Контакты

Артак Оганесян: Мы зависим от заказчиков не меньше, чем они от нас

Портал Интеллектуальный банк - 19 ноября 2012

Споры между сторонниками и противниками применения аутсорсинга при разработке ПО сродни вечному конфликту между доверием и сомнениями. Одни говорят о плюсах – снижение затрат на непрофильную деятельность, наличие «пула» ИТ-специалистов без головной боли по их поиску и мотивации, возможность влиять на качество и скорость разработки ИТ-решений. Вторые возражают – минусов больше: есть риск утечки данных, зависимость от внешнего партнера, недостаточное знание подрядчиком специфики бизнеса. Эти сомнения потенциальных заказчиков комментирует Артак Оганесян, заместитель генерального директора по развитию бизнеса компании EPAM Systems.

- Вы представляете аутсорсинговую компанию. На Ваш взгляд, вероятно, в этом споре правы сторонники аутсорсинга?

- Обе стороны правы. Когда мы говорим о передаче разработки программного обеспечения на аутсорсинг, то здесь справедливы и названные плюсы, и минусы. Другое дело, что минусы можно преодолеть, свести к нулю. Это требует усилий, но не является невыполнимой задачей.

- Например? Возьмем один из кошмаров любого банкира – конфиденциальные данные о клиентах или их операциях попали в чужие руки. Это ведь возможно, раз подрядчик получает доступ к информационным системам банка?

- Практически нет. Это если мы говорим о профессиональном аутсорсере, который выполнил не один проект и дорожит своей репутацией. Есть технологические, организационные, юридические меры для защиты информации. Они все известны – нужно только уметь их правильно применять.

К примеру, когда мы начинаем работать с заказчиком на постоянной основе и создаем для него выделенный центр разработки, мы последовательно «проходим» более 350 шагов. Это пункты из своего рода проверочного списка для контроля всех деталей формирования центра. Многие из них связаны с организацией так называемого контура безопасности. Как будет ограничиваться физический доступ к информации? Разрешим ли мы пользоваться на территории центра смартфонами, флешками или чем-то еще, что можно использовать для копирования данных? Политика чистых столов – нужна или нет? Системы шифрования – используем или нет? Как будем регламентировать работу в глобальной и локальной сетях? Какие пункты включаем в NDA для сотрудников? Эти и многие другие вопросы мы обсуждаем с банком. Затем реализуем на практике в виде конкретных технических и программных решений, должностных инструкций, юридических документов.

С точки зрения технологий арсенал средств защиты информации огромен. Например, виртуальные рабочие места (virtual desktop infrastructure – VDI). В этом случае разработчики физически находятся у нас, но работают на оборудовании, которое стоит в офисе заказчика и полностью им контролируется. У сотрудника есть только монитор, клавиатура и «мышка». Когда он нажимает кнопку, данные по одному каналу связи отправляются на сервер заказчика. В ответ по второму каналу на монитор выводятся результаты его действия. Нет прямого доступа к данным – нельзя их украсть. Разве только сфотографировать экран, но обычно в такие помещения нельзя проносить ни мобильные телефоны, ни тем более фотокамеры. Кроме того, если сотрудник выходит из среды разработки и начинает пролистывать страницы с данными, доступ к системе мгновенно блокируется.

Бывают случаи, когда при разработке или тестировании системы нам нужно работать с персональной информацией клиентов или сведениями о финансовых транзакциях. Тогда используются алгоритмы необратимого искажения данных. Мы получаем данные с сохраненными логическими связями, но возможность понять, что это за клиент, каковы объемы его бизнеса, характер транзакций и т.д., отсутствует. Так что этот кошмар на практике совсем не так страшен, как кажется.

- А случались «проколы», когда несмотря на все меры, данные «утекали» ?

- В практике нашей компании и у наших российских коллег-конкурентов утечек конфиденциальных данных не было. На памяти был только один случай, когда данные «утекли» не в ту сторону - из тестового окружения в «боевую» систему. Это произошло из-за неправильных настроек, переданных нам ИТ-службой заказчика, для тестирования созданного решения. Хорошо, что наш специалист практически сразу это заметил на предварительном прогоне и исправил ситуацию, не запустив основные автотесты.

- Последствия были? Например, в виде судебных разбирательств?

