Экспертная статья или "Зачем компаниям регулярно проводить ИТ-аудит?"

3.jpg

Действительно, зачем компаниям регулярно проводить ИТ-аудит? Чтобы ответить на этот вопрос, важно для начала разобраться с самим понятием ИТ-аудита.

Давайте начнем с небольшой теории.

ИТ-аудит в Республике Беларусь понятие сравнительно новое, поэтому трактуют его по-разному. Можно сказать, что любой аудит представляет собой независимую оценку, проводимую с целью проверки соответствия определенным критериям. Таким образом, Аудит информационных технологий или по другому ИТ-аудит – это оценка эффективности существующей ИТ-инфраструктуры, включая исследование всех ИТ-зависимых бизнес-процессов, определение основных проблем и разработка рекомендаций по их устранению.

Процедура ИТ-аудита предполагает сбор, анализ и предоставление руководству компании информации о текущем состоянии ИТ, о рисках информационных технологий и информационной безопасности, присущих бизнес-процессам компании, а также разработку рекомендаций по снижению этих рисков и оптимизации ИТ-процессов.

Нередко проекты по развитию информационных систем, которые готовят ИТ-специалисты, представляются владельцам бюджета слишком затратными. И это объяснимо: бизнес просто не понимает, куда направляются инвестиции и какую пользу они принесут компании в обозримом будущем.

1.jpg

foto-prikoly-27052016-011.jpgКогда компания быстро развивается, а информационные системы вынуждены успевать за этим ростом, автоматизация проводится локально для решения выделенных задач. В итоге мы имеем «зоопарк» информационных систем со сложными взаимосвязями при отсутствии целостной картины. ИТ-инфраструктура постоянно изменяется, а документация либо вообще отсутствует, либо остаётся без изменений или серьёзно запаздывает с обновлением. Однажды неотвратимо наступает момент, когда имеющаяся документация не соответствует действительности, а ключевой информацией о текущем положении ИТ обладают лишь ключевые ИТ-специалисты, что явно не способствует развитию – ни технологий, ни бизнеса. В сущности, никто, даже ИТ-департамент, точно не знает, насколько имеющийся набор информационных систем и процессов соответствует целям бизнеса и способствует развитию компании, а также насколько эффективно ИТ справляется с текущими бизнес-задачами.

Аудит информационных технологий во многом позволяет исправить сложившуюся ситуацию и определить компоненты ИТ-инфраструктуры организации, требующие модернизации. ИТ-аудит – это начальная точка для дальнейшего развития всей ИТ-функции организации. В результате ИТ-аудита компания получает оценку текущего состояния ИТ, рекомендации и предложения по оптимизации ИТ-инфраструктуры и снижению уровня выявленных рисков, а также рекомендации по направлениям развития ИТ-функции.

corporate_compliance.jpg

В качестве примера ИТ-аудита, направленного именно на анализ текущего состояния ИТ, можно привести проект, выполненный в одном из крупных российских банков. "Перед нашей командой стояла задача по оценке текущего уровня ИТ и перспектив дальнейшего развития структуры ИТ в соответствии с требованиями бизнеса. По результатам проведенных работ были разработаны стратегические рекомендации по развитию ИТ, что позволило привлечь в бюджет ИТ-департамента дополнительно $400 000 с целью модернизации текущей инфраструктуры ИТ".  

Однако зачастую, в ходе проектов по оптимизации затрат на ИТ в крупных компаниях, выявляется и обратная ситуация. Большинство ИТ служб, как правило имеет потенциал для снижения расходов на 20 – 25% без изменения качества предоставляемых услуг. Также следует отметить, что довольно часто встречается рассогласованность бизнеса и ИТ-функции, когда приобретаются и внедряются в эксплуатацию многомодульные информационные системы, функционал которых используется бизнесом лишь на малую часть. 

Как же правильно проводить ИТ-аудит - с чего начинать и о чем не забыть? Мы рассказываем об этом в рамках отдельного курса в Минске, который проводим с частотой раз в 3 месяца в Институте IBA.

1.jpg

А пока вернемся к целям проведения ИТ-аудита. Для владельцев компаний ИТ-аудит служит инструментом, позволяющим проверить эффективность деятельности менеджеров. Основными целями проведения аудита информационных технологий как правило выступают:

  • Анализ соответствия текущего уровня развития ИТ стратегическим целям компании;

  • Оценка эффективности использования ресурсов, направляемых на развитие ИТ;

  • Оценка ИТ-инфраструктуры, технологической интеграции и ИТ-процессов компании;

  • Выявление проблемных мест в ИТ и способов их возможной оптимизации.

