Первый гвоздь в ИТ-стену бизнеса

Регулярная проверка состояния ИТ-инфраструктуры повышает управляемость бизнесом
| статьи | печать

Для большинства руководителей российских компаний область информационных технологий (ИТ) – кухня, в которую вкладываются немалые деньги. Увы, блюда этой кухни чаще всего не оправдывают ожиданий и оказываются бесполезными для организма бизнеса. Непонятно, кого винить в этом случае (продукты, оборудование или кулинаров), как снизить затраты и риски и увеличить отдачу ИТ в бизнесе. Вот тогда и появляется желание проконсультироваться у специалистов и провести ИТ-аудит.

ИТ-аудит – это проверка состояния ИТ-инфраструктуры предприятия. Если обычный аудит проводится на соответствие законодательству, то ИТ-аудит – на соответствие мировым стандартам управления ИТ.

Аудиторами в таких случаях являются компании, занимающиеся бизнес-консалтингом, а ИТ-специалисты предприятия могут привлекаться в качестве экспертов отдельных информационно-технологических систем и процессов.

ИТ-аудит проводится не только из желания проконтролировать деятельность ИТ-службы и состояние ИТ-инфраструктуры. Он полезен, если предприятие модернизируется, расширяет или меняет сферу бизнеса, а также в связи с реструктуризацией управленческого состава.

 

К СВЕДЕНИЮ

Мировые стандарты управления ИТ:

  • CobiT (Control Objectives for Information and Related Technology («Задачи информационных и смежных технологий»), разработанный ISACA (Information Systems Audit and Control Association);
  • стандарты серии ITIL/ITSM (IT Infrastructure Library / IT Service Management).

Отечественные базовые стандарты:

  • ИСО 15288, 12207, 14764, реализующие процессный подход при создании ИТ;
  • ИСО 9000/2000, 15504 – стандарты управления качеством и зрелостью ИТ-инфраструктуры;
  • ИСО 2000 (ITIL) – стандарты в области проектной деятельности;
  • стандарты ГОСТ серии 34 и 24.

 

Инициатором в большинстве случаев бывает руководство компании или ее значимых подразделений, реже – руководитель ИТ-службы. В случае явного конфликта или отсутствия взаимопонимания между руководством компании и руководителем ИТ-службы внешние аудиторы выступают в качестве арбитров. При правильном подходе к проведению этой процедуры и выборе грамотного и клиентоориентированного аудитора такое противостояние можно либо полностью снять, либо свести к минимуму.

 

Оценка необходимости

Самая распространенная ошибка – обращение к аудиту в критических ситуациях. На предприятии с отлаженной и устойчивой ИТ-инфраструктурой аудит должен быть регламентированной ежегодной процедурой.

Если такой практики нет, оценить необходимость ИТ-аудита можно, сопоставив проблемы в бизнесе с состоянием ИТ-ифраструктуры. Для этого необходимо выделить проблемные участки в управлении компанией и разобраться, как они связаны с ИТ.

Необходимо четко определить, какие результаты компания хочет получить от проведения аудита. После этого формулируется Техническое задание (ТЗ) на аудит. Такой подход позволяет снизить финансовые затраты.

 

Внутренний и внешний аудит

Существуют два вида ИТ-аудита – внутренний и внешний. Внутренний аудит проводится ИТ-службой самой компании, внешний подразумевает приглашение сторонних специалистов.

Многие руководители относятся к внутреннему аудиту с недоверием. Но даже обычный анкетный опрос сотрудников предприятия может дать справедливую оценку текущему состоянию ИТ-инфраструктуры. Руководитель получает структурированное представление о состоянии информационных систем, аппаратного обеспечения, работы электронной почты и т.д.

К минусам внутреннего аудита относится загруженность ИТ-службы текущими задачами (что затрудняет выделение специалистов для проведения аудита), субъективность оценок, возможный формальный подход к формированию отчета.

Плюсами аудита внутренними силами является знание собственной ИТ-инфраструктуры и особенностей бизнес-процессов, упрощенные коммуникации с сотрудниками компании.

По-хорошему, внутренний аудит должен проводиться на предприятии регулярно. Ведение автоматизированного учета и контроля ИТ-инфраструктуры упрощает многие рутинные задачи. Прозрачные регламенты в организации работы ИТ-службы и во взаимодействии ее с другими подразделениями снимают барьеры непонимания между руководством компании и руководителем ИТ-службы, позволяют принять решение о необходимости обращения к внешним профессионалам.

Внешний аудит необходим перед началом проекта по реорганизации управления ИТ-инфраструктурой, а также в случае возникновения проблем, не решаемых ИТ-службой компании.

Когда уже понятно, что самого себя из болота не вытащить, приходится искать помощь на стороне. При этом надо учесть некоторые факторы.

