CC BY
70методика принятия решения об использовании аутсорсинга в области
информационных технологий с учетом
требований безопасности
A METHOD OF DECISION-MAKING FOR OUTSOURCING IMPLEMENTATION IN THE FIELD OF INFORMATION TECHNOLOGIES IN COMPLIANCE WITH SECURITY REQUIREMENTS
УДК 658:004.056
БУГОРСКИй Владимир Николаевич
профессор кафедры вычислительных систем и программирования Санкт-Петербургского государственного экономического университета, кандидат экономических наук, профессор, vbugorsky@mail.ru
BUGORSKIY, Vladimir Nikolaevich
Professor of the Computer Systems and Programming Department, Saint-Petersburg State University of Economics, Candidate of Economic Sciences, Professor, vbugorsky@mail.ru
СТЕЛьМАшОНОК Елена Викторовна
заведующая кафедрой вычислительных систем и программирования Санкт-Петербургского государственного экономического университета, доктор экономических наук, профессор, vitaminew@gmail.com
SELMASHONOK, Elena Viktorovna
Head of the Computer Systems and Programming Department, Saint-Petersburg State University of Economics, Doctor of Economics, Professor, vitaminew@gmail.com
„OL-
mm
Аннотация.
При принятии решения об использования ИТ-аутсорсинга заказчик должен учитывать не только изменение затрат, но и изменение уровня рисков по сравнению с выполнением соответствующих функций собственными силами. Таким образом, существует потребность в разработке методики оценки экономического эффекта ИТ-аутсорсинга с учетом рисков сотрудничества с внешним провайдером услуг. В статье предложена методика принятия решения об использовании ИТ-аутсорсинга с учетом требований информационной безопасности. Методика опирается на понятие полной стоимости информационной системы, которая включает в себя затраты на создание и эксплуатацию информационной системы и потери от ее ненадлежащего функционирования. Предложен алгоритм расчета полной стоимости информационной системы для разных вариантов ее создания и поддержки. Дан обзор основных ситуаций, в которых переход к ИТ-аутсорсингу целесообразен с точки зрения выполнения требований информационной безопасности.
Ключевые слова: аутсорсинг, полная стоимость, риски, информационная безопасность.
Abstracts.
The outsourcing decision should be based not only on evaluation of potential economic effect, but also on financial estimation of possible risks. Consequently, there is a need for a method of calculation of economic effect of IT outsourcing taking into account potential change of level of risks. The present paper contains a method of decision making in the field of IT-outsourcing. This method includes information security requirements and is based on the notion of full cost of information system. Full cost of information system includes not only cost of development and use, but also possible loss generated by its misuse. An algorithm of calculation of full cost of information system is proposed. Main situations in which IT outsourcing is effective from the point of view of economic security are described.
Key words: outsourcing, full cost, risks, information security.
Использование аутсорсинга в сфере информационных технологий (ИТ-аутсорсинга) получило широкое распространение благодаря ряду преимуществ, которые получает заказчик. Сразу следует отметить, что термин «аутсорсинг» в данной статье используется в широком смысле слова, относя к нему все модели систематического привлечения внешнего подрядчика для выполнения необходимых заказчику задач, процессов и функций. В частности, относятся к аутсорсингу и облачные технологии [1; 2]. К числу указанных выше преимуществ относятся:
1. Возможность получить доступ к уникальным ресурсам, отсутствующим у самого заказчика. Приобретение этих ресурсов заказчиком в собственность неоправданно с экономической точки зрения, поскольку у него может не быть необходимых компетенций для эксплуатации таких ресурсов или заказчик не сможет обеспечить их полноценную загрузку и по этой причине не получит экономию на масштабе, или же просто стоимость этих ресурсов намного превышает финансовые возможности заказчика. К таким ресурсам относятся специализированное программное и аппаратное обеспечение, базы данных, каналы связи и т. д. Иными словами, заказчик может, пользуясь эффектом сервисного рычага [3],
значительно увеличить объем доступных ему ресурсов, не инвестируя в их формирование, а получая временный доступ к ним, и тем самым наращивая свой производственный потенциал. Фактически речь нередко идет о возникновении у заказчика принципиальной возможности выполнять соответствующий процесс за счет использования внешних ресурсов.
2. Повышение качества выполнения процесса благодаря более высокой производительности внешних ресурсов и более высокому уровню профессиональной подготовки персонала внешнего подрядчика.
3. Снижение издержек выполнения процесса и управленческих издержек [4]. Благодаря высокой специализации аутсорсера, высокой производительности его активов и наличию эффекта экономии на масштабе производства [5], а также улучшению организационной структуры предприятия - фактически аутсорсинг может выступать в качестве инструмента реструктуризации фирмы [6].
