Аутсорсинг аудита

Говоря об аутсорсинге в сфере ИТ, чаще всего имеют в виду консалтинговые услуги, связанные с построением ИТ-инфраструктуры, заказную разработку программного обеспечения, внедрение корпоративных информационных систем и передачу на обслуживание аппаратных и программных комплексов согласно соглашениям об уровне обслуживания (Service Level Agreement, SLA). Однако есть еще один аспект аутсорсинга — аудит решений.

Наиболее очевидной предпосылкой спроса на аудит ИТ-решений является отсутствие соответствующей квалификации у сотрудников заказчика — при том, что ее получение может стоить достаточно дорого как в случае привлечения необходимых специалистов в штат, так и при обучении собственных. Нередко это вообще не обосновано, поскольку особая экспертиза нужна лишь на относительно короткий срок или время от времени.

Если не говорить об аутсорсинге, вызванном необходимостью обслуживания специфической или дорогостоящей техники либо отказом от второстепенных и непрофильных направлений деятельности (например, от администрирования корпоративной сети), то речь всегда идет о новых знаниях, навыках и опыте. Они нужны, когда на предприятии осуществляются серьезные изменения, например качественное расширение бизнеса, переоснащение производства, вывод новых продуктов или услуг на рынок. А такие изменения, в свою очередь, связаны с целевыми ИТ-проектами, ориентированными на конкретный результат, который потом можно использовать и развивать собственными силами.

В ходе подобных проектов заказчику обычно требуются обучение и передача знаний, но не весь опыт можно передать таким образом. То есть необходимость в аутсорсинге, а тем более в аудите результатов работы сохраняется. Явно или неявно, заказчику постоянно нужен анализ текущей организации бизнес-процессов, их автоматизации, степени информационного обеспечения, то есть ИТ-аудит.

Другая причина интереса к ИТ-аутсорсингу — потребность заказчика в том, чтобы «сбить пик» потребностей в ресурсах. Тогда в дополнение к собственной команде привлекаются подрядчики (субподрядчики) или независимые специалисты соответствующей квалификации. И их экспертное мнение, вклад в анализ всех аспектов проекта является «добавленной стоимостью» привлечения аутсорсера.

Разберем примеры, в которых аутсорсинг осуществляется с целью аудита, инспекции или проверки корректности, оптимальности и эффективности реализации каких-либо решений или выполнения определенных функций и процессов бизнеса. Здесь требуется взгляд со стороны, причем не обязательно вникать во все детали бизнеса или инфраструктуры. Не всегда просто найти аутсорсера с соответствующей квалификацией, развитой практикой именно в данной области, со знанием отраслевой специфики, опытом работы с предприятиями того же масштаба и т.д. Для проведения аудита необходимо ознакомиться с особенностями организации, что требует времени. Никто лучше самого заказчика не знает его бизнес, но действительно опытные профессионалы могут найти «болевые точки» и предложить выход из сложной ситуации.

Попробуем классифицировать проекты, связанные с аутсорсингом аудита решений в области ИТ:

• аудит решения на соответствие требованиям бизнеса;
• аудит на функциональную полноту и соответствие спецификациям;
• аудит по нефункциональным критериям;
• аудит процессов разработки и внедрения;
• аудит процессов сопровождения и технической поддержки;
• аудит оценки совокупной стоимости владения и возврата инвестиций;
• аудит проблем с информационной системой и предложенных решений.

Пример 1. Фирма, занимающаяся розничными продажами оборудования

Руководители компании подозревали, что ее информационная система, обеспечивающая дистрибуцию товаров через посредников конечным покупателям с помощью центрального федерального телефонного номера и единого Web-сайта, допускала утечки информации — конкуренты перехватывали заказы. Аудит системы выявил, что причиной этого является человеческий фактор: операторы контакт-центра не заносили поступавшие заказы в системы, а «сливали» знакомым в конкурирующие фирмы.

По итогам аудита было решено дополнить бизнес-процессы функциями мониторинга путем журналирования всех этапов работы с информационной системой и более жесткого разграничения доступа к данным и к возможности удалять информацию. Были введены процедуры контрольных обратных звонков, позволяющих удостовериться, что клиент подтверждает факт доставки оборудования и его успешного монтажа. Аудит информационной системы помог выявить недостатки и найти возможности для совершенствования на уровне ИТ и бизнес-процессов заказчика.

