Экономико-правовая безопасность функционирования и развития IT-аутсорсинг гос. закупок на примере ОАО Сеть цифровых каналов.

Оглавление

Введение
1. Теоретические аспекты исследования экономической безопасности предприятия сферы IT-аутсорсинга
1.1 Экономическая безопасность предприятия сферы услуг: понятие, сущность
1.2 Факторы и условия обеспечения экономической безопасности предприятия сферы IT-аутсорсинга
1.3 Критерии и показатели оценки уровня экономической безопасности предприятия сферы IT-аутсорсинга
2. Анализ и оценка уровня экономической безопасности предприятия сферы IT-аутсорсинга (на примере ОАО Сеть цифровых каналов «Прогресс»)
2.1 Анализ основных показателей финансово-хозяйственной деятельности ОАО Сеть цифровых каналов «Прогресс»
2.2 Оценка современного уровня экономической безопасности деятельности в сфере IT-аутсорсинга государственных закупок
2.3 Факторы, влияющие на экономическую безопасность ОАО Сеть цифровых каналов «Прогресс»
3. Направления укрепления экономической безопасности функционирования и развития предприятия сферы IT-аутсорсинга (на примере ОАО Сеть цифровых каналов «Прогресс»)
3.1 Возможные (потенциальные) угрозы экономической безопасности предприятия сферы IT-аутсорсинга
3.2 Стратегические направления нейтрализации угроз экономической безопасности деятельности в сфере IT-аутсорсинга государственных закупок
4. Правовой режим обеспечения безопасности организаций
4.1 Общая правовая характеристика обеспечения безопасности
4.2 Общие и особенные проблемы обеспечения правовой безопасности
Заключение
Список использованной литературы
Приложения

Эксплуатационно-техническая документация (технические описания технических средств, инструкции по эксплуатации, схемы электрические принципиальные и т.д.) содержат сведения о составе, характеристиках, устройстве, условиях и правилах эксплуатации конкретных технических средств и систем обработки и защиты информации.
При решении различных задач в области защиты информации могут быть дополнительно использованы учебно-методическая и научная литература, изобретения, рацпредложения и т.п. Эти источники информации не регламентируют деятельность в области защиты информации, но могут оказаться полезными в решении многих конкретных задач, так как отражают современный уровень технологий.
При разработке и создании системы комплексной защиты информации для конкретного объекта основное внимание должно быть уделено ее оптимальности. Оптимальность системы защиты заключается в следующем - система должна обеспечить требуемый уровень защиты информации при минимальном расходовании ресурсов (финансовых, технических, информационных и др.) на ее создание, организацию и обеспечение функционирования или при заданном объеме ресурсов обеспечить максимально возможный уровень защищенности информации.
При оптимизации системы защиты ключевым исходным моментом является формирование максимально возможного множества возможных угроз и функций защиты, так как надлежащим распределение ресурсов в осуществлении каждой функции можно оказывать воздействие на уровень защищенности информации, создавая, таким образом, объективные предпосылки для разработки оптимальной системы защиты. Для построения оптимальной системы защиты необходимо построить полное множество угроз и функций защиты. На практике приходится довольствоваться сокращенным основным (базовым) перечнем.
Базовое множество функций защиты включает: создание таких условий, при которых угрозы безопасности информации не могли бы проявляться;
 предупреждение появления угроз;
 обнаружение появления угроз;
 оценка степени угроз;
 предупреждение воздействия появившихся угроз на защищаемую информацию;
 обнаружение и оценка воздействия угроз на защищаемую информацию;
 локализация воздействия угроз на информацию;
 ликвидация последствий воздействия угроз;
 анализ нападения и защиты с целью оптимизации системы, технологий, устройств, персонала и других ресурсов;
 документирование процессов и решений.
Таким образом, разработка концепции комплексной системы обеспечения безопасности предприятия заключается в изучении современной нормативно-правовой базы функционирования КСОБ предприятия, главных принципов обеспечения безопасности бизнеса.
