Аутсорсинг аудиту

  1. Говорячи про аутсорсинг в сфері ІТ, найчастіше мають на увазі консалтингові послуги, пов'язані з побудовою...
  2. Приклад 2. Компанія, що займається зовнішньою рекламою
  3. Приклад 3. Оператор стільникового зв'язку
  4. Приклад 4. Організація, що розміщує рекламу на телевізійних каналах
  5. Приклад 5. Агентство нерухомості
  6. Приклад 6. Виробник корпоративної інформаційної системи
  7. Приклад 7. Юридична компанія
  8. Приклад 8. Організація, що надає телекомунікаційні послуги
  9. Приклад 9. Страхова компанія
  10. Приклад 10. Промислове підприємство
  11. Приклад 11. Аутсорсінговий контакт-центр
Говорячи про аутсорсинг в сфері ІТ, найчастіше мають на увазі консалтингові послуги, пов'язані з побудовою ІТ-інфраструктури, замовлену розробку програмного забезпечення, впровадження корпоративних інформаційних систем і передачу на обслуговування апаратних і програмних комплексів згідно з угодами про рівень обслуговування (Service Level Agreement, SLA ). Однак є ще один аспект аутсорсингу - аудит рішень.

Найбільш очевидною причиною попиту на аудит ІТ-рішень є відсутність відповідної кваліфікації у співробітників замовника - при тому, що її отримання може коштувати досить дорого як в разі залучення необхідних фахівців в штат, так і при навчанні власних. Нерідко це взагалі не обгрунтовано, оскільки особлива експертиза потрібна лише на відносно короткий термін або час від часу.

Якщо не говорити про аутсорсинг, викликаному необхідністю обслуговування специфічної або дорогої техніки або відмовою від другорядних і непрофільних напрямів діяльності (наприклад, від адміністрування корпоративної мережі), то мова завжди йде про нові знання, навички та досвід. Вони потрібні, коли на підприємстві здійснюються серйозні зміни, наприклад якісне розширення бізнесу, переоснащення виробництва, виведення нових продуктів або послуг на ринок. А такі зміни, в свою чергу, пов'язані з цільовими ІТ-проектами, орієнтованими на конкретний результат, який потім можна використовувати і розвивати власними силами.

В ході подібних проектів замовнику звичайно потрібні навчання і передача знань, але не весь досвід можна передати таким чином. Тобто необхідність в аутсорсингу, а тим більше в аудиті результатів роботи зберігається. Явно або неявно, замовникові постійно потрібен аналіз поточної організації бізнес-процесів, їх автоматизації, ступеня інформаційного забезпечення, тобто ІТ-аудит.

Інша причина інтересу до ІТ-аутсорсингу - потреба замовника в тому, щоб «збити пік» потреб в ресурсах. Тоді на додаток до власної команди залучаються підрядники (субпідрядники) або незалежні фахівці відповідної кваліфікації. І їх експертну думку, внесок в аналіз усіх аспектів проекту є «доданою вартістю» залучення аутсорсера.

Розберемо приклади, в яких аутсорсинг здійснюється з метою аудиту, інспекції або перевірки коректності, оптимальності та ефективності реалізації будь-яких рішень чи виконання певних функцій і процесів бізнесу. Тут потрібний погляд зі сторони, причому не обов'язково вникати в усі деталі бізнесу або інфраструктури. Не завжди просто знайти аутсорсера з відповідною кваліфікацією, розвиненою практикою саме в цій галузі, зі знанням галузевої специфіки, досвідом роботи з підприємствами того ж масштабу і т.д. Для проведення аудиту необхідно ознайомитися з особливостями організації, що вимагає часу. Ніхто краще самого замовника не знає його бізнес, але дійсно досвідчені професіонали можуть знайти «больові точки» і запропонувати вихід зі складної ситуації.

Спробуємо класифікувати проекти, пов'язані з аутсорсингом аудиту рішень в області ІТ:

  • аудит рішення на відповідність вимогам бізнесу;
  • аудит на функціональну повноту і відповідність специфікаціям;
  • аудит по нефункціональним критеріям;
  • аудит процесів розробки і впровадження;
  • аудит процесів супроводу та технічної підтримки;
  • аудит оцінки сукупної вартості володіння та повернення інвестицій;
  • аудит проблем з інформаційною системою і запропонованих рішень.

Приклад 1. Фірма, що займається роздрібними продажами обладнання

Керівники компанії підозрювали, що її інформаційна система, що забезпечує дистрибуцію товарів через посередників кінцевим покупцям за допомогою центрального федерального телефонного номера і єдиного Web-сайту, допускала витоку інформації - конкуренти перехоплювали замовлення. Аудит системи виявив, що причиною цього є людський фактор: оператори контакт-центру не заносили надходили замовлення в системи, а «зливали» знайомим в конкуруючі фірми.

