Одной из тем, поднятых на Второй международной конференции «Стандартизация, сертификация, обеспечение эффективности, качества и безопасности информационных технологий», стала стандартизация ИТ‑сервисов.
Тема ИТ-аутсорсинга умерла, не родившись. Такое утверждение сделал генеральный директор компании IT Expert Михаил Потоцкий в своем докладе о стандарте оценки поставщиков ИТ-услуг на конференции «ИТ‑стандарт 2011». Он говорил об этом как о чем‑то общеизвестном и очевидном, и другие докладчики держались того же мнения, хотя я думаю, что тема все‑таки успела как минимум родиться. Год назад, в октябре 2010‑го, мы посвятили ей специальный выпуск нашего журнала и на недостаток материала не жаловались, а генеральный директор HP в России Александр Микоян примерно тогда заметил, что в последнее время стоит двум «айтишникам» разговориться между собой, как у них непременно заходит речь об аутсорсинге. Думается, правильнее говорить не об исчезновении темы, а о ее трансформации в сторону расширения: раньше все обсуждали ИТ-аутсорсинг, теперь — ИТ‑сервисы (в чем, собственно, и заключалось одно из следующих положений доклада Михаила Потоцкого). Аутсорсинг — частный случай ИТ‑сервиса: понятно, что когда компания «передает часть функций по управлению собственными информационными ресурсами и поддержке этих ресурсов внешней специализированной организации» (определение ИТ-аутсорсинга по глоссарию на сервере outsourcing.ru), она становится получателем ИТ-услуги, или ИТ‑сервиса.
Сертификация против недоверия
Главная российская проблема с аутсорсингом заключается в отсутствии доверия к отечественным поставщикам. Заказчики, может быть, и размещают свои серверы и дисковые массивы в коммерческих центрах обработки данных, но стараются ограничиться только использованием помещения, инженерной инфраструктуры и канала связи. Фирмы не готовы передать в чужие руки то, что касается собственно обслуживания информационных систем, поскольку не считают эти руки достаточно надежными. Идея перевести вопрос в финансовую плоскость большого успеха не имела. Оказалось, что невозможно установить в соглашении об уровне обслуживания (SLA) штрафы, которые бы в случае остановки сервиса компенсировали заказчику прямой ущерб и упущенную прибыль: у провайдеров просто физически нет таких денег. Заказчик, конечно, может застраховаться, но, увы, не тогда, когда речь идет об информационной системе, — страховые компании за такие случаи не берутся.
Почему же в остальном мире поставщики и заказчики доверяют друг другу? Марина Аншина (СОДИТ) поделилась двумя наблюдениями, способными пролить некоторый свет на данный вопрос. Первое, сделанное во время стажировки в США, касалось отношения американцев к стандарту. У нас стандарт с советских времен воспринимается как нечто установленное сверху и именно по этой причине обязательное для заказчика и поставщика (соответственно, когда диктат государства ослаб, компании стали игнорировать стандарты). Для американцев же это добровольно принятая сторонами основа договора (в том числе юридическая). Стандарт позволяет не оговаривать в контракте множество деталей, а вместо этого ограничиться ссылкой на известный всем участникам документ. Он определяет общее пространство, в котором будет происходить работа, и единый язык общения. Таким образом, мы знаем, «кто виноват»: источник проблем — неправильное отношение к стандартам, непонимание того, насколько они на самом деле полезны.
Второе наблюдение — один из прогнозов Gartner Group, включенный в отчет по облачным технологиям: 80% предприятий, использующих облака, к 2016 г. будут требовать от провайдеров сертификации, подтверждающей их надежность. Вот, пожалуй, и ответ на вопрос «что делать?». Проработать стандарт и создать систему сертификации.
Сертификация поставщиков и потребителей
Михаил Потоцкий в своем докладе перечислил ряд принципов, которые лягут в основу стандарта для оценки поставщиков. Так, он считает, что стандарт должен быть ориентирован на риск, причем необходимо учесть риск не только прямых, но и косвенных потерь (неполучения прибыли). Для оценки рисков, в свою очередь, следует предусмотреть аудит процессов предоставления и получения услуг — другого метода, собственно говоря, не придумано. Этот аудит достаточно хорошо проработан в международных стандартах, в частности, в COBIT, так что изобретать велосипед не потребуется. Обязательно нужны стандарты для гарантий. SLA (разумеется, с включением финансовых штрафных санкций) — условие необходимое, но не достаточное. А вот оценку количества и ценности приобретенных услуг в стандарт лучше не включать, предоставив решение заказчику, — у каждого свои представления о том, что ценно, а что нет. Работа над стандартом уже начата, готовы предварительные версии нескольких документов.
Некоторые идеи, считает Марина Аншина, можно заимствовать даже из сферы, далекой от информационных технологий. Широко известно мнение, что информационные ресурсы станут в будущем предоставляться как коммунальная услуга, наподобие электричества. Сейчас, с распространением облачных технологий, этот прогноз начал осуществляться. Но если ИТ превращается в коммунальную услугу, почему бы не заглянуть в соответствующий государственный регламент? В постановлении Правительства РФ от 23 мая 2006 г. № 307 «О порядке предоставления коммунальных услуг гражданам» определяются требования к качеству услуг и правила контроля качества, порядок расчета, права и обязанности сторон, порядок смены тарифов, особенности конкретных услуг. Совершенно очевидно, что как минимум эти пункты должны присутствовать и в стандарте для ИТ-услуг.
Доклад Марины Аншиной назывался «Потребность в сертификации потребителей ИТ». Потребитель, как мы видели, заинтересован в том, чтобы требовать сертификацию у поставщика, но зачем ему сертифицироваться самому? Ответ прост: чтобы грамотно выбрать поставщика и грамотно с ним взаимодействовать. Сертификация даст ему единый язык для общения с контрагентами и сделает независимым от компетенций и опыта специалистов, осуществляющих подбор.
Интеграция сертификации
Сертифицированные сервисы должны, очевидно, предоставляться специалистами, имеющими соответствующий сертификат. Налицо связь между объектами сертификации разных типов — услуги и человека. Построению интегрированной системы сертификации, учитывающей такого рода связи, был посвящен доклад Евгения Зиндера (фонд ФОСТАС).
Практика показывает, что интеграция усилий и процедур по сертификации разных типов объектов вполне возможна. Например, стандартные требования к системе увязываются с квалификационным стандартом для специалиста по ней. Таким образом, возможность согласовать стандарты вырастает из имеющихся документов, только нужно правильно связать их друг с другом и гармонизировать.
Подмножества продуктов, процессов, людей и ПО, связанные общими требованиями, объединяются в системы так называемых СТОС — связанных по требованиям объектов сертификации. Объекты каждого типа обладают как специфическими свойствами, так и свойствами, общими с объектами других типов. В СТОС фиксируются и специфические, и общие свойства.
Модель СТОС соотносится с ISO 24763 — концептуальной моделью компетенций и соответствующих объектов. Компетенция здесь рассматривается не как свойство человека, а как самостоятельная сущность. Она связана не только с человеком и его ролью, но и с объектами других типов, в том числе с работами и, косвенно, с их продуктами, с обучающими курсами или с целыми образовательными программами.
Для решения содержательных проблем интеграции сертификации, считает Евгений Зиндер, понадобится построить адекватную организационную архитектуру. Но нельзя допускать сосредоточения аккредитации всех программ и организаций сертификации в одних руках. Целесообразно использовать правила, зарекомендовавшие себя в мировой практике.