4.2 ПРОБЛЕМЫ ПРАВОВОГО ОБЕСПЕЧЕНИЯ ОРГАНИЗАЦИИ БЕЗОПАСНЫХ ЗАКУПОК ПРЕДПРИЯТИЕМ IT-АУТСОРСИНГА
По мере того, как процесс информатизации большинства областей деятельности в Российской Федерации: правительства, промышленности, социальной сферы, бизнеса, и т.д. развивается бурными темпами, встает вопрос о комплексном подходе к защите информации. Политики информационной безопасности (ПИБ) направлены на решение этой серьезной проблемы. Под политикой информационной безопасности понимают «формальное изложение правил поведения лиц, получающих доступ к конфиденциальным данным в корпоративной информационной системе». Корректно разработанные и остающиеся актуальными, они отражают мнение руководства по вопросу информационной безопасности, связывают воедино все методы защиты информации, позволяют разработать единые стандарты в области защиты информации, регламентируют работу сотрудников. Политики информационной безопасности являются основой для дальнейшей разработки документов по обеспечению безопасности: стандартов, процедур, регламентов, должностных инструкций и т.д.
Актуальность разработки политик информационной безопасности для компаний объясняется необходимостью создания механизма управления и планирования информационной безопасности. Также политики ИБ позволяют совершенствовать следующие направления деятельности компании [16, С. 20]:
– поддержка непрерывности бизнеса;
– повышение уровня доверия к компании;
– привлечение инвестиций;
– минимизация рисков бизнеса с помощью защиты своих интересов в информационной сфере;
– обеспечение безопасного и адекватного управления компании;
– снижение издержек;
– повышение качества деятельности по обеспечению ИБ.
Естественно, что совершенствование направлений деятельности организации зависит от грамотности составления политики информационной безопасности.
Политики информационной безопасности определяют стратегию и тактику построения системы защиты информации. Стратегическая часть связана со стратегией развития бизнеса компании и развитием ее IT-стратегии. Тактическая часть, в свою очередь, подробно описывает правила безопасности. В соответствии с определением политики информационной безопасности и рекомендациями международных стандартов в области планирования и управления ПИБ, политики должны содержать [16, C. 21]:
– определение предмета, задач и целей;
– условия применения и их ограничения;
– отражение позиции руководства в отношении выполнения политики ИБ и создания комплексной системы ИБ;
– определение прав и обязанностей сотрудников;
– определение границ ответственности сотрудников за выполнение политики ИБ;
– порядок действий в случае нарушения политики ИБ.
Как правило, основная ошибка заключается в отсутствии в компании формализованных, зафиксированных и утвержденных процессов обеспечения информационной безопасности. Эти процессы должны определять единую техническую политику в части выбора средств защиты, текущее состояние ИБ (уровень зрелости компании с точки зрения обеспечения информационной безопасности) и планы развития компании.
Основные положения информационной безопасности и позиция руководства компании прописываются в концепции информационной безопасности (КИБ). Концепция информационной безопасности реализуется в частных политиках информационной безопасности, процедурах, руководствах и стандартах, обеспечивающих детальную интерпретацию положений КИБ для сотрудников, партнеров и клиентов компании и организации. Эта структура руководящих документов и называется политикой информационной безопасности (рисунок 9).
Рисунок 9 – Структура руководящих документов ПИБ [21, С. 115]
Частные политики информационной безопасности определяют «почему» компания защищает свою информацию. Стандарты обозначают «что» компания намерена предпринимать для реализации и управления безопасностью информации. Процедуры описывают «как» компания будет выполнять требования, описанные в высокоуровневых документах (частной политике и руководствах).
При разработке каждой новой частной политики информационной безопасности составляются свои руководства, стандарты и процедуры. У нескольких разработанных частных политик могут быть одинаковые, пересекающиеся или дополняющие друг друга стандарты и процедуры.
Таким образом, политика информационной безопасности является неотъемлемой частью систем установления режима информационной безопасности и контроля за ним: систем информационной безопасности (СИБ) и систем управления информационной безопасности (СУИБ) соответственно.
Несмотря на огромное количество публикаций в российской и зарубежной прессе по проблемам защиты информации, лишь немногие компании «созревают» до внедрения СИБ. Уже существующие системы, за редким исключением, построены по принципу «латания дыр»: средства защиты информации (СЗИ) внедряются бессистемно, в основном с учетом мнения местных специалистов, либо наличия на рынке недорогих решений.
Основными же аргументами в пользу внедрения тех или иных СЗИ, как правило, являются положения руководящих документов, международных или отраслевых требований, соответствующих стандартов. Задачу построения системы информационной безопасности каждое ведомство решает своими подходами, на основе имеющихся специалистов и ограниченного выбора решений. И разными темпами: где-то все упирается в нехватку денег, где-то в недостаток внимания руководства.
Ограниченное число компаний предоставляют СМИ информацию о том, как производится оценка защищенности ИС и есть ли на это регламенты. Практически невозможно узнать, проводится ли аудит системы управления информационной безопасностью (СУИБ). Тем не менее, в большинстве отраслей существуют внутренние административные документы по ИБ (инструкции, регламенты, разделы в трудовых соглашениях).
Доводы о важности анализа рисков лишь недавно начали завоевывать своих сторонников среди руководства и сотрудников отечественных компаний.
Анализ рисков ИБ, как поиск бизнес-процессов, уязвимых с точки зрения связанности с ИТ-инфраструктурой, в российских компаниях пока не прижился. Сыграло свою роль отсутствие в большинстве компаний культуры управления рисками, а, кроме того, специализированные организации изначально оказывали эту услугу непрофессионально. Анализ опрометчиво сводился лишь к определению степени защищенности/уязвимости серверов без учета остальной ИТ-инфраструктуры и бизнеса компании в целом. Негативно сказалась и неопределенность критериев оценки рисков. В итоге анализ рисков стал инструментом обоснования внедрения СИБ, выгодного компании-подрядчику.
Большинство отраслевых компаний и ведомств не желают раскрывать вопросы, описывающие архитектуру, схемы и детали построения существующей СИБ: есть ли концепция и политика ИБ, как оценивается защищенность, регулярно ли проводится аудит ИБ и т.д. Исключения составляют лишь отечественные лучшие практики («best practice») реализации СИБ, например, РАО «ЕЭС России», Федеральная таможенная служба и т.д.
В российской открытой печати широко обсуждается модель определения уровня зрелости предприятий. В настоящее время единственный четкий критерий оценки уровня зрелости отечественного предприятия по информационной безопасности – это модель зрелости СИБ компании, описанная в стандарте Банка России.
Модель зрелости процессов менеджмента ИБ организации стандарта ЦБ основывается на определенной стандартом CobiT универсальной модели, которая устанавливает шесть уровней:
Нулевой − полное отсутствие процессов менеджмента ИБ в рамках деятельности организации. Организация не осознает существования проблем ИБ.
Первый («начальный») − наличие документально зафиксированных свидетельств осознания организацией существования проблем обеспечения ИБ. Однако используемые процессы менеджмента ИБ не стандартизованы, применяются эпизодически и бессистемно. Общий подход к менеджменту ИБ не выработан.
Второй («повторяемый») − проработаны процессы менеджмента ИБ до уровня, когда их выполнение обеспечивается различными людьми, решающими одну и ту же задачу. Однако отсутствуют регулярное обучение и тренировки по стандартным процедурам, а ответственность возложена на исполнителя. Руководство организации в значительной степени полагается на знания исполнителей, что влечет за собой высокую вероятность ошибок.
Третий («определенный») − процессы стандартизованы, документированы и доведены до персонала посредством обучения. Однако порядок использования данных процессов оставлен на усмотрение самого персонала. Это определяет вероятность отклонений от стандартных процедур, которые могут быть не выявлены. Применяемые процедуры неоптимальны и недостаточно современны, но являются отражением практики, используемой в организации.
Четвертый («управляемый») − обеспечиваются мониторинг и оценка соответствия используемых в организации процессов. При выявлении низкой эффективности реализуемых процессов менеджмента ИБ обеспечивается их оптимизация. Процессы менеджмента ИБ находятся в стадии непрерывного совершенствования и основываются на хорошей практике. Средства автоматизации менеджмента ИБ используются частично и в ограниченном объеме.
Пятый («оптимизированный») − процессы менеджмента ИБ проработаны до уровня лучшей практики, основанной на результатах непрерывного совершенствования и сравнения уровня зрелости относительно других организаций. Защитные меры в организации используются комплексно, обеспечивая основу совершенствования процессов менеджмента ИБ. Организация способна к быстрой адаптации при изменениях в окружении и бизнесе.
