Опыт показывает, что во многом перечисленные выше риски связаны с недостатками сервисного контракта и отсутствием опыта работы с аутсорсингом. Выбор недостаточно надежного поставщика также может способствовать возникновению перечисленных выше рисков.
5.3. Методы управления рисками аутсорсинга
Знание рисков, связанных с процессом передачи услуг на аутсорсинг, позволяет значительно минимизировать эти риски, а в отдельных случаях практически полностью их исключить. Чем точнее определен конкретный риск в ИТ-аутсорсинге, тем больше вероятность принятия эффективных мер для его устранения.
По статистике, в большинстве случаев в утечке данных виноваты собственные сотрудники компании. Гарантом могут выступить договор (где зафиксированы все аспекты ответственности и требования к документации на обслуживаемые системы), репутация поставщика и строгий контроль над деятельностью аутсорсера, причем не только на административно-финансовом, но и на техническом уровне.
Для избежания рисков утечки информации возможны подписание соглашения о конфиденциальности, согласование правил информационной безопасности, схемы контроля их выполнения, внедрения системы защиты информации от несанкционированного доступа, штрафные санкции и финансовые обязательства в случае нарушения условий конфиденциальности. Такое страхование заказчиком рисков утечки информации в рамках соглашения на предоставление услуг позволит компенсировать потери, понесенные бизнесом в результате подобной утечки.
Для эффективного управления поставщики услуг используют договор о сервисном обслуживании (SLA) – это формальное соглашение между бизнес-пользователями и организацией, ответственной за предоставление информационных услуг. В рамках договора определяется уровень предоставления услуг, в том числе:
• объем работ (ПО и аппаратное обеспечение);
• политики, регулирующие предоставление услуг;
• информация по предоставляемым услугам, включая правила приоритезации, эскалации и т. п.;
• часы поддержки;
• ценовая политика по предоставляемым услугам;
• процедуры предоставления отчетности и ее рассмотрения: тип и частота отчетов, ключевые показатели эффективности (КПЭ), планы встреч по контролю эффективности;
• процедура рассмотрения/внесения изменений в договор.
Заключение такого контракта с поставщиком позволит четко прописать все условия и снизить риски потери контроля над ИТ-процессами и зависимости от сотрудников компании-аутсорсера, обеспечивая контроль за потребляемыми ИТ-услугами и обслуживанием в целом, а также выполнение условий для проведения аутсорсером прозрачной политики в сфере оказания ИТ-услуг.
Необходимость подобных контрактов вызвана возрастающими требованиями к поставщикам ИТ-услуг со стороны заказчиков, чей бизнес все больше зависит от надежной и своевременной передачи информации.
Договор о сервисном обслуживании предполагает повышенную ответственность поставщика услуг и дисциплинирует заказчика, поскольку заключению соглашения предшествует этап анализа требований к уровню сервиса. Договор отражает все требования к качеству сервиса и предполагает постоянный мониторинг выполнения этих параметров. Когда требования определены, их просто описать в виде поддающихся измерению значений, и только тогда можно проверить, соответствует ли предоставляемая услуга договоренности. Перед подписанием соглашения SLA заказчик работает над своими требованиями как к перечню услуг, так и к уровню их предоставления, что позволяет ему лучше разобраться в ИТ-организации.
Так, например, критерии отчетности, качества и контроля предоставляемых услуг для компании – потребителя ИТ-услуг являются приоритетными и подразумевают наличие в контракте пунктов с детально разработанной и согласованной с компанией – потребителем ИТ-услуг системой отчетности, указанием метрик цены и качества ИТ-обслуживания, согласованием ИТ-регламентов и схем их контроля, с указанием периодичности проверок качества услуг.
В контракте в обязательном порядке должны быть прописаны пункты, связанные с порядком расторжения контракта и последующими действиями обеих сторон. Снижению рисков в подобных ситуациях способствуют те части контракта, которые защищают интеллектуальную собственность компании – потребителя ИТ-услуг. Технические решения, выполненные в срок действия контракта или до момента его расторжения, рекомендуется передавать в совместное владение потребителя и поставщика аутсорсинговых услуг.
Чтобы снизить риск выбора ненадежного поставщика, следует организовать:
• сбор информации об аутсорсере (проекты, отзывы, наличие отраслевого опыта и т. д.);
• тендер по критериям стоимость, сроки, результат, гарантии (наличие контракта SLA);
• взаимодействие с партнерами и представителем компании – разработчика программного обеспечения;
• контроль реакции и качества предоставляемых услуг;
• четко прописанные этапы работ в SLA;
• четко определенные показатели контроля результатов (KPI).
Крайне важна финансовая стабильность поставщика, иначе аутсорсер не сможет обеспечить необходимые ресурсы для исполнения контракта, понести непредвиденные издержки. Очень важно ориентироваться на крупные и давно работающие на рынке компании с опытом успешных проектов. Их репутация стоит намного дороже выгод, которые можно получить от разглашения конфиденциальной информации клиента (рис. 21).
Рис. 21. Критерии выбора поставщика ИТ-услуг (по данным «Aplana Software»)
Предположим, в аутсорсинговой компании произошел конфликт и ушли несколько ведущих специалистов, занятых обслуживанием ИТ вашей компании. Крупная компания-аутсорсер сможет быстро отреагировать на ситуацию, подключив других своих специалистов, в то время как небольшая компания поставит ваш бизнес под угрозу, несмотря на контрактные обязательства и штрафные санкции.
Если поставщик не обладает достаточной репутацией, можно порекомендовать начинать сотрудничество с аутсорсером с реализации небольших ИТ-проектов, не критичных для бизнеса.
Хотелось бы отметить, что, помимо рисков, существуют и другие проблемы развития ИТ-аутсорсинга в России. Во-первых, отсутствует правовое поле, нет понятия «аутсорсинг» в законодательстве РФ. Также отсутствуют регламентированная методология, стандарты, ценообразование. Во-вторых, существует достаточно большое взаимное недоверие заказчиков и поставщиков. При этом страхование рисков аутсорсинговых контрактов имеет ограниченную практику. В-третьих, фактически не существует координации усилий государства, бизнеса и заказчиков, обязательной сертификации аутсорсинговых компаний и «покрытия» компетенций, которые могли бы вывести аутсорсинг на существенно новый и качественный уровень.