Целесообразность перехода к аутсорсингу (и выбор аутсорсера), таким образом, определяется путем оценки тех выгод, которые заказчик получит от использования преимуществ аутсорсинга. Соответствующее решение принимается на основе расчета простого или
сложного (интегрального, учитывающего различные технико-экономические параметры процесса или функции, передаваемых на аутсорсинг) показателя ожидаемого эффекта от использования аутсорсинга. В настоящее время предложено значительное число методик для расчета таких показателей, как носящих общий характер [7; 8; 9], так и адаптированных для потребностей определенных отраслей [10; 11]; для расчета интегральных показателей существует широкий спектр процедур свертки [12; 13].
Тем не менее, наряду с достоинствами, аутсорсингу присущи и значительные недостатки, среди которых первое место занимает зависимость от аутсорсера (из-за неспособности заказчика своими силами выполнить переданный процесс или функцию). Эта зависимость влечет за собой риск того, что аутсорсер пожелает злоупотребить ею (чтобы вынудить заказчика к более выгодным для себя условиям сотрудничества). Кроме того, возникает риск того, что аутсорсер по тем или иным причинам просто не справится с выполнением переданного ему процесса, тем самым поставив под угрозу собственную хозяйственную деятельность заказчика. Наконец, существует риск того, что аутсорсер злоупотребит переданной ему в ходе выполнения договора информацией о внутренней деятельности заказчика.
При этом важно отметить, что аутсор-синговый контракт является договором, заключенным между двумя независимыми и равноправными участниками хозяйственной деятельности, и у заказчика нет никаких официальных рычагов принуждения аутсорсера к исполнению своих контрактных обязательств иначе, как по суду. Инструменты административного иерархического принуждения, типичные для внутрифирменных отношений, при аутсорсинге (как при межфирменной сделке) отсутствуют.
Таким образом, избавляясь от затрат на выполнение соответствующего процесса, заказчик одновременно лишается контроля над его исполнением.
Это означает, что заказчику при принятии решения об использовании аутсорсинга необходимо не просто рассчитать предпо-
лагаемый экономический эффект, но также учесть возможные потери, связанные с реализацией рисков аутсорсинга. Особенно это важно в такой чувствительной области, как информационные технологии. В современных условиях ненадлежащее функционирование информационной системы может привести к таким тяжким последствиям, как нарушение непрерывности существования предприятия [14; 15], что требует применения системы риск-менеджмента при реализации аутсор-синговых проектов.
Цель исследования состоит в разработке алгоритма принятия решения об использовании аутсорсинга в области информационных технологий с учетом рисков. Иными словами, мы будем рассматривать проблему сотрудничества с аутсорсером с точки зрения обеспечения информационной и экономической безопасности предприятия.
Сразу следует оговориться, что в настоящее время есть ряд публикаций, в которых исследуется проблема оценки риска аутсорсинга (к числу наиболее важных, на наш взгляд, следует отнести работы И. Д. Котлярова [12; 16], А. Х. Курбанова и А. Ф. Ямалетдинова [17]). Однако эти исследования в основном направлены на оценку рисков аутсорсинга, тогда как вопрос учета влияния этих рисков на ожидаемый экономический результат от сотрудничества с аутсорсером в них практически не затрагивается. Кроме того, эти работы не учитывают специфику информационных технологий (ИТ). Интересно отметить, что в публикациях по аутсорсингу в ИТ (весьма многочисленных) проблема учета рисков при принятии решения об использовании аутсорсинга не затрагивается либо затрагивается вскользь (авторы упоминают о необходимости учета рисков аутсорсинга, однако методики оценки этих рисков не предлагают [1; 18]).
Очевидно, что риски сотрудничества с аутсорсером могут быть оценены в денежном выражении, поскольку их реализация влечет за собой финансовые потери для заказчика. Отсюда в соответствии с методикой, предложенной В. А. Тушавиным [19] и развитой И. Д. Котляровым [20], можно ввести понятие полной стоимости информационной
системы предприятия F, которая включает в себя как затраты на создание и функционирование этой системы (включая обеспечение ее безопасности), так и возможные потери предприятия в случае ненадлежащего функционирования этой системы.
