ИТ-директору выгодно принимать дорогостоящие решения, которые стопроцентно надежны, гарантированы и практически не требуют технической поддержки. Это сводит риски к минимуму, а затраты компании к максимуму. Но понятно, что эти решения далеко не всегда оптимальны.

Есть проблема, на которую необходимо обратить внимание менеджерам самых разных уровней. Эта проблема состоит в способе мышления ИТ-директоров. К сожалению, им свойственно занижать важность финансовой составляющей решения и всячески выпячивать необходимость снижения риска. Большинство ИТ-отделов на сегодняшний день стараются перестраховывать свои решения за счет бизнеса, что хотя и обеспечивает высокий уровень защищенности бизнеса, но часто не является лучшим способом использования ресурсов. И это совершенно естественно.

Пятикратная перестраховка

Для начала приведем один типичный пример. Одна консалтинговая фирма, предоставляющая услуги по оптимизации ИТ-процессов, была приглашена в достаточно крупную компанию, чтобы навести порядок в ИТ-отделе, с чем не мог справиться ИТ-директор этой компании. Причиной был рядовой запрос от ИТ-отдела на обновление контракта по поддержке корпоративного сервера файлов и печати, который был куплен три года назад. Казалось бы, ситуация рядовая, критичность этого сервера не очень высока, и необходимость его поддержки и обслуживания очевидна. Однако проблема была в сумме — запрос от ИТ-отдела был на 50 тыс. долларов на годовую поддержку. Руководство компании, даже имея весьма общее представление о ценах на серверы, с подозрением отнеслось к этой цифре. Ему было не вполне понятно, чем оправданы такие затраты, даже исходя из стоимости полной замены серверов. Соответствующие вопросы были заданы ИТ-директору компании. Он ответил, что затраты оправданы, так как если серверы выйдут из строя, то вся компания, включая (тут ИТ-директор сделал особый акцент) отдел продаж, лишится доступа к своим файлам и принтерам. А это недопустимо.

Не подвергая сомнению, что это недопустимо, топ-менеджер компании все-таки задал вопрос: «Как объяснить тот факт, что серверы могут быть полностью заменены на новые менее чем за треть указанной суммы?» На это у ИТ-директора тоже был готов ответ: «Такой вариант возможен и был рассмотрен. Да, можно было бы организовать архивацию информации с сервера, таким образом сохранив данные, однако в таком случае система в течение четырех часов была бы полностью недоступна в связи с апгрейдом аппаратного обеспечения». «А это недопустимо», — заключил ИТ-директор.

И тут топ-менеджер компании поступил мудро — он сделал вид, что сдался. Да-да, он сделал вид, что согласился с доводами ИТ-директора, но отложил подписание запроса на покупку поддержки на неделю, дескать, так ему удобнее. И не стал сам далее расследовать ситуацию, а срочно обратился к консультантам.

В результате их исследования выяснилось несколько фактов. Во-первых, недопустимость недопустимости рознь. Выяснилось, что ИТ-директор не запрашивал мнений бизнес-подразделений компании на предмет допустимых остановок и даже кулуарно не общался ни с кем из руководителей этих отделов. Проведя такой опрос, консультанты выяснили: для того чтобы сберечь компании 40 тыс. долларов (а именно такова цена экономии при покупке совершенно новых серверов), бизнес-отделы смогли бы пережить четыре часа остановки. Тем более что их вполне можно было приурочить ко времени минимальной нагрузки или даже к выходным. Размеры сверхурочных в этом случае просто смешны по сравнению с экономией в 40 тыс. долларов. Исследование показало, что ИТ-директор перестраховался более чем в пять раз. Кроме того, выяснилось, что ИТ-директор вообще очень плохо себе представлял реальное количество пользователей на этой конкретной системе. Кроме того, открылся еще один интересный факт — данные сервера вообще ни разу не отказывали в течение трех лет их эксплуатации. И здесь встал вопрос об оправданности конкретных опций поддержки, которые запрашивал ИТ-отдел.

Четыре причины

К сожалению, этот пример типичен — ИТ-отделы чаще всего не ориентированы на эффективное управление рисками, а топ-менеджмент компании неспособен задать правильные вопросы, чтобы понять, какое снижение риска покупается за эти деньги. Причин тому сразу несколько.

