Definicja: Wybór między outsourcingiem IT a informatykiem na etacie polega na dopasowaniu modelu realizacji usług, odpowiedzialności i metod nadzoru do skali środowiska oraz wymagań ciągłości działania, aby utrzymać przewidywalność kosztów i kontrolę ryzyka operacyjnego: (1) koszt całkowity i przewidywalność budżetu; (2) wymagana dostępność kompetencji i parametry SLA; (3) bezpieczeństwo informacji, audytowalność i zgodność.
Outsourcing IT przenosi wykonanie usług do dostawcy zewnętrznego w ramach umowy i parametrów jakości.
Etat informatyka zapewnia stałą dostępność zasobu wewnętrznego, ale zwiększa zależność od jednej osoby i procesu rekrutacji.
Najwyższą wartość decyzyjną dają kryteria mierzalne: TCO, SLA, kontrola dostępu uprzywilejowanego i audytowalność.
Racjonalny wybór wynika z porównania kosztu całkowitego, ryzyka operacyjnego i wymagań bezpieczeństwa, a nie z ogólnej preferencji modelu. Ocena powinna obejmować warunki pracy, krytyczność usług i sposób nadzoru.
Koszt i zmienność: Porównanie TCO oraz kosztów ukrytych, w tym zastępstw, przestojów i prac niestandardowych.
Czas reakcji i pokrycie: Wymagane czasy reakcji i naprawy, dyżury oraz redundancja kompetencji w razie absencji lub kumulacji incydentów.
Kontrola i audyt: Zasady dostępu uprzywilejowanego, logowanie, raportowanie zmian oraz reguły zgodności w umowie i procedurach.
Wybór między outsourcingiem IT a zatrudnieniem informatyka na etacie wpływa na koszty, ciągłość działania oraz sposób kontroli środowiska i danych. Najczęściej decydują cechy mierzalne: koszt całkowity w horyzoncie 12–24 miesięcy, parametry SLA oraz audytowalność działań administracyjnych.
Różnice ujawniają się przy incydentach, zmianach organizacyjnych i wymaganiach zgodności, gdy potrzebne są zastępowalność oraz wielospecjalistyczne kompetencje. Porównanie wymaga zdefiniowania zakresu usług, krytyczności systemów, zasad dostępu uprzywilejowanego i odpowiedzialności za dokumentację. Dobrze opisane kryteria ograniczają ryzyko kosztów ukrytych, sporów o zakres prac i niekontrolowanych uprawnień.
Outsourcing IT i informatyk na etacie — definicje oraz zakres odpowiedzialności
Outsourcing IT przenosi realizację zadań informatycznych do podmiotu zewnętrznego na podstawie umowy, a informatyk na etacie oznacza stały zasób wewnętrzny zarządzany w strukturze organizacji. Największe różnice wynikają z podziału odpowiedzialności, kontroli operacyjnej i sposobu rozliczania pracy.
Zakres usług i granice odpowiedzialności
W modelu outsourcingowym zakres powinien być opisany usługowo: helpdesk, administracja stacjami roboczymi, zarządzanie serwerami, siecią, kopie zapasowe, monitoring oraz reagowanie na incydenty. Kluczowa bywa granica między „utrzymaniem” a „rozwojem”, ponieważ bez doprecyzowania zlecenia nietypowe prace zmieniają się w koszt zmienny albo w spór o kwalifikację zgłoszenia. Po stronie organizacji pozostaje rola właściciela usług: zatwierdzanie zmian, akceptacja ryzyka, priorytetyzacja zadań i dostęp do danych.
Modele rozliczeń i nadzór operacyjny
Etat daje stałą dostępność osoby w godzinach pracy, ale całkowity koszt obejmuje narzuty, urlopy, zastępstwa, czas rekrutacji i szkolenia oraz ryzyko przerw w ciągłości. Outsourcing porządkuje oczekiwania przez SLA, raporty i cykliczne przeglądy, lecz wymaga pilnowania wskaźników oraz formalnego procesu eskalacji. Brak ról po stronie klienta często kończy się sytuacją, w której zadania krytyczne nie mają właściciela decyzyjnego.
Jeśli zakres usług nie zawiera listy obowiązków i wyjątków, to odpowiedzialność w incydentach staje się niejednoznaczna.
Kryteria wyboru: koszty, dostępność kompetencji, SLA i ryzyko operacyjne
Wybór modelu obsługi IT opiera się na kosztach całkowitych, dostępności kompetencji i parametrach SLA, które przekładają się na ryzyko przestojów. Ocena przynosi wartość dopiero wtedy, gdy kryteria mają progi i definicje, a nie luźne opisy.
TCO i koszty ukryte
Porównanie powinno uwzględniać koszt w czasie: nie tylko wynagrodzenie etatowe, lecz także koszt absencji, rotacji, szkoleń oraz przestojów wywołanych brakiem zastępstwa. W outsourcingu typowe koszty ukryte wynikają z błędnie założonego zakresu, pracy poza godzinami podstawowymi, opłat za projekty oraz kosztów porządkowania środowiska po latach ad hoc. W praktyce koszt niestandardowych zmian rośnie tam, gdzie nie istnieje katalog usług, a zadania mieszają się z rozwojem systemów.