За підсумками аудиту було вирішено доповнити бізнес-процеси функціями моніторингу шляхом журналирования всіх етапів роботи з інформаційною системою і більш жорсткого розмежування доступу до даних і до можливості видаляти інформацію. Були введені процедури контрольних зворотних дзвінків, що дозволяють упевнитися, що клієнт підтверджує факт доставки обладнання і його успішного монтажу. Аудит інформаційної системи допоміг виявити недоліки і знайти можливості для вдосконалення на рівні ІТ та бізнес-процесів замовника.

Якщо інформаційна система розроблена в самій організації і являє собою історично сформований комплекс додатків і програм, то ІТ-відділ сприймає її як «даність» і займається поступовим, еволюційним розвитком інфраструктури. Якщо ж сестеми - це готове рішення «під ключ» або замовна розробка, то висока вартість проекту зазвичай не дозволяє говорити про швидку віддачу, а команда внедренцев рідко може об'єктивно оцінити власне дітище. Ось чому потрібно час від часу, особливо при виникненні конфліктів або колізій з бізнес-користувачами і спонсорами проекту, зупинятися і розглядати «з боку» проект, його вихідні передумови, цільові установки, проміжні результати та плани реалізації всіх вимог бізнесу. Ось він - основний мотив задуматися про проведення аудиту третьою стороною.

Приклад 2. Компанія, що займається зовнішньою рекламою

Власники вирішили підготувати бізнес для продажу одному зі світових лідерів рекламного бізнесу. Вони розпорядилися замінити комплекс власних розробок на систему, яка застосовується практично усіма провідними компаніями «наружки». Відповідали за інфраструктуру ІТ-директор і програмісти зрозуміли, що для впровадження готової інформаційної системи треба вийти на рівень бізнесу і навіть реінжинірингу бізнес-процесів, а тому звернулися до ІТ-аудиту. Команда аналітиків, представників бізнесу та ІТ-підрозділів замовника провела аудит існуючих бізнес-процесів, спроектувати їх на наявну ІТ-інфраструктуру і зіставили з можливостями обраної системи. За підсумками аудиту вона прийняла рішення про те, де треба міняти процеси, а де - адаптувати готову систему під специфіку фірми. Зокрема, було запропоновано за класичними правилами циклу продажів і прогнозування ( «воронка продажів») резервувати рекламні площі. Це призвело до зменшення числа конфліктів і «накладок» в продажах, пов'язаних з наданням однієї площі під дві і більше рекламні кампанії. Об'єднання знань аутсорсера, який проводив аудит, і замовника, який поділився з ним власними знаннями, забезпечило реальну синергію.

Підкреслимо, що в проектах перевірки на відповідність вимогам, специфікаціям і технічними завданнями мова йде не тільки про забезпечення якості (Quality Assurance, QA), а простіше кажучи, про тестування програмного забезпечення. Забезпечуються обгрунтування вихідної постановки задачі і порівняння отриманих результатів з цим завданням.

Приклад 3. Оператор стільникового зв'язку

Ключовий інструмент будь-якого оператора мобільного зв'язку - білінгова система. Однак застосовувана в компанії система не забезпечувала необхідні параметри масштабованості і продуктивності при інтенсивному зростанні абонентської бази і числа договорів. Хоча тестування функціональних і не функціональних можливостей системи проводилося силами спеціалізованої компанії-аутсорсера, був оголошений тендер на аутсорсинг аудиту всього комплексу білінгу (від апаратного забезпечення до налаштувань інформаційної системи). Такий аудит повинен був виявити резерви і способи збільшення пропускної здатності системи.

Серед запропонованих підходів були досить цікаві, засновані не тільки на результатах тестування, а й на математичному аналізі зібраної статистики та її екстраполяції. Результати проекту дозволили замовнику планувати зростання свого бізнесу з прогнозованим запасом міцності інформаційної системи.

В ході проектів аудиту може бути здійснено перевірку таких характеристик, як «отчуждаемость» рішення. Вона може виявитися критичною для замовника при поставці системи стороннім розробником (перевіряється наявність документації, її адекватність, можливості налаштування і розширення системи, засоби адміністрування і т.д.). Не завжди такі пункти вносяться в замовлення, і навіть при їх наявності в договорах і технічних завданнях виникають суперечки між замовником і виконавцем.

Приклад 4. Організація, що розміщує рекламу на телевізійних каналах

Йдучи до конкурента, колишній ІТ-директор компанії переманив до нього ключових розробників і фахівців з розвитку корпоративної інформаційної системи, яка забезпечувала життєдіяльність підприємства, весь цикл його процесів - від замовлення до білінгу. Перш ніж відпустити фахівців, керівництво замовило ІТ-аудит, щоб проаналізувати експлуатується рішення на предмет «отчуждаемості» від цих розробників. За підсумками аудиту замовник висунув обґрунтовані вимоги до минає команді документувати систему і передати її новим співробітникам.

Чимала частина проектів аудиту викликана будь-якою проблемою - від виявлення технічних дефектів до погіршення взаємин співробітників. У таких випадках аудит може бути комплексним і включати в себе більше одного пункту з перерахованих. Наприклад, збій системи або її падіння при зростанні навантаження може зажадати аудиту на відповідність критеріям інтегрованості, масштабованості, продуктивності, стабільності, надійності, безпеки і т.п.

Приклад 5. Агентство нерухомості

Два найнятих програміста написали Web-сайт, на якому були представлені не тільки статична інформація про агентство, а й актуальні пропозиції нерухомості. Розширення бізнесу в чималому ступені залежало від здатності сайту обробляти безліч звернень (запитів) і великий обсяг інформації, що завантажується (наприклад, фотографій нерухомості), тому комерційний директор став ініціатором аудиту Web-сайту. Він хотів зрозуміти, які ризики і які інвестиції дозволять агентству бути гідно представленими в Мережі. Відповідно до рекомендацій фахівців, які виконали аудит, програмісти компанії виправили виявлені недоліки. Вони забезпечили балансування навантажень сервера, а також отримали адаптований інструментарій тестування стресового навантаження.

Приклад 6. Виробник корпоративної інформаційної системи

Як і більшість вітчизняних розробників, замовник починав з персональних СУБД, а потім перейшов на Microsoft SQL Server. Щоб не втрачати сегмент користувачів СУБД Oracle як сервера баз даних, керівництво компанії вирішило оцінити вартість перенесення системи на цю СУБД. Був притягнутий аудитор для експертної оцінки вихідних текстів, який провів інспекцію всього програмного коду, сформулював зауваження і рекомендації, пов'язані з архітектурою і композицією самої системи, з її окремими модулями і програмними блоками.

Аудит в сфері ІТ помітно акцентується на виявленні ризиків, пов'язаних з ІТ, і на їх пом'якшення. Ризик - це ймовірність зазнати збитків через проблеми в ІТ-середовищі, в якій функціонує підприємство. І в даному контексті треба розуміти відповідальність аудитора перед замовником. Щоб застрахувати себе від непередбачених витрат, замовник вкладає в аудит додаткові кошти, збільшуючи сукупну вартість інформаційної системи.

Приклад 7. Юридична компанія

Компанія, яка обслуговує найбільші фінансові холдинги і корпорації, вибирала рішення для зберігання і управління документами. Вона вирішила провести аутсорсинг процесу вибору інформаційної системи. Ключовим критерієм виявилася безпеку, оскільки для замовника зниження рівня конфіденційності було рівнозначно втраті репутації, що є основою його бізнесу. При порівнянні систем аутсорсер присвоїв критерієм безпеки найвищу вагу. Були сформовані рекомендації щодо доповнення вбудованих засобів аутентифікації, авторизації, передачі файлів з клієнта на сервер і т.д., оскільки аналіз показав, що вимогам замовника не відповідає жодна з платформ.

Якщо проблема не вирішена і заважає експлуатації системи, якщо через проблеми в ІС відбуваються збої в операційній діяльності підприємства (аж до зупинки виробництва або погіршення якості послуг, що надаються), то ІТ-аудит може не обмежитися аналізом запропонованих або вже впроваджених рішень. У таких випадках замовник просить оцінити бізнес-процеси виконавця і провести ретроспективний аналіз проекту, реалізація якого привела до проблем.

Приклад 8. Організація, що надає телекомунікаційні послуги

Компанія виступила в ролі виконавця, результатом роботи якого замовник залишився незадоволений. Зокрема, продуктивність і масштабованість розробленої інформаційної системи викликали нарікання. Ситуація виявилася спірною, оскільки проект управлявся самим замовником, а виконавець надавав своїх фахівців для аутсорсингу ресурсів. Оскільки співробітники замовника не мали належної кваліфікації, він звернувся до виробника базової платформи, на якій грунтувалося рішення. Виконаний виробником аудит вихідного коду і статистики завантаження допоміг вирішити технічні проблеми, оскільки його фахівці не тільки знали особливості свого продукту, але і мали доступ до бази знань, накопиченої іншими розробниками - користувачами їх продуктів.

Зрідка аудиту піддаються не апаратні або програмні рішення, які не процеси їх побудови або підтримки, а заявлені витрати на розробку, впровадження та супровід - все те, що називають «сукупною вартістю володіння» і в комерційних пропозиціях намагаються прикрити очікуваним ефектом від реалізації проекту. У таких випадках аутсорсеру, якому довірили аудит оцінок, необхідно мобілізувати весь свій багаж знань, пов'язаних з ІТ, прикладними областями, бізнесом замовника, економікою і фінансами. Необхідно розібратися в пріоритетах, вимоги до ІТ-інфраструктурі, в можливостях існуючої ІТ-служби, ризики, втрачених вигоди та інших непрямих факторах, які можуть бути прийняті до уваги.

Приклад 9. Страхова компанія

Був оголошений тендер на надання комерційної пропозиції з повним техніко-економічним обгрунтуванням процесу і технології збору та консолідації даних від віддалених точок продажів. Як з'ясувалося, організатор тендера зовсім не збирався проводити аутсорсинг проекту, а просто хотів отримати його експертну або хоча б ринкову оцінку і порівняти її з показниками, висунутими власним ІТ-відділом. Документи, які надійшли від декількох компаній, що надають професійні послуги в області ІТ, дозволили фірмі виконати аудит свого бюджету і зрозуміти, чи всі аспекти порушені в калькуляції вартості і очікуваної віддачі.

Вибір аутсорсера з необхідною кваліфікацією і знанням специфіки бізнесу клієнта може виявитися важким завданням. Однак якщо замовник і підрядник (або основний аутсорсер) зіткнулися зі складною проблемою, залучення аутсорсера з відповідним досвідом, хоча б отриманим в інших сферах і видах діяльності, може виявитися корисним. Американці люблять використовувати приставку «крос», розмірковуючи про навички або досвід, - кроссплатформний, кроссіндустріальний і т.д. Так ось, саме знання і практичний досвід, накопичені в ході виконання різних проектів для клієнтів з різних «вертикалей і горизонталей» бізнесу, допомагають знаходити оптимальні рішення в сформованих ситуаціях.

Приклад 10. Промислове підприємство

ERP-система не покривала і половини потреб підприємства в автоматизації. Його фахівці це розуміли, але все ж вибрали ERP як фундамент майбутньої інфраструктури. На підприємстві використовуються додатки власної розробки, а також численні набуті рішення, які планувалося інтегрувати з центральної ERP-системою. У договорі на впровадження ERP говорилося, що система повинна бути відкритою і підтримувати всі загальноприйняті стандарти взаємодії. Однак при реалізації проекту генеральний підрядник ERP-проекту відмовився від інтеграції «третіх» систем, пославшись на відсутність у них «відкритих інтерфейсів», під якими він розумів тільки J2EE. Замовник звернувся до аудиту, сподіваючись однозначно визначити, що потрібно розуміти під «відкритим інтерфейсом». Привести боку «до спільного знаменника» було непросто, але в підсумку вони все ж прислухалися до аргументованого думку експертів.

Аутсорсинг - це НЕ только можлівість економії за рахунок передачі будь-якіх функцій сторонньої организации за принципом «поділу праці», налагодження інфраструктурі або процесів. Це - ще й спроба оптимального розподілу обов'язків для Збільшення доходів компании в сьогоденні и в Майбутнього. І залучення до аутсорсингу аудиторів в області ІТ дозволяє передбачити проблеми, знайти внутрішні резерви і забезпечити запас міцності, тобто економічний ефект в довгостроковій перспективі.

Приклад 11. Аутсорсінговий контакт-центр

Аутсорсер провів аудит команди, яку найняв замовник - контакт-центр. Метою проекту була побудова ІТ-інфраструктури для новоспеченого бізнесу - контакт-центру, покликаного організовувати для одного або декількох замовників проведення телемаркетингових кампаній (дзвінки великих цільових аудиторій). В ході внутрішнього аудиту з'ясувалося, що для одночасного обслуговування декількох таких замовлень потрібно більш гнучка і настроюється інформаційна система, ніж планувалося спочатку. За рахунок впровадження модулів візуального опису та налаштування бізнес-процесів вдалося забезпечити конкурентну перевагу компанії. Можливість спільно з клієнтом складати логіку опитування аудиторії у вигляді графічної схеми дозволила їй швидко вийти на ринок і диференціюватися від конкурентів.

Артак Оганесян ( [email protected] ) - директор з розвитку бізнесу компанії Vested Development (Москва).