Třetí díl série o životním cyklu zaměstnance v IT. V prvním dílu jsme řešili onboarding, ve druhém přístupy a hesla. Dneska se podíváme na šedou zónu mezi nástupem a odchodem — co se má dít, když se ve firmě hýbou role, lidé přesouvají mezi odděleními, nebo někdo odejde na delší pauzu a zase se vrátí.
Šedá zóna, která se nejvíc zanedbává
Onboarding má většina firem aspoň trochu vyřešený. Offboardingu se taky obvykle někdo věnuje, protože tam je jasně daný okamžik (poslední den) a riziko (odcházející zaměstnanec). Ale to mezitím — povýšení, přesun mezi týmy, návrat z mateřské, dlouhodobá nemoc — to je věc, která se řeší ad hoc nebo vůbec.
Typický scénář: Petr pracoval tři roky jako obchodník. Dostal přístupy do CRM, sdílených složek obchodu, k cenovým kalkulacím. Po třech letech ho povýší na vedoucího marketingu. Dostane nové přístupy — marketingové nástroje, sdílený disk marketingu, administraci sociálních sítí. A staré přístupy? Ty mu nikdo nevezme. Protože "kdo ví, třeba je ještě bude potřebovat" a hlavně "to nikdo neřeší".
Po dalších dvou letech má Petr přístupy do tří oddělení, z toho ve dvou už nepracuje. Když se podíváme do logu, kdo má přístup do CRM, najdeme tam šest lidí, ze kterých tam reálně chodí jen dva. Přesně tohle je situace, která vyústí v některý z nepříjemných momentů — únik dat, neschopnost prokázat při auditu, kdo k čemu měl přístup, nebo jen plačtivý fakt, že firma platí licence za lidi, kteří dané systémy nepoužívají.
Změna role uvnitř firmy
Když někdo mění pozici, není to to samé jako když nastupuje. Vstupuje s historií. A ta historie potřebuje úklid.
Co dělat při povýšení nebo přesunu: Zastavit se a projet stávající přístupy. Co z toho potřebuje v nové roli? Co naopak nepotřebuje a má se zrušit? Co potřebuje navíc?
V praxi to znamená, že vedoucí (starý i nový) sednou s IT, projdou seznam systémů a oprávnění, a rozhodnou se. Není to půldenní porada — u běžné role je to patnáct minut. Ale někdo to musí udělat, jinak se to neudělá samo.
Praktický tip: Když máte definované role z druhého dílu, je tohle mnohem jednodušší. Petr přechází z role "obchodník" na roli "vedoucí marketingu". IT odebere přístupy podle staré role, přidá podle nové. Hotovo. Když role definované nejsou, je to manuální práce a snadno se na něco zapomene.
Co s jeho daty z předchozí pozice: Sdílené dokumenty, které vytvářel jako obchodník, zůstávají kde jsou — patří firmě, ne jemu. Osobní pracovní úložiště (OneDrive, Google Drive, jeho domovský adresář) se obvykle nemění, ale vyplatí se s ním projít, jestli tam nemá něco, co patří do sdílených složek nového nebo starého oddělení.
Návrat z mateřské nebo dlouhodobé nepřítomnosti
Tohle je situace, kterou firmy řeší různě a žádný způsob není vyloženě špatný — záleží na délce nepřítomnosti a na tom, jak se firma za tu dobu změnila.
Krátká nepřítomnost (do 3 měsíců): Účet zůstává aktivní, ale měl by mít nastavenou automatickou odpověď, že je člověk mimo. Přístupy se nemění.
Střední nepřítomnost (3–12 měsíců): Tady už začíná smysl uvažovat o tom, jestli má účet zůstat plně aktivní. Doporučuji účet pozastavit, ne smazat. U Microsoftu 365 a Google Workspace se to dá udělat tak, že účet existuje, e-maily chodí dál, ale uživatel se nemůže přihlásit. Při návratu se účet znovu aktivuje, hesla resetují, MFA nastaví znovu.
Dlouhá nepřítomnost (rok a víc, typicky mateřská a rodičovská): Účet bych rozhodně neaktivoval po celou dobu. E-maily se po dohodě přesměrovávají někam jinam (na zástup nebo do obecné firemní schránky). Licence se uvolní pro někoho jiného. Při návratu se vytváří účet prakticky znovu, často i s novou e-mailovou adresou, pokud se firma za tu dobu výrazně reorganizovala.
