Управление рисками в условиях массового ухода ИТ компаний с рынка России
Уже несколько месяцев Россия живет в условиях жесточайших и беспрецедентных международных экономических санкций. Западные страны вводят все новые пакеты ограничений, и если речь не идет о жизненно важных для них самих секторах российской экономики и рынка, то такие санкции принимаются моментально и единогласно. Проблема антироссийских санкций многогранна. С одной стороны, предприятия и компании, которые уже столкнулись с ограничениями, вынуждены перестраивать продуктовые направления и диверсифицировать свой бизнес, менять логистические и финансовые цепочки, искать новых поставщиков и партнеров, налаживать с ними контакты. Это очень непростые задачи. С другой стороны, международные ограничения — всегда риск. Особенно для тех, кто пока не попал под санкционные жернова, чего, однако, нельзя исключать, среди ИТ-компаний немало таких потенциальных «мишеней». Ведь информационные технологии — не нефть и не газ. В США и Европе ИТ-индустрия развита, мягко говоря, не хуже, чем в России. Поэтому любые попытки обойти ограничения либо помочь это сделать подсанкционным клиентам и партнерам могут обернуться новыми проблемами. Кроме того, уход зарубежных ИТ-компаний с российского рынка лишь подтверждает тот факт, что рискуют все заказчики, важным элементом инфраструктуры которых являются иностранные ИТ-продукты и оборудование.
Избавление от заблуждений
Представители бизнеса не всегда осознают подобные риски. Многие считают, что если они не попали под молот санкций ранее, то этого не произойдет и можно спать спокойно. Примеры таких стереотипов приводит Антон Балагаев, директор по консалтингу компании Arenadata. По его словам, одно из наиболее часто встречающихся заблуждений состоит в том, что подрядчик со штаб-квартирой за пределами России, но создавший продукт для российского рынка, не уйдет с рынка и продолжит обслуживать российскую компанию. «Можно быть уверенными, что в ESG-стратегиях западных компаний тезисы про net zero emissions будут повсеместно заменяться тезисами про отсутствие связей с Россией, потому что первое в среднесрочной перспективе уже недостижимо, зато второе — в руках менеджмента компаний, и если у кого-то таких тезисов в ESG-стратегии пока нет, то они быстро появятся после принятия конкурентами их аналогов», — говорит он. Второе заблуждение, по мнению эксперта, состоит в том, что если не работать с банками и оборонными компаниями из SDN-списка, то и последствий не будет. «Проблема немного глубже. Культура отмены существенно шире и многообразнее, чем буква санкций, и строить планы, исходя исключительно из формальной юридической логики, опрометчиво», — заявляет Антон.
«Один из мифов заключается в том, что влияние санкций не сильно скажется на компаниях из госсектора и бизнеса, который на 100 процентов работает в России. Такие мысли допускались на первых порах. Конечно, этот миф очень быстро потерял свою актуальность, — дополняет Максим Вирченко, генеральный директор компании ITCOM Security. — Множество крупных компаний в ретейле, финансах и логистике выстраивало свои бизнес-процессы с помощью зарубежного ПО. Быстрый уход западных вендоров из России может сильно повлиять на качество предоставления услуг компаниями и безопасности их ИТ-инфраструктуры, поскольку многие из них оказались без ИТ-поддержки и обновлений систем».
Максим Вирченко (ITCOM Security)
Мы рекомендуем плавный поэтапный переход на отечественные решения и предлагаем своим клиентам пройти следующий путь: провести быстрый и комплексный аудит инфраструктуры, который позволяет определить, какая часть инфраструктуры больше всего подвержена рискам из-за ухода западного вендора, и на основе нашей продуктовой матрицы выбрать лучшее отечественное решение с учетом разных параметров (набор функций, цена, совместимость с другими системами, масштабируемость и т. д.).
