Экспертное исследование ИТ-контрактов:
основные аспекты и практические примеры
Автор: Юлия Боброва, директор направления экспертизы АО "МДТ "ЦИФРА".
Содержание |
Понятие экспертного исследования субъективно воспринимается с особым пиететом. Часто предполагается, что эксперты — некая особая каста специалистов высокого уровня, способных в «критических точках» той или иной деятельности предоставить «истину в последней инстанции». А если речь идет об ИТ, пиетет только усиливается. Вместе с тем экспертная оценка ИТ-контрактов на сегодняшний день востребована потенциально, и то, насколько она может быть востребована на практике, зависит как раз от возможности «приземлить» данную тему.
Документы, термины, определения…
В соответствии с частью 3 статьи 94 Федерального закона № 44, заказчик обязан провести экспертизу, с целью проверки предоставленных поставщиком (подрядчиком, исполнителем) результатов, предусмотренных контрактом. Закон говорит о том, что экспертиза может быть проведена заказчиком как своими силами, так и путем привлечения экспертов либо экспертных организаций на основании контрактов.
Обращаясь к Законодательству Российской Федерации, необходимо отметить, что под экспертизой следует понимать деятельность, направленную на проведение исследования и предоставление заключения по вопросам, разрешение которых требует специальных знаний. Речь идет о том, что в первую очередь экспертиза это деятельность по объективному, всестороннему и полному обследованию (исследованию) объекта экспертизы. Но у этого процесса есть и ограничения. Эти ограничения также диктует законодательство, и связаны они с тем, что экспертиза несет в себе целью ответ только на вопрос, поставленный перед экспертом. Другими словами, эксперт не имеет право самостоятельно проводить дополнительные исследования, которые направлены на дачу ответа на иные вопросы, которые изначально не были перед ним поставлены. Экспертиза ИТ-контрактов может быть проведена в рамках выполнения работ (оказания услуг) по всем этапам жизненного цикла информационной системы (ИС).
Также необходимо отметить, что экспертиза проводится только экспертами в области науки, техники, искусства или ремесла. Вместе с тем, нельзя не отметить, что сейчас «область» проведения экспертизы явно расширяет границы: начиная от давно известных экспертиз (например, почерковедческой) и заканчивая достаточно современными экспертизами, такими как экспертиза результатов мероприятий по информатизации и экспертиза планируемых мероприятий по информатизации. Эксперт — это лицо, обладающее специальными знаниями, следовательно ему необходимо постоянно повышать свою квалификацию (проходить обучение).
При этом необходимо разграничивать экспертизу ИТ-контракта в отношении государственной системы (в том числе федерального уровня) (ГИС/ФГИС) и не государственной ИС (включая ведомственные ИС).
В отношении ГИС/ФГИС можно выделить следующие нормативно-правовые акты (НПА). Ниже приведен лишь перечень основных НПА:
Обязательные | ||
1 | Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149 | Содержит основные понятия в отношении ГИС/ФГИС и ИС. |
2 | Федеральный закон от 27 июля 2010 г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг» | Регламентирует порядок предоставления гос. услуг и функций в случае, если ГИС предоставляет гос. услуги в электронном виде |
3 | Постановление Правительства Российской Федерации от 06 июля 2015 г. № 676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации» | Основной документ, который регламентирует порядок создания/развития ГИС |
4 | Постановление Правительства Российской Федерации от 16 ноября 2015 г. № 1236 «Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд» | Регламентирует реализацию политики импортозамещения, обязательной в Российской Федерации |
5 | Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» | При обработке в ГИС/ФГИС персональных данных |
6 | Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» | В рамках информационной безопасности |
7 | Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» | В рамках информационной безопасности персональных данных |
8 | Приказ ФСТЭК России от 29.04.2021 №77 «Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну» | В рамках аттестации системы |
Не обязательные | ||
1 | ГОСТ 34 серии | Информационная технология |
2 | ГОСТ 19 серии | Единая система программной документации |
3 | Другие нормативные акты, которые содержат требования к разрабатываемой ГИС/ФГИС |
В отношении не ГИС и/или ведомственной ИС перечень НПА определяются договором и техническим заданием (ТЗ) на выполнение работ (оказание услуг). Обязательного перечня нет. При этом практически всегда используется ГОСТ 34-й либо ГОСТ 19-й серии и ГОСТ РД 50-34.698-90 (в настоящее время отменен, однако, используется по требованию заказчиков). Кроме того, требования к не ГИС и/или ведомственной ИС могут непосредственно содержаться во внутренних нормативных актах.