Принято считать, что наличие концепции и частных политик информационной безопасности в организации свидетельствует о ее выходе на «начальный» уровень ИБ. Однако таких признаков, учитывая стандарт Банка России, намного больше. Концепция как необходимый признак ИБ слабо сказывается на создании завершенных вертикальных решений (рисунок 10). В таком случае достаточным условием успешного обеспечения ИБ, на время разработки СИБ, может стать четкая реализация частных политик.
На текущий момент в РФ разработано большое количество нормативных документов в области ИБ (рисунок 10). Но до сих пор не разработан стандарт для СИБ. Такая же ситуация и с сертификацией.
Дальше всех урегулирован процесс сертификации «на соответствие», а самая освоенная область − сертификация СЗИ по линии Федеральной службы по техническому и экспортному контролю (ФСТЭК). С одной стороны, это помогает заказчику определиться, приобретать сертифицированное решение или отказаться от него. С другой − степень доверия к сертификации по ТУ (в отсутствие соответствующего стандарта) падает с каждым днем, хотя сертификационные лаборатории проводят испытания, а все заявленные производителем условия работы и база сертифицированных решений дает заказчикам реальную возможность выбора. Необходимость в сертификации СИБ есть, но развитой системы сертификации нет.
Системы управления ИБ, создаваемые в ведомствах, делаются по зарубежным стандартам, например, ISO 17799. Государственных регламентирующих документов в этой области нет ни по отдельным ведомствам, ни по стране. Видимо, лишь стандарт ЦБ введет сертификацию на СУИБ.
Рисунок 10 – Базовый набор требований к СИБ [13, С. 174]
Другая проблема – количество в стране ведомств, занимающихся вопросами защиты информации. Составить по их документам концепцию ИБ непросто, у каждого ведомства своя терминология.
На смену старым руководящим документам для обеспечения ИБ приходят новые законы и стандарты, которые характеризуются неочевидной применимостью, либо отсутствием проработанной нормативной базы, чья цель пояснять и детализировать требования закона.
Один из наиболее сбалансированных и жизнеспособных документов – внутриотраслевой стандарт Банка России по ИБ.
В других отраслях создание технических регламентов и отраслевых стандартов по ИБ на стадии проектов.
Базовым ориентиром совершенствования СИБ для основной массы компаний до недавнего времени оставался стандарт ISO 17799. Документ аккумулировал опыт построения комплексных систем ИБ и их фрагментов, но не отвечал на вопрос: насколько это целесообразно для конкретной организации. Широкое применение нашел стандарт ISO 27001:2005, где приведены методики выбора защитных мер, адекватных рискам, за счет создания СУИБ. Впервые было определено, что в процесс управления системой ИБ должны быть вовлечены все сотрудники − от исполнителей до руководства компании. Если же организация стремится выйти на международный рынок, то она должна присматриваться еще и к международным нормативам.
Разработке системы безопасности всегда предшествует процедура аудита существующей СИБ. Сегодня в России активно рекламируют фактически одну методику аудита на основе стандарта BS7799. Эту методику реализуют две компании  KPMG и BSI.
Провести аудит одной компании несложно. Но проблемы возникают при проведении аудита крупных ведомств − невозможно описать всю информационную систему таких структур.
Только на инвентаризацию может уйти не меньше 3-5 лет. При глубоком исследовании степени защищенности сроки проведения увеличиваются многократно. Единственный выход для таких ведомств− включать механизмы организационных мер.
Многие отечественные компании прибегают к помощи «компаний-интеграторов». Эти компании выполняют разработку и внедрение СИБ, учитывая пожелания заказчика.
В настоящее время существуют следующие варианты построения СИБ:
 объединение средств защиты информации (СЗИ) в СИБ;
 достройка СИБ с добавлением новых СЗИ;
 интеграция новых СЗИ в СИБ.
В отношениях заказчик-интегратор существуют свои проблемы. Не каждое СЗИ столь эффективно, как это утверждают производители и независимые интеграторы. Если производители, с точки зрения конкуренции, нахваливают себя и обещают полную защищенность с помощью именно своего продукта, то интеграторы вынуждены идти на поводу у поставщиков, не имея времени и квалифицированных кадров, чтобы подобрать нужные конкретному заказчику СЗИ и интегрировать их в информационную систему. Многие российские интеграторы производят собственные СЗИ, которые редко сопрягаются с компонентами мультивендорных ИС.
Еще одной опасной тенденцией становится использование только тех продуктов защиты информации, которые приносят прибыль не менее некоторого порогового значения.
Интегратор должен знать рынок и продавать не только свое, но и чужое решение, по необходимости вступая в альянсы с нужными поставщиками. Задача интегратора − оценить предложения рынка, проанализировать результаты, а затем предлагать заказчику самые лучшие решения, причем, зная, у кого и что лучше покупать (независимо от того, совместимы данные продукты с собственным творением интегратора или только между собой).
Рост уровня стандартизации продуктов ИБ − объективная тенденция российского рынка. И в этом смысле интегрируемость решений также растет.
Если на предприятии изначально СЗИ внедрялись разными специалистами и только потом интегратор написал концепцию, то ее реализация будет далеко не однозначной.
При интеграции СИБ в ИТ-инфраструктуру компании целесообразно говорить не о фактической степени интеграции, а об интеграционном потенциале заданной СИБ. А он пропорционален числу стандартов, которые поддерживаются используемыми в компании продуктами.
Есть два варианта разрешения существующих проблем. Первый: компаниям-подрядчикам, оказывающим услуги в области ИБ, предлагать наряду с дорогими и доступные решения, адаптированные к конкретным требованиям.
Второй: использовать услуги по аутсорсингу ИБ. Т.е. обеспечение режима информационной безопасности частично или полностью переложить на стороннюю организацию, специализирующуюся в этой области.
При создании единой СИБ выделяют четыре основных проблемы внедрения:
 Убеждение руководства в решении создания подразделения информбезопасности.
 Подбор квалифицированных кадров. Главная проблема здесь состоит в том, что учебные заведения, которые готовили специалистов, в значительной мере утратили свои позиции, а те, кто пытается занять эту нишу сейчас, не способны обеспечить должное качество обучения.
 Выстраивание деловых взаимоотношений со службой ИТ.
 Внедрение политики ИБ в среде персонала. Это необходимо сделать таким образом, чтобы она стали частью корпоративной культуры. Необходимо, чтобы нормативы соблюдались на деле, для чего все должны понимать их важность. Каждый новый сотрудник должен направляться на специализированные курсы по ИБ. Обучают не только собственных сотрудников по отдельным углубленным целевым программам, но и сотрудников ИБ всех филиалов, администраторов ИБ подразделений. Проводятся регулярные инструктажи на местах.
Главное различие в подходе к ИБ государственных и коммерческих организаций состоит в том, что для первых, законодательство требует использовать лишь сертифицированные СЗИ, а у вторых больше возможностей для маневра  подход к ИБ зависит лишь от воли руководства.
Если рассматривать средства защиты с точки зрения их интегрированности между собой и с информсистемой компании, управляемости системы ИБ в целом, то однозначно проранжировать ведомства не представляется возможным. Причина  в закрытости информации и разного рода реорганизациях, которые происходят регулярно в этих ведомствах.
Главный ресурс  выделение бюджетов на цели ИБ, в первую очередь для госорганизации.
Если не будет·централизованного и регламентированного финансирования с прозрачными механизмами проверок исполнения бюджета, не будет и реальной работы. Лидеры по обеспечению ИБ среди госорганизаций  Федеральная таможенная служба, Федеральная налоговая служба и Пенсионный фонд.
По итогам исследования можно сделать следующие выводы:
 Общий уровень зрелости российских компаний и ведомств в области ИБ можно отнести к первому по классификации стандарта CobiT или стандарта Банка России.
 Разрешение проблемы разработки национальных стандартов по ИБ может быть выполнено в результате принятия системы отраслевых стандартов. Необходимо создать стандарт для предприятий одной отрасли, у которых много общих функций, а зачастую и параметров информационных потоков. Аттестацию на соответствие стандарту могут проводить лицензиаты ФСТЭК.
4.3 СПОСОБЫ СОВЕРШЕНСТВОВАНИЯ ПРАВОВОГО РЕГУЛИРОВАНИЯ ГОСУДАРСТВЕННЫХ ЗАКУПОК ПРЕДПРИЯТИЕМ IT-АУТСОРСИНГА (НА ПРИМЕРЕ ООО КОНТАКТ-ЦЕНТР «ПРОГРЕСС»)
С позиций институциональной экономической теории, концептуальные подходы которой становятся все более востребованными в посткризисных условиях развития, когда неолиберальные экономические концепции продемонстрировали свою неэффективность [1, 3], развитие хозяйственной системы определяется эволюцией формальных и неформальных институтов. События экономической жизни последних лет в очередной раз подтвердили актуальный для нашей страны вывод, что более сложной теоретической и практической задачей является не организация функционирования рыночного механизма, а его институционального окружения, которое позволяет ему эффективно работать с приемлемыми социальными последствиями. Это подтверждается и мировым опытом [7, С. 8]. Так, по данным исследований Всемирного банка [8, С. 15], в странах с неадекватной экономической политикой, но качественной институциональной средой темпы экономического роста в среднем в два раза выше, чем в странах с обратной комбинацией названных факторов.
Государственные закупки являются одним из действенных механизмов государственного регулирования экономики, особенно в условиях прохождения «дна» кризиса и посткризисного оживления [2, 6], а именно такой период, как свидетельствуют данные Росстата, переживает сегодня РФ.
В настоящее время закупки материальных средств (МС) осуществляются министерством обороны РФ (МО РФ) в общей системе ГОЗ. Применительно к поставкам материальных средств ГОЗ содержит [5, С. 3]: перечень (номенклатуру) МС подлежащих поставкам; объем поставок каждой номенклатуры; сроки поставки МС; прогнозируемую стоимость (цену) поставок в целом, а также по разделам и отдельным этапам реализации ГОЗ; перечень головных исполнителей и исполнителей государственных контрактов.
В системе ГОЗ задействовано значительное количество участников, которых условно можно разделить на три основные группы:
 к первой группе относятся органы управления окружного и центрального уровня;
 ко второй - федеральные органы исполнительной власти, деятельность которых направлена на формирование и реализацию ГОЗ, а также осуществление контрольных функций (Рособоронпоставка, Рособоронзаказ);
 к третьей группе можно отнести организации экономического комплекса страны, являющиеся действующими, бывшими или потенциальными поставщиками МС.
Нормативно-правовую основу реализации ГОЗ составляют Конституция РФ, федеральные законы «Об обороне», «О безопасности», «О Государственном оборонном заказе», «О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд», «О государственном бюджете на очередной год», Гражданский кодекс РФ, Бюджетный кодекс РФ, Военная доктрина РФ, указы Президента РФ, постановления Правительства РФ, государственные целевые программы и другие документы.
Основным нормативно-правовым документом, регламентирующим рассматриваемую сферу деятельности и служащим основой для формирования соответствующей системы институционального регулирования, является Федеральный закон от 21.07.2005 № 94-ФЗ «О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд».
В данном законе установлено, что под государственными нуждами понимаются обеспечиваемые за счет средств федерального бюджета или бюджетов субъектов РФ и внебюджетных источников финансирования потребности Российской Федерации, государственных заказчиков в товарах, работах, услугах, необходимых для осуществления функций и полномочий Российской Федерации (в том числе для реализации федеральных целевых программ), для исполнения международных обязательств Российской Федерации, в том числе для реализации межгосударственных целевых программ, в которых участвует Российская Федерация, либо потребности субъектов РФ, государственных заказчиков в товарах, работах, услугах, необходимых для осуществления функций и полномочий субъектов РФ, государственных заказчиков, в том числе для реализации региональных целевых программ.
Анализ тенденций развития системы ГОЗ в последнее время свидетельствует о том, что законодательная база (в частности 94-ФЗ) нуждается в существенной концептуальной доработке. Об этом свидетельствуют данные многих субъектов рыночных отношений, задействованных в системе государственных закупок, к которым относятся заказчики, исполнители государственных контрактов и иные коммерческие (государственные) организации. Значимость оптимизации законодательного регулирования государственных и муниципальных закупок многократно увеличилась после начала кризиса, поскольку сегодня госзаказ формирует заметную долю платежеспособного спроса на целом ряде рынков. Сейчас, по экспертным данным, в системе госзакупок действует более 25 тысяч заказчиков и примерно 260 тысяч поставщиков. В сферу обеспечения государственных и муниципальных нужд ежегодно привлекается до 5 триллионов рублей [14, С. 18].
