Как выбрать правильный аудит и не переплатить за изменения в ИТ
Аудит информационных технологий (ИТ-аудит) — это сбор, систематизация и более или менее глубокий анализ информации о технологиях в компании (инфраструктуре, процессах, системах), а на выходе — выдача экспертного заключения о «здоровье» ИТ и желательном направлении и характере развития информационной системы.
Сегодня в любой организации применяются информационные технологии, а во многих случаях зависимость от них критическая. В какой-то момент каждая такая организация (точнее, ее менеджмент) начинает испытывать острое желание понять, как эти технологии влияют на бизнес, в каком состоянии находится ИТ-инфраструктура, соответствует ли она принятым стандартам, лучшим мировым практикам и бизнес-целям. А иногда проще: «Почему все так плохо?» Почему ИТ снова задержали важный проект? Почему ничего не меняется к лучшему? Что можно сделать, чтобы улучшить ситуацию в целом или ее отдельные аспекты? На все эти вопросы отвечает ИТ-аудит. Потребность в нем возникает перед большими изменениями, которые могут быть вызваны очень разными причинами.
На практике по итогам аудита заказчик получает два отчета: подробный ИТ-отчет — «карту местности», которой пользуется ИТ-служба, и пояснительную записку для бизнеса с перечислением ИТ-рисков, влияющих на бизнес, и их аудиторской оценкой.
Когда возникает задача проведения ИТ-аудита? Можно выделить три наиболее типичных ситуации, в которых компании обращаются за помощью к внешнему поставщику ИТ-услуг.
Ситуация первая: организационные изменения
Компания планирует большие изменения в бизнесе — слияние или поглощение, открывает новые направления деятельности, выводит на рынок новую услугу или продукт. Любое изменение бизнеса, влияющее на ИТ, требует предварительного ИТ-аудита.
Предположим, торговая сеть приобретает своего конкурента. Очевидно, обе компании работают в достаточно сложных информационных системах. А значит, бизнесу придется решать не только организационные, но и технические задачи. Для того чтобы объединить две ИТ-инфраструктуры и управлять ими как единым целым, компании важно знать, что это за системы и как они будут взаимодействовать.
Ситуация вторая: технические изменения
ИТ-аудит необходим, если в компании планируются технические изменения: переход на новую версию ключевых ИТ-продуктов, смена СУБД, тиражирование внедренного в центральном офисе решения на все филиалы и другие. Правильно спланированное и рассчитанное внедрение с опорой на результаты аудита позволит сэкономить 20–25% бюджета по сравнению с внедрением «вслепую». И на столько же сократить сроки проекта. Драйверы экономии — более точная оценка ресурсов (ИТ-специалисты, оборудование, ПО), нужных для выполнения проекта, а также минимизация числа ошибок в ходе работ, исправление которых съедает время, силы и деньги.
Ситуация третья: точка кипения
Часто средняя или крупная компания обращается за аудитом после серии ИТ-инцидентов, которые привели к простою бизнеса, финансовым или репутационным потерям. В такие моменты «кипятящийся» собственник или руководитель говорит: «Я не понимаю, что происходит в ИТ, и меня это не устраивает. Я хочу, наконец, узнать, почему у меня произошла серия сбоев, можно ли было ее предотвратить и что мы можем сделать, чтобы перестать терять деньги».
Все эти ситуации очень разные. Они требуют совершенно разных ИТ-аудитов. И здесь для ИТ-аутсорсинговой компании главное — не ошибиться самой и помочь заказчику сделать правильный выбор.
При организационных изменениях: аудит ИТ-среды
Вернемся к нашему примеру. Очевидно, что вопрос управления объединенной торговой сетью, «куски» которой прежде работали по своим стандартам или вовсе без них, адресован бизнесу, финансистам и аналитикам. Но и у ИТ в этом случае должно быть четкое понимание, с чем компания имеет дело и как с этим дальше работать ее ИТ-службе. Поэтому ИТ-аутсорсер должен изучить состояние ИТ в приобретаемой компании и выдать заказчику всю информацию по трем направлениям: ИТ-инфраструктура, зрелость ИТ-систем, ключевые ИТ-сервисы.
