Экспертная статья или "Зачем компаниям регулярно проводить ИТ-аудит?"
Действительно, зачем компаниям регулярно проводить ИТ-аудит? Чтобы ответить на этот вопрос, важно для начала разобраться с самим понятием ИТ-аудита.
Давайте начнем с небольшой теории.
ИТ-аудит в Республике Беларусь понятие сравнительно новое, поэтому трактуют его по-разному. Можно сказать, что любой аудит представляет собой независимую оценку, проводимую с целью проверки соответствия определенным критериям. Таким образом, Аудит информационных технологий или по другому ИТ-аудит – это оценка эффективности существующей ИТ-инфраструктуры, включая исследование всех ИТ-зависимых бизнес-процессов, определение основных проблем и разработка рекомендаций по их устранению.
Процедура ИТ-аудита предполагает сбор, анализ и предоставление руководству компании информации о текущем состоянии ИТ, о рисках информационных технологий и информационной безопасности, присущих бизнес-процессам компании, а также разработку рекомендаций по снижению этих рисков и оптимизации ИТ-процессов.
Нередко проекты по развитию информационных систем, которые готовят ИТ-специалисты, представляются владельцам бюджета слишком затратными. И это объяснимо: бизнес просто не понимает, куда направляются инвестиции и какую пользу они принесут компании в обозримом будущем.
Когда компания быстро развивается, а информационные системы вынуждены успевать за этим ростом, автоматизация проводится локально для решения выделенных задач. В итоге мы имеем «зоопарк» информационных систем со сложными взаимосвязями при отсутствии целостной картины. ИТ-инфраструктура постоянно изменяется, а документация либо вообще отсутствует, либо остаётся без изменений или серьёзно запаздывает с обновлением. Однажды неотвратимо наступает момент, когда имеющаяся документация не соответствует действительности, а ключевой информацией о текущем положении ИТ обладают лишь ключевые ИТ-специалисты, что явно не способствует развитию – ни технологий, ни бизнеса. В сущности, никто, даже ИТ-департамент, точно не знает, насколько имеющийся набор информационных систем и процессов соответствует целям бизнеса и способствует развитию компании, а также насколько эффективно ИТ справляется с текущими бизнес-задачами.
Аудит информационных технологий во многом позволяет исправить сложившуюся ситуацию и определить компоненты ИТ-инфраструктуры организации, требующие модернизации. ИТ-аудит – это начальная точка для дальнейшего развития всей ИТ-функции организации. В результате ИТ-аудита компания получает оценку текущего состояния ИТ, рекомендации и предложения по оптимизации ИТ-инфраструктуры и снижению уровня выявленных рисков, а также рекомендации по направлениям развития ИТ-функции.

В качестве примера ИТ-аудита, направленного именно на анализ текущего состояния ИТ, можно привести проект, выполненный в одном из крупных российских банков. "Перед нашей командой стояла задача по оценке текущего уровня ИТ и перспектив дальнейшего развития структуры ИТ в соответствии с требованиями бизнеса. По результатам проведенных работ были разработаны стратегические рекомендации по развитию ИТ, что позволило привлечь в бюджет ИТ-департамента дополнительно $400 000 с целью модернизации текущей инфраструктуры ИТ".
Однако зачастую, в ходе проектов по оптимизации затрат на ИТ в крупных компаниях, выявляется и обратная ситуация. Большинство ИТ служб, как правило имеет потенциал для снижения расходов на 20 – 25% без изменения качества предоставляемых услуг. Также следует отметить, что довольно часто встречается рассогласованность бизнеса и ИТ-функции, когда приобретаются и внедряются в эксплуатацию многомодульные информационные системы, функционал которых используется бизнесом лишь на малую часть.
Как же правильно проводить ИТ-аудит - с чего начинать и о чем не забыть? Мы рассказываем об этом в рамках отдельного курса в Минске, который проводим с частотой раз в 3 месяца в Институте IBA.
А пока вернемся к целям проведения ИТ-аудита. Для владельцев компаний ИТ-аудит служит инструментом, позволяющим проверить эффективность деятельности менеджеров. Основными целями проведения аудита информационных технологий как правило выступают:
-
Анализ соответствия текущего уровня развития ИТ стратегическим целям компании;
-
Оценка эффективности использования ресурсов, направляемых на развитие ИТ;
-
Оценка ИТ-инфраструктуры, технологической интеграции и ИТ-процессов компании;
-
Выявление проблемных мест в ИТ и способов их возможной оптимизации.
Предметом анализа в ходе ИТ-аудита (т.е. что анализируем?) обычно выступают:
ИТ-архитектура, позволяющая получить представление о том, насколько функциональность информационных систем отвечает требованиям бизнеса, какие прикладные информационные системы используются;
Уровень соответствия ИТ-инфраструктуры требованиям бизнеса по производительности и надежности;