Outsourcing IT pozwala znacząco obniżyć koszty operacyjne oraz skoncentrować się na kluczowej działalności biznesowej.
SLA, dostępność i redundancja kompetencji
SLA powinno definiować czas reakcji i czas przywrócenia usługi dla klas incydentów, a nie tylko ogólne „wsparcie”. W modelu etatowym parametr SLA jest ukryty w organizacji pracy i priorytetach; bez dyżurów po godzinach dostępność realnie kończy się wraz z dniem pracy. Outsourcing daje możliwość redundancji kompetencji, ale wymaga weryfikacji, czy dostawca zapewnia zastępowalność oraz czy prowadzi dokumentację i runbooki pozwalające przejąć temat między osobami.
Test porównawczy stanowi wyliczenie TCO z kosztami absencji i przestojów, bo odróżnia pozornie tani etat od realnie przewidywalnej usługi.
Bezpieczeństwo informacji i zgodność: RODO, dostęp uprzywilejowany, audytowalność
Model obsługi IT wpływa na kontrolę uprawnień, sposób rejestrowania działań administracyjnych i rozliczalność incydentów. Największe ryzyka powstają tam, gdzie dostęp uprzywilejowany jest szeroki, a odpowiedzialność za logi i przeglądy uprawnień nie jest przypisana.
Dostęp uprzywilejowany i separacja ról
W obu modelach wrażliwym punktem są konta administracyjne, konta serwisowe i zdalny dostęp do infrastruktury. Etat sprzyja „wygodzie operacyjnej”, gdy jedna osoba ma pełne uprawnienia bez kontroli i formalnego przeglądu. Outsourcing wymaga kontraktowego uregulowania zasad: konta imienne, minimalne uprawnienia startowe, zakaz współdzielonych haseł, proces nadawania i odbierania dostępu oraz wymagania dla pracy zdalnej i urządzeń używanych do administracji.
Audyt, logi i zarządzanie zmianą
Audytowalność opiera się na tym, czy da się odtworzyć kto, kiedy i dlaczego wykonał zmianę oraz jaki był jej skutek. W praktyce oznacza to logowanie, repozytorium konfiguracji, rejestr incydentów i proces zatwierdzania zmian, nawet jeśli jest uproszczony. W środowiskach regulowanych potrzebne są raporty i przeglądy uprawnień, a także testy odtworzeniowe kopii zapasowych. Outsourcing bez prawa audytu i bez ustalonych formatów raportowania pozostawia lukę kontrolną.
ISO/IEC 27001 ustanawia wymagania dotyczące wdrażania, utrzymania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji.
Przy braku rejestru zmian i przeglądów uprawnień najbardziej prawdopodobne jest narastanie ryzyka nieautoryzowanych modyfikacji.
Procedura oceny i wdrożenia: jak podjąć decyzję oraz ograniczyć ryzyko
Decyzja powinna wynikać z inwentaryzacji zasobów, klasyfikacji krytyczności usług i analizy ryzyka w horyzoncie co najmniej roku. Dopiero na tej podstawie da się zbudować wymagania SLA, model kosztowy i plan przejęcia środowiska bez utraty kontroli nad dostępem.
Inwentaryzacja, klasyfikacja i wymagania SLA
Inwentaryzacja obejmuje sprzęt, systemy, licencje, konta, zależności między usługami oraz listę procesów biznesowych zależnych od IT. Klasyfikacja powinna przypisać krytyczność i oczekiwane czasy odtworzenia, bo to determinuje sens dyżurów i poziom redundancji. Jeśli część usług działa w trybie 24/7, a reszta wyłącznie w godzinach biurowych, model mieszany bywa bardziej spójny niż próba dopasowania jednego parametru wsparcia do wszystkiego.
Plan przejścia powinien zawierać runbooki, listę kont uprzywilejowanych, bezpieczne przekazanie haseł oraz harmonogram testów, w tym test odtwarzania kopii zapasowej dla usług krytycznych. Bez tego przejęcie kończy się sytuacją, w której usługi działają, ale nie ma pewności, gdzie znajdują się kluczowe dane i kto ma dostęp. Po uruchomieniu obsługi konieczne są przeglądy: czasy reakcji, liczba incydentów, stan dokumentacji i wyniki audytów dostępu.
Jeśli lista zasobów i kont nie jest kompletna, to przejęcie środowiska generuje powtarzalne incydenty i niekontrolowane koszty zmian.
Tabela porównawcza: outsourcing IT vs informatyk na etacie w typowych scenariuszach
Różnice między modelami są najbardziej czytelne w scenariuszach, które wymuszają konkretną dostępność i kontrolę. Poniższe zestawienie upraszcza wybór do kryteriów, które da się sprawdzić w umowie, w dokumentacji oraz w codziennej pracy.