ИТ-инфраструктура: в каком она состоянии? Есть ли актуальная документация? Как часто проводятся аудиты?
Зрелость ИТ-систем: внедрены ли процессы управления ИТ-инцидентами, ИТ-проблемами, выездами специалистов на места, партнерами? В каком состоянии эти процессы, как они исполняются и контролируются? Есть ли сложившиеся практики? Что остается у ритейлера, а что отдается на аутсорсинг, и правильно ли разделены зоны ответственности между ИТ-службой торговой сети и внешним поставщиком ИТ-услуг? Зрелость ИТ исключительно важна, так как именно она определяет размер «пропасти» между ИТ-инфраструктурами компаний. И подсказывает, как долго и дорого придется ее преодолевать.
Ключевые ИТ-сервисы: где ведется бизнес? Какие учетные системы и бизнес-критичные сервисы используются в обеих сетях? Какие информационные системы работают в новой компании, какой у них функционал?
Аудит среды детально описывает каждую ИТ-систему и способы их гладкой интеграции, тогда как в общем ИТ-аудите большого внимания отдельным информационным системам не уделяется.
При технических изменениях: аудит достаточности ресурсов, серия микроаудитов
Технические изменения в крупной компании не происходят сами по себе. Первоначально они продиктованы бизнесом, но неизбежно ведут к внедрению новых технологий. Например, может оказаться, что для снижения рисков или, скажем, ускоренной реализации определенных бизнес-проектов требуется новая версия операционной системы, смена СУБД в рамках импортозамещения или тиражирование автоматизированной системы коммерческого, бухгалтерского или налогового учета из центрального офиса на 30–100 филиалов. Поэтому ИТ-аутсорсинговая компания должна быть способна ответить на вопрос, который бизнес задает своему ИТ-директору, а ИТ-директор — ей: насколько моя ИТ-инфраструктура готова к этому техническому изменению?
Для подготовки к внедрению новых технологий у заказчиков мы проводим большой ИТ-аудит достаточности ресурсов и серию микроаудитов. И это наиболее выгодный для заказчика путь.
Аудит достаточности ресурсов
Знакомый почти всем компаниям комплексный (или общий) ИТ-аудит — необходимое, но не достаточное решение в данном случае. Он не отвечает на вопрос о готовности инфраструктуры к конкретному изменению, хотя дает общий срез ситуации в ИТ и указывает на фокусные области. В этом случае нужен аудит, направленный на анализ достаточности ресурсов. Он ответит на основные вопросы: хватит ли, скажем, текущих мощностей для тиражирования «тяжелой» ERP на 1С на все филиалы, а если нет, то сколько их понадобится дополнительно, когда и по какой цене.
Что еще может исследовать аудит «под задачу»? Решение частной задачи, например, оценки каналов связи в центральном офисе и в филиалах, общей корпоративной сети передачи данных, мощности серверов, версии операционных систем и СУБД, объемов оперативной памяти, готовности программного обеспечения к миграции, правильности настроек системы резервного копирования критически важной информации и других.
Микроаудиты
После проведения комплексного аудита и аудита достаточности ресурсов компания начинает внедрять новые технологии, тиражировать их на все филиалы. Однако этот процесс часто состоит из нескольких сложных этапов. Сначала идет «пилот», допустим, по внедрению новой ERP в нескольких филиалах. Затем его результат тиражируется на целый регион или даже макрорегион. К концу тиражирования на всю компанию информация деактуализируется настолько, что опираться на нее уже невозможно!
Поэтому при переходе от «пилота» к внедрению в каждом регионе/макрорегионе компании надо оперативно обновить информацию. То есть собрать все изменения с момента последнего ИТ-аудита и понять, как изменилось место на дисках, средняя загрузка процессора, нагрузка на дисковую подсистему, загруженность каналов связи. Хватит ли всего этого на следующем этапе? Этапный микроаудит точно отвечает на эти вопросы, показывая, как изменилась потребность в ресурсах с момента последнего анализа. Обычно микроаудит занимает всего неделю, стоит недорого и надежно страхует крупного заказчика от болезненного и дорогостоящего провала при тиражировании сложной системы.
