ИТ-аудит — понятие в Украине относительно новое, поэтому и трактуют его по-разному. В ведущих мировых странах под аудитом подразумевают ежегодный процесс, подтверждающий соответствие компании заявленным бизнес-показателям и регулирующим стандартам. По аналогии у многих руководителей украинских фирм представление об ИТ-аудите отождествляется с финансовым аудитом в области ИТ и в небольшой мере с ИТ-консалтингом. В то же время, ИТ-аудит (или аналитическое обследование) нередко используют для таких целей, как первый шаг при «наведении порядка» в области ИТ: для разработки ИТ-стратегии, управления стоимостью обслуживания и владения информационными системами, при проведении анализа рисков, при создании конфигурационной базы данных ИТ-ресурсов и разработке процедур контроля изменений.
В специализированной прессе часто приводят следующее определение ИТ-аудита: «Процедура аудита (обследования) сферы информационных технологий в компании предполагает сбор, анализ и предоставление руководству компании информации о текущем состоянии в сфере ИТ, о рисках, связанных с «проблемными зонами» информационных подсистем, и выдачу рекомендаций по снижению этих рисков и повышению качества функционирования подсистем».
Целями проведения ИТ-аудита могут выступать:
• анализ используемых ИТ-решений на соответствие требованиям бизнес-процессов предприятия; организация информационной системы, отвечающей задачам бизнеса;
• оценка информационной системы фирмы на функциональную полноту и соответствие международным стандартам; оценка системы по нефункциональным критериям;
• анализ процессов создания и внедрения информационных систем; процессов сопровождения и технической поддержки;
• оценка стоимости владения и возврата инвестиций в ИТ;
• анализ проблем в информационной системе и предложенных решений.
ИТ-аудит может являться начальным этапом при решении задач оптимизации затрат и снижения рисков ИТ-проектов, при проведении аудита системы информационной безопасности и др.
Когда возникает необходимость проведения ИТ-аудита?
В большей части случаев проведение ИТ-аудита связано с модернизацией ИТ-инфрастуктуры предприятия, расширением бизнеса, а также в связи со сменой управленческих кадров. Заказчиком ИТ-аудита обычно выступает руководство компании или ее функциональных подразделений.
Причины, определяющие необходимость ИТ-аудита периодически рассматриваются в прессе при обсуждении проблем и задач ИТ-отделов. Однако для большинства бизнес-руководителей украинских предприятий ИТ по-прежнему остается непонятным по функциям, непрозрачным «черным ящиком». Для его работы требуются деньги (и немалые), а в результате бизнес получает некую, не всегда очевидную для руководства, ИТ-поддержку. В таком случае руководители желают услышать ответ на вопрос: что надо делать, чтобы класть в этот «черный ящик» меньше инвестиций, получая при этом более высокую отдачу?
В некоторых случаях руководители пытаются, хотя бы в общих чертах, понять внутреннее устройство этого «ящика» и выяснить, насколько велик его КПД. Но, каким бы образом ни был поставлен вопрос, суть его сводится к одному: как снизить затраты и риски и увеличить отдачу.
Наиболее сложным этапом ИТ-аудита является решение задачи реструктуризации инвестиций в ИТ: руководителю необходимо понять, насколько правильно вкладываются средства в различные направления ИТ и можно ли их перераспределять (к примеру, увеличить расходы на развитие информационных систем, сократив затраты на поддержку).
ИТ-аудитор – угроза или спасение?
Довольно редко проведение ИТ-аудита является инициативой руководителя ИТ-отдела. Обычно это происходит, когда возникает явный конфликт руководителя ИТ-отдела и руководства компании: руководитель ИТ-отдела долго и безуспешно доказывает, что если должным образом не инвестировать ИТ, то вскоре это станет преградой для развития бизнеса. Реакция руководства компании обычно категорична: «Вам сколько денег ни дай, все мало». Поэтому руководителем ИТ-отдела может быть инициирован внешний ИТ аудит, в процессе которого аудиторы становятся арбитрами в затянувшемся споре.
В большинстве случаев сотрудники ИТ-отделов относятся к процедуре ИТ-аудита крайне настороженно. Для того, чтобы превратить их в союзников аудиторов, требуются немалые усилия руководства предприятия. Сотрудник ИТ-отдела, как и любой нормальный человек, настороженно относится к проверке своей работы и не любит, когда ему указывают на его ошибки, даже если он сам о них знает.
Почему сотрудники компаний боятся ИТ-аудита и насколько объхективны их опасения? Очевидно, что природа страхов руководителей и рядовых сотрудников ИТ-отделов в корне различна. Руководство чаще всего опасается, что информация о возможных проблемах в их подразделении станет доступна посторонним людям. Еще одним опасением (и часто не без основания) является неуверенность, что аудит принесет какую-либо реальную пользу. Для рядовых же сотрудников ИТ-отделов аудит часто представляется неким кнутом, которое руководство фирмы собирается использовать для наказания ни в чем не повинных работников. При таком отношении к ИТ-аудиту сотрудники будут стараться помешать его проведению, скрывая реальную информацию или предоставляя ее в виде, который считают наиболее выгодным для себя.
Честно говоря, все эти опасения имеют под собой реальную почву. Однако при грамотном подходе к проведению ИТ-аудита, как со стороны обследуемой компании, так и со стороны аудиторов, эти опасения могут быть либо полностью сняты, либо сведены к минимуму.
Начнем с опасений руководства. Аудит крупного предприятия – удовольствие довольно дорогое. Чтобы он принес реальную выгоду, необходимо ясное видение задач, которые планируется решить с помощью ИТ-аудита. Если задача ставится так: “Хочу, чтобы у нас все было лучше всех”, то от проведения аудита трудно ожидать чего-то большего, чем выдача общих рекомендаций на основе “лучшего мирового опыта”. Вряд ли такие рекомендации могут быть реализованы в реальных условиях.
