Таким образом, передача решения ИТ-задач на аутсорсинг избавляет компанию от необходимости расчета затрат на разработку и внедрение программных решений и ведения достаточно непростого учета нематериальных активов. Сегодня многие эксперты признают, что учет программных средств, приобретаемых компанией, исчисление соответствующих налоговых сумм, амортизационных отчислений и т.п. является нетривиальной задачей, так как современное российское законодательство достаточно слабо охватывает объекты интеллектуальной собственности. Существует множество классификаций ИТ-аутсорсинга, чаще всего ИТ-аутсорсинг подразделяют на стратегический, функциональный и ресурсный. Так как каждый из них ориентирован на разные потребности клиента, ИТ-аутсорсинговые компании стараются предоставлять спектр как можно большего количества услуг и используют все виды и их комбинации, в зависимости от требований клиента. Одной из важных услуг, которые включаются в компетенции ИТ-аутсорсинговой компании является ИТ-аудит, так как он часто служит отправной точкой для построения дальнейших связей с клиентом и является способом определения узких мест ИТ-структуры клиента. Поэтому рассмотрим более подробно этот вид услуги ИТ-аутсорсинговой компании.
1.2 ИТ-аудит как способ снижения рисков для клиентов ИТ-аутсорсинговой компании
Перевод компании на ИТ-аутсорсинг имеет свои преимущества и недостатки, которые во многом зависят от правильности выбора функций, поставщика, способов контроля и управления.
По мнению Авдошина С.М., чтобы принять решение об использовании ИТ-аутсорсинга, желательно осуществить ряд мероприятий:
выполнить проверку согласованности инициативы аутсорсинга с ИТ-стратегией и направлением бизнеса (для "закрытых" оборонных предприятий, некоторых банков ИТ-аутсорсинг может быть частично или полностью неприменим);
определить, какие процессы и для каких элементов ИТ-сервисов и инфраструктуры будут выполняться внешним подрядчиком;
определить требования к процессам, передаваемых на аутсорсинг, и показатели для контроля их выполнения;
разработать периодическую процедуру контроля процессов, выполняемых внешним подрядчиком, сформировать проект договора на услуги аутсорсинга, фиксирующие все требования к процессам;
выработать стратегию развития ИТ и провести ИТ-аудит;
выполнить оценку ИТ-ресурсов (зарплаты ИТ-специалистов, программное обеспечение, стоимость аренды площадей и прочее), реальной стоимости предоставления ИТ-услуг и их влияния на бизнес.
Клиенты должны учитывать все преимущества и риски, которые несет за собой аутсорсинг ИТ-отдела. Так как преимущества были рассмотрены в предыдущем параграфе, остановимся на рисках. Необходимо отметить, что аутсорсинг связан с большим количеством рисков, начиная с риска доверия своей информации сторонней компании и заканчивая экономическими рисками, которые возникают в случае недостаточной компетенции провайдера.
Рассмотрим основные риски, с которыми может столкнуться компания при переходе на аутсорсинг ИТ-услуг.
Во-первых, это утечка коммерческой информации. Компания, профессионально предоставляющая аутсорсинговые услуги, "по умолчанию" реализует определенный уровень безопасности и конфиденциальности, практикуется заключение договоров о неразглашении.
Во-вторых, потеря контроля и зависимость от поставщика. При отрыве руководства от части деятельности компании, могут приниматься неэффективные решения.
В-третьих, заказчик может столкнуться с рисками ценового шантажа и падения уровня качества услуг.
В-чертвертых, ИТ-аутсорсинг может привести к увеличению затрат. В большинстве случаев это связанно с неточным расчетом стоимости ИТ-услуги внутри компании и неверной оценкой текущих затрат на предоставление услуг самим заказчиком.
В-пятых, риск снижения качества обслуживания. Компания-заказчик ожидает увидеть уменьшение затрат и увеличение качества сервисов.
Так же существует риск снижения мотивации ИТ-специалистов и сопротивление сотрудников, в случае если ИТ является непрофильным. К скрытым рискам относится наличие недокументированной информации в головах сотрудников, что увеличивает вероятность оппортунистического поведения [4, c.101].
Для снижения некоторых рисков, необходим предварительный ИТ-аудит. Аудит ИТ - это независимая аудиторская проверка функционирования ИТ с целью получения достоверных данных [6].
Задача аудита состоит в том, чтобы обнаружить риски и удостовериться в том, что риски, оставшиеся после применения соответствующих мер, приемлемы для руководства компании.
Базовыми принципами ИТ-аудита являются независимость и объективность, профессиональная компетентность, конфиденциальность.
