınız nelerdir?
7. VII.BİLGİ TEKNOLOJİLERİ YÖNETİŞİM VE DENETİM KONFERANSI
3-4 MART 2016, İSTANBUL
STRATEJİ VE YÖNETİŞİM YAKLAŞIMININ BELİRLENMESİ
BT Hizmet Portföyünü oluştur
Hizmet risk ve kritiklik değerlendirmesi yap
DK Hizmet Alımı için Şirket Kurallarını belirle
DK hizmet alınabilecek servisler,
DK hizmet alım riskleri
• Yasal
• Bilgi güvenliği
• İş sürekliliği, gibi.
Kaynak Stratejisi – İş Modelleri
• Konsorsiyum
• Tek firma
• Çoklu firma
• Offshoring
Dış Kaynak Yönetişim ve Yönlendirme Komitesi
8. VII.BİLGİ TEKNOLOJİLERİ YÖNETİŞİM VE DENETİM KONFERANSI
3-4 MART 2016, İSTANBUL
Hizmet alım stratejisi ve şirket kuralları oluşturulmuş mudur?
Riskli alanlar belirlenmiş ve kategorize edilmiş midir?
Hizmet öncesi risk değerlendirmesine ilişkin çerçeve tanımlanmış mıdır?
DENETİM İÇİN ÖNEMLİ NOKTALAR - STRATEJİ
9. VII.BİLGİ TEKNOLOJİLERİ YÖNETİŞİM VE DENETİM KONFERANSI
3-4 MART 2016, İSTANBUL
HİZMET ALIM ÖNCESİ KARAR VERME SÜRECİ
• Şirket stratejileri ile bağlantılı
bir İş Modeli kurulmalı
• İhtiyaçlar net bir
biçimde belirlenmeli
10. VII.BİLGİ TEKNOLOJİLERİ YÖNETİŞİM VE DENETİM KONFERANSI
3-4 MART 2016, İSTANBUL
• Mevcut varlıklar?
• Personelin yetkinliği?
• Mevcut hizmet seviyeleri?
• Maliyet?
HİZMET ALIM ÖNCESİ KARAR VERME SÜRECİ
11. VII.BİLGİ TEKNOLOJİLERİ YÖNETİŞİM VE DENETİM KONFERANSI
3-4 MART 2016, İSTANBUL
• Belirlenen ihtiyacın şirket stratejisi ile uyumu
• Şirket Dış Kaynak Hizmet Alım kurallarına uyum
• İhtiyacın Fizibilite Analizi:
• Yeni yatırım gerektirecek mi?
• İç Kaynak / Dış Kaynak maliyet değerlendirmesi?
• Tahmini maliyet – Elde edilecek fayda?
• Dışarıda beklentiyi karşılayacak yetkinlik var mı?
• Yurtiçi / Yurtdışı?
• Değişikliğin boyutu ve etkisi?
HİZMET ALIM ÖNCESİ KARAR VERME SÜRECİ
12. VII.BİLGİ TEKNOLOJİLERİ YÖNETİŞİM VE DENETİM KONFERANSI
3-4 MART 2016, İSTANBUL
Dokümante edilmiş ve onaylı Business Case var mı?
Strateji-İhtiyaç ilişkisi
Şirket kuralları?
Mevcut varlıklar- İhtiyaç çalışması
İhtiyacın risk-fayda-maliyetine ilişkin değerlendirmeler
Hizmet alımına ilişkin karar dokümantasyonu
DENETİM İÇİN ÖNEMLİ NOKTALAR – KARAR VERME
13. VII.BİLGİ TEKNOLOJİLERİ YÖNETİŞİM VE DENETİM KONFERANSI
3-4 MART 2016, İSTANBUL
HİZMET ALIM SÜRECİ – TEDARİKÇİLERİN BELİRLENMESİ
Uzun
Liste
Firmalarla
Görüşme
İhtiyaçların
Gözden
Geçirmesi
Kısa Liste
İhale
Konsorsiyum
Tek Firma
14. VII.BİLGİ TEKNOLOJİLERİ YÖNETİŞİM VE DENETİM KONFERANSI
3-4 MART 2016, İSTANBUL
HİZMET ALIM SÜRECİ – RFP
• Teklif Talebinin (RFP)
Oluşturulması
• İhtiyaç net olarak yazıya dökülmeli
• Taslak projelendirme
• Gerçekçi beklentiler ifade edilmeli
• Kritik Başarı Faktörleri, performans
göstergeleri ve ölçüm yöntemleri
15. VII.BİLGİ TEKNOLOJİLERİ YÖNETİŞİM VE DENETİM KONFERANSI
3-4 MART 2016, İSTANBUL
HİZMET ALIM SÜRECİ – TEDARİKÇİ SEÇİMİ
• Firmaların mali ve teknik
yeterliliklerini değerlendir
• Değerlendirme kriterlerini ve
ağırlıklarını belirle
• Ölçüm odaklı
• Adil
• RFP içeriği ile uyumlu
• Beklentilerin etkin sorgulaması
• İş sürekliliği ve bilgi güvenliği
farkındalığını ve aktivitelerini
sorgula
• Teklif edilen ücretlerin gerçekçiliğini
değerlendir
16. VII.BİLGİ TEKNOLOJİLERİ YÖNETİŞİM VE DENETİM KONFERANSI
3-4 MART 2016, İSTANBUL
• Hizmet kapsamı
• Kritik performans göstergeleri (KPI)
• KPI ölçüm yöntemleri
• Bilgi güvenliği ve iş sürekliliğine ilişkin
taahhütler
• Kesinti durumunda hizmet seviyeleri
• KPI ölçüm mutabakat yöntemleri
• Cezai şartlar
• Ücretlendirme ve ödeme koşulları
• Alt yüklenici koşulları
• Yasal gereksinimler
• Diğer Riskler
…
HİZMET ALIM SÜRECİ - SÖZLEŞME
Şirket içerisinde sözleşme gözden
geçirme ve onay mekanizması
kurulmalıdır.
