Jeszcze bardziej wyrazisty przykład pokazuje historia pewnego hipermarketu. Otóż w SLA między hipermarketem a firmą zarządzającą siecią (notabene, składającą się w znacznej mierze z osób pracujących wcześniej jako informatycy w tymże hipermarkecie) określono dostępność łączy na 99%. Klient rozumiał to jako ciągłość sprzedaży przez 99% czasu otwarcia hipermarketu. Jednak oprogramowanie nie radziło sobie z wystąpieniem błędu komunikacji; komunikat o problemach z łączem powodował lawinę błędów aplikacji. Za każdym razem konieczne było zatrzymanie transakcji, restart kasy (będącej zwykłym PC z drukarką i odpowiednim oprogramowaniem) oraz powtórzenie całej transakcji od początku. Klient był wściekły, bo nawet krótka awaria powodowała konieczność zatrzymania sprzedaży na kasach; rozładowanie zatorów trwało nawet pół godziny, nie mówiąc o nerwach klientów i personelu. Dostawca umywał ręce, argumentując, że awaria sieci trwała tylko kilkadziesiąt sekund, a jeśli aplikacja klienta sobie nie radzi z powrotem do "równowagi", jest to problem autora aplikacji kasowej, nie zaś dostawcy infrastruktury sieciowej. Oczywiście hipermarket, mądry po szkodzie, chciał sformułować odpowiednie zapisy w umowie z dostawcami aplikacji oraz infrastruktury.

Niestety, nie był w stanie, bo... sam pozbawił się kwalifikowanego personelu informatycznego, outsourcując go do firm zewnętrznych.

Zauważmy, że nie da się sformułować umowy, która zniwelowałaby "efekt kultury organizacji". Zapisy "rób co chcesz, byle działało" są niemile widziane i kompletnie nieskuteczne w umowach między podmiotami prawa.

Outsourcing i regulatorzy

Jednak prawdziwy cios outsourcingowi zadaje tendencja do coraz większego regulowania obszaru usług IT. Pierwszym przykładem jest wspomniana wyżej zmiana w prawie bankowym, nakładająca na banki obowiązek rejestrowania umów, a w przypadku podmiotów zagranicznych także wyrażania zgody przez inspektorat bankowy na ich świadczenie. Dostawca musi się przy tym poddać kontrolom na zasadach takich samych, jak zlecający mu usługi bank.

Powiedzmy od razu, że z ogólnego punktu widzenia takie oczekiwanie urzędników jest racjonalne. Skoro odpowiadają oni za ryzyko związane ze świadczeniem usług w całym sektorze bankowym, a systemy informatyczne są częścią tego ryzyka, muszą mieć prawo kontroli czy prawa klientów należycie zabezpieczone. Jeżeli bank decyduje się przekazać część usług firmie zewnętrznej, to niech to zrobi, ale firma taka musi poddać się identycznemu rygorowi kontrolnemu jak bank.

W praktyce nowy obowiązek oznacza ogromny ciężar zarówno dla instytucji finansowych, jak i dla dostawców. Bank musi wykonać pracę administracyjną; ktokolwiek widział umowy outsourcingowe w bankowości wie, że liczą one nawet kilkaset stron. Jeżeli na dodatek jest to umowa z podmiotem zagranicznym albo sformułowana w obcym języku (co bywa standardem nawet między podmiotami mającymi swoje siedziby w Polsce, gdyż opis usług powstaje za granicą), to powstaje konieczność wykonania i złożenia przetłumaczonej wersji takiej umowy. Dostawca ma jeszcze trudniej - musi praktycznie na własny koszt wspierać czynności kontrolne, zaś regulator ma prawo nałożyć na niego dodatkowe obowiązki raportowe. Nie mówiąc o tym, że plany outsourcingowe mogą spalić na panewce, bo... nadzór bankowy dopatrzy się jakichś nieprawidłowości w zapisach umowy z podmiotem zagranicznym i po prostu nie wyrazi zgody na jej zawarcie.

Bardzo podobnie ma się sytuacja z paragrafem 404 Ustawy Sarbanes-Oxley. Dostawca systemów krytycznych z finansowego punktu widzenia zobowiązany jest spełniać nie słabsze standardy niż jego klient. W praktyce, musi przedstawić raport SAS 70, zawierający opinie audytora na temat tego systemu. Załóżmy teraz, że dostawca ma sześciu różnych klientów, z których tylko jeden podlega regulacjom Sarbanes-Oxley 404, zaś pozostali nie. Nieuprawnione jest przerzucanie na pozostałych pięciu kosztów dodatkowego zabezpieczenia infrastruktury oraz samej certyfikacji. W tej sytuacji coś, co miało być zaletą w outsourcingu (koncentracja na podstawowej działalności, niższe koszty dzięki większej skali), staje się przekleństwem - zamiast mieć "jedną infrastrukturę dla wielu", ma się "wiele problemów dla wszystkich".

Takich regulacji ustawowych można przytoczyć więcej: artykuł 55 Prawa telekomunikacyjnego, kontrola ryzyka operacyjnego, ochrona danych osobowych, odpowiedzialność za przesyłanie spamu, publikowanie informacji mogących mieć wpływ na kursy spółek giełdowych, regulacje dotyczące zwalczania terroryzmu... Wszystkie one sprawiają, że firma chcąca rzeczywiście obniżyć koszty świadczenia usług w modelu outsourcingu poprzez możliwie szerokie rozszerzenie bazy klientów (a więc świadczenie ich telekomom, spółkom giełdowym, amerykańskim korporacjom, instytucjom finansowym i firmom przetwarzającym dane osobowe według standardów UE) musi zrobić wszystkie wyobrażalne i niewyobrażalne certyfikaty oraz przygotować się na kontrolerów niemal codziennie pukających do ich drzwi. Dla małego czyni to całą zabawę nieopłacalną; dla wielkiego - każe wyśrubować ceny tak, że outsourcing traci sens ekonomiczny.

Outsourcing znaczy uproszczenie

Jak widać z powyższych wywodów, outsourcing nie ma dziś dobrego czasu. Po fazie początkowego zachłyśnięcia się tym modelem przychodzi czas opamiętania. Z definicji nic nie jest tańsze, zderzenie teorii z praktyką bywa bolesne, zaś SLA okazują się warte mniej niż dobre relacje. O co więc cały ten szum? Może lepiej zatrudniać ludzi, zamiast outsourcować czynności na zewnątrz?

Nie jest jednak tak źle, jak mogłoby się wydawać. W swoim pierwotnym znaczeniu outsourcing miał oznaczać przede wszystkim uproszczenie. Warto powrócić do pierwotnych intencji i modeli; warto ponownie rozważyć, czy skomplikowane usługi, nasycone specjalistyczną wiedzą i bardzo mocno uzależniające klienta od dostawcy - na pewno dobrze nadają się do outsourcingu.

W wielu sytuacjach odpowiedź będzie nadal brzmiała "tak". I dobrze - byle popierało ją coś więcej niż społeczny dowód słuszności.