Policie před týdnem zasahovala v centrále Všeobecné zdravotní pojišťovny (VZP) a v sídlech několika firem, které jí dodávají IT služby. Ředitel Zdeněk Kabátek v rozhovoru pro Právo vysvětluje, proč je tak těžké odstřihnout se od některých dodavatelů.
Standardně. Náš bezpečnostní ředitel mě ráno při cestě do práce informoval, že je zde Policie České republiky a zahajuje zajišťovací úkony, ačkoliv chápu, že pro novináře zní razie atraktivněji. Dorazil jsem někdy před sedmou hodinou, okamžitě se spojil s velitelem zásahu a poskytli jsme součinnost ve všech požadavcích a náležitostech, které zazněly.
Jsem vázán mlčenlivostí, takže nemohu v tuto chvíli sdělovat žádné detaily, ale mediální spojení Všeobecné zdravotní pojišťovny a devatenácti zadržených vyznívalo zpočátku velmi dramaticky a evokovalo pocit, že jsou to všechno lidé z naší pojišťovny. Ze zveřejněných jmenných seznamů je však zřejmé, že byl jejich podíl zcela minoritní, šlo spíše o lidi ze třetích stran.
To nemohu říkat. Nicméně jsme stranou poškozenou. Hned v pondělí ráno jsem se jako statutár přihlásil k případné náhradě škody a připojili jsme se k trestnímu řízení, z čehož vyplývá i odpověď na vaši otázku.
Spíš bych řekl, že to byla jedna z nejkomplikovanějších agend, kterou jsem začal řešit hned po svém nástupu v roce 2012, potažmo 2013. Jako Všeobecná zdravotní pojišťovna jsme ve stejné situaci jako řada dalších veřejných institucí, které začaly v devadesátých letech s budováním těchto systémů, na které neměly vlastní kapacity.
Došlo tím ale k jedné problematické věci, takzvaným vendor lockům (stav exkluzivity, kdy je instituce zadávající zakázku „uzamčena“ ve vztahu k jedné firmě, často kvůli licenčním oprávněním, pozn. red.), kvůli nimž se stává objednatel závislým na jednom nebo více klíčových dodavatelích.
Už tehdy byla situace nastavena nezdravě a několikrát jsme se snažili i s orgány společnosti z vendor locku vyvázat. Postupně jsme snižovali ceny, ořezávali to, co nám skutečně generální dodavatel musí dodávat, a dostali jsme se do bodu, kdy už rok a půl realizujeme vlastními silami ambiciózní projekt našeho informačního systému, a to úplně na zelené louce.
Došel jsem k názoru, že musíme jít do rizika a vyvinout si vlastní prostředí, které poté budeme i sami spravovat. Je to podle mě jediná cesta, která povede nejen k tomu, že nebudeme závislí na dodavateli, ale odstraní se tím i nutnost masivního nákupu služeb, hardwarů, softwarů a sníží se riziko problémů v oblasti hospodářské soutěže.
A proto také nedošlo k podpisu toho kontraktu. Nejednalo se o vývoj nového systému pro komunikaci s poskytovateli. Ten máme, vyvinuli jsme si ho sami, stejně jako u komunikace s klienty.
Týkalo se to vybudování hlavního systému, který slouží k hrazení zdravotních služeb: de facto k fakturaci toho, co nám bylo dodáno a určeno k platbě.
Součástí jsou robustní registry, kde jsou data o našich šesti milionech klientech. To bylo tehdy předmětem jednacího řízení bez uveřejnění se stávajícím dodavatelem a podmínkou celého projektu bylo, že Všeobecná zdravotní pojišťovna získá i veškerá práva k upgradovanému systému a bude si ho sama také spravovat.
K tomu ale nedošlo. Rozhodl jsem se, že nabídku neakceptuji, protože byla pro naši zdravotní pojišťovnu nepřijatelná. A to, že jsem postupoval správně, potvrdil i Úřad pro ochranu hospodářské soutěže, na který se dodavatel obrátil. Úřad konstatoval, že bylo vše v pořádku.
Okamžitě, když se ta věc tehdy dostala ven, jsme nařídili forenzní audit, který se týkal všech zakázek, které byly předmětem policejního vyšetřování, nastavení procesů a systémů. Ten konstatoval, že v nastavení procesů nebo systému řízení IT chyby nemáme, a potvrdil, že šlo o selhání člověka.
Bohužel, i kdybyste měla sebelépe nastavený systém, tak selhání jednotlivce nemůžete nikdy zcela zabránit. Přesto jsme ještě zvýšili kontrolu a upřesnili některé procesy. Výsledky auditu jsme předložili také správní radě.