В таком случае полную стоимость информационной системы (ИС) предприятия при обеспечении ее создания и функционирования силами самого предприятия F можно
Г п г own
представить в следующем виде:
F = C + W L +
own own own, mt own, mt
+ W^own,extLown,ext + 'WNA,ownINA,own ,
(1)
для краткости и во избежание громоздких формул мы будем использовать обозначение П™пМ 1о^пМ , имея в виДУ' что поДРазУмевается
запись
L
I' •
own,int own,int J
i=1
где Сокп - собственные затраты предприятия на создание и обеспечение функционирования ИС;
- размер потерь предприятия в случае несанкционированного или недобросовестного использования ИС со стороны внутренних пользователей при самостоятельном создании и обеспечении функционирования ИС предприятием. Примером может быть ситуация, когда сотрудник трейдинговой компании может самостоятельно снять ограничение на максимально разрешенный ему объем сделок;
W . „ - вероятность наступления потерь от
own,mt ± ¿г
несанкционированного или недобросовестного использования ИС со стороны внутренних пользователей при самостоятельном создании и обеспечении функционирования ИС предприятием. Может быть определена экспертно или путем анализа уже имеющегося опыта эксплуатации ИС.
Очевидно что произведение По^пМ 1™пМ имеет смысл математического ожидания потерь предприятия в случае несанкционированного или недобросовестного поведения внутренних пользователей. Столь же очевидно, что число вариантов такого поведения очень велико, и каждый вариант будет характеризоваться определенным размером потерь и определенной вероятностью наступления, поэтому, строго говоря, нам бы следовало
п
использовать запись Хп0^пм 10*пм. Однако
!=1
^отеХ1 - размер потерь предприятия в случае недобросовестного или несанкционированного использования ИС предприятия со стороны внешних пользователей (при создании и обеспечении функционирования ИС силами предприятия). В качестве примеров можно привести ВБОБ-атаку на сервер компании, взлом ее платежной системы или кражу клиентской информации;
W , - вероятность наступления потерь
оып, ехг ± ¿г
несанкционированного или недобросовестного поведения со стороны внешних пользователей;
ЬЫА 0'„ - размер потерь предприятия в случае ненадлежащего функционирования ИС (технические сбои). Пример: «зависание» самостоятельно созданного предприятием программного обеспечения;
ШЫА окп - вероятность ненадлежащего функционирования ИС в случае ее создания и поддержки силами самого предприятия.
Аналогично, в том случае, если создание и функционирование ИС обеспечивается силами аутсорсера, то полная стоимость ИС Бои( будет равна
Fout C out + WoUt ,int Lown, int + WoUt ,extLown,ext +
+ WoutLout + WNA,outLNA,out,
(2)
где СоЫ - плата аутсорсеру за создание и поддержку ИС;
Ь ы - размер потерь заказчика от недобросовестного или несанкционированного поведения внутренних пользователей в случае создания и поддержки ИС силами аутсорсера;
М - вероятность недобросовестного или несанкционированного поведения внутренних пользователей;
ЬоЫ ех( - размер потерь заказчика от недобросовестного или несанкционированного поведения внешних пользователей;
№ - вероятность наступления потерь от недобросовестного или несанкционированного поведения внешних пользователей. Отметим, что, по нашему мнению, к числу внешних пользователей относится провайдер, обеспечивающий доступ заказчика к информационным ресурсам аутсорсера (как известно, при использовании облачных технологий необходимые заказчику информационные ресурсы используются в удаленном режиме). Это означает, что информация заказчика передается по внешним (по отношению к заказчику и аутсорсеру) каналам связи и может быть недобросовестно использована или недостаточно хорошо защищена оператором этих каналов. Кроме того, провайдер связи может испытывать технические проблемы, из-за чего доступ заказчика к необходимым ему информационным ресурсам может быть ограничен. Таким образом, мы считаем необходимым учитывать также риски недобросовестной или некачественной работы провайдера интернет-доступа;
Ьои( - размер потерь заказчика от недобросовестного или несанкционированного поведения аутсорсера (т. е. от целенаправленного срыва аутсорсером выполнения своих контрактных обязательств). Нам представляется целесообразным выделить эту категорию возможных потерь заказчика в качестве самостоятельной, поскольку она связана со специфическими рисками аутсорсинга. Примером ситуации, в которой могут возникнуть такие потери заказчика, служит передача аутсорсером полученной им от заказчика информации его конкурентам. Эта вероятность может быть оценена экспертно, кроме того, в настоящее время существуют шкалы для оценки добросовестности аутсорсера [17]. Отметим, что на сегодняшний день при использовании международного ИТ-аутсорсинга для российских предприятий существуют риски включения в санкционные списки США и ЕС, после чего сотрудничество западных контрагентов с этими предприятиями может быть приостановлено (как это произошло при международном аутсорсинге в российской нефтегазовой отрасли [21]). При оценке возможных потерь заказчика от недобросовестного или
несанкционированного поведения аутсорсера мы предлагаем учитывать и эти риски;
Шои( - вероятность недобросовестного или несанкционированного поведения аутсорсера;
Ьш и - размер потерь заказчика из-за ненадлежащего функционирования ИС в случае ее создания и обеспечения функционирования силами аутсорсера;
и - вероятность ненадлежащего функционирования ИС.