- Как я уже сказал, у нас не было проблем из-за конфиденциальности данных или защиты интеллектуальной собственности заказчиков. Так что не было и последствий. Но разногласия с заказчиками бывают, в основном, в моменты сдачи-приёмки работ, разбора несоответствий и отклонений от исходных требований. Иногда возникают достаточно острые спорные вопросы, но их всегда удается разрешить на взаимовыгодных условиях. До серьезных разбирательств дело доходило только дважды – оба раза из-за вопросов оплаты. В первом случае наш заказчик – розничная продуктовая сеть – из-за кризиса 2008 года задерживал оплату, и нам пришлось обратиться в суд. Во втором случае мы довольно быстро пришли с заказчиком к мировому соглашению и согласовали с ним график погашения его задолженности перед EPAM.

- Если вернуться к вопросу о защищенной инфраструктуре, о которой Вы говорили, кто оплачивает ее создание – подрядчик или заказчик?

- Когда как. Реализацию стандартных требований мы включаем в базовый пакет предложений для заказчика. Если нужны уникальные технологии или средства, то решение разное в каждом конкретном случае. Какие-то расходы мы берем на себя. Что-то оплачивает банк, но при долгосрочном сотрудничестве он в дальнейшем возвращает эти инвестиции за счет специальных ставок. Мы можем их предоставить, если заказчик гарантирует определенный объем задач для нашей команды и есть четкие планы по загрузке ресурсов.

- Тем не менее многие банки, даже привлекая внешних ИТ-специалистов, стараются разместить их на своей территории. Так легче контролировать их работу, в том числе с точки зрения безопасности.

- Да, подобные примеры есть. На мой взгляд, это снижает эффективность аутсорсинга. Как правило, речь идет об организации временных или постоянных рабочих мест специалистов в офисах банка в Москве или Питере. Это минимум на 20-30% увеличивает расходы: квалифицированных ИТ-специалистов в столицах не так много и битва за них идет нешуточная. Если для банка критична работа именно on-site, то мы предлагаем компромиссный вариант. Наши специалисты будут работать непосредственно в банке, но это будет одно из его региональных отделений. Например, у одного из наших заказчиков есть операционный центр в Рязани, и разработчики и тестировщики EPAM работают на его территории, в рамках его инфраструктуры. В итоге нет поводов для волнения по поводу безопасности и защиты данных. Затраты на создание инфраструктуры уменьшаются. При этом банк получает специалистов равной квалификации со столичными, но с меньшими ожиданиями по размерам зарплаты. По схожей схеме мы сейчас создаем выделенный центр разработки для еще одного розничного банка. Так что вариант вполне эффективен. Правда, у заказчика должен быть достаточно большой по площади филиал в том же городе, где присутствуем мы, – тогда быстро предоставим нужных специалистов. Хотя можно организовать работу и в том случае, если в интересном для банка регионе пока нет офисов EPAM. Пример из нашей западной практики. Глобальный банк выбрал в качестве региона аутсорсинга Польшу. Тендер на построение удалённого центра разработки выиграла EPAM, и в двух польских городах были открыты наши отделения.

 

- Еще один минус, о котором часто говорят, – зависимость от аутсорсинга. «Мы пригласим подрядчика и отдадим ему важные для бизнеса ИТ-проекты – он будет поднимать цены и мы ничего не сможем с этим сделать» - эти слова справедливы?

 

- Это иллюзия, что мы можем посадить заказчика «на иглу». Банк отдает нам задачи по разработке, тестированию или поддержке важных для своего бизнеса систем. Конечно, это создает впечатление, что теперь он полностью зависит от нас. Но на самом деле чем хороши долгосрочные отношения с аутсорсером? Когда мы начинаем работать с заказчиком на постоянной основе, мы начинаем зависеть от него не меньше, чем он от нас. Мы специально для него формируем команду и строим инфраструктуру для ее работы. Это достаточно серьезные инвестиции, и они будут оправданы только в том случае, если сотрудничество с банком продолжится не один и даже не два года. Поэтому шантаж заказчика повышением стоимости услуг для нас чреват плохими последствиями. Незаменимых компаний нет - заказчик найдет нам альтернативу, даже если при этом придется потерять в качестве или производительности. Мы получим удар по репутации, и этим точно воспользуются наши конкуренты. Затраты не окупятся, так еще у нас останутся подготовленные или привлеченные специалисты, инфраструктура центра. Быстро подключить эти ресурсы к другим проектам нельзя, особенно, если мы говорим о центре с десятками или даже сотнями специалистов. Поверьте, этот фактор хорошо мотивирует аутсорсера заботиться о заказчике и не разговаривать с ним с позиции силы. Ну и, конечно, все финансовые аспекты всегда детально фиксируются в договоре. В том числе оговариваются условия и периодичность повышения ставок, используемый индекс инфляции или изменения заработных плат на основе данных рынка труда. Это еще одна страховка банка от неоправданного завышения цен подрядчиком.

