Определение IT аудита
ИТ-аудит — это комплекс мероприятий по оценке ИТ-инфраструктуры компании. Он позволяет получить данные и оценить различные аспекты, включая качество и тип информационных систем, состояние инфраструктуры, портфель проектов, ИТ-управление и бизнес-процессы.
Преимущество аудит в том, что он дает возможность легко и эффективно проанализировать функциональность, степень интеграции, а также систему документирования используемых информационных инструментов. В широком смысле, это оценка их работы и соответствия стандартам, корпоративной политике и потребностям организации. Результаты такого аудита могут стать основой для разработки ключевых документов, таких как долгосрочный план развития и стратегия, политика безопасности, а также план восстановления информационных систем в чрезвычайных ситуациях.
Структура ИТ-аудита
Аудит инфраструктуры охватывает проверку различных компонентов, включая инженерные системы (электропитание, сигнализация, кондиционирование), сетевые элементы (доступ к интернету, локальная сеть) и вычислительные ресурсы (аппаратное и программное обеспечение, системы хранения данных и резервного копирования). Финальный отчет проведенного комплекса мероприятий обычно включает:
- Назначение документа. В этом разделе указываются цели аудита и объекты исследования, такие как конкретные системы, процессы и подразделения компании.
- Нынешнее состояние объектов исследования. Этот раздел включает детальный анализ текущего состояния инфраструктуры, охватывая оценку аппаратного и программного обеспечения, сетевой инфраструктуры и систем безопасности.
- Результаты аудита. В этой части приводятся выявленные проблемы и риски, а также рекомендации и предложения по их устранению К примеру, внедрение новых технологий или улучшение стандартов безопасности, что улучшит защиту данных, сделает работу систем быстрее и т.д.
Классификация ИТ-аудита
Поскольку аудит является комплексом процессов, которые могут быть направлены на достижения различных целей, его принято классифицировать на 5 основных категорий.
По графику
Может быть плановым или внеплановым. Плановый проводится регулярно, например, ежегодно, для систематической оценки состояния ИТ-инфраструктуры. Внеплановый аудит осуществляется при возникновении неожиданных проблем или инцидентов, что позволяет оперативно реагировать на изменения и угрозы.
По времени проведения
Может проводиться до начала проекта, во время проекта или после его завершения. До начала проекта оценка готовности ИТ-инфраструктуры помогает выявить потенциальные риски. Во время проекта аудит позволяет исправить проблемы на ранних стадиях, а после завершения проекта — оценить результаты и эффективность внедренных решений.
По типу исполнения
Может быть внутренним или внешним. Внутренний осуществляется силами сотрудников компании, что позволяет использовать внутренние ресурсы и знания. Внешний привлекает независимого оценщика, передавая задачу на аутсорсинг и обеспечивая объективность, свежий взгляд на состояние ИТ-инфраструктуры.
По целям проведения
Может быть техническим или стратегическим. Технический предоставляет характеристику состояния системы, включая производительность и безопасность. Стратегический служит отправной точкой для разработки ИТ-стратегии компании, помогая определить приоритеты и направления развития.
По охвату
Бывает комплексным или выборочным. Комплексный включает проверку всей ИТ-системы компании, что дает полное представление о её состоянии. Выборочный фокусируется на отдельных элементах системы, таких как безопасность или производительность определенных приложений.
Этапы проведения IT-аудита
Процесс можно условно разделить на пять последовательных этапов:
- Планирование. На этом этапе определяются цели, разрабатывается план действий и выбираются объекты исследования.
- Изучение и оценка. Проводится анализ текущего состояния ИТ-инфраструктуры и процессов, собираются данные и оценивается их соответствие установленным стандартам.
- Тестирование. Выполняются проверки и тесты, позволяющие выявить слабые места, риски и проблемы в системе управления ИТ.
- Отчет. Формируется отчет, включающий выявленные проблемы, анализ рисков и рекомендации по их устранению, а также предложения по улучшению связанных с этим процессов.
- Дальнейшие действия. На основе полученного отчета разрабатывается план по реализации рекомендаций, мониторится процесс внедрения изменений и оценивается их эффективность в краткосрочной, среднесрочной и долгосрочной перспективах.