Если информационная система разработана в самой организации и представляет собой исторически сложившийся комплекс приложений и программ, то ИТ-отдел воспринимает ее как «данность» и занимается постепенным, эволюционным развитием инфраструктуры. Если же сестема — это готовое решение «под ключ» или заказная разработка, то высокая стоимость проекта обычно не позволяет говорить о быстрой отдаче, а команда внедренцев редко может объективно оценить собственное детище. Вот почему нужно время от времени, особенно при возникновении конфликтов или коллизий с бизнес-пользователями и спонсорами проекта, останавливаться и рассматривать «со стороны» проект, его исходные предпосылки, целевые установки, промежуточные результаты и планы реализации всех требований бизнеса. Вот он — основной мотив задуматься о проведении аудита третьей стороной.

Пример 2. Компания, занимающаяся наружной рекламой

Собственники решили подготовить бизнес для продажи одному из мировых лидеров рекламного бизнеса. Они распорядились заменить комплекс собственных разработок на систему, которая применяется практически всеми ведущими компаниями «наружки». Отвечавшие за инфраструктуру ИТ-директор и программисты поняли, что для внедрения готовой информационной системы надо выйти на уровень бизнеса и даже реинжиниринга бизнес-процессов, а потому обратились к ИТ-аудиту. Команда аналитиков, представителей бизнеса и ИТ-подразделений заказчика провела аудит существующих бизнес-процессов, спроецировала их на имеющуюся ИТ-инфраструктуру и сопоставила с возможностями выбранной системы. По итогам аудита она приняла решение о том, где надо менять процессы, а где — адаптировать готовую систему под специфику фирмы. В частности, было предложено по классическим правилам цикла продаж и прогнозирования («воронка продаж») резервировать рекламные площади. Это привело к уменьшению числа конфликтов и «накладок» в продажах, связанных с предоставлением одной площади под две и более рекламные кампании. Объединение знаний аутсорсера, проводившего аудит, и заказчика, поделившегося с ним собственными знаниями, обеспечило реальную синергию.

Подчеркнем, что в проектах проверки на соответствие требованиям, спецификациям и техническим заданиям речь идет не только об обеспечении качества (Quality Assurance, QA), а проще говоря, о тестировании программного обеспечения. Обеспечиваются обоснование исходной постановки задачи и сравнение полученных результатов с этой задачей.

Пример 3. Оператор сотовой связи

Ключевой инструмент любого оператора мобильной связи — биллинговая система. Однако применяемая в компании система не обеспечивала нужные характеристики масштабируемости и производительности при интенсивном росте абонентской базы и числа договоров. Хотя тестирование функциональных и нефункциональных возможностей системы проводилось силами специализированной компании-аутсорсера, был объявлен тендер на аутсорсинг аудита всего комплекса биллинга (от аппаратного обеспечения до настроек информационной системы). Такой аудит должен был выявить резервы и способы увеличения пропускной способности системы.

Среди предложенных подходов были достаточно интересные, основанные не только на результатах тестирования, но и на математическом анализе собранной статистики и ее экстраполяции. Результаты проекта позволили заказчику планировать рост своего бизнеса с прогнозируемым запасом прочности информационной системы.

В ходе проектов аудита могут быть осуществлены проверки таких характеристик, как «отчуждаемость» решения. Она может оказаться критичной для заказчика при поставке системы сторонним разработчиком (проверяется наличие документации, ее адекватность, возможности настройки и расширения системы, средства администрирования и т.д.). Не всегда такие пункты вносятся в заказ, и даже при их наличии в договорах и технических заданиях возникают споры между заказчиком и исполнителем.

Пример 4. Организация, размещающая рекламу на телевизионных каналах

Уходя к конкуренту, бывший ИТ-директор компании переманил к нему ключевых разработчиков и специалистов по развитию корпоративной информационной системы, которая обеспечивала жизнедеятельность предприятия, весь цикл его процессов — от заказа до биллинга. Прежде чем отпустить специалистов, руководство заказало ИТ-аудит, чтобы проанализировать эксплуатирующееся решение на предмет «отчуждаемости» от этих разработчиков. По итогам аудита заказчик выдвинул обоснованные требования к уходящей команде документировать систему и передать ее новым сотрудникам.

