Проверка на прочность

Повышенный интерес к IТ-аудиту со стороны украинского бизнеса эксперты прогнозируют уже в ближайшем будущем.

Пока IТ-аудит относится к услугам, на которые украинский бизнес в своем большинстве не готов тратить значительные средства. Еще многие компании проводят подобные мероприятия, полагаясь исключительно на внутренние ресурсы и не прибегая к аутсорсингу. Тем не менее эксперты прогнозируют рост заинтересованности в IТ-аудите уже в ближайшие годы. Пока первопроходцами в этом направлении становятся предприятия – лидеры в своих отраслях, активно изучающие зарубежный опыт. Ведь в индустриальных странах эта услуга – достаточно распространенная практика.

Заложники информационных технологий
Топ-менеджеры компаний, которые уже стали потребителями услуг IT-аудита, едины во мнении: чтобы эффективно управлять рисками, независимое экспертное заключение о состоянии IТ-инфраструктуры время от времени все же необходимо. Управленцам и владельцам бизнеса просто не под силу самостоятельно вникнуть в подробности функционирования внедренных на предприятии информационных систем и провести анализ возможности их усовершенствования и оправданности инвестиций. Оценка самого IТ-подразделения в данном случае может оказаться либо слишком субъективной, либо поверхностной в силу высокой занятости персонала оперативной деятельностью. Поэтому услуга внешнего поставщика – оптимальное решение. Такого рода услуги в Украине поставляют компании «Инком», «S&T Софт-Троник», «БМС Консалтинг», «Супремум» и некоторые другие.

На сегодняшний день распространенной причиной для проверки IТ-инфраструктуры становятся реструктуризация бизнеса, слияния компаний, поглощения и т. д. Иными словами, когда две компании с различной IТ-инфраструктурой начинают работать совместно, унификация информационных систем неизбежна. А этим процессам в любом случае должен предшествовать их аудит.

Заинтересованы в независимой оценке IT-систем и быстрорастущие бизнесы, компании – лидеры на своих рынках. Зачастую они просто нуждаются в проверке систем безопасности и IТ-инфраструктуры на соответствие как текущим бизнес-процессам компании, так и международным стандартам. Аудит здесь позволяет грамотно оценивать возможные риски, прогнозировать сбои, оптимизировать работу IТ-подразделения.

«Примерно в 80% IТ-аудитов, проводимых нашей компанией, интерес заказчика фокусируется на технических и технологических вопросах. В основном клиентов беспокоит уровень продуктивности автоматизированных процессов на предприятии, – рассказывает Александр Щонхор, начальник управления информационно-технического обеспечения компании «S&T Софт-Троник». – И примерно в 20% проектов на первое место выходит чисто управленческий фактор, когда у топ-менеджмента, например, возникает желание и потребность определить уровень зрелости IТ-систем, сформировать стратегию развития информационных технологий в компании, стандартизировать IТ-деятельность».
Однако для большинства украинских предприятий пока более приемлемой остается практика оценки необходимых инвестиций в информационные технологии перед принятием решения по внедрению на предприятии того или иного программного продукта. Такой экспресс-аудит зачастую не является отдельным проектом.

Классификация
Самая распространенная классификация IТ-аудита – по специализации (технологический, информационной безопасности и реорганизация IТ-структуры).

Технологический аудит необходим в тех случаях, когда предприятие нуждается в создании или модернизации инфраструктуры, происходит корпоративная реорганизация, возникает необходимость оценить качество того или иного IТ-проекта либо повысить в целом эффективность работы информационных технологий. Как правило, в данном случае оцениваются локальные и глобальные вычислительные сети, системы передачи и консолидации данных, платформы серверов, способы управления базами данных, информационные сервисы (корпоративная почта, единый каталог и т. д.). Аудитор проводит экспертизу и по ее результатам дает рекомендации, которые содержат варианты оптимальной IТ-концепции, анализ их преимуществ и недостатков, функциональные схемы основных технических решений.

Аудит информационной безопасности необходим, когда заказчику нужно повысить уровень защиты информации, оценить затраты на модернизацию систем безопасности или минимизировать бизнес-риски, связанные с использованием IТ-средств.

Реорганизация IТ-структуры – самый масштабный вид аудита, включающий экспертную оценку соответствия IТ-подразделения текущим бизнес-задачам и создание его оптимальной штатно-организационной структуры. В данном случае оценивается уровень зрелости IТ-процессов на основе международных методологий (CobiT, ITIL, CMM и др.).

Кроме вышеперечисленных видов, IT-аудит можно также классифицировать и по глубине проработки (высокоуровневый, подробный), и по составу работ (с проведением инструментального обследования или без него). Но в нынешних условиях далеко не массового потребления данной услуги аудиторы редко применяют стандартизированные методы. Подход к требованиям каждого клиента индивидуален.

Специалисты утверждают, что каждый проект уникален по специфике бизнеса, существующим в нем проблемам. Поэтому состав работ, их наполнение и количество каждый раз оговариваются индивидуально независимо от рамок, установленных различными классификациями.