17. VII.BİLGİ TEKNOLOJİLERİ YÖNETİŞİM VE DENETİM KONFERANSI
3-4 MART 2016, İSTANBUL
RFP net bir biçimde dokümante edilmiş ve tüm partilere dağıtılmış mıdır?
İhtiyacın talebe dönüşümü, bütçeyle uyumlu beklentiler
CSF, SLA, KPI net biçimde ifadesi
Adil, şeffaf ve dokümante tedarikçi değerlendirme ve seçim süreci
RFP tüm kısa liste şirketlerine iletilmiş mi?
Şirketler eşit koşullarda değerlendirilmiş mi? (Teknik analiz?)
Tüm şirketlerden eşit sayıda teklif alınmış mı?
Sözleşme
Tüm katmanlarda onaylanmış,
Riskleri göz önünde bulunduran,
Beklentileri net ifade eden, hizmeti açıkça tanımlayan.
DENETİM İÇİN ÖNEMLİ NOKTALAR – HİZMET ALIM
19. VII.BİLGİ TEKNOLOJİLERİ YÖNETİŞİM VE DENETİM KONFERANSI
3-4 MART 2016, İSTANBUL
HİZMETİN TAKİBİ VE TESLİM ALINMASI SÜRECİ
• İhtiyaç analizinde belirtilen ve projelendirilen
beklentilerin gerçekleşme durumu
• Ücretlendirme hükümlerine uyum
• Güçlü efor takibi – Onaylanmış eforlar!
• Etkin fatura takibi
• Performans takibi ve ölçümü
• Problem/Hata/Defect yönetimi ve takibi
• Sözleşme performans kriterlerine uyum
• Düzenli İç müşteri memnuniyeti ölçümleri
• Dış kaynak çalışan alımında etkin takip
• Etkin ve yeterli son kullanıcı kabul testi
20. VII.BİLGİ TEKNOLOJİLERİ YÖNETİŞİM VE DENETİM KONFERANSI
3-4 MART 2016, İSTANBUL
HİZMET SONRASI GÖZDEN GEÇİRME
• Planlanan maliyet vs. Gerçekleşen maliyet
• Beklenen fayda vs. Gerçekleşen fayda
• Zaman yönetimi
• Süreçte yaşanan sorunlar, çıkarılan dersler
• Tamam mı, devam mı?
• Ek ihtiyaçlar var mı?
• Servisin operasyonu ve bakımı içeriden yürütülebilir mi?
• Müşteri hizmetten memnun mu?
23. VII.BİLGİ TEKNOLOJİLERİ YÖNETİŞİM VE DENETİM KONFERANSI
3-4 MART 2016, İSTANBUL
• BuyIT Supply Chain Guidelines – IT Outsourcing, 2006
• The IT Outsourcing Handbook, Deloitte, 2013
• IT Outsourcing: Making It Work, Fujitsu, 2002
• Outsourcing, CIPS Knowledge Works
REFERANSLAR
Editor's Notes
Genel yaklaşıma baktığımızda, ana iş aktivitelerini destekleyen yardımcı işlerin dış kaynak hizmet alımıyla gerçekleştirilmesi yoluna gidildiği görülmektedir.
Etkin fizibilite analizi yapılmaması nedeniyle dış kaynak hizmet alımlarının %62’sinde bütçe hedefleri aşılmaktadır. %27’sinde ise bu aşım önemli ölçüde finansalları etkileyebilmektedir. Hizmet alımı öncesinde gereksinimlerin etkin değerlendirilmesi gerekmektedir.
Tedarikçi bağımlılığı IT konusunda karar vericilerin %39’unun bazı hizmetleri tedarikçi olmadan yapamayacağı hissine kapıldığı, %71’inin hizmeti tekrar değerlendirmek için yeterli bilgiye sahip olmadığı sonucuna ulaşılmışdığı görülmektedir.
İş sürekliliği ve yedeklilik konusunda yeterli önlemlerin alınmaması nedeniyle son 5 yılda firmaların ortalama 7,5 saat kesinti yaşadığı ve bu kesintilerin maliyetinin yaklaşık 70 mio USD olduğu bilinmektedir.