Закупки (заключение ИТ-контрактов) выполняются в рамках ФЗ-44 и ФЗ-223, и поэтому в деятельности по экспертизе ИТ-контрактов заимствуется терминология из этих документов. Например, речь идет об определениях «эксперт», «экспертная организация» и еще ряде ключевых терминов. Плюс используются некоторые понятия, указанные в ГОСТ 34-й и/или 19-й серии.
Два вида активностей
Если мы, наряду с самой информатизацией, выделяем планируемые мероприятия, следует разобраться, в чем тут принципиальная разница. «Планируемые мероприятия по информатизации» — это мероприятия в сфере информационных технологий, которые только планируются к выполнению, например: для создания информационной системы рекомендуется проведение аудита или обследования объекта автоматизации для формирования наиболее оптимизированной стратегии, концепции, технико-экономического и финансово-экономического обоснования создания ИС. Цель проведения экспертизы таких мероприятий состоит в минимизации рисков заказчика при заключении им ИТ-контрактов, формирования наиболее подходящих требований к информационным системам или объектам автоматизации в соответствии с целями создания/развития, а также экономии средств заказчика.
Второй тип экспертизы — это экспертиза результатов мероприятий по информатизации. В данном случае речь идет о приемке результатов работ (оказания услуг). Такое мероприятие как «приемка работ» (услуг) достаточно трудоемкий, сложный и рискованный процесс для заказчика и исполнителя. Риск состоит в том, что заказчику очень трудно объективно и всесторонне оценить результаты исполнения его ИТ-контракта. Это связано с тем, что он не участвовал в его исполнении, а также, как правило, не обладает квалификацией в объеме, необходимом для всесторонней оценки результатов исполнения ИТ-контрактов.
Экспертиза в контексте реальных ситуаций
Важным моментом, на который следует обратить внимание, является зрелость использования информационных технологий в современном отечественном бизнесе. Сегодня практически никто не строит ИТ-поддержку бизнеса с чистого листа. Те или иные ИТ-системы в бизнесе уже используются, а развертывая их у себя на площадке ранее, заказчик уже так или иначе сталкивался и с методической стороной их внедрения. А она, в свою очередь, приводила его к необходимости ответа на вопрос о целях тех или иных работ, а также оценке получаемых в результате их выполнения результатов. Конечно, они могут быть ориентированы строго на автоматизацию конкретного отраслевого направления или даже на внедрение определенных ИТ-систем. Речь может идти об эффективности процесса деятельности какого-либо подразделения (например, того же ИТ-департамента) или же о сугубо проектных работах.
Не надо забывать и об отечественных ГОСТах, не обходящих своим вниманием сферу внедрения информационных систем, а также о внутрикорпоративных документах, если таковые имеются и могут влиять на развитие того или иного направления автоматизации. Характерно, что они могут создавать в том числе и некоторые ограничения при достижении максимальной эффективности функционирования ИТ-систем, и эти ограничения необходимо адекватно учитывать.
Иными словами, существующая на предприятии методическая база, безусловно, важна. Она регламентирует порядок проведения работ, оформления документов, порядок приемки работ. Это позволяет провести более полное и всестороннее экспертное исследование.
Конкретным наполнением этой базы могут быть ГОСТы, методики, продвигаемые вендорами при внедрении их систем, широко распространенные методики процессного или проектного управления (например, Project Management, ITIL/ITSM), различные методики организации программной разработки, ИТ-стратегия предприятия и другие документы. Эксперты по оценке ИТ-контрактов, безусловно, должны быть со всем этим знакомы и использовать имеющиеся наработки. Но все же сама экспертная оценка ИТ-контрактов — это вполне самостоятельная профессиональная деятельность.
Еще один вопрос, который может интересовать заказчика, состоит в том, насколько универсально требование к экспертизе внедрений ИТ-решений. Ведь, как уже было сказано, у них есть разные стадии, а сами внедрения, очевидно, тоже неодинаковы в отношении сложности, масштаба и степени влияния на бизнес. Здесь следует подчеркнуть, что проведение экспертного исследования необходимо в любом случае. Да, работы, равно как и их этапы, могут различаться, и экспертное заключение может потребоваться еще до самого внедрения. Есть, например, ИТ-проекты, которые предполагают проведение миграции системы на отечественное программное обеспечение. При этом работы могут содержать в себе требования к внесению изменений в исходный код системы. В этом случае эксперты рекомендуют провести этап обследования системы, предназначенной для миграции на новую площадку.
Также вполне можно говорить о том, что с точки зрения трудозатрат со стороны эксперта, этап «сопровождения» системы стоит меньше, чем этап «создания» либо «развития». Но это совсем не значит, что «сопровождение» — это работа, требующая меньшей «степени экспертности», — то есть, по сути, меньшего профессионализма и квалификации.
