Практично закінчивши роботу над слайдкастом прийшов до висновку, що матеріал важкуватий для такої подачі інформації, і вирішив зупинитися. У будь-якому випадку, викладаю повний текст:
У Росії складно знайти дві однакові служби ІБ. Десь питаннями ІБ займається служба ІТ, десь функцію ІБ покладають на операційний або виробничий департамент, десь слова «інформаційна безпека» викликають подив. Так, це наша дійсність. Однак необхідно знати тенденцію, бачити тренд розвитку галузі, і розуміти куди ми рано чи пізно прийдемо? Тренд, на мій погляд, наступний. У переважній більшості середніх і великих компаній служба ІБ буде відділена від ІТ і стане під контроль ТОР-менеджменту. Керівник служби ІБ стане, в першу чергу, МЕНЕДЖЕРОМ, людиною бізнесу, чиє основне завдання - управлінням ризиками. Ринок послуг ІБ буде рости і рости швидко незалежно від нових законів, вимог регуляторів, так і кризи не стане на заваді розвитку ринку. Також будуть змінюватися переваги окремих учасників ринку, які намагаються «все робити своїми силами» (ризик-менеджмент виключає такий підхід).
До чого я увазі? До того, що мати справу з усякими консультантами, інтеграторами і іже з ними, доведеться все частіше. А значить, буде корисно отримати інструментарій по роботі з ними.
На сьогоднішній день, за моєю оцінкою, 9 з 10 виборів консультанта, на жаль, здійснюються просто непрофесійно. Більш докладно я про це говорив в попередньому слайдкасте .
Власне сьогоднішній слайдкаст матеріал про те, як найбільш професійно відбирати постачальника послуг ІБ. Точніше про те, яка модель пройшла перевірку часом і про те як їй взагалі користуватися.
Почнемо спочатку
Вибір постачальника послуги це такий же бізнес-процес як і будь-який інший, а значить цивілізований світ уже давно придумав загальні і приватні рецепти, як це робити найефективніше. Досвід і практика у світової спільноти вже є, потрібно лише перекласти існуючі рекомендації на нашу специфіку.
Відомий для нашого ринку, завдяки однойменному « циклу »Професор Демінг, ще півстоліття тому сформулював свої« 14 принципів », Які лягли в основу серії ISO 9000 (Стандарти менеджменту якості). На основі цих принципів виросла друга економіка світу (та й перша теж). Так ось, 4-й, з цих принципів, звучить так:
Покінчите з практикою закупівель за найнижчою ціною. Замість цього, поряд з ціною, вимагайте серйозних підтверджень її якості. Зменшіть число постачальників одного і того ж продукту шляхом відмови від послуг тих з них, хто не зміг статистично підтвердити його якість. Прагніть до того, щоб отримувати всі поставки даного компонента тільки від одного виробника, на основі встановлення довготривалих відносин взаємної лояльності і довіри. Метою в цьому випадку є мінімізація загальних витрат, а не тільки первинних.
Іншими словами, замість спроб будувати довготривалу стратегію бізнесу на основі низьких цін продажу і / або закупівель, Е. Демінг радить:
11 правил, які потрібно дотримуватися, якщо ви входите в судовий процес, що стосується питань інформаційної безпеки
1) Звести до мінімуму сукупні витрати;
2) Намагатися працювати з 1 постачальником.
Ось так!
Що таке сукупні витрати? Сукупні витрати - це не тільки ціна товару, а ще й витрати на контроль, на виправлення дефектів, плюс різноманітні ризики.
Формулу можна подати так:
(Зс = Сукупні витрати) = (Цк = контрактна ціна) + (Зк = витрати на контроль) + (Зі = витрати на виправлення дефектів) + (R = ризики - фінансові, репутаційні і т.д.)
Сукупні витрати потрібно порахувати по кожному постачальнику, а після цього, а якщо йдеться про багато потенційних постачальників, поділити їх на групи:
Група А, ті у кого Зс ≈ Цк
Група В, ті у кого Зс ≈ 1,2 Цк
Група С, ті у кого Зс ≈ 1,4 Цк
З групами D, E, F і G - не працюють в принципі.
Після поділу постачальників на групи слід їх поділ за напрямками співробітництва.
наприклад:
- для аутсорсингу важливих процесів залучається тільки група А,
- для аутсорсингу менш важливих процесів досить групи В,
- для закупівель в режимі швидко і якісно тільки група А,
і т.д.
Звідси випливає пояснення, чому в Європі і Штатах проводиться на порядок менше тендерів, ніж у нас. Вся справа в тому, що замовник вибирає тільки одного постачальника і планомірно «дорощують» його до вимог свого споживача. Іноді виявляється вигідно вибрати вже дуже компетентного постачальника, а іноді вибрати перспективного і «заточити» його під себе (все залежить від показника сукупних витрат). І той і інший варіант можливий, тому що контракти шикуються на довгострокову перспективу.
Звідси ж випливає принцип «виграти-виграти», коли постачальник і замовник стають партнерами, а не прагнуть «прогнути» один одного за ціною.
Зробимо невеликий відступ
Запропонована схема, роботи з постачальниками використовується не тільки в General Electric, Toyota, Mercedes або Shell, точно за таким же принципом відбирають постачальників і під державні контракти в ФРН, США, Японії, Канаді і т.д.
А тепер згадаємо наш чудовий 94-ФЗ про держзакупівлі ( «Про розміщення замовлень на поставки товарів, виконання робіт, надання послуг для державних і муніципальних потреб»), який прийняли в 2005 році. Суть цього закону зводиться до необхідності державних закупівель за найнижчою ціною.
