Вернуться

Главное об ИТ-аудите в трех ответах на актуальные вопросы

Повышение производительности труда, отдача от инвестиций и снижение издержек — вот что всегда волнует бизнес. При этом информационные технологии являются одной из самых важных и одновременно затратных его составляющих, а ИТ-аутсорсинг рассматривается как возможность повышения эффективности и собственно ИТ, и бизнеса в целом. Однако полная стоимость услуг, вопросы информационной безопасности, финансовые гарантии аутсорсера и другие аспекты требуют тщательного анализа рисков при переходе на аутсорсинг. Кто поможет решить эту задачу?

Согласно отчету IDC, одним из трендов развития сферы ИТ-услуг в России в ближайшем будущем станет консалтинг. Уже сегодня для российской ИТ-сферы характерен рост спроса на краткосрочные консалтинговые услуги (проекты), связанные с эффективностью и оптимизацией деятельности компании. К таким услугам относится и ИТ-аудит. Что это такое и как он работает на практике?

Вопрос 1: что такое ИТ-аудит? В чем его суть?

Из множества определений аудита остановимся на следующем: «Аудит — это процедура независимой оценки деятельности компании, системы, процесса, проекта или продукта». ИТ-аудит — один из видов аудита, фокусирующийся на домене ИТ. Учитывая общепринятые практики (в частности, CobIT), можно сказать, что ИТ-аудит — это деятельность, осуществляемая в интересах заказчика аудита, в рамках которой выполняются:

Вопрос 2: ИТ в компании — это довольно широкое понятие. Где конкретно применяется ИТ-аудит?

Безусловно, при планировании аудита необходимо сфокусироваться и определить его объекты. Наиболее часто ими являются:

  • ИТ-инфраструктура,
  • рабочие места,
  • информационная безопасность инфраструктуры.

Когда зависимость бизнеса от ИТ возрастает, руководство компаний предъявляет все больше требований к эффективности управления ИТ. Одним из показателей является зрелость системы управления. При проведении ее аудита можно выделить несколько предметных областей в зависимости от решаемых задач. Например:

  • процессы управления ИТ-услугами,
  • процессы предоставления ИТ-услуг,
  • организационная структура ИТ,
  • готовность компании к внедрению ITSM-системы,
  • готовность компании к ИТ-аутсорсингу.

Практический кейс

В качестве примера посмотрим результаты такого аудита, проведенного ICL Services в одном из крупных промышленных холдингов с множеством региональных подразделений.

Одной из составляющих этого аудита стало исследование организационной структуры ИТ и основных процессов предоставления ИТ-услуг. Первым делом, путем опроса была собрана первичная информация об аудируемой компании, более подробные данные собирались в части системы управления ИТ-услугами. Потом совместно с заказчиком были сформулированы основные потребности бизнеса, являющиеся предпосылками к аудиту, процессы, входящие в область аудита, критерии аудита (внутренние ожидания, практики CobIT, ITIL), рассматриваемые подразделения компании, глубина исследования (данные за последние 12 месяцев), а также методы аудита. На основе полученных входных данных был сформирован план.

Сбор данных осуществлялся как удаленно, так и непосредственно на местах. Для определения удовлетворенности ИТ-услугами был проведен опрос конечных пользователей лично и заочно, в том числе на условиях анонимности. Изучались регламентирующие документы, собирались и анализировались факты исполнения их требований. Помимо прочего, был проведен анализ данных из ITSM-системы. Первоначально предполагалось использовать метод и средства process mining, но вследствие того, что ITSM-система не использовалась в полной мере и необходимые данные отсутствовали, применение этого метода стало невозможным.

Финально в результате аудита была сделана оценка системы управления ИТ-услугами, выявлены проблемы и предложены рекомендации (некоторые из них представлены в таблицах ниже). Каждая из проблем была приоритизирована исходя из опыта развития системы управления ИТ-услугами и текущих возможностей аудируемой компании.