Предметом анализа в ходе ИТ-аудита (т.е. что анализируем?) обычно выступают:  

scoop-it-logo.jpgИТ-архитектура, позволяющая получить представление о том, насколько функциональность информационных систем отвечает требованиям бизнеса, какие прикладные информационные системы используются;

scoop-it-logo.jpgУровень соответствия ИТ-инфраструктуры требованиям бизнеса по производительности и надежности;

scoop-it-logo.jpgСуществующие риски в области ИТ и ИБ, выявленные проблемы и причины их возникновения;
scoop-it-logo.jpgКачество управления ИТ и организация работы ИТ-департамента. 


Также могут быть дополнительно проанализированы такие области как:

  • Безопасность ИТ-инфраструктуры

  • Непрерывность бизнеса

  • Оценка качества внедрения информационных систем

  • Обработка данных, тарификация

  • ИТ-сервисы, предоставляемые бизнес-пользователям

  • Управление лицензиями на аппаратное и программное обеспечение

  • Аудит бюджетирования в области ИТ.

  • Инвентаризация аппаратного обеспечения.
1.jpg
Какие выгоды может извлечь руководство компании от проведения ИТ-аудита?

thumb-up.jpgПолучение независимой оценки состоянии ИТ, включая качественную оценку данных, проанализированных в ходе ИТ-аудита; 

thumb-up.jpgПредложения по оптимизации ИТ-архитектуры и повышению вклада ИТ в достижение бизнес-целей компании;
 
thumb-up.jpgРекомендации по снижению уровня выявленных рисков, зависящих от ИТ и ИБ, и повышению уровня зрелости управления ИТ;
  
thumb-up.jpgПодходы к реорганизации, если это необходимо, службы поддержки ИТ;

thumb-up.jpgИтоговый аудиторский отчёт содержит принципы развития ИТ в соответствии со стратегией развития компании, рекомендации по направлениям развития (с максимальной отдачей инвестиций в ИТ), в т.ч. возможно определение плановых бюджетов и сроков.

Перечисленные выше пункты – основные результаты. И их уже достаточно. При этом ИТ-аудит является первым шагом к разработке ИТ-стратегии и призван показать руководству компании как сделать инвестиции в технологическое развитие эффективными, защищёнными с точки зрения их целесообразности, перспективности и соответствия стратегии развития компании.

1.jpg
Помимо основных результатов, есть отложенная выгода, которая проявится позже, если организация будет следовать полученным рекомендациям. По опыту, проведение специализированного ИТ-аудита и последующая разработка стратегии развития ИТ в соответствии со стратегией развития компании, позволяет достигнуть существенных результатов.

В части бизнеса:

  • Поддержка развития бизнеса в соответствии с планируемыми показателями роста со стороны ИТ;

  • Обеспечение развития ИТ-функции, отвечающей стратегии развития и требованиям владельцев компании;

  • Централизация и повышение управляемости информационных систем компании;

  • Оптимизация ИТ-зависимых бизнес-процессов;

  • Обеспечение производительности и масштабируемости информационных систем при росте объемов бизнеса.

В части результатов в сфере информационных технологий:

  • Повышение прогнозируемости затрат организации на ИТ;

  • Увеличение эффективности работы сотрудников, исключение дублирующихся операций;

  • Создание оптимальной организационной структуры в соответствии с лучшими практиками в области ИТ;

  • Регулярный мониторинг, анализ и контроль ИТ-рисков и сопряжённых операционных рисков в бизнес-процессах компании;

  • Стандартизация в области используемого программного обеспечения и технологий;

  • Документированность ИТ-инфраструктуры;

  • Регламентация взаимодействия бизнес-подразделений со службами ИТ, соблюдение требуемого SLA.

1.jpg

2.jpg

Резюмируя все вышеизложенное, можно сказать, что ИТ-аудит, выполненный даже единожды, может уберечь компанию от наступления репутационных рисков, связанных с некорректной работой ИТ-систем или утечкой данных клиентов, некоторых видов мошенничества и некорректной работы информационных систем в целом.

Даже если в момент завершения ИТ-аудита у компании отсутствуют ресурсы для выполнения всех рекомендаций, определение ключевых направлений развития ИТ обязательно пригодится в долгосрочной перспективе.

Авторы: 

itaudit2.jpg Itaudit.jpg

Артем Чалый, Александр Кацело, практикующие ИТ-аудиторы. Certified Information System Auditor (CISA), IT Infrastructure Library (ITIL) Foundation, Certified in Risk and Information Systems Control (CRISC).

Перепечатка материалов возможна только с согласия авторов или при указании ссылки на источник.