Немалая часть проектов аудита вызвана какой-либо проблемой — от выявления технических дефектов до ухудшения взаимоотношений сотрудников. В таких случаях аудит может быть комплексным и включать в себя более одного пункта из перечисленных. Например, сбой системы или ее падение при росте нагрузке может потребовать аудита на соответствие критериям интегрируемости, масштабируемости, производительности, стабильности, надежности, безопасности и т.п.

Пример 5. Агентство недвижимости

Два нанятых программиста написали Web-сайт, на котором были представлены не только статическая информация об агентстве, но и актуальные предложения недвижимости. Расширение бизнеса в немалой степени зависело от способности сайта обрабатывать множество обращений (запросов) и большой объем загружаемой информации (к примеру, фотографий недвижимости), поэтому коммерческий директор стал инициатором аудита Web-сайта. Он хотел понять, каковы риски и какие инвестиции позволят агентству быть достойно представленным в Сети. В соответствии с рекомендациями специалистов, выполнивших аудит, программисты компании исправили выявленные недостатки. Они обеспечили балансировку нагрузок сервера, а также получили адаптированный инструментарий тестирования стрессовой нагрузки.

Пример 6. Производитель корпоративной информационной системы

Как и большинство отечественных разработчиков, заказчик начинал с персональных СУБД, а потом перешел на Microsoft SQL Server. Чтобы не терять сегмент пользователей СУБД Oracle как сервера баз данных, руководство компании решило оценить стоимость переноса системы на эту СУБД. Был привлечен аудитор для экспертной оценки исходных текстов, который провел инспекцию всего программного кода, сформулировал замечания и рекомендации, связанные с архитектурой и композицией самой системы, с ее отдельными модулями и программными блоками.

Аудит в сфере ИТ заметно акцентируется на выявлении рисков, связанных с ИТ, и на их смягчении. Риск — это вероятность понести убытки из-за проблем в ИТ-среде, в которой функционирует предприятие. И в данном контексте надо понимать ответственность аудитора перед заказчиком. Дабы застраховать себя от непредвиденных расходов, заказчик вкладывает в аудит дополнительные средства, увеличивая совокупную стоимость информационной системы.

Пример 7. Юридическая компания

Компания, которая обслуживает крупнейшие финансовые холдинги и корпорации, выбирала решение для хранения и управления документами. Она решила провести аутсорсинг процесса выбора информационной системы. Ключевым критерием оказалась безопасность, поскольку для заказчика снижение уровня конфиденциальности было равнозначно потере репутации, являющейся основой его бизнеса. При сравнении систем аутсорсер присвоил критерию безопасности наивысший вес. Были сформированы рекомендации по дополнению встроенных средств аутентификации, авторизации, передачи файлов с клиента на сервер и т.д., поскольку анализ показал, что требованиям заказчика не отвечает ни одна из платформ.

Если проблема не решена и мешает эксплуатации системы, если из-за проблем в ИС происходят сбои в операционной деятельности предприятия (вплоть до остановки производства или ухудшения качества предоставляемых услуг), то ИТ-аудит может не ограничиться анализом предложенных либо уже внедренных решений. В таких случаях заказчик просит оценить бизнес-процессы исполнителя и провести ретроспективный анализ проекта, реализация которого привела к проблемам.

Пример 8. Организация, оказывающая телекоммуникационные услуги

Компания выступила в роли исполнителя, результатом работы которого заказчик остался недоволен. В частности, производительность и масштабируемость разработанной информационной системы вызвали нарекания. Ситуация оказалась спорной, поскольку проект управлялся самим заказчиком, а исполнитель предоставлял своих специалистов для аутсорсинга ресурсов. Поскольку сотрудники заказчика не имели должной квалификации, он обратился к производителю базовой платформы, на которой основывалось решение. Выполненный производителем аудит исходного кода и статистики загрузки помог решить технические проблемы, поскольку его специалисты не только знали особенности своего продукта, но и имели доступ к базе знаний, накопленной другими разработчиками — пользователями их продуктов.

