Pokud zastupujete soukromou společnost, máte to o poznání snazší. Zodpovídáte se jen sami sobě, případně svým nadřízeným. Nenechte se zmýlit – když jde o finance a zejména pak o finance vynaložené na IT, je diskuze vždy složitá a ani soukromý sektor samozřejmě není výjimkou. Pokud zastupujete organizaci financovanou z veřejných rozpočtů, situace je o to složitější, že hospodaříte s penězi všech a každé vaše rozhodnutí je pod drobnohledem spousty lidí. Financování takových organizací má poměrně striktní pravidla a prakticky celý budget na aktuální rok je naplánován a rozdělen dopředu. Nicméně i v rámci těchto organizací se dají najít a přeorganizovat finance. Je to jen otázka priorit a samozřejmě výše potřebných financí. Pojďme se na to teď společně podívat.

V první řadě je třeba si říci, na co finance potřebujeme

  1. Projekty, které řídí obchod a IT jen dodává
  2. Provozní finance IT
  3. IT projekty zvyšující bezpečnost, kapacitu nebo dostupnost

1) Projekty, které řídí obchod a IT tvoří jen některé dodávky

Zde je to nejjednodušší. Jedná se o situaci, kdy obchod požaduje nějaké inovace (nové funkcionality, zrychlení obchodního procesu, působivé zobrazování výstupů, ...), které realizuje, nebo pomáhá realizovat oddělení IT. Je jasné, že ve chvíli, kdy se realizují nové projekty (nebo rozšiřují ty stávající), bude potřeba rozšířit také rozpočet. Přesto je však důležité, pro efektivní využití financí, aby se správně definovaly:

  • cíle
  • požadavky
  • potřebné změny v procesech
  • potřebné změny v aplikacích a to včetně integrací aplikací

Rovněž je třeba určit, kdo bude které z výše uvedených bodů definovat. Nemusí se totiž nutně jednat o jednu osobu nebo jedno oddělení. Z našich zkušeností, a to napříč sektory, víme, že si řada lidí myslí, že IT automaticky zajišťuje vše kromě definování cíle. To však nemusí být tak úplně pravda a je velmi důležité si vždy určit, kdo bude zajišťovat co. „Ono se to“ samo totiž opravdu neudělá. Klíčovou postavou bude dozajista projektový manažer, který musí skloubit požadavky všech stran na provedení, čas dodání a náklady na projekt. Nebavíme se ale zdaleka jen o něm. IT pak typicky minimálně zajišťuje infrastrukturální části a části bezpečnosti.

Při plánování je potřeba k časovým i finančním odhadům přičítat dostatečné rezervy. Stává se, že se vytvoří nějaký budget pro projekt na jiném oddělení, avšak posléze se v IT oddělení zjistí, že budget je nedostatečný a obsahuje skryté náklady např. na provoz, zabezpečení atp.

2) Provozní finance IT

Pokud požadujete navyšovat provozní finance, bude to nejspíše z těchto důvodů:

  • Navýšení prostředků kvůli zvýšení cen energií a ostatních vstupů (nyní bohužel poměrně aktuální)
  • Navýšení mzdových prostředků zaměstnanců
  • Navýšení prostředků kvůli složitosti nebo bezpečnosti

V případě prvního důvodu, navýšení prostředků kvůli zvýšení cen energií a ostatních vstupů, je zdůvodnění poměrně jednoduché – zvyšují se vstupy, musí se zákonitě zvýšit i výstupy. I zde je však vhodné zjistit, o kolik zdražila energie a o kolik procent se zdražují služby. Pokud jsou tyto hodnoty v úměře, můžete podstoupit požadavek dále. Pokud ne, je potřeba se doptávat dodavatele. Bohužel s nadnárodními dodavateli velkých platforem příliš nepořídíte. Ale i zde platí, že kdo se nezeptá, nic nezíská.

U zbývajících dvou důvodů je potřeba určit a dlouhodobě monitorovat metriky, od kterých se odráží provozní finance. Tyto metriky musí být především obchodního charakteru. Proč? Protože IT rozpočet by měl odrážet obchodní výsledky a obchodní cíle.