Таблица 1

Процессы управления ИТ-услугами

Таблица 2

Процессы предоставления ИТ-услуг

Таблица 3

Организационная структура ИТ

Внешний аудит позволяет по-новому взглянуть на процессы системы управления ИТ-услугами. Независимые специалисты дадут объективную экспертную оценку состояния и эффективности применяемой в компании системы управления ИТ, проведут анализ ключевых рисков, проблем и их причин. Кроме того, результатом аудита является набор экспертных рекомендаций по оптимизации системы управления ИТ.

Нередко приходится наблюдать следующую картину. ИТ-департамент на волне моды покупает дорогую игрушку — ITSM-систему, которых сегодня на рынке множество. Но в итоге или ее не использует, или использует частично, игнорируя заложенную в такие системы методологию (ITSM). Происходит это потому, что процессы не выстроены и внедрение ITSM-системы преждевременно. Аудит поможет выявить и приоритизировать цели и задачи автоматизации процессов предоставления ИТ-услуг и выработать стратегию дальнейшего развития ITSM-системы компании. Заказчик получает заключение о целесообразности и предложение поэтапного внедрения ITSM-системы — рекомендованный план внедрения согласно результатам анализа с целью максимизации эффекта от автоматизации процессов. Также в результате аудита компании будут даны рекомендации по внедрению системы измерения эффективности процессов предоставления ИТ-услуг.

Кроме того, аудит может охватывать вопросы операционной модели ИТ. ИТ-аутсорсинг для многих компаний — это большая неопределенность. Аудит готовности к ИТ-аутсорсингу включает в себя детальный анализ текущей стратегии потребления внешних ИТ-услуг, анализ нереализованных возможностей использования ИТ-аутсорсинга, оценку сопутствующих рисков готовности компании к аутсорсингу и в целом. Заказчик получает заключение о том, является ли ИТ-аутсорсинг приемлемым механизмом повышения эффективности системы управления ИТ в текущей ситуации или в будущем. Аудит дает возможность получить подробную оценку применимости различных моделей ИТ-аутсорсинга и практические рекомендации по повышению готовности компании к внедрению модели ИТ-аутсорсинга.

Вопрос 3: когда компании нужен ИТ-аудит и есть ли жизнь после него?

В ситуациях, когда владельцы и ТОП-менеджмент компании часто задаются вопросами:

  • Почему так много затрат идет на ИТ?
  • А эффективно ли мы тратим деньги на ИТ?
  • Может ли ИТ приносить больше пользы?
  • Почему ИТ плохо работает?

то есть в тех случаях, когда ставится задача по снижению затрат и повышению качества ИТ услуг, ИТ-аудит поможет дать ответ на эти вопросы и создать предпосылки для решения перечисленных задач.

Как показывает практика, потребность в ИТ-аудите возникает в первую очередь при смене ответственного за ИТ, например ИТ-директора или руководителя ИТ-департамента. У нового ИТ-руководителя возникает потребность пролить свет на вверенное ему хозяйство. Также часто бывает, что при слиянии компаний у ИТ-департамента возникает множество вопросов к присоединяемой системе ИТ.

Потребность аудита также появляется, когда вы планируете крупный ИТ-проект (внедрение ITSM-системы или переход к аутсорсингу) и вам нужно помочь спланировать и обосновать затраты на него, а также дать независимую оценку по результатам такого проекта.

Возможна ситуация, когда необходимо спасти репутацию ИТ-департамента, то есть дать объективную оценку ИТ-системы компании в противовес, возможно, необоснованным жалобам пользователей, выявить истинные причины недовольства ИТ-услугами.

Верным решением после успешного ИТ-аудита будет внедрение рекомендаций по его итогам в соответствии с установленными приоритетами. Можно попробовать сделать это своими силами. Но если у вас нет соответствующих ресурсов, лучше привлечь внешнюю компанию для трансформации системы управления ИТ.