28 сентября 2018 г.

Увеличить
Александр Бодрик
Увеличить
Рис. 1. Пример устойчивой к санкциям структуры разработчика по ИБ

Санкционный контекст

Последние пару лет ИТ-рынок вспомнил казалось бы давно позабытые понятия «санкции», «санкционный риск». Лихая коммерция начинает уступать место рассчету бизнес-кейса участия компании в каждой сделке.

Тем не менее, участвовать в ряде сделок все равно придется — многие клиенты просто не поймут российскую компанию, которая откажется работать с «пострадавшими» компаниями. Возможны волновое распространение негативной информации о компании, публикации в медиа и «анти-рекомендации», поэтому стратегического выбора нет: с санкционными компаниями работать придется. Поэтому топ-менеджменту компаний необходимо разработать эффективные механизмы смягчения санкционного риска, а на стратегическом уровне — реструктурировать бизнес для уменьшения прозрачности сделок для наших «зарубежных партнеров».

Сложность реструктуризации бизнеса заключается в отсутствии глубокого понимания юридическими службами ИТ-компаний санкционной специфики, а также очень поверхностного понимания клиентского ландшафта России вообще и клиентской базы компании в частности.

Клиентский ландшафт

С точки зрения санкционного риска существует 5 типов клиентов, бизнес с которыми может иметь негативные последствия для ИТ-компании (отсортированы по снижению уровня риска):

  1. Максимальный риск: структуры попавшие в специальный список Отдела по санкциям США — SDN OFAC (Special Designated Nationals List) — связанные с Крымом, отдельные банки и тп.
  2. Высокий риск: силовые структуры, связанные с Крымом структуры — что могут потенциально попасть в SDN.
  3. Средний риск: Сбербанк, ВТБ, Роснефть и другие предприятия что вошли в список секторальных санкций SSI OFAC (Sectoral Sanctions Identifications List).
  4. Низкий риск: предприятия с государственным участием, что могут потенциально попасть в SSI исполняя соответствующие задачи в отношении Крыма.
  5. Минимальный риск:
    • Коммерческие частные холдинги, особенно ранее не входившие в список стратегических предприятий РФ.
    • Представительства международных корпораций, особенно американских и европейских.

Видимо, с близостью к выполнению государственных задач схожи и менталитеты клиентов близких типов. А именно: работа с силовыми структурами и крымскими компаниями подразумевает длинный цикл сделки, повышенную маржинальность и повышенные риски ее потерять из-за значительной неопределенности структуры сделки, объема работ и т.п.

Работа с частными холдингами и представительствами мультинациональных корпорациях, напротив, характеризуется более короткими циклами сделок и меньшими рисками, но и меньшей плановой маржинальностью.

Соответственно, формируется 3 дивизиона — центра продаж и держателей контрактов, которые обслуживают 3 сегмента «Силовой», «Государственный» и «Частный».

В случае введения санкций против дивизиона «Силовой» операционная деятельность других дивизионов не будет затронута.

По похожему пути исторически идет, например, группа IBS, в которой компания IBS Экспертиза отвечает за работу с государственными структурами и крупнейшими клиентами, а компания IBS Platformix — за работу с частными холдингами и мультинациональными клиентами.

Структурирование бизнеса

Кроме центров продаж ИТ-бизнес содержит одно или несколько из следующих подразделений:

  1. Закупки и логистика
  2. Интеграция
  3. Техническое сопровождение
  4. Провайдер облачных сервисов (в тч. информационной безопасности)
  5. Разработка ПО
  6. Маркетинг
  7. Бэк-офис (включая HR и финансы).

Второй линией обороны против санкций может быть разделение центра разработки по разным продуктам. К примеру, продукты, основным клиентом которых являются силовые организации, выводятся в Центр разработки решений А, продукты для «коммерческого» рынка — в Центр разработки решений Б. В случае введения санкций против Центра разработки решений А деятельность Центра разработки решений Б не пострадает. В частности, он сможет приобретать технологии, необходимые ему для создания продуктов у западных производителей — к примеру RedHat Enterprise Linux или BI QlikView.

Третьей линией обороны может быть концентрация практик интеграции и сопровождения продуктов в Центрах компетенций. Пример итоговой схемы бизнеса ИТ-компании (за основу взят разработчик ПО по информационной безопасности) на рис. 1.

Как видно из рис. 1, бизнес будет использовать систему договоров между подразделениями, при этом договоры не будут выкладываться на порталах закупок, что усложнит идентификацию и анализ коммерческой, производственной и операционной деятельности бизнеса внешними недружественными сторонами, стимулирует органы управления санкциями найти более легкие цели.

Однако реструктурирование порождает и побочные полезные эффекты:

  1. Упрощение операционного управления бизнесом с точки зрения консолидации клиентов с похожими циклами сделок, размерами чеков и менталитетом.
  2. Упрощение инвестиционного процесса — продукты тематики «Импортозамещение» автоматически будут понятным образом развиваться внутри своих подразделений.
  3. Упрощение разрешительной работы и мотивации людей — Центр компетенций по силовым структурам будет иметь в штате людей с соответствующими допусками и дополнительной мотивацией.

Источник: Александр Бодрик, вице-президент Московского отделения ISACA, исполнительный директор компании ANGARA, сертифицированный аудитор информационных систем (CISA), ITIL Expert; Виктория Смирнова, главный эксперт по комплаенс банка (название не раскрывается)