Как выбрать ИТ-подрядчика для автоматизации в 2026 году
Главный критерий выбора ИТ‑подрядчика в 2026 — способность часто и безопасно поставлять изменения. Запрашивайте DORA‑метрики, discovery‑спринт с доступом к CI/CD и закрепляйте права на код, SBOM/SLSA и AI‑комплаенс в SLA

Как выбрать ИТ‑подрядчика для автоматизации в 2026 году
WEBDAD, Руководитель практики автоматизации · 1 июль 2026
97% проектных специалистов в 2025 году управляли хотя бы одним «сложным» проектом — это уже не исключение, а фон вашей следующей автоматизации. Если вы решаете, как выбрать ИТ‑подрядчика для автоматизации, помните: с 2 августа 2026 вступают ключевые требования AI Act — ошибки выбора будут стоить вам архитектурных переделок. Подтверждение сроков — у регулятора ЕС.
Не выбирайте подрядчика по цене — отбирайте по доказуемой способности безопасно и часто доставлять изменения. Требуйте 2–4‑недельный платный discovery‑спринт с доступом к CI/CD, скриншотами/дашбордамD
Коротко: единственный тезис, который делает эту статью незаменимой
Почему это важно именно сейчас? С 2 августа 2026 начинают действовать ключевые нормы AI Act; параллельно растут траты на AI‑агентов, что меняет стек автоматизации и требования к комплаенсу. Gartner уже фиксирует ускорение инвестиций в программное обеспечение для AI‑агентов — это усиливает требования к выбору подрядчика с доказуемым AI‑комплаенсом.
Но дело не только в этом…
Почему ставку и RFP нельзя ставить в центр отбора подрядчика?
Вот где ломается большинство стратегий:
Фокус на ставке не ловит ни CFR, ни MTTR, ни способность к откату. Эти параметры определяют, будете ли вы в 2026 тратить бюджет на развитие или на тушение пожаров.
Какие конкретные доказательства инженерной зрелости запрашивать до контракта? (сравнительная таблица метрик)
Критерий | Что запросить | Доказательство | Эталон/порог |
|---|---|---|---|
DORA‑метрики (DF, lead time, CFR, MTTR) | Значения за 6–12 мес. + методика измерения | ||
Порог CFR по классам | Текущий CFR и как считается | ||
CI/CD и откаты | Демонстрация пайплайна и rollback на стенде | Прямая демонстрация + запись | |
SBOM и SLSA‑уровень | SBOM на релиз; целевой SLSA в ТЗ | ||
Команда и «no bait‑and‑switch» | CV ключевых инженеров + закрепление в договоре | ||
AI‑комплаенс (ЕС) | Локализация данных, документация моделей, регистрация high‑risk | ||
Права на код и эскроу | IP — у заказчика; софт‑эскроу с триггерами | ||
RPA: способ поиска элементов | Использование accessibility‑API, а не картинок/координат |
А теперь — к практике.
Как устроить 2–4‑недельный платный discovery‑спринт — шаг за шагом?
Согласуйте цели и критерии успеха: что считаем прогрессом, какие DORA‑метрики улучшить и какие риски подтвердить/снять.
Определите доступ: тестовое окружение, обезличенные данные, перечень сервисов и окна на деплой/rollback.
Дайте read‑only доступ к их CI/CD: пусть покажут пайплайны, секрет‑менеджмент, шаблоны релизов и процедуру отката.
Проверьте комплаенс: AI Act (ЕС), SBOM на артефакты, заявленный SLSA‑уровень пайплайна.
Соберите отчёт: фактические метрики, риски, план миграции/rollback, перечень обязательств. В контракте — оплата пилота, право выхода и права на артефакты.
И здесь начинается настоящая проблема.
Как проверять AI‑комплаенс подрядчика с учётом AI Act (вступает 2 августа 2026)?
Где это не работает: типичные ошибки и реальные кейсы провала
Как зафиксировать риски в договоре — какие пункты и триггеры требовать?
Практичные формулировки для ТЗ и договора:
Контр‑консенсус: почему отбор по DORA — не универсальная панацея?
Часто задаваемые вопросы
Какие DORA‑метрики запрашивать у подрядчика и в каком формате?
Запросите deployment frequency, lead time for changes, change failure rate (CFR) и MTTR. Попросите описание методики измерения, скриншоты дашбордов (или временный read‑only доступ) и историю за последние 6–12 месяцев. Согласуйте целевые пороги в SLA.
Как убедиться, что подрядчик не отдаст на проект «B‑team»?
Требуйте CV ключевых инженеров, закрепление команд в контракте, оговорку «no bait‑and‑switch» с финансовыми санкциями и право на односторонний выход из пилота. В discovery‑спринте оценивайте личное участие назначенных инженеров.
Нужно ли требовать SBOM и SLSA‑уровень от подрядчика?
Да. SBOM уменьшает риск уязвимостей цепочки поставок; SLSA‑уровень для пайплайнов обеспечивает доверие к сборкам. Зафиксируйте требуемый уровень в ТЗ и сроки предоставления SBOM при каждой релизной поставке.
Как минимизировать vendor lock‑in при использовании RPA или low‑code платформ?
Уточняйте способ идентификации UI‑элементов (accessibility‑API предпочтительнее картинок), права на исходники ботов, экспорт процедур и данных, а также наличие эскроу. Включите в контракт опции миграции и формат экспорта роботов.
Сколько стоит платный discovery‑спринт и имеет ли смысл его делать?
Типично 2–4 недели; цена зависит от объёма и доступа, но это инвестиция, которая выявляет риски и фильтрует неподходящих подрядчиков. В условиях Q1’26 перегретого рынка такой пилот — лучший способ проверить пропускную способность и реальную инженерку
Заключение
Отбирайте подрядчика по фактам: DORA‑метрики и демонстрация CI/CD важнее ставки; делайте 2–4‑недельный discovery; закрепляйте IP, escrow, SBOM/SLSA и SLA с порогами CFR/MTTR; для ЕС — зафиксируйте AI‑комплаенс под сроки 2 августа 2026. Выбирайте по способности доставлять изменения — это единственная валюта, которая конвертируется в ценность.
Запросить 2–4‑недельный платный discovery‑спринт
Хотите автоматизировать создание контента?
Famatic создаёт SEO-оптимизированные статьи на автопилоте с помощью ИИ-агентов.
Запросить demo