Первая — ИТ-директор, как ответственный сотрудник, трижды перестраховывается, чтобы все работало. Понятно, что это самый лучший вариант для ИТ-диретора — все настолько надежно и так хорошо работает, что вообще никто не знает о существовании ИТ-отдела. Однако в своей ответственности ИТ-директор неспособен подняться на ступеньку выше и увидеть ситуацию в целом. ИТ-директор чаще всего не понимает, как связаны риски и затраты. Общая зависимость между риском и затратами может быть выражена примерно такой функцией (см. рис.), из которой понятно, что увеличение риска всего на несколько процентов в разы снижает стоимость решения. Однако ИТ-директор, как правило, не видит проблему в этом свете. Решения делятся для него только на рискованные—нерискованные и дешевые—дорогие. Как правило, риск не представляется ИТ-менеджеру как функция, где стоимость увеличивается при снижении риска. В результате ИТ-директор не может найти эффективную грань для достижения оптимального соотношения рисков и затрат. ИТ-директора часто не проявляют никакого интереса к тому, сколько будет стоить отсутствие риска, и пытаются любой ценой свести все принимаемые ими решения к исключительному отсутствию риска. Это выливается в существенную стоимость запрашиваемого решения или в большое количество запрашиваемых ресурсов. К сожалению, практика показывает, что ИТ-директор часто запрашивают дополнительные средства без какого-либо исследования вопроса.

Вторая причина — ИТ-директора чаше всего рассматривают проблему бинарно. ИТ-директор думает либо о рискованном решении, либо об абсолютно нерискованном, и никакого поля возможностей между двумя этими решениями в его понимании нет. За счет того, что ИТ-директор видит проблему в таком бинарном виде, весь процесс принятия решения становится односторонне плоским — либо внедрять дорогое решение, либо оставлять бизнес незащищенным. Многие ИТ-директора смотрят на риски как на бинарные решения — принять риск или избавиться от риска.

Третья причина — ИТ-директора, как правило, не склонны объяснять ни последствия своих решений, ни альтернативы. Как правило, запросы подаются в таком виде, что подталкивает управление компании принять наименее рискованное решение, несмотря на его высокую стоимость. ИТ-директора, как правило, представляют на рассмотрение вопросы только в таком виде — решение дорогостоящее, но надежность близка к 100%. Менеджмент компании, в свою очередь, неспособен задать правильные вопросы в связи с техническими особенностями предмета, а также выяснить, что могло бы привести к снижению и стоимости, и риска. Тем не менее практика свидетельствует, что руководство должно постоянно задавать вопросы ИТ-директорам, чтобы вскрыть мотивы тех или иных решений и убедиться в существовании альтернатив.

И четвертая, может быть самая главная, причина — отсутствие прозрачных взаимоотношений между ИТ-директором и менеджментом компании, которые были бы построены на понятных обоим показателях и принципах. Очень часто отсутствует одна из самых необходимых вещей — прозрачное и понятное бюджетирование ИТ-отдела. Плохое взаимодействие между ИТ-директором и менеджментом компании по поводу принимаемого риска — основной источник неэффективного ИТ-решения, которое выливается для компании в неоправданные расходы. Ответственность за решения подобного рода лежат как на ИТ-директоре, так и на топ-менеджменте компании.

Ситуация ухудшается всегда

Как это ни странно, но у дорогого решения, помимо того что оно ведет к лишним затратам, есть еще несколько отрицательных черт. Когда дорогое и надежное решение будет установлено, ИТ-директор получит сразу три преимущества. Первое — системе не потребуется внимания с его стороны, что излишне расхолаживает ИТ-директора. Второе — не будет никаких нареканий со стороны бизнес-менеджеров, а значит, не будет и никакой отрицательной обратной связи, не будет понятно, насколько бизнес устраивают сервисы, поставляемые ИТ-отделом. И третье — куча денег потрачена на то, чтобы все работало, и все работает, значит, на следующий год ИТ-директору обеспечен такой же или в зависимости от обстоятельств больший бюджет. Иначе говоря, в случае с ИТ не работают нормальные механизмы стимуляции, как для любого управляющего бизнес-отделом. От того, что ИТ-директор тратит больше денег, его жизнь становится только легче. Так зачем ему вообще тратить меньше?

Отрицательное решение по вопросу выделения нужных средств, понятно, тоже не облегчает ситуации, ведь проблема, по поводу которой ИТ-директор обратился, остается нерешенной. Более того, и здесь ситуация ухудшается — у ИТ-директора появляется дополнительный плюс. Если что-то пойдет не так, у него всегда будет повод сказать: вот, мол, он уже обращал внимание на данную проблему, и его не послушали.