«Действительно, в некоторых компаниях был распространен стереотип «нас это не коснется, потому что мы не государственные». Наша страна давно находится под санкционным давлением, но прежде ограничения касались в основном госорганизаций. Многие считали, что и на этот раз всё ограничится SDN-списком с перечнем лиц и организаций, подверженных ограничениям. Однако уже после первых пакетов санкций стало очевидно, что они затронут более широкий круг компаний. Санкционный список оказался настолько объемным, что некоторым западным компаниям стало проще полностью прекратить бизнес в России, ограничив сотрудничество с российскими партнерами, чтобы не вызывать к себе претензий со стороны государственных регуляторов США. Одни отозвали проданные лицензии и прекратили их поддержку, другие заняли менее радикальную позицию, надеясь вернуться на рынок после стабилизации геополитической ситуации. Но так или иначе почти все западные вендоры ограничили взаимодействие с российским рынком», — комментирует Михаил Комстачев, вице-президент, директор департамента эксплуатации и инфраструктуры информационных технологий банка «Ренессанс Кредит».
Перестройка без последствий
Западные ИТ-вендоры ушли из России. Но у многих заказчиков инфраструктура построена именно на западных продуктах и ПО. Перестраивать все слишком дорого и грозит перебоями и остановками бизнеса. Что нужно сделать, чтобы последствия были минимальными: и для бизнеса, и для его клиентов? Наверное, дать на этот вопрос единый ответ невозможно. «В сфере BI у каждой компании есть не менее шести вариантов действий: продолжать использовать западные продукты (принимая соответствующие риски на себя), переходить на российские платформы, внедрять китайское ПО, переходить на Open Source, разрабатывать собственные решения с нуля и даже на время полностью отказаться от использования BI. В реальной жизни компании будут выбирать некоторую комбинацию этих подходов, причем дать идеальную рекомендацию по конкретной оптимальной целевой архитектуре со стороны — практически невозможно. Чтобы сделать правильный выбору и внедрить нужные компании инструменты BI, необходимо провести комплексную оценку и анализ положения дел для каждой сферы деятельности компании, зафиксировать целеполагание и составить конкретный план действий по внедрению — а для этого нужно быть очень глубоко погруженным в деятельность организации. Зато очень востребованными оказались образовательные программы по управлению на основе данных, на которых руководитель может быстро получить опыт использования современных методик внедрения аналитических решений», — рассказывает Иван Вахмянин, CEO компании Visiology.
«Действительно, как и многое в России происходит неожиданно, вдруг возникла потребность в защите ИТ-инфраструктуры от внешних угроз и срочном проведении импортозамещения, — добавляет Денис Суховей, руководитель департамента развития технологий компании «Аладдин Р.Д.» — Многие владельцы ИС пока находятся на стадии формирования плана перехода на отечественные продукты. Здесь важно разработать четкий порядок перехода — провести анализ инфраструктуры и первичный переход на отечественное прикладное ПО, организовать резервные мощности для работы в переходный период, интегрировать ресурсы и создать гибридную систему управления, а затем осуществить полноценный бесшовный переход всех приложений и электронных сервисов на отечественные продукты — ОС, СУБД, прикладное ПО. В таком случае всё можно успешно осуществить без остановки бизнес-процессов предприятия».
Денис Суховей («Аладдин Р.Д.»)
В вопросах ИБ серьезные и крупные заказчики уже давно ориентируются на взаимодействие с отечественными разработчиками. Это связано как с реалистичным подходом к важности темы ИБ и высокой цены рисков, так и с облегчением легитимного существования в правовом поле — необходимостью соответствовать все более жестким требованиям регулятора. Тех, кто впервые обращается к теме перехода на отечественные продукты ИБ, можем информировать, что российские разработчики продуктов и решений в области защиты информации постоянно уделяют внимание и обеспечению совместимости своих продуктов с продуктами технологических партнеров, создавая проверенные совместные решения и расширяя экосистему вокруг своих разработок.
По мнению Кирилла Чекудаева, ведущего эксперта по управлению рисками компании RTM Group, самое очевидное решение — искать альтернативных поставщиков, прежде всего отечественных, способных удовлетворить потребности бизнеса по качеству и функциональности. Также следует учитывать сроки внедрения ПО и его поддержки. При этом вопрос стоимости остается актуальным. При ценообразовании ИТ- и ИБ-решений как поставщики, так и покупатели стараются ориентироваться на «досанкционную» стоимость иностранных решений. «Если позволяет технологический или бизнес-процесс, то переход следует осуществлять через параллельное дублирование ИТ-решений. Также имеется другая методология перехода на отечественную инфраструктуру, предполагающая плавный перевод вначале части наименее критичных процессов, с использованием, например, цикла Деминга (планирование, выполнение, проверка и действие). В случае если здесь все функционирует успешно, возможно уже осуществить переход на критически важные процессы.
