Сейчас многие интеграторы, говоря о преимуществах своих услуг, оперируют показателем «цена — качество», но вряд ли большая часть из них сможет предоставить убедительные доказательства объективности оценки с помощью этого показателя на практике. Как правило, это связано с тем, что механизм экономической оценки системы защиты информации развит весьма слабо. Действительно, на сегодняшний день наиболее используемыми показателями для оценки ИТ-проектов являются совокупная стоимость владения (ТСО) и коэффициент возврата инвестиций (ROI).
В теории, ROI определенным образом зависит как минимум от двух составляющих: ТСО (другими словами, инвестиций, необходимых для реализации проекта) и приносимой от их вложения прибыли. Здесь мы не будем задаваться вопросом точной зависимости от ТСО.
Тем более, что в настоящее время в печати ведется достаточно острая полемика на эту тему. Важно другое. Если инвестиции «приносят» прибыль — все понятно: можно тем или иным образом определить ROI. А если прибыли от инвестиций нет и не подразумевается самим назначением проекта? Тогда для грамотной экономической оценки проекта остается лишь рассчитать ТСО.
А рассчитать ТСО проекта по обеспечению информационной безопасности корпоративной информационной системы (КИС) вполне возможно. Важность выполнения подобных проектов для организаций очевидна — услуги в этой сфере развиваются сейчас быстрыми темпами, хотя сама сфера не приносит прибыли «по определению».
Зачем это нужно?
Очевидно, что в реализации любого проекта должны участвовать как минимум две стороны. Во-первых, заказчик продуктов или услуг, он же клиент, он же «тот, кто платит» (а без него и проект не состоится). Во-вторых, исполнитель, он же поставщик услуг и продуктов. Как мы понимаем, в реальной ситуации поставщиков или исполнителей может быть и несколько, но в этой статье мы не будем рассматривать вариант выполнения работ и поставки продуктов на субподрядной основе.
Также очевидно, что модель расчета ТСО и, соответственно, ее значение по одному и тому же проекту для исполнителя и заказчика будут различны, как, впрочем, и получаемые показатели. Цель исполнителя проекта — оценка рентабельности выполнения проекта с помощью сравнения ТСО с получаемыми доходами.
Цель заказчика иная: выбор исполнителя по критерию минимальной стоимости необходимых ему продуктов, услуг и работ (т. е. проекта в целом) либо оценка «масштабов бедствия», другими словами — получение ответа на вопрос «Во что мне это обойдется?». Ниже мы более подробно остановимся на применении и методике определения ТСО для заказчика проекта.
Сразу заметим, что при принятии решения о реализации проекта, помимо оценки ТСО, необходимо учитывать многие качественные и количественные технологические, управленческие, кадровые и финансовые факторы. Минимальная ТСО не всегда идет на пользу как конкретному проекту в частности, так и бизнесу, как таковому, в целом. Определение ТСО является лишь экономической оценкой при комплексной оценке проекта по принципу «цена — качество».
Как говорилось выше, оценить прямой экономический эффект (например получаемую прибыль) от реализации проекта по обеспечению информационной безопасности КИС практически невозможно. Даже если руководство компании убедилось в целесообразности реализации подобного проекта, то обычно ИТ-менеджеру необходимо пройти еще одну из самых трудных процедур — утвердить сметы затрат на реализацию проекта и доказать, что «сэкономить больше нельзя». В таких случаях определение ТСО становится как раз незаменимым инструментом. Наиболее наглядными являются два варианта оценки подобного проекта с использованием ТСО:
- сравнение ИТ-менеджером показателей ТСО уже реализованных в данной отрасли аналогичных проектов позволило бы доказать руководству компании, что предлагаемый проект имеет экономические показатели не хуже (или лучше), чем в среднем по отрасли. Безусловно, возможность получения результатов подобного сравнения — достаточно важный фактор для оценки деятельности ИТ-менеджера, однако такой подход требует наличия довольно большого объема статистического материала, что само по себе является достаточно трудоемкой задачей;
- сравнение ТСО решений, предлагаемых разными производителями для реализации одного и того же проекта. Данный способ не требует такого объема необходимых статистических материалов, как в предыдущем случае, поэтому возможен практически всегда. Анализ результатов расчета может использоваться в качестве аргументации выбора того или иного исполнителя.
Как считать?