Důležité: Při návratu nepředpokládejte, že vše funguje jako dřív. Systémy se za rok výrazně mění. Aplikace, které firma používala, můžou být jiné. Procesy se posunuly. Vracející se zaměstnanec si zaslouží mini-onboarding — pár hodin, kdy mu někdo ukáže, co je nového, co se změnilo, a jak teď věci fungují. Bez toho strávíte první týden nebo dva tím, že se vás bude pořád na něco ptát.
Dočasné přístupy — kategorie sama pro sebe
Praktická situace: Účetní odjede na dovolenou a Jana z marketingu má za ni zaskočit s fakturací. Potřebuje na týden přístup do účetního systému. Co s tím?
Špatný způsob: Dáte Janě plný přístup, řeknete "jen to neříkej nikomu" a po dovolené se na to zapomene.
Správný způsob: Dáte Janě přístup s datem expirace. Většina moderních systémů to umí — Microsoft 365, Google Workspace, většina SaaS aplikací. Nastavíte konec přístupu třeba za dva týdny od dovolené. Když Jana přístup ještě potřebuje, přístup se prodlouží. Když ne, vyprší sám. Žádné lidské pamatování, žádný papírek na nástěnce.
Když systém expiraci přístupu neumí: Píšete si poznámku do kalendáře. Ano, opravdu. Týdenní přístup = připomínka za týden. Není to elegantní, ale funguje to.
Pro projektové týmy: Když pracujete s externisty (grafik na kampaň, vývojář na konkrétní projekt, konzultant), platí to dvojnásob. Externí přístupy by měly být vždy časově omezené. Default délka je délka projektu, ne "dokud o nich někdo nezavadí pohledem".
Co může automatizace a co ne
Tohle je téma, na které se mě klienti často ptají. "Nedá se to nějak automatizovat?"
Částečně ano. Když máte HR systém propojený s IT systémy, nástup, přesun a odchod můžou spouštět automatické akce — vytvoření účtu, změnu rolí, deaktivaci. Většina středně velkých firem na tohle ovšem nemá ani infrastrukturu, ani rozpočet.
Pro malou a střední firmu (do 50 zaměstnanců) je realističtější cíl systematický manuální proces: Každá změna stavu zaměstnance projde přes jeden vstupní bod (typicky HR nebo přímý nadřízený), který informuje IT, a IT podle definovaného postupu provede změny. Trvá to o trochu déle než plná automatizace, ale chyb je tam minimum a nepotřebujete na to drahý nástroj.
Co se naopak automatizovat dá vždycky a má smysl: revize přístupů. Jednou za rok systém vygeneruje seznam, kdo má kam přístup, vedoucí to projedou a označí, co se má zrušit. Tohle moderní platformy umí přímo nebo přes doplňky.
Praktický minimální standard
Pro shrnutí, co by měla mít firma vyřešené v téhle "šedé zóně":
Při změně role projde IT spolu s vedoucím staré přístupy a přidělí nové. Stará oprávnění, která už nejsou potřeba, se ruší. Při dlouhodobé nepřítomnosti se účet pozastavuje, ne ponechává v běhu. Dočasné přístupy mají vždycky datum expirace. Externisté mají přístupy omezené délkou projektu. Jednou za rok proběhne revize všech přístupů napříč firmou.
Žádný z těchto bodů není raketová věda. Žádný nevyžaduje speciální nástroj. Vyžadují ovšem to, aby někdo přebíral zodpovědnost za to, že se to dělá. To je obvykle role, která ve firmě chybí — ne proto, že by ji nikdo nechtěl, ale proto, že "se to nějak řeší".
Závěr
Přístupy zaměstnanců nejsou statická věc, kterou nastavíte při nástupu a pak se k ní vrátíte při odchodu. Jsou to živá data, která potřebují průběžnou péči. Když se o ně nikdo nestará, hromadí se a po pár letech máte ve firmě přístupový bordel, který je bezpečnostní rizikem a finanční ztrátou zároveň.
V rámci správy IT tohle u klientů řeším jako součást pravidelných procesů — změny rolí, dlouhodobé absence, dočasné přístupy, roční revize. Není to magie, je to disciplína. Pokud vás zajímá, jak to nastavit u vás, ozvěte se přes impactit.cz.
V příštím dílu se podíváme na situaci, která bývá nejvíc citlivá — co se má dít v prvních 48 hodinách po výpovědi. Tedy offboarding, jak by měl reálně vypadat.