Příklad níže ukazuje, že i při stejném obratu může mít firma více faktur, což znamená více dat, procesů atd. a to vyžaduje navýšení rozpočtu. Těmito daty se velmi dobře argumentuje.

před 2 lety

dnes

obchodníci

20

20

obchodní případy

500

800

pobočky

5

5

pravidelní klienti

400

380

faktury

1 800

3 500

data

550 GB

1 800 GB

počítače

60

60

obrat

100 000 000 Kč

100 000 000 Kč

Je důležité sledovat i IT metriky jako je počet počítačů, virtuálních serverů, aplikací, uživatelů, zařízení (počítače, notebooky, telefony, tablety), dostupnosti systémů, dodržení SLA na kritických aplikacích, objem dat, objem dokumentů, počet důležitých releasů, počet incidentů, útoků apod.

Rovněž je nutno si přiznat, že na IT jsou kladeny neustále vyšší nároky z pohledu dostupnosti a bezpečnosti.

Dalším důležitým úkolem je vytváření a prezentace zpráv za IT oddělení (ve velkých společnostech měsíční, čtvrtletní jsou pak nutností pro ). V této zprávě je třeba jednoduše a přehledně popsat základní IT služby jako jsou:

  • Dostupnost klíčových aplikací (dostupnost, problémy, odstávky, dodržení SLA)
  • Bezpečnostní incidenty
  • Release management důležitých aplikací (hlavní funkcionality, ovlivněné služby a oddělení)
  • Sledované metriky (počet zaměstnanců, klientů, smluv, obchodních případů, objem dat)
  • Vyhodnocení požadavků a uživatelských incidentů
  • Probíhající IT projekty
  • Hlavní rizika v IT oblasti

Kromě měsíčních nebo kvartálních zpráv je třeba předkládat jednou ročně zprávu, které se o ty kvartální opírá, konsoliduje je a navrhuje cíle, které by mělo IT naplnit. Tyto cíle by měly být opřené o byznys cíle firmy na dané období. Tuto zprávu je potřeba odprezentovat a vést dialog o opravdových potřebách firmy a o jejích možnostech.

Proč je důležité zdůraznit opravdové potřeby

Proč zdůrazňujeme opravdové potřeby? Když se jako IT zeptáte, jakou reakční dobu si představuje např. obchod na poruchu e-mailu, tak odpověď je typicky 5-10 minut. Teprve když se začnete detailně bavit o opravdových potřebách firmy a doptáte se, co se stane během dalších 15 minut kdy e-mail nebude fungovat, o kolik peněz přijdete a zmíníte, že by si měl obchod službu platit, tak se dostanete na reálnou hodnotu, kdy zjistíte, že 2-3 hodiny to vlastně počká. Vysvětlování si priorit a konsekvencí bohužel stojí čas, ale je to nutné, protože jinak se z IT stane odpadkový koš všech. Tak jak je to v řadě firem. Když něco nejde, může za to IT. Proto je tak důležité bavit se o službách poskytovaných IT a jejich parametrech.

3) IT projekty zvyšující bezpečnost, kapacitu nebo dostupnost

Zde je zcela zásadní, zda vaše firma/organizace spadá pod nějaký zákon či vyhlášku, která jí nařizuje zajišťovat určitá opatření. V daném ustanovení je definovaná i sankce, která může být subjektu udělena v případě nesplnění uložených povinností. V poslední době už i naše úřady pomalu začínají dávat nemalé pokuty za porušení těchto pravidel.

Jako základní povinnosti si uveďme několik příkladů:

  1. Zákon o elektronických komunikacích: pokud zajišťujete přístup k veřejné WIFI, pak musíte zajistit skladování logů z této části sítě po dobu minimálně 6 měsíců.
  2. Zákon o kybernetické bezpečnosti: pokud spadáte pod tento zákon, je povinností vaší organizace především identifikovat aktiva, ohodnotit rizika působící na tato aktiva, zajistit hlášení incidentů, zavést bezpečnostní opatření na ochranu těchto aktiv a pravidelně vyhodnocovat rizika.
  3. NIS2, připravovaná evropská směrnice: Nová evropská směrnice, která bude uveřejněna na konci roku 2022 a bude mít lhůtu pro aplikaci 21 měsíců, bude mít dopad přibližně na 6 000 soukromých i státních organizací, zaměřuje se především na analýzu rizik a zajištění kontinuity činností včetně disaster recovery, ale zabývá se také Bezpečností v rámci dodavatelského řetězce, pořízení, vývoje a údržby systémů a vzdělávání v oblasti kybernetické bezpečnosti.
  4. GDPR zajišťující ochranu osobních údajů: pod tento zákon dnes již spadá každý, je potřeba zabezpečit svá data, hlásit velké úniky dat a zajistit práva fyzických osob.

Pokud vaše společnost a projekt nespadá do legislativní kategorie, je potřeba velmi dobře identifikovat přínosy a ocenit je, případně vyhodnotit rizika spojená se stávajícím stavem a určit řádovou cenu potřebných opatření. Při vyhodnocování rizik je velmi dobré si uvědomit, jaká aktiva chráníme daným opatřením a jakou taková aktiva mají hodnotu (a to alespoň řádově). Cena opatření by měla být úměrná ceně chráněných aktiv.

Je důležité také důkladně vyhodnotit co se stane, pokud se hrozba naplní, a o co firma přijde. Nejedná se jen o přímé náklady na zotavení firmy a její poškozenou reputaci, ale velmi často se zapomíná na ztracenou příležitost – někteří zaměstnanci nebudou moci v tu chvíli vykonávat svoji činnost vedoucí k prodeji služeb a produktů vaší společnosti. Některé obchody zachráníte, ale některé zákazníky tímto můžete ztratit navždy. A toto je potřeba také vyčíslit.

Snižování neboli škrtání financí v IT

Doposud jsme se bavili jen o navyšování finančních rozpočtů, ale je potřeba být připraven i na obrácený tok financí a to snižování nebo též škrtání provozních i investičních nákladů.

Vždy když se škrtá, je nutné vědět co dané škrtání bude znamenat – např. snížení kvality služeb nebo delší reakci na požadavky či jiné. Je nutné na tyto důsledky poukázat a jasně definovat rizika, která tímto vznikají. Tato rizika nesmějí zůstat na IT.

Důležité je také uvědomit si, že tok financí do IT se kontinuálně pomalu snižuje i ve chvílích, kdy zrovna k žádným škrtům nedochází. Může za to inflace, která znehodnocuje peníze a tedy přestože do IT jdou stále ty samé peníze, jejich hodnota je nižší a nižší, pokud rozpočet jednou za čas nenavýšíme.

Co říci závěrem a co z výše uvedeného vyplývá?

IT rozpočet se nenafoukne ze dne na den. Je to kontinuální práce na podkladových materiálech. Je potřeba otevřeně komunikovat co je a co není možné. Každá mince má vždy dvě strany a je potřeba o nich diskutovat. Podkladové materiály a především zdůvodnění vezme mnoho času. Nezapomínejte se na věc dívat i z obráceného pohledu – existuje nějaký důvod, proč bych váhal s investicí do daného projektu? Má můj návrh nějaká rizika, slabé stránky? Je důležité se nad touto stránkou věci zamyslet. Dbejte na správnou prezentaci projektu, tj. co nám daná věc přinese, jaké má benefity, případně jaká rizika nám hrozí pokud daný projekt nerealizujeme. Je vhodné opřít návrhy o tvrdá data (trendy). A hlavně nevěšte hlavu, když návrh neprojde hned napoprvé.

Jak vám může pomoci BP?

Pokud potřebujete posoudit stav vašeho IT a zhodnotit jeho efektivitu a bezpečnost, analýza firemního IT je prvním krokem k proměně strašáka a žrouta peněz ve spolehlivou, měřitelnou službu.

Pokud potřebujete poradit jak prezentovat IT a jeho potřeby, tak společně vystavíme dokumenty popisující stav a potřeby a definujeme základní metriky, které nastartují postupnou přeměnu vašeho IT v očích managementu. Pomůžeme vám najít vhodné a správné argumenty, které pomohou prosadit potřebné financování a zdroje do změn a potřebných inovací.