Методика определения ТСО изначально была выдвинута исследовательской компанией Garther Group в конце 80-х годов (1986–1987 гг.). В основу общей модели расчета ТСО положено разделение всех расходов (затрат) на две основные категории:
- прямые (бюджетные) расходы — это расходы, которые необходимо совершить фирме для запуска проекта и поддержания его в рабочем состоянии;
- косвенные расходы — расходы, которые понесет фирма (при условии реализации проекта) от влияния нововведений на работоспособность сотрудников фирмы.
Рассмотрим каждую из категорий расходов, их состав и методы определения.
Очевидно, что категория прямых (бюджетных) расходов определяется сравнительно легко. Здесь необходимо обратить внимание на важность разделения статей по признаку их повторяемости на единовременные и ежегодные. Достаточно часто возникает ситуация, при которой более дорогой в запуске вариант системы оказывается в конечном итоге более дешевым за счет меньшей стоимости его эксплуатации на протяжении периода функционирования.
Для того чтобы правильно оценить общие ежегодные расходы, очень важно правильно оценить «жизненный цикл системы». Как показывает практика, срок промышленной эксплуатации подобных систем составляет 10 лет (среднестатистическое время эксплуатации ИТ-оборудования, срок его амортизации в составе больших систем), хотя на самом деле модернизация осуществляется каждые 2–4 года, любая модернизация несет в себе дополнительные единовременные расходы, а также изменения в структуре и объеме ежегодных расходов.
Поэтому, с целью правильной оценки соотношения единовременных и ежегодных расходов, имеет смысл ввести показатель «сравнивания расходов», определяющий, за сколько лет ТСО одного и того же проекта для двух различных вариантов его реализации сравняются.
Итак, статьи прямых расходов можно разделить на следующие группы:
Единовременные расходы
- Капитальные расходы: покупка необходимого оборудования, покупка/разработка необходимого программного обеспечения.
- Расходы на управление внедряемой системой: расходы на проектирование — разработка схем устройств, политики функционирования системы; расходы на администрирование (сопровождение) — изменение локальных политик функционирования системы, upgrade аппаратных платформ и т. д.; расходы на расширение системы; расходы на преодоление чрезвычайных ситуаций; расходы на интеграцию системы в уже существующую корпоративную систему — очень важная статья расходов, которая обычно не учитывается.
- Расходы на установку оборудования и программного обеспечения.
- Расходы на обучение обслуживающего персонала.
- Командировочные расходы.
- Прочие расходы, совершаемые для запуска проекта.
Ежегодные расходы
- Расходы на техническую поддержку оборудования.
- Расходы на сопровождение программных средств.
- Расходы на оплату труда обслуживающего проект персонала.
- Расходы на аутсорсинг.
- Расходы на услуги связи.
- Прочие расходы, совершаемые ежегодно, для поддержания проекта в рабочем состоянии.
Из состава прямых расходов становится очевидным, что определить значения отдельных статей данной группы, а затем и ТСО проекта в разрезе единовременных и ежегодных расходов может как сам заказчик проекта, так и его исполнитель (например в качестве дополнительной услуги). Прямые расходы определяются простым суммированием цен и стоимостей товаров и услуг.
Также отметим, что часть прямых расходов является обязательной — это покупка, установка и сопровождение необходимого оборудования и программных средств, привлечение дополнительного персонала и т. п., несение же другой части расходов зависит от конкретного проекта или пожеланий заказчика (услуги по обследованию существующей сети, аутсорсинг, услуги связи и т. п.). Поэтому при расчете ТСО имеет смысл все расходы разделить на следующие группы:
- расходы, обязательные к совершению (вероятность несения таких расходов 100%);
- расходы, возможные к совершению (вероятность несения таких расходов менее 100%).
Косвенные расходы часто находятся за рамками бюджетов на информационные технологии, однако они могут играть существенную роль в оценке решений по проектам.
Здесь можно выделить две группы источников возникновения косвенных расходов, связанных с использованием информационных технологий.
Природа первой группы косвенных расходов заключается в том, что, если информационная система спроектирована плохо (например, сервер дает частые сбои), то это вызывает непроизводительное расходование времени у пользователей (перерывы в работе) или даже потери в бизнесе. Как правило, косвенные расходы трудно определить напрямую. Однако их следует учитывать при проектировании информационных систем и организации технической поддержки. Для определения этой группы косвенных затрат нужно различать плановое время неработоспособности и сверхнормативное.