О серьезной ситуации и масштабе необходимых преобразований в системе ГОЗ свидетельствует тот факт, что данный вопрос в последнее время стал все чаще выноситься на обсуждение руководством страны. Так, например, Президент Российской Федерации в своем бюджетном послании от 25 мая 2009 года «О бюджетной политике в 2010-2012 годах» уделил особое внимание вопросам повышения эффективности использования ресурсов при закупках товаров и услуг для государственных нужд. По его словам, следует совершенствовать механизм государственных закупок за счет консолидации заказов, применения современных процедур их размещения, исключения неоправданных ограничений, усложненных и неэффективных процедур. При осуществлении государственных закупок необходимо обеспечить снижение расходов и за счет исключения практики необоснованного завышения цен, особенно когда подобное происходит в таких чувствительных сферах, как закупки для нужд обороны, закупки лекарств, строительство и реконструкция автомобильных дорог.
Результаты анализа базовых положений Закона 94-ФЗ свидетельствуют о том, что его идеология была ориентирована на один тип рынков, а именно – рынки, близкие к идеальной модели совершенной конкуренции между «атомизированными» фирмами, которые производят однородные товары и обладают полной информацией о них. Этот тип рынков описан в учебниках по экономической теории и является наиболее широко изученным. Однако данный тип рынков отнюдь не единственный. Так, экономическая теория, опираясь на различия в структуре издержек оценки качества товаров, делит товары на три основных вида: инспекционные, экспериментальные и доверительные. Анализ параметров рыночных сделок с каждым из перечисленных типов товаров позволяет сделать вывод: проблемы, порождаемые Законом 94-ФЗ на рынках товаров, отличных от «стандартных инспекционных», были предсказуемыми.
Мало того, следует отметить, что реальные рынки (причем не только в России, но и повсюду в мире) очень далеки по своим параметрам от идеальных. На практике, при условии отсутствия разграничения процедур закупок разных типов товаров, работ и услуг, сегодня для большинства добросовестных госзаказчиков наиболее важны риски неисполнения или некачественного исполнения госконтрактов и связанные с этим потенциальные издержки. Разработчики Закона 94-ФЗ считают, что механизмы последующих судебных санкций к поставщикам за нарушение условии контрактов достаточны для компенсации всех возможных потерь, которые могут нести госзаказчики. Однако такой подход не учитывает многих реалий, особенно связанных с материально-техническим обеспечением войск (сил), сбои и перерывы в котором даже в мирное время недопустимы.
Во-первых, получение денег далеко не всегда возмещает потери времени, особенно с учетом специфики бюджетного процесса, в рамках которого действуют госзаказчики. Во-вторых, недостаточно высокое качество не товаров (ВВТ и других материальных средств), а работ и услуг (которые нематериальны по своей природе) в суде, как правило, сложно доказать. В-третьих, даже если качество поставки удается со временем оспорить, закупка, например, некачественного вещевого имущества для военных потребителей, в некоторых случаях (участие лично го состава в учениях, маневрах, выполнении иных задач) чревата потерями, которые могут превосходить стоимость первоначальной закупки. В таких условиях более влиятельные госзаказчики, стали добиваться исключения своих закупок из-под действия Закона 94-ФЗ, а остальные вынуждены искать «обходные пути» для отсечения недобросовестных (или потенциально недобросовестных) поставщиков. Однако подобные действия могут скрывать коррупционную практику. В результате трудно отделить добросовестных экономических агентов (должностных лиц закупочных органов и представителей поставщиков) от недобросовестных.
Хотя Закон 94-ФЗ действительно создал стимулы к усилению конкуренции, он не учитывает ее особенности на различных рынках, в том числе риски вытеснения добросовестной конкуренции недобросовестной. Вразрез с требованиями теории, в законе не обеспечены условия идентификации добросовестных и компетентных участников закупок (например, учет предшествующего поведения на рынке и результатов деятельности фирм), не используются механизмы отсечения недобросовестных участников (в частности, путем запроса обоснования цены с возможным отклонением заявки на основе отрицательной экспертизы).
Действующий закон не предусматривает эффективных механизмов защиты интересов заказчика от недобросовестного поведения поставщика. В частности, заказчик не может затребовать подтверждения истинности предоставленных ему сведений, закон отводит на проверку информации, представленной поставщиком, крайне ограниченный срок. Предусмотренные механизмы финансового обеспечения не могут компенсировать все прямые и косвенные финансовые, временные и социальные потери, связанные с неисполнением или некачественным исполнением контракта. Реестр недобросовестных поставщиков является эффективной мерой воздействия только на крупные компании, для фирм-однодневок внесение в него никаких проблем создать не может.