- Получается, Вы советуете банкам выбрать одного поставщика услуг ИТ-аутсорсинга и работать на долгосрочной основе только с ним?

- Конечно, и этот единственный поставщик - EPAM (улыбается). Если серьезно, то это упрощенный и не всегда верный подход. Если банку нужны небольшие по объему и не критичные для бизнеса проекты, нет смысла тратить ресурсы на организацию выделенного центра и гарантировать загрузку внешней команды на длительный срок. Более эффективно поручить работы разным компаниям на принципах фиксированной стоимости или фактических трудозатрат. Даже если мы говорим о передаче на аутсорсинг серии задач (скажем, развитие АБС) или процессов (к примеру, тестирование систем), то и здесь не обязательно отдавать все одному поставщику. Аутсорсинг может быть точечным – в виде центров компетенции на базе различных подрядчиков, каждый из которых лучший в своём классе. Одному партнеру отдается проведение приемо-сдаточных испытаний – тогда все решения от разных подрядчиков будут передаваться в банк через единый центр. Это позволит получать независимую оценку качества ПО и выстроить четкую схему передачи систем в эксплуатацию. На базе другого партнера можно создать выделенный центр по нагрузочному тестированию. Кому-то третьему отдать процессы поддержки и сопровождения. Конечно, возникает необходимость в координации задач, что требует дополнительных ресурсов. Но такой подход имеет право на жизнь, особенно, когда от партнеров нужны глубокие знания в узких областях (например, ИТ-поддержка формирования регуляторной отчетности).

Чтобы убедиться в компетенциях подрядчика, можно посмотреть на его опыт работы с западными и российскими банками и пообщаться с его активными клиентами. Как вариант – начать с небольших тестовых проектов и в ходе них понять уровень  профессионализма каждой конкретной компании.

- Почему бы тогда не создавать такие центра компетенции внутри собственного ИТ-подразделения? Особенно, если учесть, что в 90-ые годы практически каждый банк самостоятельно разрабатывал информационные системы и во многом из-за этого в большинстве банковских ИТ-отделов уже есть многочисленный штат программистов.

- Обращаясь к аутсорсингу, банк ищет не только дополнительное количество людей. Иначе было бы просто – набрал с рынка пару десятков разработчиков, и все. Хотя и это может стать проблемой, поскольку хороших специалистов мало. Многие аутсорсеры тесно работают с профильными вузами. К примеру, у EPAM Systems есть учебные лаборатории программирования и тестирования на базе десятков университетов и институтов России, Беларуси, Украины. Это обеспечивает постоянный приток новых кадров в компанию. У банков нет такого опыта, конечно, если говорить об ИТ-специалистах.

Но главное, что заказчик получает от профессионального подрядчика, - это выстроенные процессы разработки, методологию и инструментарий для управления проектами, прозрачную систему оценки качества работы каждого специалиста и понятную стоимость каждой операции. Любой банк знает, как лучше заработать деньги и расширить число клиентов, – это его бизнес. Мы знаем, как лучше создавать или развивать системы, которые помогут банку достичь своих целей, - это наш бизнес. Если вдруг EPAM решит заняться банковской деятельностью, мы, конечно, справимся. Но нам потребуется как минимум несколько лет и масса сил, чтобы наработать весь тот опыт, который уже сейчас есть у банков. Аналогично: если банк решит заняться профессиональной разработкой информационных систем, он будет вынужден выделить значительные средства на повтор нашего 20-летнего пути и только спустя годы приблизится к результатам и качеству, которые мы гарантируем уже сейчас. Почему я говорю «приблизится», а не «достигнет»? Здесь есть один момент. В число наших заказчиков входят ведущие мировые и отечественные производители программного обеспечения. EPAM участвует непосредственно в создании их продуктов и решений, которые потом поставляются конечным клиентам. Мы можем перенимать лучший опыт в обеспечении жизненного цикла разработки и внедрения ПО и расширять технологический кругозор. Получить такие компетенции даже самому продвинутому ИТ-отделу банка невозможно.

