Что такое IT аудит и какие плюсы он принесет бизнесу

Всеобщая цифровизация привела к тому, что любая компания так или иначе нуждается в ИТ-инфраструктуре и зависит от ее исправной работы. Если сервер регулярно «падает», данные пропадают, а сайт «повисает», о довольных клиентах можно только мечтать. Но почему у одних компаний постоянно возникают эти проблемы, а у других такое же оборудование работает как часы? Ответ прост: исправную работу обеспечивает вовремя проведенный ИТ-аудит.

Это независимая проверка всей IT-инфраструктуры компании, чтобы выявить ее слабые стороны, не самые удачные решения, ошибки в подборе оборудования и настройках. Такое исследование может быть полным или целевым, т.е. направленным на конкретный сегмент — например, на работу клиентских сервисов или на правильный подбор компонентов серверного оборудования.

Есть важный нюанс: IT-аудит будет по-настоящему эффективным, только если он проведен сторонними экспертами, а не IT-отделом самой компании. И дело не только в том, что штатные сотрудники могут умолчать о каких-то проблемах. Для выявления слабых мест нужен свежий взгляд со стороны, который обеспечит только независимая экспертиза. Объективная и непредвзятая оценка ситуации — весомая причина, чтобы передать эту часть ИТ-сервиса на аутсорсинг.

В каких случаях нужен IT-аудит?

Как понять, что требуется независимая проверка IT-инфраструктуры:

• Предстоит покупка или модернизация серверного оборудования, замена его компонентов. В этом случае эксперты смогут оценить уже существующие мощности, подобрать оптимальные варианты замены, проверить новое оборудование на соответствие ключевым задачам. Обратиться к специалистам стоит и в том случае, если компания собирается перейти с использования облака на собственный сервер или наоборот.
• Есть регулярные сбои в работе сервера или ПО, часто виснут офисные программы, пропадает интернет, теряются данные. Можно бесконечно «латать дыры», пытаясь решить локальные проблемы, но комплексный IT-аудит поможет обнаружить их источники и наладить работу системы в целом.
• Хотелось бы оптимизировать затраты на обновление или обслуживание IT-парка. Грамотный аудит поможет выявить ситуации, где имеющиеся мощности используются неэффективно или не используются вовсе, а также подобрать другие, более выгодные решения.
• Произошли масштабные изменения в структуре компании, появились удаленные подразделения. Аудит поможет переформировать IT-структуру под новые задачи — принять решение о закупке оборудования, рассчитать вычислительные мощности, составить дорожную карту работ.
• Нужно привести IT-инфраструктуру в соответствие международным стандартам безопасности — например, это может быть подготовка к сертификации по ISO/IEC 27001, которая необходима для выхода на международный рынок. Намного проще провести аудит и получить взвешенную оценку, чем самостоятельно проверять все системы.

Кроме этого, есть много других случаев, когда необходимы услуги ИТ аутсорсинга. При любых сомнениях в эффективности IT-структуры стоит проконсультироваться со специалистами, чтобы понять, нужен ли аудит, и какой конкретно сегмент нуждается в исследовании.

Комплексный и целевой аудит

Как уже говорилось, проверка IT-инфраструктуры может быть комплексной — «от и до», или целевой — касательно одного направления или сегмента. Также возможна экспресс-проверка, которая даст оценку инфраструктуры или ее части в самом общем виде. Рассмотрим, что включает в себя каждый вариант.

Экспресс-аудит

Быстрый анализ IT-структуры компании позволяет выполнить ее общее описание, оценить соответствие тем или иным стандартам, сделать выводы о текущем состоянии. По результатам экспресс-аудита можно принять решение о необходимости более подробного исследования одного из направлений. Этот метод обычно используется, если нет каких-либо проблем, но планируется внедрение новых ERP или CRM-систем, сетевого оборудования и т.д. Иногда IT-компании проводят экспресс-аудит бесплатно в рамках будущего проекта — например, перед заключением договоров на обслуживание.

Аудит направления

Это вид целевого аудита, который затрагивает одно направление компании или конкретный бизнес-процесс и все задействованные в нем структуры. Можно провести IT-аудит бухгалтерского учета, систем безопасности, серверного оборудования, видеонаблюдения, интернет-маркетинга и т.д. В рамках такого исследования идет всесторонний анализ выбранного направления, а по итогам выдаются рекомендации с указанием слабых мест, факторов риска, методов повышения эффективности.

Аудит по критерию

Еще один вариант целевого аудита, но в данном случае анализируется вся IT-инфраструктура по одному выбранному критерию. Таким критерием может быть безопасность, скорость обработки данных, эргономичность, доступность системы, эффективность расходования бюджета и т.д. Все компоненты IT-системы оцениваются с этой точки зрения и разрабатываются меры по улучшению показателей. К примеру, если в качестве критерия выбрана безопасность, будут исследованы все направления компании (бухгалтерия, маркетинг, системы документооборота и т.д.) на предмет уязвимости, защиты от вирусов и взлома, разграничения прав доступа, резервного копирования данных.

Комплексный аудит

Масштабное исследование, которое затрагивает все направления и включает черты предыдущих видов. В ходе такого аудита анализируется эффективность оборудования и программного обеспечения, укомплектованность рабочих станций, информационная безопасность, доступность (аптайм), интеграция web-приложений с внутренними офисными программами, квалификация IT-отдела и многое другое.

Комплексный IT-аудит нужен в случае глобальной реорганизации компании (например, слияния с другой структурой или поглощения), а также для оценки недавно созданных IT-систем, в ходе подготовки к сертификации ISO/IEC 27001 и в других подобных ситуациях. В отчете компания-заказчик получает техническое описание своей IT-структуры, оценку ее соответствия потребностям отрасли и международным нормам, анализ слабых мест, точные рекомендации по развитию.

Есть несколько стандартов аудита: ITAF, COBIT, IPPF, ISAE No. 3402, PCAOB, ISO27002 и др.

Исходя из специфики компании-заказчика и целей исследования нужный вариант подбирается индивидуально. Стандартизированные методы оценки позволяют добиться полной объективности, а значит — дать взвешенные рекомендации, которые позволят оптимизировать работу информационных систем и рационально тратить средства на их обслуживание. Другими словами, IT-аудит — это вклад в эффективность бизнеса, данные расходы сполна окупятся в ближайшей перспективе.