Критерии ценности аудиторского заключения:
1) Достоверность: выводы основаны на фактах, которые могут быть повторно проверены, а также на изучении достаточного количества информации.
2) Актуальность: при изучении основной акцент делается на проблемах и рисках, которые уже реализуются или с высокой вероятностью могут быть реализованы в краткосрочной перспективе.
3) Ясность: информация излагается в структурированном виде - от общих выводов в бизнес-терминах для высшего руководства до частных рекомендаций, включающих специфические аспекты, для ИТ-руководства.
4) Полезность (применимость): информация максимально адаптирована для целей формирования программ совершенствования системы ИТ-управления.
Результаты ИТ-аудита используются для формирования комплексной оценки эффективности менеджмента организации по управлению как основной, так и вспомогательной деятельностью, а также принятия стратегических решений по развитию бизнеса. Высший менеджмент использует результаты ИТ-аудита для совершенствования системы корпоративного ИТ-управления, призванной обеспечить преобразование бизнес-целей организации в ИТ-цели, а также установления надлежащего внутреннего контроля за эффективностью использования инвестиций в информационные технологии и деятельностью по минимизации специфических ИТ-рисков. Высшим ИТ-руководство результаты аудита используются для идентификации проблемных областей ИТ-управления (зон повышенного риска) и формирования детальной программы совершенствования системы ИТ-управления [6].
Для проведения ИТ-аудита в России существует следующая методологическая основа: ГОСТ Р ИСО 19011-2003 "Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента". Федеральное правило (стандарт) аудиторской деятельности №15. "Понимание деятельности аудируемого лица". Одним из наиболее часто применяемых является методология COBIT 4.1 (Control Objectives for Information and Related Technology) ("Цели контроля для информационных и смежных технологий"). Детальный признанный международным сообществом процессный подход к ИТ, который поддерживает высших руководителей и управленцев предприятия в определении и достижении целей предприятия и соответствующих ИТ-целей, предлагая им целостную модель руководства, управления, контроля и обеспечения качества ИТ. В модели COBIT описаны процессы и связанные с ними цели контроля, рекомендации для управления (виды деятельности, ответственность, обязанности и метрики производительности) и модели зрелости. COBIT поддерживает деятельность по разработке, внедрению и постоянному совершенствованию и отслеживанию ИТ - процессов. Сегодня последней версией считается методология COBIT 5. В модели COBIT 5 описаны пять принципов и семь факторов влияния, которые поддерживают деятельность по разработке, внедрению, постоянному совершенствованию и отслеживанию хороших практик руководства и управления ИТ. Так же важными являются ISO 27001: 2005 "Информационные технологии. Методы обеспечения безопасности - Системы управления информационной безопасностью. Требования", ISO 20000 "Управление предоставлением ИТ-услуг", ISO 9000 "Указания по менеджменту качества"
Приведенный перечень включает только ключевые документы (стандарты) и не является исчерпывающим, то есть может быть при необходимости дополнен другими стандартами и практиками. Стандарт "Цели контроля для информационных и смежных технологий" (COBIT) устанавливает лучшие практики на уровне доменов (групп ИТ процессов) и отдельных процессов и представляет действия в виде управляемой и логичной структуры. Лучшие практики в COBIT основаны на консенсусе экспертов. Они в большей степени ориентированы на контроль, нежели на исполнение. Эти нормы помогут оптимизировать инвестиции в ИТ, обеспечить уверенность в уровне предоставляемых сервисов и выработать показатели, на которые можно будет ориентироваться в случае неблагоприятного развития ситуации. Отправной точкой при применении любой методологии является оценка отклонения фактической зрелости от целевой. В приложении 2 - "Радиальная диаграмма фактического и целевого уровня зрелости ИТ-показателей компании" - представлен стандартный график оценок по всем значимым критериям. Исходя из того, насколько фактическое значение отстает от целевого, определяются основные проблемные зоны ИТ-структуры [7].
Таким образом, ИТ-аутсорсинг имеет широкий спектр применения, приносит положительный эффект, но может приносить дополнительные риски. Важной составляющей является процедура ИТ-аудита, так как она первоначально выявляет слабые стороны в ИТ-структуре предприятия, определяет риски и угрозы. После проведения ИТ-аудита, компании предлагается несколько путей оптимизации, некоторые из которых могут предлагать использование аутсорсинговых услуг. Следовательно, этап проведения аудита является важным для ИТ-аутсорсинговой компании, так как здесь клиент использующий одноразовую услугу (проведение ИТ-аудита) может стать постоянным и пользоваться услугами длительного характера. Применяя ИТ-аутсорсинг и ИТ-аудит, необходимо так же учитывать особенности развития ИТ в отрасли, в которой действует компания - клиент, а так же уровень развития технологий в стране в целом. Рассмотрим подробнее рынок ИТ-аутсорсинга в разных странах и его особенности в России в следующем параграфе.
