Практически закончив работу над слайдкастом пришел к выводу, что материал тяжеловат для такой подачи информации, и решил остановиться. В любом случае, выкладываю полный текст:
В России сложно найти две одинаковые службы ИБ. Где-то вопросами ИБ занимается служба ИТ, где-то функцию ИБ возлагают на операционный или производственный департамент, где-то слова «информационная безопасность» вызывают недоумение. Да, это наша действительность. Однако необходимо знать тенденцию, видеть тренд развития отрасли, и понимать куда мы рано или поздно придем? Тренд, на мой взгляд, следующий. В подавляющем большинстве средних и крупных компаний служба ИБ будет отделена от ИТ и встанет под контроль ТОР-менеджмента. Руководитель службы ИБ станет, в первую очередь, МЕНЕДЖЕРОМ, человеком бизнеса, чья основная задача - управлением рисками. Рынок услуг ИБ будет расти и расти быстро вне зависимости от новых законов, требований регуляторов, да и кризисы не помешает развитию рынка. Также будут меняться предпочтения отдельных участников рынка, которые стараются «все делать своими силами» (риск-менеджмент исключает такой подход).
К чему я виду? К тому, что сталкиваться со всякими консультантами, интеграторами и еже с ними, придется все чаще. А значит, будет полезно получить инструментарий по работе с ними.
На сегодняшний день, по моей оценке, 9 из 10 выборов консультанта, к сожалению, осуществляются просто непрофессионально. Более подробно я об этом говорил в предыдущем слайдкасте.
Собственно сегодняшний слайдкаст материал о том, как наиболее профессионально отбирать поставщика услуг ИБ. Вернее о том, какая модель прошла проверку временем и о том как ей вообще пользоваться.
Начнем с начала
Выбор поставщика услуги это такой же бизнес-процесс как и любой другой, а значит цивилизованный мир уже давно придумал общие и частные рецепты, как это делать наиболее эффективно. Опыт и практика у мирового сообщества уже есть, нужно лишь переложить существующие рекомендации на нашу специфику.
Известный для нашего рынка, благодаря одноименному «циклу» профессор Деминг, еще пол века назад сформулировал свои «14 принципов», которые легли в основу серии ISO 9000 (Стандарты менеджмента качества). На основе этих принципов выросла вторая экономика мира (да и первая тоже). Так вот, 4-й, из этих принципов, звучит так:
Покончите с практикой закупок по самой низкой цене. Вместо этого, наряду с ценой, требуйте серьезных подтверждений ее качества. Уменьшите число поставщиков одного и того же продукта путем отказа от услуг тех из них, кто не смог статистически подтвердить его качество. Стремитесь к тому, чтобы получать все поставки данного компонента только от одного производителя, на основе установления долговременных отношений взаимной лояльности и доверия. Целью в этом случае является минимизация общих затрат, а не только первоначальных.
Другими словами, вместо попыток строить долговременную стратегию бизнеса на основе низких цен продажи и/или закупок, Э. Деминг советует:
1) Свести к минимуму совокупные затраты; 2) Стараться работать с 1 поставщиком.
Вот так!
Что такое совокупные затраты? Совокупные затраты – это не только цена товара, а еще и затраты на контроль, на исправление дефектов, плюс разнообразные риски.
Формулу можно представить следующим образом:
(Зс = Совокупные затраты) = (Цк = контрактная цена) + (Зк = затраты на контроль) + (Зи = затраты на исправление дефектов) + (R = риски – финансовые, репутационные и т.д.)
Совокупные затраты нужно посчитать по каждому поставщику, а после этого, если рассматривается много потенциальных поставщиков, поделить их на группы:
Группа А, те у кого Зс ≈ Цк Группа В, те у кого Зс ≈ 1,2 Цк Группа С, те у кого Зс ≈ 1,4 Цк С группами D, E, F и G – не работают в принципе.
После деления поставщиков на группы следует их разделение по направлениям сотрудничества.
Например:
- для аутсорсинга важных процессов привлекается только группа А,
- для аутсорсинга менее важных процессов достаточно группы В,
- для закупок в режиме быстро и качественно только группа А,
и т.д.
Отсюда следует объяснение, почему в Европе и Штатах проводится на порядок меньше тендеров, чем у нас. Все дело в том, что заказчик выбирает только одного поставщика и планомерно «доращивает» его до требований своего потребителя. Иногда оказывается выгодно выбрать уже очень компетентного поставщика, а иногда выбрать перспективного и «заточить» его под себя (все зависит от показателя совокупных затрат). И тот и другой вариант возможен, т.к. контракты выстраиваются на долгосрочную перспективу.
