Развивать бизнес, запускать продукты и выходить на новые рынки проще, если ИТ-функция в порядке и способна поддерживать любые изменения. Проверить ее потенциал помогает ИТ-аудит. Обсудим, в каких случаях он необходим и какой эффект от его проведения можно ожидать.
Рассмотрим типовой пример. Компания-производитель потребительской электроники расширяла присутствие на международных рынках, запускала новые производственные мощности и увеличивала объемы поставок. Руководство решило внедрить новую ERP-систему для поддержки масштабирования бизнеса. Однако вместо улучшений начались проблемы: ИТ-системы, включая новую ERP, постоянно сбоили, а ИТ-ландшафт превратился в «зоопарк систем», где сервисы дублировали друг друга. В итоге компания понесла финансовые потери из-за простоев производства, роста затрат на сопровождение ИТ-систем, штрафов за срывы сроков контрактов. Был нанесен ущерб её репутации, а целевые показатели по завоеванию доли рынка не были достигнуты.
Лучшие практики показывают, что для выявления подобных рисков в ИТ-ландшафте во время трансформации бизнес-стратегии, необходимо заранее провести комплексную диагностику, или ИТ-аудит.
В каких случаях нужен ИТ-аудит
Прежде всего, ИТ-аудит необходим при проведении значимых трансформаций, таких как разработка стратегии развития, внедрение новых технологий, реорганизация, смена руководства, привлечение инвесторов или подготовка к выходу на IPO/SPO. Кроме этого, он полезен при введении новых требований регуляторов, например, по защите персональных данных, импортозамещению или стандартам безопасности.
Помимо этого, есть признаки, сигнализирующие руководству компании о необходимости проведения ИТ-аудита, включая:
- необъяснимо высокие и непрозрачные затраты на ИТ;
- частые сбои в работе инфраструктуры;
- снижение производительности систем;
- устаревание оборудование или ПО;
- инциденты безопасности;
- разрозненный ИТ-ландшафт;
- сложности с привлечением и/или удержанием ИТ-специалистов.
Что можно изучать в рамках ИТ-аудита
ИТ-аудит может быть как комплексным, нацеленным на оценку состояния ИТ-инфраструктуры или ИТ-функции в целом, так и узконаправленным, когда изучается конкретная проблема или направление.
Например, аудиторы могут исследовать эффективность деятельности ИТ-функции на предмет соответствия заявленным бизнес-целям и стратегическим задачам, либо провести анализ организационной структуры ИТ-отдела и процессов взаимодействия структурных подразделений. В более узком фокусе ИТ-аудит изучает отдельные функции, такие как процессы закупок, разработки, управления проектами и другие. Можно оценить информационные системы с точки зрения покрытия ключевых бизнес-процессов, производительности и отказоустойчивости. Отдельно можно провести ИТ-аудит безопасности ИТ-систем и соответствия регуляторным нормам (compliance-аудиты). В некоторых случаях проводится форензик-аудит для расследования инцидентов или due diligence аудит перед сделками слияния или поглощения.
Задачи и эффекты ИТ-аудита
Для бизнеса ИТ-аудит — это инструмент поддержки стратегического планирования, повышения прозрачности ИТ-функции и оптимизации затрат, а также способ достижения дополнительного эффекта за счет улучшения взаимодействия между подразделениями, роста эффективности ИТ-инфраструктуры и усиления информационной безопасности, что напрямую влияет на результаты операционной деятельности.
Руководствуясь результатам ИТ-аудита, компания может обосновывать инвестиции, например, на модернизацию или замену ERP, минимизировать риски простоев, выявить факты зависимости от отдельных поставщиков, а также обеспечить соответствие действующим нормативным требованиям, что особенно важно для регулируемых отраслей. Кроме того, сравнение ИТ-показателей компании с отраслевыми стандартами (бенчмаркинг) дает возможность объективно оценить ее позицию на рынке и найти точки роста.
В качестве примера по успешному проведению аудита можно привести одну крупную торговую компанию. Поводом стали смена руководства, отсутствие четкой ИТ-стратегии, высокие затраты на поддержку инфраструктуры, частые сбои и случаи утечек данных. Перед аудиторами стояла задача провести комплексную оценку эффективности управления информационными технологиями компании. Команда проанализировала стратегию развития ИТ, организационную структуру, ИТ-ландшафт, включая показатели надежности и масштабируемости информационных систем, а также ключевые ИТ-процессы — от управления бюджетом до работы с поставщиками.
Были выявлены излишние расходы на неиспользуемые лицензии и дублирующиеся функции, а также узкие места в инфраструктуре: перегруженные серверы, отсутствие резервных копий и уязвимости в системе безопасности. Результатом стала стратегия модернизации, включающая замену устаревшего оборудования, внедрение систем мониторинга и усиление киберзащиты.
Впоследствии, реализовав рекомендации аудитора, компания значительно повысила надежность ИТ-систем и сократила издержки на ИТ. Затраты на поддержку ИТ сократились на 20% за счет устранения избыточных расходов. Число сбоев снизилось на 80%, а уровень защищенности данных вырос, что укрепило доверие клиентов и партнеров.
Методология проведения ИТ-аудита
ИТ-аудит не только выявляет проблемы, но и предлагает конкретные рекомендации, выполнение которых позволит избежать существенных проблем в будущем. При этом успех во многом зависит от методологии, используемой в процессе ИТ-аудита.
Например, диагностика ИТ-архитектуры компании начинается с анализа текущей архитектуры и проектов, затем описывается ИТ-ландшафт с учетом уровня автоматизации. Итогом исследований становится формирование целевой карты ИТ-архитектуры, где для каждой бизнес-области предлагаются свои оптимальные решения. Такой подход опирается на международные стандарты, такие как TOGAF, COBIT, и может быть дополнен примерами из практического опыта аудиторов.
Другой пример — аудит процессов разработки. Цель — ускорить вывод продуктов на рынок и повысить их качество. Аудиторы изучают применение в компании практик менеджмента Agile, DevSecOps и прочих методик, анализируют проектную деятельность и нормативную базу, а затем разрабатывают программу развития, включая масштабирование гибких подходов. Инструментами ИТ-аудита в этом случае становятся интервью с командами, анализ лучших практик и моделей управления продуктом.
Базовые принципы ИТ-аудита
Процедуры проведения ИТ-аудита требуют от исполнителя строгого соблюдения базовых принципов для достижения достоверных и применимых результатов. Основы ИТ-аудита — это независимость и компетентность аудиторов, конфиденциальность, полнота и достоверность. Нарушение этих принципов может привести к искажению результатов, упущению критических проблем или утрате доверия к выводам.
Привлечение независимых аудиторов гарантирует объективность выводов и исключает конфликты интересов. Поэтому, как правило, ИТ-аудит выполняют сторонние специалисты, имеющие большой опыт в подобных проектах. Использование стандартов и методологий, таких как COBIT, ITIL, CMMI и ISO/IEC 27001, при проведении ИТ-аудитов помогает организациям систематизировать процессы управления информационными технологиями, повысить эффективность работы, обеспечить соответствие нормативным требованиям и минимизировать риски.
В заключении отмечу, что ценность ИТ-аудита заключается в качественной поддержке бизнеса в реализации его стратегии развития и выработке плана развития ИТ-функции, адекватного целям компании.
