Управление рисками и финансовый аспект импортозамещения ИТ. Результаты исследования
Аналитики Rubytech и СТРИМ Консалтинг провели совместное исследование ИТ-рисков (включая финансовый аспект), с которыми сталкиваются компании, откладывающие процесс замещения зарубежных ИТ-продуктов российскими аналогами. Эти знания помогут ИТ-директорам планировать среднесрочные и долгосрочные затраты на ИТ с учётом возможных угроз и рисков. Авторы: Петр Городецкий, директор по консалтингу и аналитике, СТРИМ Консалтинг; Илья Сухов, директор отделения стратегии, Rubytech; Екатерина Самсонова, консультант, Rubytech.
Содержание |
Импортозамещение многогранно и многолико: мы выделяем три главных аспекта этого всепроникающего явления — политический, технический и финансовый. Но вне зависимости от того, какие факторы являются отправной точкой на пути к импортозамещению — политические или технические — все в итоге сводится к финансам. Этому вопросу и посвящена наша статья.
Ключевые аспекты импортозамещения
Фактор импортозамещения оказывает значительное влияние на ИТ-рынок и поведение заказчиков. Начало специальной военной операции, уход западных вендоров, а также соответствующие регуляторные инициативы государства (например, Указ Президента Российской Федерации от 30.03.2022 № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации») во многом стали движущим фактором роста спроса на отечественные аппаратные и программные решения.
Задумываясь о переводе ИТ-ландшафта в состояние полного или частичного импортозамещения, руководители компаний сегодня вынуждены учитывать ряд политических, технических и финансовых аспектов (см. Рис. 1).
Значимость каждого из этих факторов зависит от профиля конкретной компании.
Политический аспект
Сегодня с большой долей уверенности можно сказать, что ограничения со стороны государства с нами надолго, поэтому многие организации, прежде всего, страхуют себя от рисков, связанных с требованиями регуляторов. Особенно чувствительны к последствиям невыполнения указаний регулятора организации госсектора, компании с государственным участием и крупные финансовые структуры.
Отсюда следует первый вывод: сегодня основным драйвером спроса на отечественные ИТ-решения является политический аспект импортозамещения.
Технологический аспект
Не менее важное влияние на решения компаний в области импортозамещения оказывает и технологический аспект. До сих пор компании, [пока] не подпадающие под регуляторные ограничения, продолжают использовать западные ИТ-решения. Даже несмотря на отсутствие прямой поддержки от производителя, сложности с обновлениями и необходимость выстраивать кардинально новую логистику, ведь многие вендоры просто ушли из страны, остановив продажи и прекратив поддержку своих продуктов. Основная причина активного использования зарубежных продуктов проста: отечественные аналоги пока ещё уступают им с точки зрения технологической зрелости и не доказали свою работоспособность на длинной дистанции. Это может привести к потенциальным сбоям и реализации других рисков (см. Рис. 3).
При этом оборудование имеет свойство изнашиваться и требует обслуживания и замены, а потребности компаний в ИТ постоянно растут. Ещё один немаловажный фактор: вместе с обновлениями увеличивается риск получения вирусов и вредоносных программ. Отечественные поставщики готовы оперативно реагировать на инциденты, а в новых условиях вынуждены инвестировать значительные ресурсы в повышение качества и функциональности своих продуктов. В этих условиях, чтобы обеспечить себе свободу технологического развития, многие организации решают ступить на тропу импортозамещения.
Финансовый аспект
При сильном влиянии политических и технологических факторов финансовый аспект отходит на второй план, однако мы считаем, что не все так очевидно. Финансовый аспект импортозамещения можно рассматривать с нескольких точек зрения:
- с точки зрения возврата инвестиций;
- с точки зрения оптимизации стоимости владения;
- с точки зрения снижения влияния рисков.
К сожалению, политические факторы снижают влияние фактора ROI (коэффициент рентабельности инвестиций), так как в попытках закрыть эти риски компании (особенно крупные организации с государственным участием) тратят значительные средства на закупку отечественных решений. В итоге фактор окупаемости уходит на самый дальний план, и на отрезке в 5–10 лет горизонт возврата инвестиций банально не виден. При этом существует опасность получить повышенную стоимость владения ИТ-инфраструктурой на продолжительный срок.
Что же касается оптимизации стоимости, то она в некоторой степени пересекается с фактором ROI, однако более очевидна для заказчика. Бизнесу важно, чтобы импортозамещение в перспективе не вылилось в повышение стоимости владения ИТ-инфраструктурой, поэтому несмотря на готовность закупать отечественное оборудование и приложения (CAPEX[1]), заказчик будет более тщательно следить, чтобы OPEX[2] оставался не выше, чем при эксплуатации западных продуктов.
В свою очередь, оценка рисков — самая трудоемкая категория финансовых аспектов. Однако именно она позволяет учесть и технологические, и политические аспекты в динамике, а также выразить их в конкретных величинах.
Динамика изменения стоимости рисков и владения ИТ-ландшафтом
Как с технологической, так и с финансовой точки зрения на длинной дистанции затраты и стоимость рисков использования зарубежных продуктов будут со временем увеличиваться быстрее, чем стоимость рисков использования отечественных решений (см. Рис. 2а и 2б).
Стоимость владения ИТ-ландшафтами на западных решениях
- Стоимость владения увеличивается в связи с инфляцией, падением курса рубля, ростом стоимости поддержки, запчастей, логистики, удорожанием специалистов и т.п.
- Идентифицированные риски в случае их реализации имеют свойство увеличиваться в цене потерь (стареет техника, растет вероятность отказов и т.п.).
Стоимость владения ИТ-ландшафтами на отечественных решениях
- Стоимость владения ИТ-ландшафтами этого типа со временем будет снижаться, потому что на неё не влияют некоторые факторы (например, рост стоимости логистики).
- Риски ИТ-ландшафтов не нулевые, но их цена с течением времени не увеличивается, а снижается: растёт ассортимент продуктов, повышается их надёжность и производительность, увеличивается качество продуктов и услуг, персонал приобретает знания и опыт.
Основные риски в области сопровождения ИТ
Для предметного разговора о рисках, свойственных ИТ-ландшафтам, построенным на зарубежных и отечественных продуктах, стоит ознакомиться с их профилем.
Все риски разделены на два больших сегмента — внешние и внутренние. Реализация внешних рисков не зависит от владельцев ИТ-ландшафтов, поскольку они не могут влиять на вероятность их наступления. Управление такими рисками включает мероприятия по снижению их влияния на ИТ-сегмент организации. Сюда отнесены регуляторные риски (влияние государственного нормотворчества и решений правительства), санкционные риски (последствия использования параллельного импорта и усиление экспортного контроля со стороны вендоров) и рыночные риски (слияния, поглощения, прекращение деятельности вендоров). А вот внутренние риски — это потенциальные угрозы, источник которых внутри компании, и, следовательно, они находятся полностью под управлением владельцев ИТ-ландшафтов. К ним относятся: технологические риски, риски в области ИБ, риски ограничения развития, организационные риски.
Риски из обоих сегментов применимы как для ИТ-ландшафтов, построенных на зарубежных решениях, так и для полностью импортозамещённых. Однако на уровне групп рисков начинаются различия.
Как видно из профиля рисков (см. Рис. 3), угроз, связанных с использованием западного оборудования, очень много (оранжевые отметки). В различных сочетаниях и комбинациях они могут представлять значительные барьеры в функционировании ключевых процессов, особенно для крупной организации. Устранять эти проблемы будет очень сложно и затратно.
Уровень рисков и отраслевая специфика
Классический подход к управлению рисками опирается на понятие «уровень риска». Уровень риска определяется на основании оценки вероятности наступления риск-события, а также величины ущерба, который понесет компания в случае его реализации. |
Уровень рисков может варьироваться для компаний из различных отраслей. Если, к примеру, говорить о финансовой сфере или о промышленности, то в первом случае в топ-5 рисков войдут регуляторные, санкционные, технологические риски и риски в области ИБ, а также организационные риски. Основная пятерка рисков, которые могут закончиться финансовыми потерями в 75% случаев:
- риски, связанные с обходом санкционных ограничений, в частности, риски использования нелицензированного ПО;
- риски, связанные с обходом регуляторных ограничений;
- прекращение нормального функционирования ПО и оборудования после окончания срока лицензии;
- риски получения программных обновлений с закладками
- вредоносным ПО в западных продуктах;
- недостаток персонала соответствующей квалификации.
В пятёрку рисков для промышленности войдут:
- изменение государственного регулирования (ввод новых требований, предполагающих перевод объектов КИИ на отечественное программное обеспечение и оборудование);
- ужесточение санкционных ограничений (например, нарушение или невозможность использования действующих логистических цепочек для поставки нового оборудования и/или запасных частей для поддержки эксплуатирующегося оборудования в рабочем состоянии);
- обход санкционных ограничений, например, использование нелицензированного ПО;
- невозможность или ввод ограничений в части доработки (модификации) западного программного обеспечения и оборудования;
- недостаток персонала заданной квалификации.
Чтобы обезопасить себя от возможных рисков, эксперты компаний Rubytech и «СТРИМ Консалтинг» рекомендуют обращаться к доверенным ИТ-консультантам. В первую очередь, речь идет о консалтинге по оптимизации стоимости владения ИТ-ландшафтами, а также цены рисков, которые могут повлиять не только на финансовые аспекты, но и на репутацию и бизнес компании.
Возможный подход к оценке стоимости рисков
Для определения уровня риска авторы исследования предлагают использовать формулу (Рис. 4). Она позволит оценить стоимость того или иного риска (группы рисков) с точки зрения простоя системы. Ключевыми элементами формулы являются:
- компонент «Время» (time) — это время простоя системы, которая автоматизируют те или иные процессы;
- компонент «Издержки» (expenses) — прямые и косвенные потери вследствие простоя системы;
- компонент «Вероятность»[3] (probability) — вероятность наступления того или иного риска/группы рисков.
О чем важно помнить бизнесу
При формировании программы импортозамещения важно руководствоваться не только необходимостью соблюдения регуляторных требований в краткосрочной перспективе, но и учитывать последствия принятых решений в перспективе 5–10 лет. Важно понимать динамику изменения стоимости рисков и стоимости владения ИТ-ландшафтом наряду с технологической зрелостью отдельных продуктов и комплексных решений.
Проведение оценки стоимости рисков потребует от организации определенного уровня зрелости, наличия соответствующих методик, навыков и компетенций. Хотя этот процесс требует от бизнеса значительных усилий, необходимо проводить его на регулярной основе. Достижение оптимального баланса между всеми ключевыми аспектами, включая финансовый, — залог устойчивого развития ИТ-ландшафта предприятия в непрерывно меняющихся условиях.
Примечания
- ↑ CAPEX (Capital Expenditure) — капитальные затраты компании. Это расходы на приобретение новых или совершенствование действующих активов предприятия со сроком службы более одного года.
- ↑ OPEX (Operating Expenditure) — операционные затраты компании. К ним относятся расходы, связанные с текущей деятельностью компании и влияющие на её операционную прибыль.
- ↑ Вероятность оценивается экспертным путем, в том числе, на основе статистики по аналогичным инцидентам, накопленной у авторов исследования.