Результаты проведения ИТ-аудита
Качественно выполненный аудит позволяет не только выявить существующие проблемы, но и наметить пути для их устранения, что способствует повышению эффективности и надежности инфраструктуры. Ожидаемые долгосрочные результаты — это увеличение отдачи от инвестиций в ИТ, ускорение внедрения новых технологий и систем, а также улучшение качества принятия решений, касающихся работы ИТ-департамента.
После проведения комплекса мероприятий становится очевидным:
- Удовлетворенность конечных пользователей и руководителей состоянием и функциональностью систем.
- Эффективность внедрения новых технологий в компании.
- Уровень готовности систем к изменениям бизнес-процессов компании.
- Организация работы департамента, распределение ответственности и полномочий.
- Как обеспечивается контроль качества работы.
- Соответствие работы департамента бизнес-целям компании.
- Уровень квалификации персонала и состояние его обучения.
- Организация сотрудничества с поставщиками и подрядчиками.
- Формирование и управление бюджетом.
- Политика информационной безопасности компании и ее соблюдение.
Примеры внедрения результатов ИТ-аудит
По мнению экспертов Института внутренних аудиторов (Global Technology Audit Guide, 2001), при анализе технологической среды компании можно выделить восемь ключевых факторов, влияющих на ее развитие. Рассмотрим каждый из них с прикладной аналитикой.
Централизация ресурсов
Этот фактор определяет, насколько системные и географические ресурсы компании сконцентрированы или распределены. Например, компания с высокой степенью централизации может управлять своими ресурсами более эффективно, но это может снизить гибкость в ответ на локальные потребности. По данным Gartner, 60% компаний с централизованной инфраструктурой сообщают о повышении операционной эффективности на 15%.
Н4 — Используемые технологии
Анализ типов технологий, применяемых в компании, позволяет определить её технологическую основу. Современные технологии, такие как облачные решения, могут значительно повысить конкурентоспособность. Например, по данным Flexera, 94% компаний используют облачные технологии, что позволяет им сократить затраты на ИТ-инфраструктуру на 25%.
Уровень кастомизации и зависимость от внутренней поддержки
Высокая степень настройки систем под специфические нужды компании может повысить их эффективность, но также увеличивает зависимость от внутренней поддержки и сложность обслуживания. Например, компании с высоким уровнем кастомизации ИТ-систем тратят на их поддержку в среднем на 20% больше, чем компании с минимальной кастомизацией.
Формализация политики и стандартов
Оценка степени формализации процедур и стандартов помогает понять, насколько четко регламентированы процессы и соответствует ли это общим корпоративным целям и требованиям. Согласно исследованиям PwC, компании с высоко формализованными ИТ-процессами снижают риск операционных сбоев на 30%.
Соблюдение законодательных норм
Проверка соответствия деятельности компании законодательным требованиям и нормативам в определенной отрасли особенно важна для финансового сектора, где несоблюдение нормативов может привести к значительным штрафам. Например, банки, не соблюдающие требования GDPR, могут быть оштрафованы на сумму до 4% от их годового оборота.
Аутсорсинг и его методы
Анализ масштабов и методов использования аутсорсинга, а также связанных с ним рисков — ключевая характеристика. Например, передача обслуживания критических систем внешним подрядчикам может снизить затраты, но повысить риски безопасности. По данным Deloitte, 70% компаний, использующих ИТ-аутсорсинг, смогли сократить свои операционные расходы на 20%.
Стандартизация операционных процессов
Высокий уровень стандартизации может способствовать повышению эффективности и снижению издержек. Согласно исследованиям McKinsey, компании с высоко стандартизированными операционными процессами снижают свои операционные расходы на 25%.
Зависимость от технологических систем
Оценка критичности технологических систем для бизнеса и их влияние на ключевые процессы. Например, в ритейле, сбои в работе кассовых систем могут привести к значительным потерям. По данным Retail Systems Research, каждый час простоя кассовых систем может стоить крупному ритейлеру до $100,000.
Заключение
Современный бизнес невозможно представить без качественной и надежной ИТ-инфраструктуры. Это и доступ к интернету и состояние компьютеров и облачные хранилища. IT-аудит позволяет разложить всю ситуацию по полочкам, дать четкое понимание: чего не хватает и чего может не хватать в дальнейшем. Единственный нюанс — доверить его выполнение можно только квалифицированным специалистам, способным эффективно отразить имеющиеся проблемы и предоставить чек-лист по их устранению.