Группы перестраховки

Эта тенденция перестраховаться за счет средств компании прослеживается на различных уровнях.
В целом можно выделить три группы:

  • капитальные затраты;
  • аварии и восстановление после них;
  • достижение и поддержание необходимого уровня мощности системы.

1. Ситуацию с капитальными затратами можно проиллюстрировать следующими примерами. В некоторой компании ИТ-отдел делает незапланированный запрос в середине года: необходимо срочно выделить средства на покупку нового антивирусного пакета программ и установить его на каждом рабочем месте. Катализатором данной инициативы послужила последняя внезапная вирусная атака. Эти неожиданные затраты не только вызвали бы существенные бюджетные расходы, но и привели бы к необходимости ввести в расписание новые процессы в связи с изменяющейся ИТ-средой. Позиция ИТ-отдела: либо мы приобретаем пакет, либо будем находиться в постоянной опасности вирусной атаки.

Однако хотя руководство компании и было напугано последствиями последней атаки, оно решило поручить ИТ-директору выяснить, каковы же пути проникновения данного вируса в систему. Выяснилось, что причиной могут быть только три источника — электронная почта, дискеты и программы, скачанные из Интернета. Электронную почту исключили, потому что на корпоративном почтовом сервере была установлена довольно мощная антивирусная программа. Затем ИТ-директору предложили провести анализ источников вирусных атак за последние два года. Анализ показал, что около 95% вирусных проникновений совершалось с дискет и ни одного — от скачанных и Интернет-файлов. С учетом этих данных решение возникло само собой — совсем отключить флоппи-дисководы, которые и так не должны были использоваться в бизнес-процессах. В результате достигли достаточно высокого уровня снижения риска, при этом дешево и легко.

Второй пример — ИТ-отдел запросил средства на покупку системы автоматизации резервного копирования и соответствующего оборудования, поскольку новые корпоративные стандарты требовали полного резервирования данных каждый день. Однако запрашиваемые емкости были очень велики. После некоторого разбирательства выяснилось, что 70% данных на серверах — данные почтовых сообщений. По большей части это было связано с крупными видео- и музыкальными файлами, которые пересылались через почтовые серверы. Альтернативное решение также очевидно — изменение процедур хранения почтовых сообщений.

2. Еще одно проблемное поле связано с тем, как ИТ-директор реагирует на аварии. ИТ-директор редко понимает последствия временного нарушения работы обслуживаемой системы. Типичный пример: система телефонной связи call-центра вышла из строя, и более 100 агентов находились без связи. После получасового отсутствия связи ИТ-директор был вызван к руководству, где ему задали вопрос: «Сколько еще продлится падение связи, и каковы шансы вернуть систему к работе?» Ответ сразил топ-менеджеров компании наповал: «Мы можем вернуть систему в любой момент, это можно было сделать через пять минут после сбоя, но мне необходимо установить причину падения системы, чтобы не допустить этого в будущем». То, что стоимость простоя работы call-центра — 1000 долларов в минуту, ИТ-директора совершенно не интересовало.

3. Есть еще одна область, в которой ИТ-директор действует тем же способом, — это мощности, необходимые для работы. ИТ-директор пытается установить максимальный уровень потенциальных нужд вместо среднего реального уровня для конкретной работы. Такие случаи решаются наиболее тяжело и требуют детального анализа пиковой нагрузки на систему. Возможно, какие-то срочные потоки заданий могут быть переназначены на какое-то другое время или же отрегулированы по уровню необходимости.

***

Даже если у ИТ-директора наилучшие побуждения, он может очень быстро выбиться за пределы всех мыслимых расходов. Как показывает практика, правильные вопросы, оценки реального риска и здравый смысл могут сильно помочь в организации успешной работы ИТ-директора с топ-менеджментом компании в направлении снижения риска и стоимости. Мы не говорим, что на уровне ИТ-отдела должно быть внедрено управление рисками, хотя это, безусловно, правильно. Но на первое время можно ограничиться и более простыми мерами. Топ-менеджмент компании должен обращать внимание на необходимость принятия оптимальных решений. Необходимо прямо внести в обязанности ИТ-директора помощь топ-менеджменту компании в поиске возможных решений различных вопросов, связанных с ИТ. Пусть системы работают не любой, а разумной ценой. Принимаемый риск должен быть оправдан. ИТ-директору стоит постоянно помнить — ИТ-отдел создан и финансируется для того, чтобы помогать бизнесу, и должен делать все, чтобы открывать бизнесу настоящую стоимость услуги.