1.3 Рынок ИТ-аутсорсинга в странах мира и его становление в России
Крупнейшим сегментом рынка аутсорсинга в регионе EMEA (Европа, Ближний Восток и Африка) остается ИТ-аутсорсинг: на него в 1 квартале 2014 г. пришлось порядка €2 млрд из общего объема рынка. Квартальный рост составил 18%, а рост год к году - 33%.
Аналитики отмечают, что при этом в EMEA в 1 квартале 2014 г. было заключено 127 контрактов на услуги ИТ-аутсорсинга, что стало самым высоким показателю по региону, когда-либо зафиксированным по итогам квартала. Десятку крупнейших провайдеров услуг ИТ-аутсорсинга в EMEA составляют такие компании как BT, Carillion, Cognizant, CSC, EVRY, HP, IBM, iGATE, Orange и Quindell [8].
Рисунок 1.3.1 Динамика рынка ИТ-аутсорсинга в EMEA в денежном выражении.
Составлено по данным американского аналитического агентства Information Services Group (ISG) [9]
Наблюдается спад во втором квартале 2013 года, который предшествовал резкому росту в следующем квартале. От квартала к кварталу наблюдаются циклические колебания, но резкий подъем происходит только в третьем квартале 2013 года.
Рисунок 1.3.2 Динамика рынка ИТ-аутсорсинга в EMEA по числу контрактов. Составлено по данным ISG [9]
По числу контрактов так же произошел спад во втором квартале 2013 года, но уже к концу 2013 года число контрактов выросло более чем в 2 раза. По числу контрактов динамика более стабильна. В общем можно говорить о том, что рынок вырос на 40% за два года.
Если рассматривать отдельно страны региона, то можно сказать, аутсорсинг демонстрировал наиболее уверенный рост в Великобритании: здесь были заключены контракты на сумму свыше €1 млрд, квартальный рост составил 33%, а годовой - 66%. Зафиксированное число заключенных контрактов - 59 - оказалось наиболее высоким квартальным результатом за последние три года. Франция оказалась вторым по величине рынком в EMEA с объемом около €330 млн, продемонстрировав внушительный скачок: объем рынка вырос почти на 300% квартал к кварталу. В Германии, напротив, наблюдался небольшой провал в стоимости контрактов на аутсорсинговые услуги, при этом количество самих контрактов увеличилось на 21% за квартал и на 52% год к году, по сравнению к более слабой, чем обычно, динамике 1 квартала 2013 г., констатируют аналитики ISG [9]. Страны Восточной Европы и Россия, по данным ISG, остаются самым маленьким рынком аутсорсинга в регионе EMEA: его объем по итогам 1 квартала 2014 г. аналитики оценили в €0,03 млрд.
В Азиатско-Тихоокеанском регионе, Латинской Америке и Китае рынок ИТ-аутсорсинга будет расти быстрее всего. Рост рынка здесь обусловлен бурным развитием местной экономики, появлением новых заказчиков, а также экспансией транснациональных компаний. В Северной Америке рынок также будет расти в перспективе до 2016 года.
Рассмотрим рынок Индии. В число крупнейших индийских аутсорсинговых компаний входят Tata Consultancy Services и Infosys: в четвертом квартале предыдущего финансового года они показали прирост как выручки, так и прибыли. Национальная ассоциация софтверных и сервисных компаний Индии (The National Association of Software and Services Companies, Nasscom) констатирует, что экспорт программного обеспечения (далее ПО) и сервисов составил в объеме $84 млрд в период с марта 2012 по апрель 2014 года. Ожидается усиление аутсорсинговой индустрии Индии, которая на протяжении нескольких предыдущих кварталов испытывала негативное влияние от снижения ИТ-бюджетов компаний в США и Европе, являющихся основными клиентами. Можно говорить о том, что одним из наиболее быстро растущих сегментов мирового рынка ИТ-аутсорсинга вплоть до 2017 года станет сегмент услуг, связанных с таким явлением как bring your own device (BYOD), то есть использованием корпоративными служащими собственных портативных компьютерных устройств в рабочих целях [8]. Рынок ИТ-аутсорсинга уверенно растет, чему способствует развитие самих технологий и необходимость в высококвалифицированных информационных услугах.