В любом случае, возможны сбои в работе ИТ-инфраструктуры при переходе с импортных решений на отечественные альтернативы, что приведет к замедлению или приостановке технологических и бизнес-процессов в компаниях. В таких условиях ИТ-руководителям предлагается совместно с ИТ-вендорами организовать переход в короткие сроки с напряжением усилий не только в сам момент перехода, но и на предварительном и поддерживающих этапах. При этом надо учитывать, что приостановка процессов приводит как к прямым потерям, так и к косвенным, в виде репутационных рисков», — поясняет эксперт.
Кирилл Чекудаев (RTM Group)
При выборе ИТ-поставщиков следует оценить их по степени надежности и опыта функционирования. Надо посмотреть, не является ли предлагаемый продукт всего лишь адаптированной копией зарубежного продукта. Хотя в ряде направлений иностранные компании начинают «всерую» работать на рынке России, создавая новые юридические лица и предлагая уже существующие решения, но под новым «отечественным брендом», который лишь условно отличается от «материнского продукта». При этом вопросы поддержки решаются бывшими сотрудниками иностранных компаний, начавшими работать уже в новых российских организациях.
Генеральный директор компании INPRO.digital Виталий Арбузов напоминает о необходимости государственной поддержки ИТ-индустрии в текущей непростой ситуации. «Экономика России находится на начальном этапе структурной трансформации, в ходе которой происходит кардинальная перестройка экономической структуры страны. Отрасль ИТ-бизнеса в России сейчас нуждается в усилении государственной поддержки. Льготные кредиты и обнуление пошлин на технологический импорт товаров способствуют сохранению производственных процессов бизнеса в России, минимизируют убытки от экономических санкций, дефицита компонентов и перебоев в логистических цепочках. В федеральном бюджете на субсидирование льготных кредитов в ближайшие три года предусмотрено почти 4 млрд рублей: в 2022 году — 750 млн рублей, в 2023 году — 1,4 млрд рублей, в 2024-м — 1,8 млрд рублей. Однако этой финансовой поддержки не хватит. Необходимо расширение льгот и предоставление их компаниям с выручкой до 50 млн рублей. Оценить эффективность применяемых норм можно будет минимум через 6–9 месяцев, а полноценная адаптация к новым реалиям может занять от двух лет», — прогнозирует он.
Своих не бросают
Никто не знает ИТ-продукты лучше, чем сам вендор, их разработавший. Но западные ИТ-компании ушли из России «громко хлопнув дверью», китайские уходят «по-тихому». У заказчиков, которые не готовы или не могут экстренно мигрировать на российские аналоги или на Open Source, возникает вопрос, кто и как сможет оказывать поддержку клиентам в этой ситуации. «Эти задачи могут взять на себя системные интеграторы, у которых есть сервисные департаменты, имеющие опыт оказания услуг поддержки в связке с ушедшими вендорами в качестве их сервисных партнеров. А в случае необходимости интеграторы помогут в перепроектировании, стендировании и миграции на доступные решения сложной в поддержке или построенной на проприетарных технологиях ИТ-инфраструктуры», — отвечает Андрей Кондратьев, заместитель технического директора по комплексным проектам компании Step Logic.
Андрей Кондратьев (Step Logic)
Заказчики пока находятся на разных стадиях принятия действительности. Кто-то еще на стадии «отрицания», но многие российские компании уже перешли к «принятию». Более того, есть понимание, что даже при снятии международных санкций и возвращении западных вендоров никто не застрахован от их повторного введения.
По словам Антона Балагаева (Arenadata), cамая сложная ситуация — в области прикладных наработок от таких компаний, как SAP, SAS, IBM, но путь замещения и их решений будет пройден в ближайшие годы.