Обязывать или рекомендовать
Поскольку рынок внедрений ИТ-решений действительно разнообразен, то в связи с этим можно поставить еще один важный вопрос: каковы пропорции между обязательными и рекомендательными акцентами при оценке контрактов? Ведь любой опытный управленец, очевидно, предположит, что для государственных и коммерческих структур эти акценты скорее всего неодинаковы. Корме того, есть, скажем, критичные производства, где имеют место самые разные регуляторные ограничения и более строгие требования к документированию любой деятельности.
Здесь надо сказать, что действительно можно говорить и об обязательных, и о рекомендательных процедурах. Но каких-то четких, заранее очерченных границ здесь нет. Все индивидуально. При построении ГИС/ФГИС в рамках оценки ИТ-контрактов существует много императивных требований в виде ФЗ, постановления Правительства РФ или других обязательных нормативно-правовых актов.
Характерно, что в отношении ведомственных ИС прямого законодательного требования наличия экспертной оценки может и не быть. Однако очень многое зависит от требований, которые существуют в организации. Например, определенные внутренние стандарты могут такую экспертизу сделать фактически обязательной.
Если же предельно обобщать ситуацию, то обязательных требований уже сегодня значительно больше, чем рекомендательных. Учитывая же то, что регуляторная активность в отношении как государственных, так и коммерческих организаций во всем мире год от года только усиливаются, в будущем уже имеющиеся пропорции могут стать еще более выраженными.
Мастерство подведения итогов
Вопрос о том, каков предполагаемый результат проведения полноценной экспертизы ИТ-контрактов, тоже никак нельзя оставить в стороне. Здесь даже элементарная логика подсказывает, что помимо наиболее очевидных и привычных корпоративному пользователю показателей экономии различных типов ресурсов, можно говорить о вероятностных характеристиках снижения тех или иных рисков. Вполне возможно также принимать во внимание и вовсе не измеряемые количественно, но отнюдь не менее значимые параметры, наподобие улучшения имиджевой составляющей государственной структуры или бизнеса.
Результат экспертного заключения всегда оформляется в виде отдельного документа, например, экспертное заключение или отчет об исследовании. Проведение экспертного исследования и оформление экспертного заключения носит положительный результат как для заказчика работ, так и для подрядчика работ (по ИТ-контракту).
Для заказчика он выражается в минимизации рисков, связанных c принятием от подрядчика ненадлежащего качества документации, либо документации, которая может противоречить требованиям или стандартам, обязательным к исполнению. Кроме того, это экономия средств и ресурсов компании/организации, так как «держать» в штатной численности на постоянной основе таких экспертов — дорого.
Для подрядчика это минимизация рисков, связанных с непринятием заказчиком фактически выполненных работ и получения выплаты за понесенные трудовые затраты. В этом случае эксперты могут подтвердить соответствие выполненных работ требованиям ТЗ и НПА. Это позволяет поддержать имиджевые составляющие компании на рынке.
Экспертиза как внешняя услуга
Как было указано выше, законодательство не запрещает заказчику самостоятельно проводить экспертизу. Однако нам представляется, что наиболее целесообразно привлекать для проведения экспертизы внешнюю экспертную организацию или же отдельных экспертов. Основанием к тому являются изложенные в статье факты и соображения. Тем не менее резюмируем аргументацию в пользу внешних подрядчиков:
- В силу специфики своей деятельности такие эксперты уже имеют большой опыт оценки результатов работ (услуг) ИТ-контрактов и оформления «понятного» экспертного заключения;
- Внешний эксперт или организация полностью независимы от влияния сторон, поэтому могут дать объективную и независимую оценку;
- Содержать в штате заказчика специальную группу экспертов экономически невыгодно, так как требования законодательства меняются, следовательно таким экспертам необходимо постоянное повышение квалификации.
Как уже было указано выше, экспертное исследование завершается оформлением экспертного заключения. Главная цель экспертного заключения — это фиксация хода, результатов экспертного исследования и итогового вывода экспертов, который является ответом на вопрос, поставленный перед ними. Однако необходимо понимать, что экспертное заключение — это не просто ответ на поставленный перед экспертами вопрос. Это описание исследования эксперта, то есть объяснение, почему экспертом был сделан именно вывод, который зафиксирован в экспертном заключении. Вторая особенность заключается в «языке эксперта» и состоит в том, что основной ход исследования должен быть написан языком, понятным как заказчику, так и исполнителю.
ИТОГ
Подводя итоги, хотелось бы еще раз подчеркнуть необходимость проведения экспертного исследования ИТ-контрактов на всех этапах его выполнения, начиная от планирования и заканчивая приёмкой результатов его исполнения. При этом выполнение такого исследования рекомендуется поручать именно внешней экспертной организации, с точки зрения объективности, полноты и экономической целесообразности.