Bilgi Güvenliği konusunda yaşanan kayıpların %78’inin kötü niyetli çalışanlar olduğu bilinmektedir. Bu kayıplarının %40’ında veri kaybının 1000’den fazla müşteri datası olduğu belirtilmektedir.
Queensland: Queensland sağlık müdürlüğü 2007 yılında bordrolama uygulamasının dış kaynak yoluyla geliştirilmesini ister. Hizmet alınan firma tarafından 2008 yılı ortasında yaklaşık 6 mio USD maliyetle tamamlanacağı taahhüt edilir. Ancak öngörülemeyen teknik gereksinimler nedeniyle proje maliyeti 27 mio USD’yi bulmuştur. Yıllar geçmesine rağmen proje tamamlanamamış bordrolama ve maaş ödemelerinde birçok sorunla karşılaşılmıştır. Yıllar sonra proje tamamlandığında 1.2 milyar USD maliyet ile firmaların davalık olması sonucunu beraberinde getirmiştir.
Donanma: 2000 yılında Amerikan donanması ses, video, network, sistem ile ilgili entegrasyon ve personel eğitimlerini dış kaynaktan temin etmek istemiştir. Bu konuda yapılan anlaşmada kapsamında tedarikçi firma tarafından net biçimde anlaşılamaması sonucu firmanın 2004 yılında yaklaşık 500 mio USD kaybı olmuştur. Zira firma donanma içerisindeki 10binlerce legacy uygulamadan haberdar değildir.
Uluslararası bir havayolu şirketinin rezervasyon, checkin ve boarding sistemleri 3 ay içerisinde 2 kere kesintiye uğramıştır. Hizmet alınan firmanın bu arızanın sorunlu bir diskten kaynaklı olduğunu çözmesi zaman almamış ancak yedekleme ünitelerinin kullanılması yerine diskin tamir edilmeye çalışılması sonucu hizmet ancak 24 saat sonra verilebilmiştir. Ancak, bu 50bin müşterinin havalimanında mahsur kalmasına ve firmanın havacılık dairesi tarafından cezalandırılmasına engel olamamıştır.
İngiliz menşeili uluslarası bir bankanın ana bankacılık sistemi 2012 yılında tedarikçi tarafından gerçekleştirilen ve başarısız bir güncelleme nedeniyle çökmüş ve birkaç gün boyunca banka hiçbir kanaldan hizmet verememiştir. Milyonlarca müşteri ödemelerinde sorun yaşamış, maaşını alamamış, hesap bilgilerini dahi görüntüleyememiştir. Banka tarafından detaylar açıklanmamış olmakla birlikte milyonlarca dolar zarar yanı sıra ciddi itibar kaybı yaşadığı tahmin edilmektedir.
http://www.itproportal.com/2015/12/19/five-of-the-biggest-outsourcing-failures/
Hızlı büyüme stratejisi olan şirketlerde tedarikçi ile iş ortaklığı kurulabilirken, daha köklü stabil şirketlerde alt yüklenici (subcontractor) tedarikçilere daha sık rastlanılabilmektedir.
İhtiyaçların belirlenmesi, iş sahipleri ile netleştirilmesi önemlidir. Doğru belirlenmeyen ihtiyaçlar neticesinde, başarısızlık örneklerinden biri olma ihtimali oldukça fazladır.
Yola çıkma kararını vermek zordur. Bu karar alınırken alınması planlanan hizmete ilişkin tüm riskleri ve fırsatlar ortaya konulmalı buna yönelik business case beraberinde yönetim onayları temin edilmelidir. Mevcuttaki durumun da değerlendirilmesi bu anlamda güçlendirici etken olarak görülebilir.
Bazı servisler herhangi ek bir yatırım gerektirmeksizin ihtiyacı karşılayabilmekle birlikte bazı servisler beraberinde tedarikçiden belli ürünlerin satınalımını gerektirmektedir. Bu konunın ayrıca değerlendirilmesi gerekmektedir.
Her iki tarafı da kapsayan Sözleşme müzakere takımı kurulmalı etkin iletişim sağlanmalı.
Sözleşme modelinin net biçimde ortaya konulması gerekmektedir. Eğer SLA olarak belirlenen bir sözleşmeye işin tamamı teslim edilmeden efor bazlı ödeme yapılabileceğine dair ifadeler eklenirse maliyet konulu sıkıntılar yaşanabilir.
Firma personeline ekipman verilecek mi nelere erişmeye ihtiyaç duyacak nelere nasıl erişecek?
• All loose ends, e.g. regulatory and statutory documentation need to be tied up
• Tax, accounting and auditing structures need to be finalised
• Appropriate retention and incentive strategies need to be implemented to ensure the successful operation of the retained functions
• Effective escalation procedures must be established on both sides prior to commencing Transition.
Eforlar için etkin bir onay mekanizması kurulmalı burada proje yöneticilerine önemli bir rol düşmekte, alınan hizmetin etkin takibi ve eforlamasında onay mekanizması onlar olabilirler.