Взгляд на риски по-новому
В российском бизнесе оценка рисков (даже если есть специальные подразделения, и оценка проводится) не всегда является основанием для принятия бизнес-решений. Но ситуация с нынешними беспрецедентными и чуть ли не ежедневно обновляющимися санкциями должна изменить подобное отношение. «За последние 5–10 лет риск-ориентированный подход в принятии управленческих решений стал понемногу входить в жизнь российских компаний, в основном крупных, которые могут привлечь ресурсы для разработки и внедрения системы управления рисками (СУР). Особенно он актуален для банковского и страхового бизнеса (тем более это стимулируется государственными регуляторами), причем отчетность и рекомендации постоянно модернизируются. Однако большинство компаний только на бессистемном уровне оценивают и управляют рисками, исходя из опыта и предпринимательской интуиции. Стоит отметить, что доля предприятий, внедряющих СУР в своих управленческих процессах, постепенно растет, так как бизнес понимает, что за каждым решением должна стоять не только потенциальная прибыль, но и ее соотношение с вероятными последствиями рисков. В данный момент большинство руководителей предприятий понимают, что, например, карта (матрица) рисков позволяет смотреть на бизнес-процессы предприятия уже под новым углом зрения и решения становятся более взвешенными и эффективными», — комментирует Кирилл Чекудаев (RTM Group).
«Ситуация, в которой сейчас находится ИТ-бизнес в России, многому научила и продолжает учить предпринимателей и топ-менеджеров, — дополняет Виталий Арбузов (INPRO.digital). — Ежедневно продолжает расти угроза введения новых санкционных ограничений в отношении различных коммерческих и государственных организаций на российском рынке. Это, безусловно, вызовет появление новых ИТ-рисков, увеличение количества кибератак, дефициты устройств и сырья и многое другое. Поэтому сейчас без четкого планирования, анализа деятельности и прогнозов невозможно представить дальнейшее развитие бизнеса в России».
Виталий Арбузов (INPRO.digital)
В бизнесе есть такое, как санкционный комплаенс. Это комплекс превентивных мер, направленный на выявление и устранение рисков, связанных с введением санкций. Начать стоит с проверки потенциальных подрядчиков, поставщиков и других контрагентов.
«Любой кризис увеличивает стоимость неверных и неэффективных управленческих решений. И именно поэтому сегодня мы наблюдаем стремительно растущий интерес компаний к подходам к управлению, базирующимся на данных (data-driven management). Ведь главный смысл управления на основе данных как раз заключается в снижении рисков и увеличении управляемости организации. Да, в выигрышной позиции, как обычно, оказались те, кто внедрил соответствующие технологии и методики заранее, но и другим теперь деваться некуда — без наращивания таких компетенций ни руководитель, ни организация не могут быть конкурентоспособны в современном мире», — напоминает Иван Вахмянин (Visiology).
Иван Вахмянин (Visiology)
Cформировавшаяся экосистема представляет собой единственную модель развития, при которой вендор может серьезно масштабировать свою платформу, не становясь узким местом для расширения сферы применения продуктов.
«В такой ситуации следует разделять проектные риски и внешние риски, — говорит Антон Балагаев (Arenadata)., — Проектными рисками, как и прежде, никто не будет плотно заниматься в ИТ, поскольку стоимость срабатывания таких рисков обычно не лежит на заказчике: проекты делаются по fix price или time & material, а не по подписке на ресурс; простой чего-либо из-за неправильной оценки рисков не приводит к дополнительным затратам на хранение, логистику, амортизацию и другим, так как код не нужно хранить на складе, возить грузовиками или следить за его сроком годности. На внешние риски будут делать поправку, но измеримой она будет едва ли».
«Крупные компании, которые к своему бизнесу относятся серьезно, обязательно при принятии бизнес-решений учитывают возможные риски. Создаются планы восстановления после катастроф (DRP) и обеспечения непрерывности бизнеса (BCP). Конечно, предположить уход западных вендоров с нашего рынка мало кто мог. Тем не менее, сегодня это наша новая реальность, в которой можно и нужно работать», — заключает Андрей Кондратьев (Step Logic).
Опубликовано 30.05.2022
Антон Балагаев (Arenadata)
Контроль подразумевает бюрократию, бюрократия сужает воронку контрагентов. Воронка сейчас и так значительно сужена. Если клиент может себе позволить, то имеет смысл требовать от контрагентов более полного раскрытия информации, и на ее основании проводить собственные расследования. Если такой финансовой возможности нет, придется выбирать из имеющихся предложений, даже если они не в полной мере соответствуют запросам.