O to víc je ale stávající situace pro Všeobecnou zdravotní pojišťovnu nešťastná, protože si myslím, že máme tyto procesy nastaveny dobře. Chování partnerů ani lidské bytosti ale nejsme schopni ovlivňovat.
Nemohu být konkrétní, ale prověřili jsme tehdy všechny subjekty a partnery, kteří byli zmiňováni v době Dozimetru. Dokonce jsme si udělali analýzu, zda nemůžeme s těmito společnostmi přestat obchodovat. Jsme však vázáni zákonem o veřejných zakázkách, takže partnery soutěžíme, nevybíráme si je.
A bohužel, dokud není daná právnická osoba odsouzená, tak nemáme právní možnost ji ze soutěže vyloučit. Postupovali jsme naprosto korektně. Kolegyně a kolegové na úseku zadávání veřejných zakázek jsou mimořádně precizní.
Pokud nastane situace, že se hlásí jen jeden zájemce, tak se principiálně snažíme soutěže rušit a opakovat je. Když se ale podíváte i jinam, tak je standardem, že se hlásí do soutěží jedna nebo dvě firmy. Mě to trápí a oblast IT je pro mě i z reputačních důvodů citlivá a nechci, abychom v ní chybovali.
Dokonce jsme se před dvěma lety snažili podat k Úřadu pro hospodářskou soutěž ve dvou případech návrh na přezkum, zda nedochází k nějakému nesoutěžnímu jednání na straně dodavatelů. Aktivně jsme úřad kontaktovali a ten to uzavřel s tím, že není možné doložit nějaké nestandardní chování dodavatelů v rámci soutěže. Opravdu děláme maximum pro to, aby problémy nenastaly.
Teď si nasypu trochu soli do vlastních ran. Kolegové, kteří jsou tu od mého nástupu, vědí, že jsme byli spolu s tehdejším předsedou Správní rady VZP Jiřím Běhounkem těmi, kdo se snažili o změnu. Snažili jsme se závislosti maximálně omezit.
Byl jsem přesvědčen, že to během dvou tří let dokážeme. Je to dvanáct let a zjistil jsem, že je to velmi komplikované.
Náš systém je velmi robustní, obsahuje obrovské množství dat, musíme plnit požadavky kyberbezpečnosti a další. Rozejít se s partnerem, který systém dvacet let budoval, je strašně těžké. Oblast IT je navíc charakteristická větší mírou fluktuace manažerů, je to velmi komplikované prostředí.
Při té kauze, kterou tehdy otevřel myslím pan Kroupa, jsme k tomu opět přistoupili standardním způsobem. Udělali jsme audit a na základě jeho výsledku odešli tři nebo čtyři lidé, včetně ekonomické náměstkyně, u nichž jsme jasně prokázali, že tam střet zájmů v etické rovině byl.
U pana Noska se neprokázalo, že byl ve střetu zájmů a mohl nějak ovlivňovat oblast IT. Hledal jsem někoho, kdo VZP i procesy zná a on je jedním z nejdéle pracujících zaměstnanců Všeobecné zdravotní pojišťovny, prošel si celou strukturou od okresů po ústředí a měl znalosti z ministerstva zdravotnictví. Nebyl jmenován, pouze pověřen a dohodli jsme se, že budeme hledat správné systémové řešení. V současné době máme dokonce dva manažery zodpovědné za IT se zkušeností z velkých institucí.
Se vším všudy, tedy zajištěním provozu, licencemi a tak dál, se bavíme o vyšších stovkách milionů korun, blížíme se k miliardě. Před dvěma lety jsem si nechal udělat rešerši a ve srovnání s jinými institucemi stejných či obdobných parametrů nejsme zdaleka nejnákladnější.
Myslím, že jsme udělali vše pro to, abychom měli správně nastavené procesy a kontrolní systém, což máme potvrzeno i externím a forenzním auditem. Kdybych měl cítit osobní odpovědnost za selhání jednoho ze čtyř tisíc zaměstnanců Všeobecné zdravotní pojišťovny, tak bych tady asi dlouho neseděl.
Velmi mě celá situace mrzí, protože to kazí práci lidí, kteří za tuto firmu dýchají. V tuto chvíli osobní odpovědnost za to, co si tady kvůli mlčenlivosti nemůžeme popsat, necítím. Protože jsem to ani náhodou nemohl ovlivnit.
Ne, v žádném případě. Netýká se to nijak hlavní činnosti pojišťovny. Ani na vteřinu nebylo ohroženo financování zdravotních služeb nebo komunikace, vše běželo a běží dál. Jednoznačně ale bylo poškozeno dobré jméno Všeobecné zdravotní pojišťovny.
Zdroj: Právo