Таким образом, экономический эффект от использования ИТ-аутсорсинга (с учетом требований безопасности) Б8 может быть определен по следующей формуле:
Е = ^о-лт — ^спИ. (3)
Очевидно, что использование ИТ-аутсорсинга целесообразно в том случае, если выполняется условие Е3 > 0 .
Таким образом, алгоритм принятия решения об использовании ИТ-аутсорсинга с учетом требований экономической и информационной безопасности имеет следующий вид:
1. Определяется (по формуле (1)) полная стоимость информационной системы при ее создании и обеспечении функционирования силами предприятия.
2. Определяется (по формуле (2)) полная стоимость информационной системы при ее создании и обеспечении функционирования силами аутсорсера.
3. Рассчитывается (по формуле (3)) экономический эффект от использования ИТ-аутсорсинга.
4. На основе выполнения (или невыполнения) условия Е3 > 0 принимается решение об использовании ИТ-аутсорсинга (или об отказе от него).
Вероятно, для повышения достоверности расчетов, по формулам (1-3) следует оценивать нечеткие значения полной стоимости ИС и нечеткие значения экономического эффекта от использования аутсорсинга.
На практике выполнения условия Е3 > 0 может быть недостаточно для принятия решения об использовании аутсорсинга, поскольку, во-первых, предприятие может требовать не просто положительного значения экономического эффекта, а превышение некоторого
порогового значения ESmin, и, во-вторых, предприятию может быть необходимо, чтобы величина затрат на создание и функционирование информационной системы, размер потерь от разнообразных нежелательных ситуаций и вероятность наступления этих ситуаций в случае использования ИТ-аутсорсинга были не больше некоторого порогового значения. Тогда условие Е5 > 0 заменяется более сложным условием (4)
ES — ES mm ;
C < с •
out — out ,max '
W ■ < Wmax •
out ,int - out,mt'
т < w max •
out ,int - out ,int'
W < Wmax •
out ,ext — out,ext'
(4)
т < Wmax •
out ,ext — out ,ext'
W < W max •
out out
т < т max •
Lout < Lout •
W < Wmax •
" NA,out — fr NA,out'
т < W max
NA,out fr NA,out ■
Условие (4) отражает все потребности предприятия при переходе к ИТ-аутсорсингу.
В ситуации, когда заказчику необходимо выбрать одного из нескольких потенциальных аутсорсеров, наряду с условием (4), следует требовать выполнения условия ES ^ max .
Отличие предлагаемой нами методики от традиционного алгоритма обоснования целесообразности использования ИТ-аутсорсинга заключается в том, что в традиционном алгоритме требуется лишь выполнение условия Cown > Cout, тогда как мы в качестве критерия целесообразности перехода к ИТ-аутсорсингу предлагаем (в базовом варианте) выполнение условия ES > 0 (что равнозначно условию F > F )
own out '
Очевидно, что расчет полной стоимости ИС и оценка целесообразности использова-
ния ИТ-аутсорсинга по предложенному нами алгоритму представляет собой достаточно трудоемкий процесс, в силу чего мы рекомендуем наш алгоритм к применению только для крупных предприятий (для которых как выгоды аутсорсинга, так и его риски достаточно велики, что оправдывает применение сложных методик обоснования переходу к ИТ-аутсорсингу). В ситуации, когда риски, связанные с нарушением информационной безопасности, сравнительно невелики, предприятие вполне может использовать традиционный подход (выполнение условия С окп > Сои().
Из формул (1-3) очевидно, что переход к ИТ-аутсорсингу с учетом требований информационной безопасности оправдан в трех основных ситуациях:
1. При значимом для заказчика снижении полной стоимости ИС, достигнутом за счет как снижения затрат на ее создание и поддержку, так и уменьшения вероятных потерь от ненадлежащего функционирования и использования ИС.
2. При значимом для заказчика снижении затрат на создание и поддержку ИС при условии, что уровень безопасности ИС не снижается по сравнению с ее созданием и поддержкой собственными силами заказчика.
3. При существенном повышении уровня безопасности ИС, полностью компенсирующем рост затрат на создание и поддержку ИС.