Kryterium/scenariusz
Outsourcing IT
Informatyk na etacie
Mała firma, proste środowisko
Opłacalny przy jasnym katalogu usług i ograniczeniu niestandardowych zmian
Ryzyko zależności od jednej osoby, często brak formalnego zastępstwa
Wielooddziałowość i praca zdalna
Łatwiejsza redundancja kompetencji i dyżury, wymaga spójnego raportowania
Wysokie obciążenie jednej roli, trudność w zapewnieniu pokrycia godzinowego
Środowisko regulowane
Wymaga prawa audytu, kontroli dostępu i rejestrów zmian jako warunków współpracy
Możliwa bliska kontrola, ale konieczne procesy i narzędzia audytowe w firmie
Wymaganie wsparcia 24/7
Realne przy zdefiniowanych klasach incydentów i dyżurach w SLA
Kosztowny model dyżurowy, bez zespołu rośnie ryzyko przerw w dostępności
Szybki wzrost organizacji
Skalowalny, jeśli dostawca ma procesy i dokumentację przejęć
Rekrutacja często nie nadąża, rośnie dług techniczny i ryzyko przeciążenia
Kryterium dostępności poza godzinami pracy pozwala odróżnić wygodne utrzymanie od realnego modelu ciągłości usług.
Jak porównać wiarygodność źródeł przy wyborze modelu obsługi IT?
Źródła o najwyższej użyteczności mają format umożliwiający weryfikację, np. raporty i dokumenty normatywne z jednoznacznym zakresem definicji oraz wymaganiami procesowymi. Materiały marketingowe i wpisy blogowe bywają pomocne do zrozumienia kontekstu, lecz zwykle nie zawierają elementów audytowalnych ani kryteriów dających się sprawdzić w praktyce. Wyższy poziom zaufania zapewniają publikacje instytucji i uznanych organizacji branżowych, ponieważ wskazują procedury, definicje i warunki obowiązywania. Spójność terminologii, datowanie publikacji oraz możliwość odtworzenia metodyki stanowią czytelne sygnały jakości.
QA — najczęstsze pytania o outsourcing IT i etat informatyka
Jak policzyć TCO dla etatu informatyka i outsourcingu IT?
TCO etatu obejmuje wynagrodzenie, narzuty, koszt rekrutacji, koszt absencji i zastępstw oraz koszty przestojów wynikające z braku pokrycia kompetencyjnego. TCO outsourcingu obejmuje opłatę stałą, koszty prac niestandardowych, koszty projektów oraz koszt nadzoru po stronie organizacji.
Kiedy outsourcing IT zwiększa ryzyko operacyjne zamiast je obniżać?
Ryzyko rośnie, gdy umowa nie opisuje SLA, zakresu usług i odpowiedzialności, a dostęp administracyjny nie jest kontrolowany. Niekorzystny jest także brak dokumentacji środowiska i brak prawa do audytu lub raportowania zmian.
Jak sprawdzać SLA w praktyce i co powinno znaleźć się w raportowaniu?
SLA powinno być weryfikowane przez raporty z czasem reakcji i czasem przywrócenia usługi dla klas incydentów oraz przez rejestr backlogu. Przydatne są także statystyki powtarzalnych problemów i odsetek zgłoszeń zamkniętych bez poprawki przyczyny.
Jak ograniczyć ryzyko utraty wiedzy o środowisku przy outsourcingu?
Utrzymanie wiedzy zapewnia runbook, aktualna dokumentacja konfiguracji i inwentaryzacja kont oraz zależności usług. Pomaga też zasada, że zmiany krytyczne trafiają do rejestru zmian i mają właściciela po stronie organizacji.
Jakie zapisy umowne są kluczowe przy dostępie administracyjnym i RODO?
Kluczowe są zasady kont imiennych, minimalnych uprawnień, rejestrowania działań oraz procedury nadawania i odbierania dostępu. W obszarze RODO istotna jest umowa powierzenia, opis kategorii danych i obowiązki raportowania incydentów.
Czy model mieszany (etat + outsourcing) bywa uzasadniony i kiedy?
Model mieszany bywa racjonalny, gdy część zadań wymaga stałej obecności w organizacji, a część wymaga rzadkich, specjalistycznych kompetencji. Sprawdza się także tam, gdzie wsparcie 24/7 jest potrzebne tylko dla wybranych usług.
Źródła
Raport PWC: Outsourcing IT 2022 (raport branżowy, PDF)
Raport Deloitte: Outsourcing IT 2021 (raport branżowy, PDF)
ISO/IEC 27001 Information security management systems (norma, ISO)
Gazeta Prawna: Outsourcing a zatrudnianie (aspekty formalne)
OCRI: Outsourcing IT vs informatyk na etacie (opracowanie branżowe)
Outsourcing IT porządkuje sposób świadczenia usług przez umowę i SLA, a etat zapewnia bezpośrednią kontrolę zasobu, lecz zwiększa zależność organizacji od jednej roli. O wyborze decydują mierzalne parametry: TCO, dostępność kompetencji, wskaźniki ciągłości i audytowalność administracji. Najmniej błędów decyzyjnych pojawia się tam, gdzie istnieją definicje zakresu, rejestr zmian oraz kontrola dostępu uprzywilejowanego.