Отсюда же вытекает принцип «выйграл-выйграл», когда поставщик и заказчик становятся партнерами, а не стремятся «прогнуть» друг друга по цене.
Сделаем небольшое отступление
Предложенная схема, работы с поставщиками используется не только в General Electric, Toyota, Mercedes или Shell, точно по такому же принципу отбирают поставщиков и под государственные контракты в ФРГ, США, Японии, Канаде и т.д.
А теперь вспомним наш замечательный 94-ФЗ о госзакупках («О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд»), который приняли в 2005 году. Суть этого закона сводится к необходимости государственных закупок по самой низкой цене.
Всего в законодательстве определены две основные процедуры: аукционы и конкурсы.
В Аукционе единственный критерий выбора – цена. Проводить аукцион просто, и эта процедура используется для закупок типовых вещей. Хотя даже тут понятно, что самые дешевые стол и стул очевидно не прослужат долго и через год-два их придется закупать вновь.
Если речь идет о технически сложных товарах или услугах, то организуется Конкурс/Тендер. Здесь заявки претендентов оцениваются по специальной системе баллов. Эта система учитывает и цену, и качество, и сроки и т. п. Но цена все равно главный фактор.
А теперь ответим на вопрос:
Как эта схема согласуется с принципами Деминга?
Да, НИКАК!
Руководствуясь этой схемой, получается, что наше государство в принципе не должно покупать качественных технически сложных товаров и услуг. Если даже исключить всю коррупционную составляющую (а будем правдивы, воровать меньше не стали) государство будет по прежнему покупать дорого. Дело в том, что цена контракта будет низкой, а Зс останутся высокими, т.к. за низкую закупочную цену придется расплачиваться, обслуживанием, сопровождением, модификацией и т.д.
Что ж, это все о выборе поставщиков в общем...
Чем описанная выше схема выбора поставщиков интересна для закупок в области ИБ?
Итак, оценка поставщиков производится ДО ПОДПИСАНИЯ КОНТРАКТА, ее Цель - оценить соотношение контрактной цены и совокупных затрат.
Оценка производится косвенно по специальным оценочным анкетам. В крупных компаниях это около 2000 вопросов – частных критериев оценки. Некоторые опросники крупных закупщиков (Boeing, Ford, Wal-Mart и т.д.) при желании можно найти в интернете и адаптировать под себя. Если ваша компания небольшая, то вы можете выбрать свою систему оценки. Тем, кто проводил аудиты ИБ будет проще, здесь нужно выбрать критерии и свидетельства оценки.
Критерии лучше сразу выбирать таким образом, чтобы было понятно на какие групповые критерии в формуле они влияют:
(Зс = Совокупные затраты) = (Цк = контрактная цена) + (Зк = затраты на контроль) + (Зи = затраты на исправление дефектов) + (R = риски – финансовые, репутационные и т.д.)
Критериями могут быть надежность решений, удобство эксплуатации, расторопность поставщика, способность поставщика доработать решение в ходе проекта и т.п. В зависимости от компании и поставленной задачи таких критериев может быть от 10-20 до несколько сотен. После того как критерии определены, нужно субъективно расставить веса по каждому критерию в зависимости от его значимости и приступить к сбору свидетельств. Часть свидетельств можно легко собрать задав короткие вопросы самим поставщикам, а некоторые (вроде «расторопность поставщика») проще оценить исходя из собственного опыта, если такового не достаточно, то можно поспрашивать друзей, знакомых, да и просто «коллег по цеху». Получить 3-5 отзывов и сделать вывод.
Итак, критерии разработаны, веса по каждому критерию расставлены, свидетельства собраны, выводы сделаны, осталось проанализировать результаты, и если необходимо сгруппировать поставщиков. Проще всего взять шкалы в процентах (от 100%) или 90-балльную VDA (к ней привыкли немцы).
Группируем поставщиков (по 100% шкале): 1. Группа А - ≥ 92% 2. Группа В - ≥ 80% 3. Группа С - ≥ 65% 4. Группа D - ≥ 50%
Традиционно в группу А войдут 1-3 поставщика. В группы B и C попадет бОльшая часть рассматриваемых поставщиков. С поставщиками группы D, большинству средних (и уж тем более, крупных компаний) лучше не работать.
В результате мы оценили поставщиков и разделили их по группам. Если вы рассматривает небольшое число потенциальных поставщиков, то соответственно разделять по группам их не нужно.
Теперь если у вас несколько направлений сотрудничества по ИБ, то можно для каждого направления определить свою группу (или поставщика).
В итоге
Что ж, с таким анализом можно и проект защитить и деньги быстрее выделить, да и с профессиональной точки зрения это выглядит значительно лучше, чем «Ну… по деньгам победили вот эти». Предложенная модель будет понятна любому грамотному руководителю или собственнику. В результате получается, что навык оценки поставщика по предложенной схеме добавляет еще одну монету в копилку бизнес-ориентированности службы ИБ.
Теперь коротко.
Последовательность работы с поставщиками: 1. Разработали систему оценки поставщиков; 2. Получили ценовое предложение; 3. Оценили по групповым критериям Цк, Зк, Зи и R; 4. Выбрали и утвердили поставщиков по направлениям сотрудничества; 5. Разработали меры по управлению рисками; 6. Начались поставки (работы по договору) – ведем мониторинг по R; 7. Анализируем результаты мониторинга и принимаем управленческие решения.
Тезисы: • Руководитель службы ИБ – Риск-менеджер. • Поставщик выбирается не по цене контракта, а по показателю Совокупных затрат. • Навык оценивания поставщиков поднимает ценность Руководителя службы ИБ для бизнеса.
Две ремарки относительно приведенной методики.
Во-первых, идеального поставщика услуг не существует в принципе, так как совокупные затраты никогда не будут равны цене контракта. Почему? Да потому, что аутсорсера а) всегда должен кто-то «изнутри» контролировать ) они ВСЕГДА работают с дефектами (пусть и с очень маленькими, но идеала не существует никогда) в) риски присутствуют всегда, далеко не всегда точно просчитываемы и они всегда ложатся на плечи организации, так как ни одна контора не согласится с методикой рассчета и далеко не каждая примет эти риски хотя бы в какой-нибудь пропорции на себя.
Получается, что мы всегда работаем с подрядчиками групп Б и В. И тут получается интересный парадокс: чем меньше контрактная цена (стоимость проекта), тем выше категория подрядчика, так как меньше рисков, мельче дефекты и ниже затраты на контроль в виду меньшего времени реализации проекта! Поэтому, по такой методе, каждый крупный инвестиционный проект в идеале нужно раздробить на несколько маленьких, нанимать кучу контор и закрываться поэтапно.
Вторая ремарка относительно условий российской действительности: в формуле отсутствует самая главная составляющая — Отк, означающая размер отката. И эта переменная перебивает все остальные.
«Получается, что мы всегда работаем с подрядчиками групп Б и В. И тут получается интересный парадокс: чем меньше контрактная цена (стоимость проекта), тем выше категория подрядчика, так как меньше рисков, мельче дефекты и ниже затраты на контроль в виду меньшего времени реализации проекта!»
Не соглашусь. Из-за того, что меньше времени на реализацию вовсе не следует «меньше рисков, мельче дефекты», да затраты на контроль ниже, но дефектов в виде «недоделок» меньше не станет, а скорее будет больше
Поясню. Опять же, согласно методе, если одну большую задачу разделить на составляющие проекты, и реализовать их все поэтапно, при этом каждый этап рассматривать именно как отдельный проект, а всю задачу — как нечто глобально-долгосрочное реализуемое под контролем супервайзора, то по отношению к общей задаче снижение бизнес-показателей показатели может быть компенсировано на следующих этапах, а недоделки будут обнаружены и устранены на ранней стадии ввиду того, что область контроля существенно снижается. Поэтому, на «маленьком» проекте дефектов будет меньше, риски — ниже, и контроля надо будет меньше гораздо.
Теория относительности в действии ;)
Улыбнули. Правы оба. Но все таки я тоже склоняюсь к точке зрения Алексея. Пробовали оба способа. При разбиении на более мелкие задачи уходит чуть больше времени на реализацию всего проекта. Зато более тщательней выбираешь исполнителей.
Истину глаголете, Александр! :) Правда на практике бывает так, что сделать нужно все, сразу и сейчас (а чаще — вчера), и потому никакие методики тут уже не помогают.
Это точно! Увы и АХ
Ладно уж вам, :-)
Никто ж не спорит, что здравый смысл превыше методик.
Эх, Евгений… Как посмотришь на проектный менеджмент в стране нашей — так понимаешь, что толковых руководителей у нас раз два и обчелся. Не только на проектах, но и на местах. Руководителя надо растить, учить, воспитывать… Руководитель должен быть готов к испытанию властью, должен знать, как ей распоряжаться на благо компании, коллектива и каждого члена команды. В России руководитель — тот, кто занимает кожаное кресло в отдельном кабинете, и только потому что «так сложилось». Поэтому простые специалисты, что-то понимающие в предмете, а чаще — бестолковые, бездарные идиоты, дорвавшиеся до минимальной власти, считают себя крутыми менеджерами, а на самом деле становятся чудаками на букву м.