Всього в законодавстві визначені дві основні процедури: аукціони і конкурси.
В Аукціоні єдиний критерій вибору - ціна. Проводити аукціон просто, і ця процедура використовується для закупівель типових речей. Хоча навіть тут зрозуміло, що найдешевші стіл і стілець явно не прослужать довго і через рік-два їх доведеться закуповувати знову.
Якщо мова йде про технічно складних товари або послуги, то організовується Конкурс / Тендер. Тут заявки претендентів оцінюються за спеціальною системою балів. Ця система враховує і ціну, і якість, і терміни і т. П. Але ціна все одно головний фактор.
А тепер відповімо на питання:
Як ця схема цілком узгоджується з принципами Демінга?
Та ніяк!
Керуючись цією схемою, виходить, що наша держава в принципі не повинно купувати якісних технічно складних товарів і послуг. Якщо навіть виключити всю корупційну складову (а будемо правдиві, красти менше не стали) держава буде як і раніше купувати дорого. Справа в тому, що ціна контракту буде низькою, а Зс залишаться високими, тому що за низьку закупівельну ціну доведеться розплачуватися, обслуговуванням, супроводом, модифікацією і т.д.
Що ж, це все про вибір постачальників в загальному ...
Чим описана вище схема вибору постачальників цікава для закупівель в області ІБ?
Отже, оцінка постачальників проводиться ДО ПІДПИСАННЯ КОНТРАКТУ, її Мета - оцінити співвідношення контрактної ціни і сукупних витрат.
Оцінка проводиться опосередковано за спеціальними оцінними анкетами. У великих компаніях це близько 2000 питань - приватних критеріїв оцінки. Деякі опитувальники великих купців (Boeing, Ford, Wal-Mart і т.д.) при бажанні можна знайти в інтернеті і адаптувати під себе. Якщо ваша компанія невелика, то ви можете вибрати свою систему оцінки. Тим, хто проводив аудити ІБ буде простіше, тут потрібно вибрати критерії та свідоцтва оцінки.
Критерії краще відразу вибирати таким чином, щоб було зрозуміло на які групові критерії у формулі вони впливають:
(Зс = Сукупні витрати) = (Цк = контрактна ціна) + (Зк = витрати на контроль) + (Зі = витрати на виправлення дефектів) + (R = ризики - фінансові, репутаційні і т.д.)
Критеріями можуть бути надійність рішень, зручність експлуатації, моторність постачальника, здатність постачальника доопрацювати рішення в ході проекту і т.п. Залежно від компанії і поставленого завдання таких критеріїв може бути від 10-20 до кілька сотень. Після того як критерії визначені, потрібно суб'єктивно розставити ваги за кожним критерієм залежно від його значущості і приступити до збору свідчень. Частина свідчень можна легко зібрати задавши короткі питання самим постачальникам, а деякі (на кшталт «моторність постачальника») простіше оцінити виходячи з власного досвіду, якщо такого не досить, то можна розпитати друзів, знайомих, та й просто «колег по цеху». Отримати 3-5 відгуків та зробити висновок.
Отже, критерії розроблені, ваги за кожним критерієм розставлені, свідоцтва зібрані, висновки зроблені, залишилося проаналізувати результати, і якщо необхідно згрупувати постачальників. Найпростіше взяти шкали в процентах (від 100%) або 90-бальну VDA (До неї звикли німці).
Групуємо постачальників (по 100% шкалою):
1. Група А - ≥ 92%
2. Група В - ≥ 80%
3. Група С - ≥ 65%
4. Група D - ≥ 50%
Традиційно в групу А увійдуть 1-3 постачальника. У групи B і C потрапить більша частина розглянутих постачальників. З постачальниками групи D, більшості середніх (і вже тим більше, великих компаній) краще не працювати.
В результаті ми оцінили постачальників і розділили їх по групах. Якщо ви розглядає невелике число потенційних постачальників, то відповідно розділяти по групах їх не потрібно.
Тепер якщо у вас кілька напрямків співпраці з ІБ, то можна для кожного напрямку визначити свою групу (або постачальника).
В підсумку
Що ж, з таким аналізом можна і проект захистити і гроші швидше виділити, та й з професійної точки зору це виглядає значно краще, ніж «Ну ... по грошах перемогли ось ці». Запропонована модель буде зрозуміла будь-якому грамотному керівнику або власнику. В результаті виходить, що навик оцінки постачальника за запропонованою схемою додає ще одну монету в скарбничку бізнес-орієнтованості служби ІБ.
Тепер коротко.
Послідовність роботи з постачальниками:
1. Розробили систему оцінки постачальників;
2. Отримали цінова пропозиція;
3. Оцінили по груповим критеріям Цк, Зк, Зі та R;
4. Вибрали і затвердили постачальників за напрямками співробітництва;
5. Розробили заходи з управління ризиками;
6. Почалися поставки (роботи за договором) - ведемо моніторинг по R;
7. Аналізуємо результати моніторингу і приймаємо управлінські рішення.
тези:
• Керівник служби ІБ - Ризик-менеджер.
• Постачальник вибирається не за ціною контракту, а за показником сукупні витрати.
• Навичка оцінювання постачальників піднімає цінність Керівника служби ІБ для бізнесу.
До чого я увазі?
Що таке сукупні витрати?
Чим описана вище схема вибору постачальників цікава для закупівель в області ІБ?