Природа второй группы косвенных расходов кроется в организационной стороне информационных технологий и состоит в том, что, вследствие ненадлежащей поддержки со стороны штатных сотрудников информационных технологий, пользователи внутри компании вынуждены заниматься вопросами восстановления работоспособности, самообучением и т. д., что также уменьшает производительное время их работы.
Очевидно, что косвенные расходы зависят от специфики организации заказчика, а поэтому их оценку исполнитель может провести лишь на основе экспертных оценок при условии тесного взаимодействия с заказчиком. Иногда подобные расчеты косвенных расходов может провести и заказчик, если он располагает сотрудниками соответствующей квалификации.
Второй способ провести оценку косвенных расходов — использовать банк статистических данных по реализации аналогичных проектов в аналогичных отраслях. Однако сбор таких данных требует больших трудовых и временных затрат, а в некоторых случаях и вовсе не возможен, хотя бы потому, что рынок существует недавно.
Перед тем как приступить непосредственно к оценке ТСО проекта по обеспечению ИБ, остановимся еще на нескольких немаловажных моментах. Расчет ТСО для систем безопасности относится аналитиками к числу наиболее сложных по следующим причинам:
- применительно к системам безопасности необходимо учитывать такой фактор, как локальные требования рынка к продуктам безопасности (сертификация). Очевидно, этот фактор может частично найти свое отражение в расчете ТСО за счет более высокой цены продукта по сравнению с аналогом, не имеющим соответствующего сертификата, что в целом увеличит ТСО проекта, понизив при этом его привлекательность. Но при этом данный фактор останется одним из важнейших при принятии окончательного решения;
- методика расчета экономической эффективности не в состоянии учитывать и такой важный фактор, как качество системы безопасности. Так, грубая ошибка в настройке или неизвестный «черный ход» в продукте могут «свести на нет» все экономические преимущества проекта, хотя его ТСО будет минимальна. Предсказать подобный исход на этапе финансового анализа, очевидно, невозможно.
Данные факторы могут и должны быть учтены в дополнение к основному определению ТСО. Причем некоторые параметры, прямо или косвенно влияющие на ТСО, придется оценивать экспертным методом.
Как говорилось выше, часть перечисленных статей расходов (особенно категория косвенных расходов) весьма сложна в определении. Для получения конкретных цифр потребуется обработка большого массива статистических данных, да и подобная точность станет нужна лишь на определенном этапе выбора и реализации проекта. Поэтому имеет смысл ввести поэтапную оценку ТСО проекта, «расширяя» на каждом этапе количество учитываемых показателей, т. е. ввести систему «поэтапных фильтров».
Так, на первом этапе достаточно будет провести сравнительный анализ с помощью расчета ТСО проектов для нескольких вариантов реализации без учета указанных выше «трудноопределяемых» факторов (рассматривая требования по сертификации в качестве дополнительного обязательного условия) и косвенных расходов. Результатом такого анализа будет оценка ТСО (в части прямых расходов) различных вариантов исполнения системы безопасности, построенной на базе того или иного продукта, в долгосрочной перспективе:
- на первых этапах расчета ТСО целесообразно учитывать только основные (очевидные) и легко определяющиеся статьи прямых расходов, такие как расходы на закупку, установку, сопровождение и техническую поддержку оборудования и программных средств; расходы на привлечение дополнительного персонала (обучение и оплата труда дополнительно привлеченного персонала);
- достаточно часто реализация проекта возможна в нескольких вариантах (например от защиты только VIP-рабочих мест до защиты рабочих мест всего персонала компании). Такое случается, когда бюджет проекта «ограничен сверху» либо клиент хочет оценить масштабы и целесообразность реализации проекта вообще. Поэтому имеет смысл рассматривать не один, а несколько наиболее возможных вариантов реализации проекта: минимальный, или пилотный; наиболее вероятный, или промежуточный; оптимистический, или полный.
При реализации крупных проектов варианты реализации могут являться этапами проекта. Например, в первый год устанавливаются средства информационной защиты на основные информационные базы ресурсов компании и места старших менеджеров в штаб-квартире, затем в течение последующих двух лет осуществляется защита основных информационных баз ресурсов компании и менеджерских мест в филиалах компании, а в следующие четыре года средства информационной защиты устанавливаются на все рабочие места и проект работает в «штатном» режиме, в последние два года оборудование подготавливается к реконструкции или ликвидации;
- при расчете ТСО проекта важно понять, как будет меняться ТСО при расширении или модернизации системы, переходе на новую платформу и т. д. Эти данные будут необходимы в дальнейшем и для составления бюджетов ИТ-подразделений.