- Получается, надо уволить собственных сотрудников и на замену им пригласить сторонних специалистов?

- Речь не идет о замене. Скорее, о перераспределении ролей. Приведу пример. Один из наших заказчиков – универсальный банк – передал нам поддержку своей системы Интернет-банкинга. Решение изначально разрабатывалось собственными силами. Затем задач стало слишком много, и поэтому часть из них банк отдал EPAM на основе соглашения о качестве услуг (service level agreement – SLA). В тоже время внутренние разработчики накопили огромную экспертизу по этой системе – и это дало им возможность сменить амплуа. Сейчас для нас они уже выступают в роли аналитиков, экспертов, постановщиков задач. Так что в этом смысле аутсорсинг позволяет дополнительно мотивировать собственных специалистов и дать им возможности для роста и развития внутри компании.

По аналогичному сценарию работает еще один наш заказчик – один из лидеров розничного кредитования. Ключевая экспертиза и ядро команды разработчиков банка находятся в Москве, они занимаются стратегией развития систем, а вот оперативные задачи поручаются специалистам региональных центров – собственных и построенного на базе EPAM Systems.

Помимо этого аутсорсинг помогает восполнить недостаток экспертизы в каких-то новых для банка областях. Например, недавно для российского инвестиционного банка мы сделали решение под iPad для публикации аналитических отчетов. В этом случае у специалистов заказчика просто не было необходимых знаний и опыта для создания таких приложений. Сейчас мы работаем над версией решения под разные модификации Android. При этом одновременно к проекту подключены сразу несколько центров компетенции EPAM – это наши эксперты в области обработки рыночных данных (market data) и построения по ним аналитики, создания мобильных приложений с учетом вопросов эргономики.

- В своих интервью Вы говорили, что при сотрудничестве с аутсорсером заказчик может видеть стоимость каждой выполненной операции в рамках проекта. Если я как клиент вижу весь этот расклад, зачем мне платить больше себестоимости? На чем Вы зарабатываете при такой прозрачности?

- Тут нам повезло, или мы умеем находить правильных заказчиков. Они – рационально мыслящие люди, которые понимают, что любой бизнес должен быть рентабелен. Мы можем при определенных условиях идти на хорошие скидки, но долго работать в ноль или в убыток недопустимо. Особенно если учесть, что EPAM в начале 2012 года стала публичной компанией, и наши акции теперь торгуются на Нью-Йоркской фондовой бирже. У нас есть ответственность перед акционерами.

Бывает, что возникают сложности с отделами закупок некоторых крупных банков, которые выбирают подрядчиков на основе минимальной цены без оценки их опыта или экспертизы. По этой причине мы даже можем проиграть тендер, но, кстати, потом получить проект. Как правило, самый дешевый поставщик далеко не самый качественный, поэтому заказчик возвращается к нам. Я не просто так сказал «крупных банков». В больших организациях теряются связи между подразделениями, приверженность процессам превалирует над интересами реального бизнеса, который приносит деньги. В такой ситуации обслуживающие подразделения службы – отдел закупок или планово-экономическая служба – часто могут руководствоваться только критерием цены, что неверно.

В нашей практике был случай, когда заказчик при выборе партнера для создания мобильного приложения остановился на студии фрилансеров. Были предложены низкие ставки, но, правда, к их чести надо сказать, что была и очень креативная идея самого приложения. Однако создать безумно красивое приложение-визитку и создать полнофункциональное решение для мобильного банкинга, которое справится с нагрузкой в десятки тысяч пользователей, – это разные вещи. В итоге для спасения этого проекта позвали EPAM. Отрадно, что, как правило, ИТ-подразделения банков и даже их бизнес-заказчики при взаимодействии с отделами закупок играют на нашей стороне. Точнее на своей стороне, но их желание получить надежность и предсказуемость по качеству и срокам при разработке ПО совпадает с нашим стремлением попасть в сроки и бюджеты и обеспечить нужное качество. Так что вместе с ИТ и бизнес-заказчиками нам удается убедить оппонентов, что цена – это очень важно, но есть и другие значимые факторы. Если принимать их в расчет, окажется, что плюсов у аутсорсинга все-таки больше, чем минусов.

Оригинал публикации