Также могут быть дополнительно проанализированы такие области как:
-
Безопасность ИТ-инфраструктуры
-
Непрерывность бизнеса
-
Оценка качества внедрения информационных систем
-
Обработка данных, тарификация
-
ИТ-сервисы, предоставляемые бизнес-пользователям
-
Управление лицензиями на аппаратное и программное обеспечение
-
Аудит бюджетирования в области ИТ.
- Инвентаризация аппаратного обеспечения.

Какие выгоды может извлечь руководство компании от проведения ИТ-аудита?
Получение независимой оценки состоянии ИТ, включая качественную оценку данных, проанализированных в ходе ИТ-аудита;
Предложения по оптимизации ИТ-архитектуры и повышению вклада ИТ в достижение бизнес-целей компании;
Рекомендации по снижению уровня выявленных рисков, зависящих от ИТ и ИБ, и повышению уровня зрелости управления ИТ;
Подходы к реорганизации, если это необходимо, службы поддержки ИТ;
Итоговый аудиторский отчёт содержит принципы развития ИТ в соответствии со стратегией развития компании, рекомендации по направлениям развития (с максимальной отдачей инвестиций в ИТ), в т.ч. возможно определение плановых бюджетов и сроков.
Перечисленные выше пункты – основные результаты. И их уже достаточно. При этом ИТ-аудит является первым шагом к разработке ИТ-стратегии и призван показать руководству компании как сделать инвестиции в технологическое развитие эффективными, защищёнными с точки зрения их целесообразности, перспективности и соответствия стратегии развития компании.

В части бизнеса:
-
Поддержка развития бизнеса в соответствии с планируемыми показателями роста со стороны ИТ;
-
Обеспечение развития ИТ-функции, отвечающей стратегии развития и требованиям владельцев компании;
-
Централизация и повышение управляемости информационных систем компании;
-
Оптимизация ИТ-зависимых бизнес-процессов;
-
Обеспечение производительности и масштабируемости информационных систем при росте объемов бизнеса.
В части результатов в сфере информационных технологий:
-
Повышение прогнозируемости затрат организации на ИТ;
-
Увеличение эффективности работы сотрудников, исключение дублирующихся операций;
-
Создание оптимальной организационной структуры в соответствии с лучшими практиками в области ИТ;
-
Регулярный мониторинг, анализ и контроль ИТ-рисков и сопряжённых операционных рисков в бизнес-процессах компании;
-
Стандартизация в области используемого программного обеспечения и технологий;
-
Документированность ИТ-инфраструктуры;
- Регламентация взаимодействия бизнес-подразделений со службами ИТ, соблюдение требуемого SLA.
Резюмируя все вышеизложенное, можно сказать, что ИТ-аудит, выполненный даже единожды, может уберечь компанию от наступления репутационных рисков, связанных с некорректной работой ИТ-систем или утечкой данных клиентов, некоторых видов мошенничества и некорректной работы информационных систем в целом.
Даже если в момент завершения ИТ-аудита у компании отсутствуют ресурсы для выполнения всех рекомендаций, определение ключевых направлений развития ИТ обязательно пригодится в долгосрочной перспективе.
Авторы:
Артем Чалый, Александр Кацело, практикующие ИТ-аудиторы. Certified Information System Auditor (CISA), IT Infrastructure Library (ITIL) Foundation, Certified in Risk and Information Systems Control (CRISC).
Перепечатка материалов возможна только с согласия авторов или при указании ссылки на источник.