При расчете ТСО проекта, реализуемого поэтапно, как раз и учитывается факт расширения системы.
При модернизации проекта также возникает ряд вопросов, ответы на которые также окажут положительное или отрицательное воздействие на ТСО:
- что предлагает Исполнитель в случае обновления системы: позволит ли старое оборудование частично компенсировать затраты на модернизацию?;
- как сложно и как долго будет происходить демонтаж оборудования, замена программных средств и установка новых? И какие дополнительные средства на демонтаж потребуются?;
- вся ли система должна быть подвергнута обновлению, другими словами, позволит ли, например, старое оборудование осуществить установку нового программного обеспечения? Вопрос модернизации системы должен рассматриваться отдельно и также являться дополнительным фактором при выборе исполнителя;
- конечно, при выборе конкретного исполнителя следует учитывать его репутацию и т. п.
Так что же необходимо учитывать при расчете ТСО?
В заключение дадим несколько рекомендаций, необходимых для уточнения определения ТСО как на первом, так и на последующих этапах оценки проекта:
- важно понимать, что чем дольше планируемый срок функционирования проекта, тем важнее оценка ежегодных затрат по сравнению с единовременными, и наоборот;
- при определении срока функционирования проекта следует помнить о возможной модернизации проекта и при начальной оценке ТСО предполагать, что срок функционирования проекта будет совпадать со сроком его первой модернизации. Либо при возникновении необходимости определения коэффициента сравнивания затрат следует иметь в виду, что данный коэффициент должен быть меньше срока предполагаемой модернизации;
- в наших расчетах мы не учли такой экономический показатель, как коэффициент дисконтирования, показывающий, что «расходы, совершенные сегодня, дороже расходов, совершенных завтра». Однако при более подробном расчете ТСО в долгосрочной перспективе имеет смысл вспомнить и о нем. В таком случае при расчете ТСО либо единовременные расходы «подорожают», либо ежегодные расходы «подешевеют». «Подорожание» единовременных расходов или «удешевление» ежегодных будет зависеть от выбранной даты расчета ТСО (начало или окончание функционирования проекта);
- учет косвенных издержек возможен как «второй шаг» или «второй фильтр» при выборе поставщика. Зачастую оценить косвенные издержки в денежном выражении достаточно сложно. Определение косвенных расходов требует экспертной оценки. Экспертом может выступать как сотрудник организации клиента, имеющий соответствующую квалификацию, так и привлеченный со стороны исполнитель;
- оценка функциональности предлагаемых к использованию продуктов может выступать как в качестве следующего шага за расчетом ТСО, так и предшествующего расчету. Оценка функциональности продуктов требует также привлечения экспертного мнения и может быть произведена методом весовых коэффициентов или, например, оценкой трудозатрат по инсталляции или перенастройке этого продукта.
Таким образом, для проведения оптимального выбора исполнителя проекта вместо широкого спектра параметров мы можем получить несколько координат, представляющих собой относительно четкую систему:
- ТСО проекта (в разрезе прямых единовременных и ежегодных затрат на проект);
- возможные косвенные затраты по проекту (в денежной или экспертной оценке);
- затраты на модернизацию проекта;
- оценка функциональности используемого оборудования.
На основе полученных результатов намного легче произвести выбор. Очевидно, что грамотное проведение подобных расчетов не всегда сможет выполнить ИТ-менеджер (часто даже в силу недостатка времени). Однако уже сейчас на рынке ИБ появились фирмы, имеющие соответствующий штат специалистов для оказания услуг такого класса. Поэтому если расчет первый («прикидочный»), то его может провести и заказчик, а вот для грамотного и точного расчета с учетом многих важных факторов, очевидно, лучше обратиться к специалисту.
И, наконец, вернемся к определению ROI. При запуске проекта по организации системы обеспечения информационной безопасности снижается вероятность взлома КИС, а значит, и несение убытков (ущерба) от потери конфиденциальной информации.
Зачастую сами собственники информации не в состоянии оценить хотя бы приблизительно ее стоимость. Вопрос количественного определения убытков — это весьма интересная и сложная тема, заслуживающая отдельного обсуждения. Работы в этой области ведутся, и уже в настоящее время на рынке ИБ представлены новые методики, позволяющие разрешить, казалось бы, «неразрешимый» вопрос.