Работа группы высокопрофессиональных ИТ-специалистов всегда стоит дорого. Поэтому необходимо четко понимать, какая информация и в каком объеме будет получена за деньги компании. Важно учитывать авторитет аудитора на рынке. Не всегда крупные дипломированные компании предоставляют именно те результаты, которых от них ждет заказчик. Выбор ИТ-аудитора лучше проводить, формулируя ТЗ нескольким компаниям в сфере подобных услуг. Получив от них конкретные предложения, можно принимать решение, с кем работать.

Следует учесть, что внешние специалисты акцентируют свое внимание на независимости анализа состояния ИТ и системы управления ими, а внутренние – на обеспечении эффективности работы ИТ-инфраструктуры в соответствии с бизнес-задачами.

 

Уровни и направления ИТ-аудита

Существует несколько уровней и направлений ИТ-аудита. Выбор зависит от того, какие результаты хочет получить компания.

Обследование ИТ-инфраструктуры – это сбор информации, которая будет использоваться для проведения последующих работ в области информационных технологий предприятия. На этом уровне требуется собрать достоверную информацию о текущем состоянии определенного участка использования ИТ и задокументировать ее.

Технический аудит – это сбор, анализ информации и выдача рекомендаций по улучшению работы отдельных аппаратных и программных компонентов ИТ-инфраструктуры. Тут необходимы узкая техническая специализация и четкие временные рамки.

Экспертная оценка ИТ – оценка структуры, обоснованности и объема финансирования в ИТ. На этом уровне решается задача реструктуризации инвестиций в ИТ, которая позволяет понять, как расходуются средства по различным направлениям ИТ и можно ли их перераспределять. Например, сократить штат ИТ-отдела и увеличить расходы на программное обеспечение.

Кроме того, проводится оценка ИТ-проектов или проектных решений (как существующих, так и перспективных), стоимости ИТ-составляющей компании, возможности перепрофилирования ИТ-инфраструктуры, организации эксплуатации ИТ, подготовки пользователей.

ИТ-аудит бизнес-процесса – это аудит технологий и систем, которые имеют важное значение для успешного выполнения какого-либо процесса компании. Результат этого вида аудита – ясная и формализованная модель анализируемого бизнес-процесса, на которой показано влияние на него ИТ. Эффективность этого вида тем выше, чем активнее участие в нем самого заказчика.

Аудит критерия ИТ – сбор, анализ информации и выдача рекомендаций по какому-либо выбранному критерию ИТ: безопасности, производительности, надежности и т.п. При его проведении принято исследовать в разрезе данного критерия все элементы ИТ-инфраструктуры компании.

Комплексный ИТ-аудит – это аудит, при котором рассматриваются и анализируются все бизнес-процессы компании и их взаимосвязи между собой и с ИТ-инфраструктурой предприятия. Такой аудит позволяет наиболее многосторонне оценить соответствие состояния информационных технологий компании ее бизнес-задачам.

 

К СВЕДЕНИЮ

Этапы ИТ-аудита:

  • сбор информации (анкетирование специалистов по отдельным направлениям, интервью с ключевыми управленческими кадрами компании, изучение имеющейся нормативной документации, организационной структуры, принципов построения и управления ИТ, выборочное или массовое тестирование аппаратного обеспечения, производительности сети);
  • анализ собранной информации, состояния и планов развития ИТ-инфраструктуры, специфики бизнеса компании. При определенном уровне ИТ-аудита проводится анализ процессов, протекающих в ИТ-подразделении, анализируется уровень сервиса, составляется список политик и регламентов;
  • подготовка отчетной документации;
  • сравнение результатов аудита с тем, как должна работать ИТ-инфраструктура в оптимальном состоянии (соответствие стандартам ИТ в данной области);
  • выработка рекомендаций – что необходимо сделать для эффективного управления бизнес-процессами с использованием ИТ.

 

Результат

Результатом ИТ-аудита любой сложности и уровня является отчет, который должен быть понятен в первую очередь руководителю компании.

Вместе с отчетом аудитор должен представить в зависимости от глубины проведенного аудита свои рекомендации:

  • по реорганизации ИТ-инфраструктуры, оптимизации ИТ-процессов;
  • по изменению тех или иных параметров программного обеспечения и оборудования;
  • по реструктуризации затрат на ИТ-инфраструктуру;
  • план построения устойчивой к отказам и сбоям ИТ-системы;
  • описание всевозможных рисков хранения и использования данных и способы снижения каждого из них;
  • оценку качества работы существующей ИТ-службы и рекомендации по изменению ее структуры и методов работы.

ИТ-аудит можно считать именно тем гвоздем, который вбивают в стену и вешают на него шляпу. После этого можно чувствовать себя как дома: одна стена уже есть.