Украинский опыт
Компаний, предлагающих IT-аудит в рамках отдельного проекта, как и предприятий, готовых решиться на это, в Украине немного. Многие эксперты все еще убеждены в том, что для украинского бизнеса пока достаточно экспресс-аудита в рамках комплексных IТ-проектов. Но даже те, кто уже воспользовался независимой оценкой в виде IТ-аудита, зачастую избегают огласки результатов этих проектов. Причина – в неготовности делиться своими проблемами с общественностью. Тем более что на практике действительно бывает именно так: раз уж компания отдала оценку IТ-инфраструктуры на аутсорсинг, значит, проблемы в этом направлении действительно серьезные, и в редких случаях топ-менеджмент имеет возможность похвастаться заключениями IТ-партнера.

Светлана Мильгевская, генеральный директор транспортной компании САТ, рассказывает, что специалисты компании «Инком», которые проводили аудит на ее предприятии, оценили уровень IТ-инфраструктуры на твердую «четверку», предоставив при этом целый талмуд рекомендаций по улучшению. Такой результат компанию САТ очень вдохновил, поскольку к независимой оценке были представлены собственные разработки, потребовавшие вложения значительных инвестиций.

Процессы управления в данном проекте оценивались на соответствие международному стандарту CobiTt, который предполагает построение IТ-инфраструктуры и системы управления на основе бизнес-целей и векторов развития компании. CobiT – фактически единственный международный стандарт, позволяющий выстроить стройную систему взаимосвязи между бизнесом и информационными технологиями.

Обычно у украинских компаний, проводящих IT-аудит, есть собственная методология, но если проект требует большого количества ресурсов и знаний, которыми обладают международные компании, то их привлекают в качестве партнеров. Например, «БМС Консалтинг» в разное время  работала с Hewlett-Packard, Microsoft, Symantec. Иногда и сами клиенты требуют от аудитора взаимодействия с интересующими их партнерами.

Быть партнерами Андрей Литвиненко, консультант отдела проектных продаж SiBIS: – Главная задача специалиста по IT-аудиту – собрать всю необходимую информацию, систематизировать ее, описать те процессы, которые не были документированы ранее, и представить эту информацию в наиболее удобном виде. Чтобы аудит был действительно эффективным и оправданным, заказчик должен, во-первых, четко уяснить необходимость и причины проведения IT-аудита, понимать, что недостаточно просто поменять одно оборудование на другое, более современное, а важно соотнести это с теми бизнес-процессами, которые протекают в компании. Во-вторых, принимать непосредственное участие в процедуре аудита, содействовать специалистам и предоставлять максимум необходимой информации. И, что немаловажно, между заказчиком и специалистом по аудиту необходимо, чтобы сложились доверительные и партнерские отношения. Компания, проводящая аудит, должна не только выявить недостатки, а индивидуально решить задачу заказчика, подойти к ней как к уникальной ситуации и в результате предложить оптимальное решение.

Причины, по которым украинские компании прибегают к IT-аудиту Несогласованность деятельности бизнеса и развития IТ-систем. Высокий уровень зависимости бизнес-процессов от IТ-рисков. Отсутствие объективной информации о деятельности IТ-подразделения. Отсутствие механизмов эффективного управления IТ-системами.

Чем выше значимость – тем меньше интерес Александр Щонхор, начальник управления информационно-технического обеспечения компании «S&T Софт-Троник»: – С точки зрения демонстрации конкретных результатов, более привлекательны проекты технологического аудита. В данном случае от получения рекомендаций до результатов их воплощения проходит немного времени. Особенно интересны проекты с применением стресс-тестировния программно-аппаратных комплексов. Приходится искать «ниточки» архитектурных принципов построения систем, моделировать адекватные нагрузки, определять их пределы и на основе полученных результатов вырабатывать рекомендации. Еще одно интересное направление – консалтинг по обеспечению продуктивности функционирования программно-аппаратных комплексов. Тут мы вынуждены применять весь наработанный ранее опыт по максимуму, чтобы находить ошибки. Значимость аудита безопасности или IТ-реорганизации выше технологического. Но в данном случае топ-менеджмент может не получить ожидаемого удовлетворения от проекта, так как не всегда видит его реальные результаты. Обеспечение безопасности и реорганизация – длительные процессы, и аудиторам обычно не удается напрямую влиять на все дальнейшие ключевые фазы жизнедеятельности предприятия.

Начать с определения целей Алексей Янко, руководитель отдела IТ-консалтинга компании «БМС Консалтинг»: – Профессиональный взгляд извне позволит более точно оценить темпы развития и уровень зрелости компании. IТ-аудит дает возможность получить данные о текущем состоянии информационных технологий компании, а также выявить уровень автоматизации основных бизнес-процессов. Кроме того, IТ-аудит может быть проведен с целью выявления существующих рисков для разработки стратегии их снижения, с целью планирования и обоснования IТ-бюджета, создания или модернизации системы инвестирования, оценки совокупной стоимости владения информационной системой компании, получения исходных аналитических данных для перевода информационных систем на аутсорсинг, разработки методологии развития и управления IТ-службой согласно рекомендациям лучших мировых практик и стандартов. Клиент прежде всего должен определить те практические цели, для достижения которых аудит выполняется. А уже основываясь на них, обратить внимание на: ѕ квалификацию компании-исполнителя, ее предыдущий опыт в ведении подобных проектов; ѕ состав рабочей группы, которая будет работать над этим проектом. В ее состав должны войти не только специалисты компании-исполнителя, но и специалисты клиента как IТ-подразделений, так и бизнес-подразделений.