2024/02/21 12:17:13

Управление рисками и финансовый аспект импортозамещения ИТ. Результаты исследования

Аналитики Rubytech и СТРИМ Консалтинг провели совместное исследование ИТ-рисков (включая финансовый аспект), с которыми сталкиваются компании, откладывающие процесс замещения зарубежных ИТ-продуктов российскими аналогами. Эти знания помогут ИТ-директорам планировать среднесрочные и долгосрочные затраты на ИТ с учётом возможных угроз и рисков. Авторы: Петр Городецкий, директор по консалтингу и аналитике, СТРИМ Консалтинг; Илья Сухов, директор отделения стратегии, Rubytech; Екатерина Самсонова, консультант, Rubytech.

Содержание

Импортозамещение многогранно и многолико: мы выделяем три главных аспекта этого всепроникающего явления — политический, технический и финансовый. Но вне зависимости от того, какие факторы являются отправной точкой на пути к импортозамещению — политические или технические — все в итоге сводится к финансам. Этому вопросу и посвящена наша статья.

Ключевые аспекты импортозамещения

Фактор импортозамещения оказывает значительное влияние на ИТ-рынок и поведение заказчиков. Начало специальной военной операции, уход западных вендоров, а также соответствующие регуляторные инициативы государства (например, Указ Президента Российской Федерации от 30.03.2022 № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации») во многом стали движущим фактором роста спроса на отечественные аппаратные и программные решения.

Задумываясь о переводе ИТ-ландшафта в состояние полного или частичного импортозамещения, руководители компаний сегодня вынуждены учитывать ряд политических, технических и финансовых аспектов (см. Рис. 1).

Рис. 1. Импортозамещение: три ключевых аспекта

Значимость каждого из этих факторов зависит от профиля конкретной компании.

Политический аспект

Сегодня с большой долей уверенности можно сказать, что ограничения со стороны государства с нами надолго, поэтому многие организации, прежде всего, страхуют себя от рисков, связанных с требованиями регуляторов. Особенно чувствительны к последствиям невыполнения указаний регулятора организации госсектора, компании с государственным участием и крупные финансовые структуры.

Отсюда следует первый вывод: сегодня основным драйвером спроса на отечественные ИТ-решения является политический аспект импортозамещения.

Технологический аспект

Не менее важное влияние на решения компаний в области импортозамещения оказывает и технологический аспект. До сих пор компании, [пока] не подпадающие под регуляторные ограничения, продолжают использовать западные ИТ-решения. Даже несмотря на отсутствие прямой поддержки от производителя, сложности с обновлениями и необходимость выстраивать кардинально новую логистику, ведь многие вендоры просто ушли из страны, остановив продажи и прекратив поддержку своих продуктов. Основная причина активного использования зарубежных продуктов проста: отечественные аналоги пока ещё уступают им с точки зрения технологической зрелости и не доказали свою работоспособность на длинной дистанции. Это может привести к потенциальным сбоям и реализации других рисков (см. Рис. 3).

При этом оборудование имеет свойство изнашиваться и требует обслуживания и замены, а потребности компаний в ИТ постоянно растут. Ещё один немаловажный фактор: вместе с обновлениями увеличивается риск получения вирусов и вредоносных программ. Отечественные поставщики готовы оперативно реагировать на инциденты, а в новых условиях вынуждены инвестировать значительные ресурсы в повышение качества и функциональности своих продуктов. В этих условиях, чтобы обеспечить себе свободу технологического развития, многие организации решают ступить на тропу импортозамещения.

Финансовый аспект

При сильном влиянии политических и технологических факторов финансовый аспект отходит на второй план, однако мы считаем, что не все так очевидно. Финансовый аспект импортозамещения можно рассматривать с нескольких точек зрения:

  1. с точки зрения возврата инвестиций;
  2. с точки зрения оптимизации стоимости владения;
  3. с точки зрения снижения влияния рисков.

К сожалению, политические факторы снижают влияние фактора ROI (коэффициент рентабельности инвестиций), так как в попытках закрыть эти риски компании (особенно крупные организации с государственным участием) тратят значительные средства на закупку отечественных решений. В итоге фактор окупаемости уходит на самый дальний план, и на отрезке в 5–10 лет горизонт возврата инвестиций банально не виден. При этом существует опасность получить повышенную стоимость владения ИТ-инфраструктурой на продолжительный срок.

Что же касается оптимизации стоимости, то она в некоторой степени пересекается с фактором ROI, однако более очевидна для заказчика. Бизнесу важно, чтобы импортозамещение в перспективе не вылилось в повышение стоимости владения ИТ-инфраструктурой, поэтому несмотря на готовность закупать отечественное оборудование и приложения (CAPEX[1]), заказчик будет более тщательно следить, чтобы OPEX[2] оставался не выше, чем при эксплуатации западных продуктов.

В свою очередь, оценка рисков — самая трудоемкая категория финансовых аспектов. Однако именно она позволяет учесть и технологические, и политические аспекты в динамике, а также выразить их в конкретных величинах.

Динамика изменения стоимости рисков и владения ИТ-ландшафтом

Как с технологической, так и с финансовой точки зрения на длинной дистанции затраты и стоимость рисков использования зарубежных продуктов будут со временем увеличиваться быстрее, чем стоимость рисков использования отечественных решений (см. Рис. 2а и 2б).

Рис. 2а. Профиль изменения стоимости рисков и стоимости владения неимпортозамещённым ИТ-ландшафтом
Рис. 2б. Профиль изменения стоимости рисков и стоимости владения импортозамещённым ИТ-ландшафтом

Стоимость владения ИТ-ландшафтами на западных решениях

  • Стоимость владения увеличивается в связи с инфляцией, падением курса рубля, ростом стоимости поддержки, запчастей, логистики, удорожанием специалистов и т.п.
  • Идентифицированные риски в случае их реализации имеют свойство увеличиваться в цене потерь (стареет техника, растет вероятность отказов и т.п.).

Стоимость владения ИТ-ландшафтами на отечественных решениях

  • Стоимость владения ИТ-ландшафтами этого типа со временем будет снижаться, потому что на неё не влияют некоторые факторы (например, рост стоимости логистики).
  • Риски ИТ-ландшафтов не нулевые, но их цена с течением времени не увеличивается, а снижается: растёт ассортимент продуктов, повышается их надёжность и производительность, увеличивается качество продуктов и услуг, персонал приобретает знания и опыт.

Основные риски в области сопровождения ИТ

Для предметного разговора о рисках, свойственных ИТ-ландшафтам, построенным на зарубежных и отечественных продуктах, стоит ознакомиться с их профилем.

Все риски разделены на два больших сегмента — внешние и внутренние. Реализация внешних рисков не зависит от владельцев ИТ-ландшафтов, поскольку они не могут влиять на вероятность их наступления. Управление такими рисками включает мероприятия по снижению их влияния на ИТ-сегмент организации. Сюда отнесены регуляторные риски (влияние государственного нормотворчества и решений правительства), санкционные риски (последствия использования параллельного импорта и усиление экспортного контроля со стороны вендоров) и рыночные риски (слияния, поглощения, прекращение деятельности вендоров). А вот внутренние риски — это потенциальные угрозы, источник которых внутри компании, и, следовательно, они находятся полностью под управлением владельцев ИТ-ландшафтов. К ним относятся: технологические риски, риски в области ИБ, риски ограничения развития, организационные риски.

Риски из обоих сегментов применимы как для ИТ-ландшафтов, построенных на зарубежных решениях, так и для полностью импортозамещённых. Однако на уровне групп рисков начинаются различия.

Как видно из профиля рисков (см. Рис. 3), угроз, связанных с использованием западного оборудования, очень много (оранжевые отметки). В различных сочетаниях и комбинациях они могут представлять значительные барьеры в функционировании ключевых процессов, особенно для крупной организации. Устранять эти проблемы будет очень сложно и затратно.

Рис. 3. Типовой профиль рисков сопровождения ИТ-ландшафта

Уровень рисков и отраслевая специфика

Классический подход к управлению рисками опирается на понятие «уровень риска». Уровень риска определяется на основании оценки вероятности наступления риск-события, а также величины ущерба, который понесет компания в случае его реализации.

Уровень рисков может варьироваться для компаний из различных отраслей. Если, к примеру, говорить о финансовой сфере или о промышленности, то в первом случае в топ-5 рисков войдут регуляторные, санкционные, технологические риски и риски в области ИБ, а также организационные риски. Основная пятерка рисков, которые могут закончиться финансовыми потерями в 75% случаев:

  1. риски, связанные с обходом санкционных ограничений, в частности, риски использования нелицензированного ПО;
  2. риски, связанные с обходом регуляторных ограничений;
  3. прекращение нормального функционирования ПО и оборудования после окончания срока лицензии;
  4. риски получения программных обновлений с закладками
  5. вредоносным ПО в западных продуктах;
  6. недостаток персонала соответствующей квалификации.

В пятёрку рисков для промышленности войдут:

  1. изменение государственного регулирования (ввод новых требований, предполагающих перевод объектов КИИ на отечественное программное обеспечение и оборудование);
  2. ужесточение санкционных ограничений (например, нарушение или невозможность использования действующих логистических цепочек для поставки нового оборудования и/или запасных частей для поддержки эксплуатирующегося оборудования в рабочем состоянии);
  3. обход санкционных ограничений, например, использование нелицензированного ПО;
  4. невозможность или ввод ограничений в части доработки (модификации) западного программного обеспечения и оборудования;
  5. недостаток персонала заданной квалификации.

Чтобы обезопасить себя от возможных рисков, эксперты компаний Rubytech и «СТРИМ Консалтинг» рекомендуют обращаться к доверенным ИТ-консультантам. В первую очередь, речь идет о консалтинге по оптимизации стоимости владения ИТ-ландшафтами, а также цены рисков, которые могут повлиять не только на финансовые аспекты, но и на репутацию и бизнес компании.

Возможный подход к оценке стоимости рисков

Для определения уровня риска авторы исследования предлагают использовать формулу (Рис. 4). Она позволит оценить стоимость того или иного риска (группы рисков) с точки зрения простоя системы. Ключевыми элементами формулы являются:

  • компонент «Время» (time) — это время простоя системы, которая автоматизируют те или иные процессы;
  • компонент «Издержки» (expenses) — прямые и косвенные потери вследствие простоя системы;
  • компонент «Вероятность»[3] (probability) — вероятность наступления того или иного риска/группы рисков.

Рис. 4. Формула стоимости рисков с точки зрения стоимости простоя

О чем важно помнить бизнесу

При формировании программы импортозамещения важно руководствоваться не только необходимостью соблюдения регуляторных требований в краткосрочной перспективе, но и учитывать последствия принятых решений в перспективе 5–10 лет. Важно понимать динамику изменения стоимости рисков и стоимости владения ИТ-ландшафтом наряду с технологической зрелостью отдельных продуктов и комплексных решений.

Проведение оценки стоимости рисков потребует от организации определенного уровня зрелости, наличия соответствующих методик, навыков и компетенций. Хотя этот процесс требует от бизнеса значительных усилий, необходимо проводить его на регулярной основе. Достижение оптимального баланса между всеми ключевыми аспектами, включая финансовый, — залог устойчивого развития ИТ-ландшафта предприятия в непрерывно меняющихся условиях.

Примечания

  1. CAPEX (Capital Expenditure) — капитальные затраты компании. Это расходы на приобретение новых или совершенствование действующих активов предприятия со сроком службы более одного года.
  2. OPEX (Operating Expenditure) — операционные затраты компании. К ним относятся расходы, связанные с текущей деятельностью компании и влияющие на её операционную прибыль.
  3. Вероятность оценивается экспертным путем, в том числе, на основе статистики по аналогичным инцидентам, накопленной у авторов исследования.