Изредка аудиту подвергаются не аппаратные или программные решения, не процессы их построения или поддержки, а заявленные затраты на разработку, внедрение и сопровождение — все то, что называют «совокупной стоимостью владения» и в коммерческих предложениях стараются прикрыть ожидаемым эффектом от реализации проекта. В таких случаях аутсорсеру, которому доверили аудит оценок, необходимо мобилизовать весь свой багаж знаний, связанных с ИТ, прикладными областями, бизнесом заказчика, экономикой и финансами. Необходимо разобраться в приоритетах, требованиях к ИТ-инфраструктуре, в возможностях существующей ИТ-службы, рисках, потерянных выгодах и других косвенных факторах, которые могут быть приняты во внимание.

Пример 9. Страховая компания

Был объявлен тендер на предоставление коммерческого предложения с полным технико-экономическим обоснованием процесса и технологии сбора и консолидации данных от удаленных точек продаж. Как выяснилось, организатор тендера вовсе не собирался проводить аутсорсинг проекта, а просто хотел получить его экспертную или хотя бы рыночную оценку и сравнить ее с показателями, выдвинутыми собственным ИТ-отделом. Документы, которые поступили от нескольких компаний, оказывающих профессиональные услуги в области ИТ, позволили фирме выполнить аудит своего бюджета и понять, все ли аспекты затронуты в калькуляции стоимости и ожидаемой отдачи.

Выбор аутсорсера с необходимой квалификацией и знанием специфики бизнеса клиента может оказаться трудной задачей. Однако если заказчик и подрядчик (или основной аутсорсер) столкнулись со сложной проблемой, привлечение аутсорсера с соответствующим опытом, хотя бы полученным в других сферах и видах деятельности, может оказаться полезным. Американцы любят использовать приставку «кросс», рассуждая о навыках или опыте, — кроссплатформный, кроссиндустриальный и т.д. Так вот, именно знания и практический опыт, накопленные в ходе выполнения разных проектов для клиентов из различных «вертикалей и горизонталей» бизнеса, помогают находить оптимальные решения в сложившихся ситуациях.

Пример 10. Промышленное предприятие

ERP-система не покрывала и половины потребностей предприятия в автоматизации. Его специалисты это понимали, но все же выбрали ERP как фундамент будущей инфраструктуры. На предприятии используются приложения собственной разработки, а также многочисленные приобретенные решения, которые планировалось интегрировать с центральной ERP-системой. В договоре на внедрение ERP говорилось, что система должна быть открытой и поддерживать все общепринятые стандарты взаимодействия. Однако при реализации проекта генеральный подрядчик ERP-проекта отказался от интеграции «третьих» систем, сославшись на отсутствие у них «открытых интерфейсов», под которыми он понимал только J2EE. Заказчик обратился к аудиту, надеясь однозначно определить, что нужно понимать под «открытым интерфейсом». Привести стороны «к общему знаменателю» было непросто, но в итоге они все же прислушались к аргументированному мнению экспертов.

Аутсорсинг — это не только возможность экономии за счет передачи каких-либо функций сторонней организации по принципу «разделения труда», налаживания инфраструктуры или процессов. Это — еще и попытка оптимального распределения обязанностей для увеличения доходов компании в настоящем и в будущем. И привлечение к аутсорсингу аудиторов в области ИТ позволяет предвосхитить проблемы, найти внутренние резервы и обеспечить запас прочности, то есть экономический эффект в долгосрочной перспективе.

Пример 11. Аутсорсинговый контакт-центр

Аутсорсер провел аудит команды, которую нанял заказчик — контакт-центр. Целью проекта было построение ИТ-инфраструктуры для новоиспеченного бизнеса — контакт-центра, призванного организовывать для одного или нескольких заказчиков проведение телемаркетинговых кампаний (обзвон больших целевых аудиторий). В ходе внутреннего аудита выяснилось, что для одновременного обслуживания нескольких таких заказов требуется более гибкая и настраиваемая информационная система, чем планировалось изначально. За счет внедрения модулей визуального описания и настройки бизнес-процессов удалось обеспечить конкурентное преимущество компании. Возможность совместно с клиентом составлять логику опроса аудитории в виде графической схемы позволила ей быстро выйти на рынок и дифференцироваться от конкурентов.

Артак Оганесян (ArtakO@moscow.vdiweb.com) — директор по развитию бизнеса компании Vested Development (Москва).