Допустим все же, что клиент в состоянии определить сам стоимость своей информации, а также определены вероятности рисков ее потери. Подобную услугу можно и заказать специализированной фирме. В таком случае в качестве прибыли можно использовать показатель «возможного ущерба», определяемый как сумма произведений возможных ущербов на вероятности их наступления.
Отметим также, что определение ущерба — задача сама по себе конфиденциальная, поскольку ущерб напрямую зависит от стоимости информации. Вряд ли какой-либо руководитель согласится с легкостью расстаться с такой тайной. А посему оставим определение ROI на откуп руководителям организации.
От теории к практике
Приведем пример расчета ТСО. Клиент приступил к выбору исполнителя и остановил свой выбор пока на двух компаниях, специализирующихся в области информационной безопасности. Их известность на рынке примерно одинакова. Программные продукты, предлагаемые исполнителями, аналогичны и сертифицированы. В качестве источников информации используются прейскуранты или предложения исполнителей. Предполагается, что проект должен будет функционировать в течение 10 лет без дополнительной модернизации.
На начальном этапе оценки проекта ТСО для реализации с привлечением выбранного исполнителя будет оцениваться с использованием лишь прямых, обязательных расходов. На причинах такого ограничения списка возможных расходов мы останавливались выше. Естественно, что перечень расходов на дальнейших этапах конкретизации содержания проекта будет уточняться и дополняться, а к основному расчету ТСО добавятся и дополнительные описанные выше факторы.
В принципе, возможны четыре результата анализа ТСО в разрезе единовременных и ежегодных расходов:
1) Ед1 > Ед2, Еж1 > Еж2, выбор клиента — исполнитель 2;
2) Ед1 < Ед2, Еж1 < Еж2, выбор клиента — исполнитель 1;
3) Ед1 > Ед2, Еж1 < Еж2, выбор клиента требует уточнения;
4) Ед1 < Ед2, Еж1 > Еж2, выбор клиента требует уточнения,
где
Едn — единовременные расходы, которые понесет клиент при привлечении исполнителя n;
Ежn — ежегодные расходы, которые понесет клиент при привлечении исполнителя n.
Очевидно, что два первых варианта расчета ТСО однозначны и дополнительных уточнений для выбора Исполнителя не требуется.
Рассмотрим более подробно третий и четвертый варианты. Поскольку варианты симметричны относительно исполнителей, мы рассмотрим лишь один из них, а именно третий.
Результаты проведенного расчета (или представленного исполнителем или исполнителями) ТСО приведены на рисунке.
Как видно, единовременные расходы на реализацию проекта с использованием продуктов исполнителя 1 превысят единовременные расходы на реализацию проекта с использованием продуктов исполнителя 2 (в первую очередь, за счет более высокой стоимости программного обеспечения). Однако применительно ко всему сроку функционирования проекта ТСО проекта с привлечением исполнителя 1 окажется ниже, чем ТСО проекта с привлечением исполнителя 2 за тот же период. Это обусловлено значительным превышением ежегодных расходов, в первую очередь, за счет высокой стоимости сопровождения программного обеспечения исполнителем 2. Кроме того, обратим внимание, что стоимость установки ПО исполнителя 2 превышает аналогичную исполнителя 1 (даже при том, что сама стоимость ПО у исполнителя 1 выше).
Данная ситуация требует дополнительного определения коэффициента сравнивания затрат. В нашем случае он составит около двух лет, т. е. к концу второго года функционирования проекта клиент понесет одинаковые затраты, какого бы из исполнителей он ни выбрал. Но, как говорилось выше, предполагаемая продолжительность функционирования проекта — 10 лет. Следовательно, в течение восьми лет клиент будет нести бо’льшие расходы, если привлечет к реализации проекта исполнителя 2. Естественно, клиенту это не выгодно, и его выбор должен пасть на исполнителя 1.
Также из представленных иллюстраций и анализа результатов видно, что если бы клиент сравнивал лишь прейскуранты без расчета ТСО в долгосрочной перспективе, то цены исполнителя 2 казались бы ему значительно привлекательней, чем цены исполнителя 1.
Если бы мы рассматривали ТСО для нескольких вариантов его реализации, то число диаграмм, аналогичных представленной на рисунке, должно было бы соответствовать числу вариантов реализации проекта.