Одним из «сильных» аргументов в защиту модели госзакупок, реализованной в Законе 94-ФЗ, выступает экономия бюджетных средств за счет снижения цен закупок в рамках конкурсных процедур по ГОЗ. Так, в СМИ неоднократно приводилась сумма накопленной за годы действия закона экономии по всем государственным закупкам (а не только по ГОЗ) в размере 500 млрд руб. Она получена путем вычитания из суммы всех когда-либо объявленных начальных цен закупок той реальной общей стоимости заключенных контрактов, которая содержится в форме Росстата «Торг-1». Но размеры объявленных начальных цен, по сути, никогда не контролировались и могли заявляться сколь угодно высокими, особенно чтобы продемонстрировать масштабную экономию. Кроме того, в первую часть формы Росстата (со стартовыми ценами) длительное время включались данные обо всех торгах, как состоявшихся, так и не состоявшихся. Во второй части отражались итоговые результаты только тех торгов, которые были признаны состоявшимися. Соответственно экономический эффект Закона 94-ФЗ автоматически увеличивался на сумму торгов, признанных несостоявшимися.
Еще одной проблемой, напрямую связанной с рисками недостаточной квалификации поставщиков по ГОЗ, является вероятность срыва установленных сроков поставки. При срыве сроков поставки в конце календарного года госзаказчики должны либо не заплатить поставщику последний транш (что означает вернуть деньги в бюджет и не получить необходимые товары, работы, услуги. Т.е., в конечном итоге, не выполнить свои функциональные задачи в отношении обеспечиваемых войск (сил), что чревато для должностных лиц санкциями - начиная от административных наказаний, заканчивая уголовным преследованием), либо «договориться», что оплата пройдет в пределах отчетного периода, а поставка будет осуществлена позже. В этом случае составляются фиктивные акты, накладные и прочие первичные учетные документы, на основе которых производится оплата. Первое решение соответствует духу и букве Закона 94-ФЗ, однако оно препятствует основной деятельности заказчика. Поэтому в некоторых случаях госзаказчики идут по второму пути, переходя в зону неформальных отношений с поставщиками. То есть «функциональная пустота» формального института порождает негативные неформальные институциональные практики.
Из-за отмечаемой непоследовательности и противоречивости положений Закона 94-ФЗ, на практике наблюдается фактический «отход» от его требований.
Так, согласно официальным данным Росстата, в 2006 г. объем госконтрактов, размещенных на торгах, по стоимости в три раза превышал госзаказ, размещенный у единственного поставщика. В 2008 г. эти показатели практически сравнялись, а к исходу третьего квартала 2009 г. сумма закупок у единственного поставщика превысила объем средств, израсходованных на закупки на торгах. Этот бурный рост связан не только с принятыми исключениями для отдельных товаров или категорий заказчиков, но и с феноменом «несостоявшихся торгов», на которые либо был допущен только один участник, либо их вообще не было. Распространенность таких ситуаций свидетельствует о том, что требования 94-ФЗ подчас не только создают проблемы для добросовестных госзаказчиков, но и не обеспечивают должных стимулов для привлечения добросовестных поставщиков. Все отмеченные негативные явления наблюдаются и в сфере размещения ГОЗ. Для выхода из сложившейся ситуации необходимо принятия целого спектра мер. Во-первых, следует создать работоспособную систему управления рисками госзакупок по ГОЗ. Для этого имеется развитая методическая база, которая пока не нашла адекватного нормативного закрепления. Кроме того, необходимо сбалансировать цели регулирования относительно конечной эффективности закупок. В настоящее время предметом законодательного регулирования являются лишь процедуры торгов, а эффективность закупок рассматривается контролирующими органами сугубо с точки зрения соблюдения процедур Закона.
Наконец, необходим более корректный, с научно-методической точки зрения, учет тех издержек, которые все участники торгов (как поставщики, так и госзаказчики) несут в связи с соблюдением процедур Закона. До сегодняшнего дня система регулирования скорее строилась по критериям упрощения и удешевления процессов администрирования для регулятора. Однако необходимо учитывать также издержки, которые несут поставщики и заказчики в связи с необходимостью