Если же ИТ-аутсорсер хорошо умеет использовать в работе средства автоматизации, то он способен быстро собрать большой объем информации в автоматическом режиме, без выезда на место. Мы, к примеру, поступаем так, когда заказчикам нужны сверхбыстрые микроаудиты. Наш экспертный сервис «Аргус-аудит» на базе платформы СЦМК «Аргус» собирает всю требующуюся информацию всего за 2–3 дня. Соответственно, «роботизация» делает микроаудит еще быстрее и дешевле для заказчиков.
В точке кипения: комплексный ИТ-аудит
Точки кипения чаще всего возникают в СМБ или в компаниях на нижней границе крупного бизнеса. И здесь заказчику необходимо выяснить, какие риски есть в текущей ситуации, что было сделано для обеспечения непрерывности бизнеса с точки зрения инфраструктуры, информационных систем, как обстоят дела с защитой информации и антивирусной безопасностью. Это общие вопросы, поэтому для таких задач компаниям лучше выбрать комплексный ИТ-аудит.
Это максимально широкий срез состояния ИТ-инфраструктуры без глубокого погружения. Он помогает разобраться с тем, какое оборудование и какой конфигурации установлено в компании, есть ли у него гарантийная поддержка от вендора и в каком оно вообще состоянии. Какая операционная система (ОС) установлена, современна ли она, обновляется ли. Какое антивирусное ПО стоит и как именно обеспечивается защита коммерческой информации. Делаются ли резервные копии, с какой частотой, кто контролирует этот процесс и как быстро можно восстановить систему после сбоя. Какие права доступа к внутренним ресурсам компании установлены, блокируются ли в системе уволенные сотрудники. Какие учетные системы работают, с какими системами они интегрированы хорошо, с какими плохо, почему и т.д.
Компания, находящаяся в точке кипения, как правило, не знает ответа на эти и многие другие вопросы. Возможно, она и задавала их своей ИТ-службе, но ответа не получила.
Цель комплексного аудита — дать бизнесу и ИТ отчет о том, что сейчас происходит с каждой компонентой ИТ-инфраструктуры. Руководство компании должно понять, какие риски имеются в компании, и правильно поставить задачи по их устранению с позиции бизнеса. Допустим, в организации резервные копии критичных бизнес-данных не сохраняются более двух недель. Не вникая в технические детали, бизнес ставит задачу ИТ-службе — хранить копии за целый год.
Штатные ИТ-специалисты должны успешно провести эти изменения. Для этого они используют подробную «карту местности» от ИТ-аутсорсинговой компании — детальный отчет по итогам комплексного ИТ-аудита.
Особо отметим, что едва ли не самые частые запросы со стороны бизнеса — как мне перестать терять деньги и сохранить коммерческую тайну. По желанию заказчика в комплексном аудите можно выделить фокусные зоны. Как правило, их две — непрерывность бизнеса и защита информации. Поэтому внутри комплексных аудитов зрелый ИТ-аутсорсер может и должен дать более глубокий анализ по этим направлениям по сравнению, например, с управлением мощностями или планированием закупок.
Итого
Потребность в ИТ-аудите — первый и важный шаг на пути организации к любым изменениям, будь то внедрение новых технологий или изменения в организационной структуре крупной или средней компании. ИТ-аудит — это диагностика состояния высоких технологий в бизнесе, которая дает и штатным ИТ-специалистам, и самому бизнесу полную информацию об их «здоровье». Опираясь на нее, штатная ИТ-служба или тот же ИТ-аутсорсер, который проводил ИТ-аудит, может уверенно планировать, просчитывать, а потом и безболезненно осуществлять все изменения в ИТ. Если же бизнес не проводит аудиты, ИТ-служба работает без «карты местности», вслепую. И такая жизнь оказывается для компании в разы рискованнее и дороже — как в тактической, так и в стратегической перспективах.
Источник:
Автор: Дмитрий БЕССОЛЬЦЕВ, директор департамента ИТ-аутсорсинга ALP Group