Предложенный нами алгоритм, как было заявлено выше, позволяет учесть не только требования снижения затрат на создание и эксплуатацию ИС, но также и требования экономической и информационной безопасности предприятия. По этой причине, как мы полагаем, этот алгоритм будет представлять интерес как для теоретиков, так и для практических специалистов, работающих в сфере ИТ-аутсорсинга.
Список литературы
1. Аалдерс Р. ИТ-аутсорсинг. Практическое руководство. М.: Альпина Бизнес Букс, 2004. 300 с.
2. Аникин Б. А., Рудая И. Л. Аутсорсинг и аутстаффинг: высокие технологии менеджмента: Учебное пособие. М.: ИНФРА-М, 2009. 320 с.
3. Котляров И. Д. Сервисный рычаг и обеспечение доступа к производственным активам предприятия // Вестник НГУЭУ. 2014. № 4. С. 164-172.
4. Кирьянов И. В. Количественная оценка трансакционных издержек организации. Общий методический подход // Вестник НГУЭУ 2015. № 1. С. 78-101.
5. Котляров И. Д. Анализ механизма формирования цены на услуги аутсорсера // Организатор производства. 2013. № 3. С. 73-77.
6. Фархутдинов И. И. Реструктуризация промышленных предприятий на основе сорсингового маневра // Социально-экономические и технические системы: исследование, проектирование, оптимизация. Т. 63. 2013. № 1. С. 77-84.
7. Котляров И. Д. Проблемы оценки экономического эффекта аутсорсинга // Проблемы экономики и управления нефтегазовым комплексом. 2013. № 6. С. 9-13.
8. Курбанов А. Х. Алгоритм управления отношениями с аутсорсером // Современные исследования социальных проблем (электронный научный журнал). 2012. № 1. С. 25-36.
9. Курбанов А. Х. Методика оценки целесообразности использования аутсорсинга // Современные проблемы науки и образования. 2012. № 1. С. 231.
10. Котляров И. Д. Оценка экономического эффекта от использования аутсорсинга в нефтегазовой отрасли // Проблемы экономики и управления нефтегазовым комплексом. 2014. № 3.С. 20-23.
11. Лубман Е. В. Организационно-экономический механизм применения аутсорсинга в управлении имуществом на промышленном предприятии: Автореф. дис. ... канд. экон. наук. М.: Московский государственный технологический университет «Станкин», 2010.
12. Котляров И. Д. Алгоритм отбора аутсорсеров по критерию способности обеспечить целевые значения показателей, описывающих передаваемый процесс // Проблемы экономики и управления нефтегазовым комплексом. 2012. № 10. С. 50-54.
13. Руденко Е. Н., Кравец О. Я. Моделирование выбора поставщика интернет-услуг на основе системы поддержки принятия решений // Экономика и менеджмент систем управления. Т. 4. 2012. № 2. С. 74-79.
14. Бугорский В. Н., Стельмашонок Е. В. Экономические проблемы информационной безопасности: новый взгляд // Вестник ИНЖЭКОНа. Серия: Экономика. 2013. № 1. С. 67-71.
15. Васильева И. Н., Стельмашонок Е. В. Современный взгляд на управление информационной безопасностью предприятия // Вестник ИНЖЭКОНа. Серия: Экономика. 2014. № 1. С. 166-171.
16. Котляров И. Д. Оценка рисков сотрудничества с аутсорсером // Проблемы экономики и управления нефтегазовым комплексом. 2012. № 11. С. 34-37.
17. Курбанов А. Х., Ямалетдинов А. Ф. Инструментарий управления аутсорсинговы-ми отношениями для Внутренних войск Российской Федерации // Научный журнал НИУ ИТМО. Серия: Экономика и экологический менеджмент. 2014. № 2. С. 625-642.
18. Тушавин В. А. Особенности аутсорсинга в сфере информационно-коммуникационных технологий // Менеджмент и бизнес-администрирование. 2014. № 1. С. 79-86.
19. Тушавин В. А. Методика оптимизации численности персонала провайдера // Информационно-управляющие системы. 2014. № 6. С. 129-133.
20. Котляров И. Д. Формализация задачи распределения функций между различными аутсорсерами // Анализ, моделирование, управление, развитие социально-экономических систем: сборник научных трудов IX Международной школы-симпозиума АМУР-2015, Севастополь, 12-21 сентября 2015 г. / Под ред. доцента А. В. Сигала. Симферополь: КФУ имени В. И. Вернадского, 2015. С. 174-176.
21. Пермякова Т. В., Файзуллин Р. В. Анализ влияния санкций США и ЕС на разработку новых нефтяных месторождений в России и пути решения проблемы // Вестник Ижевского государственного технического университета. 2015. № 1. С. 65-66.