Как видно из практики, целесообразно разбивать процесс аудита на этапы длительностью около 10 дней – в этом случае задачи могут быть сформулированы более конкретно, и польза от аудита будет намного ощутимее. При этом на начальных этапах лучше сделать первичное обследование, которое помогает в общих чертах оценивать текущее состояние дел в сфере ИТ, определять основные проблемы и расставить приоритеты их решения. На последующих этапах уже можно заняться более подробным анализом поставленных задач. При этом подходе заказчик ИТ-аудита получает возможность выбора для каждого конкретного этапа работ аудитора, обладающего наибольшим опытом в решении этого определенного типа проблем. А чтобы обезопасить внутреннюю информацию от возможной утечки при проведении аудита, достаточно внимательно отнестись к выбору ИТ компании, проводящей аудит.
В некоторых случаях приходится все-таки отказываться от привлечения внешней ИТ компании для аудита в пользу проведения его сотрудниками самой компании. При этом важно, чтобы внутренние аудиторы не были в подчинении у руководителей функциональных подразделений компании. Однако создание отдельного внутреннего аудиторского подразделения могут себе позволить только очень крупные компании, так как для этого необходимо содержать довольно большой штат высококвалифицированных специалистов со специализацией в разных областях ИТ.
Сопротивление рядовых сотрудников ИТ-отделов проведению ИТ-аудита обычно связано с двумя типами причин: рост компании и проблемы, возникающие при слиянии компаний. При росте компании рано или поздно настает момент, когда ИТ-служба не может больше функционировать по-старому. В небольших предприятиях работа часто строится на личных связях между сотрудниками, а в крупной компании такой метод принципиально неприменим. Без достаточной формализации процесса взаимодействия между отделами невозможно оперативно решать возникающие проблемы. Более того, в небольших компаниях методы решения задач выбираются на основе знаний и умений сотрудников, и эти методы не всегда являются оптимальными. Большие же компании, наоборот, подбирают сотрудников в соответствии с их умением эффективно решать задачи принятыми на предприятии методами.
Еще одна проблема связана с тем, что при постепенном росте предприятия всегда остается значительное количество исторически используемых приложений, и нередко трудно найти замену сотрудникам, занимающимся их эксплуатацией, или даже обеспечить этих специалистов полной рабочей загрузкой. В этом случае задачей ИТ-аудита является анализ возможности отказа от унаследованных приложений и разработка плана мероприятий по их замене на более современные.
Проблемой роста является также использование отделами компании различного инструментария для решения схожих задач, либо повторное приобретение уже имеющихся в компании продуктов. В таком случае аудиторы проводят инвентаризацию оборудования и программного обеспечения и выдает предложения по их унификации. Разумеется, унификация используемого оборудования и ПО приводит к более легкой «заменяемости» сотрудников, что многим из них нравится. Сотрудники, обладавшие неким «сокровенным знанием» теряют возможность практически бесконтрольной и безотчетной работы. С другой стороны, они при этом приобретают новые знания, а умение применять современные и широко распространенные технологии делает специалиста гораздо более привлекательными участником рынка труда. Да и решение многих проблем можно переложить на службу поддержки производителя ИТ-продукта.
Когда проведение ИТ-аудита - благо для ИТ-отдела?
В начале мы уже подчеркивали, что аудит нередко является первым шагом при наведении порядка во многих областях. Рассмотрим для примера одну из таких областей - управление ИТ-услугами.
Обычно проект создания системы управления ИТ-услугами состоит из двух крупных этапов, первый из которых вносит самый большой вклад в успех всего проекта. Это этап концептуального, логического проектирования бизнес-процессов управления ИТ-услугами и разработки структуры конфигурационной базы данных.
Для того чтобы успешно выполнить этот этап работ, необходимо провести детализированное аналитическое обследование системной архитектуры с учетом результатов анализа рисков. Или, если таковой ранее не проводился, учитывать при аудите критичность отдельных элементов ИТ-архитектуры для бизнес-процесса компании.
Вторая, не менее важная задача, - анализ текущего состояния организации ИТ-службы и ее бизнес-процессов (так называемый анализ зрелости ИТ-отдела).
В сам процесс такого обследования активно включены сотрудники ИТ-отдела компании, а результаты обязательно широко обсуждаются и принимаются как заказчиками, так и исполнителями проекта. Почему это так важно?
Во-первых, результаты обследования системной архитектуры представляют собой основу для разработки модели данных CMDB, и чем точнее это будет сделано, тем более практически значимой будет конфигурационная база данных, которая является основой для интеграции всех ИТ-процессов.
А оценка уровня зрелости – это основа реалистических планов модернизации и внедрения best practice в управление ИТ-ресурсами.
Теперь, когда, как мы надеемся, основные опасения по поводу аудита развеяны, резюмируем основные выгоды, которые может получить фирма от проведения ИТ-аудита:
• «прозрачное» описание структуры ИТ-службы и решаемых ею задач;
• рекомендации по использованию ИТ-ресурсов (как технологических, так и человеческих);
• рекомендации по решению технологических проблем;
• рекомендации по обеспечению информационной безопасности.
Даже если в момент завершения ИТ-аудита у предприятия отсутствуют ресурсы для выполнения всех рекомендаций, наличие стратегического плана развития ИТ обязательно пригодится в долгосрочной перспективе.
ИТ-аудит: угроза устоявшемуся укладу или спасение?
Автор: acomit
23 марта, 2009
Категория: Компьютерный сервис
Просмотров: 1,467
Код ссылки на запись - ИТ-аудит: угроза устоявшемуся укладу или спасение?: