ТЕНДЕНЦИИ | IТ-аудит 20 августа 2007 г.

Проверка на прочность

Автор: Ирина Лепкина, журнал "Комп&ньон" (№29, 2007)

Повышенный интерес к IТ-аудиту со стороны украинского бизнеса эксперты прогнозируют уже в ближайшем будущем.

Проверка на прочность Пока IТ-аудит относится к услугам, на которые украинский бизнес в своем большинстве не готов тратить значительные средства. Еще многие компании проводят подобные мероприятия, полагаясь исключительно на внутренние ресурсы и не прибегая к аутсорсингу. Тем не менее эксперты прогнозируют рост заинтересованности в IТ-аудите уже в ближайшие годы. Пока первопроходцами в этом направлении становятся предприятия — лидеры в своих отраслях, активно изучающие зарубежный опыт. Ведь в индустриальных странах эта услуга — достаточно распространенная практика.

Заложники информационных технологий

Топ-менеджеры компаний, которые уже стали потребителями услуг IT-аудита, едины во мнении: чтобы эффективно управлять рисками, независимое экспертное заключение о состоянии IТ-инфраструктуры время от времени все же необходимо. Управленцам и владельцам бизнеса просто не под силу самостоятельно вникнуть в подробности функционирования внедренных на предприятии информационных систем и провести анализ возможности их усовершенствования и оправданности инвестиций. Оценка самого IТ-подразделения в данном случае может оказаться либо слишком субъективной, либо поверхностной в силу высокой занятости персонала оперативной деятельностью. Поэтому услуга внешнего поставщика — оптимальное решение. Такого рода услуги в Украине поставляют компании «Инком», «S&T Софт-Троник», «БМС Консалтинг», «Супремум» и некоторые другие.

Быть партнерами

Андрей Литвиненко, консультант отдела проектных продаж SiBIS:
— Главная задача специалиста по IT-аудиту — собрать всю необходимую информацию, систематизировать ее, описать те процессы, которые не были документированы ранее, и представить эту информацию в наиболее удобном виде. Чтобы аудит был действительно эффективным и оправданным, заказчик должен, во-первых, четко уяснить необходимость и причины проведения IT-аудита, понимать, что недостаточно просто поменять одно оборудование на другое, более современное, а важно соотнести это с теми бизнес-процессами, которые протекают в компании. Во-вторых, принимать непосредственное участие в процедуре аудита, содействовать специалистам и предоставлять максимум необходимой информации. И, что немаловажно, между заказчиком и специалистом по аудиту необходимо, чтобы сложились доверительные и партнерские отношения. Компания, проводящая аудит, должна не только выявить недостатки, а индивидуально решить задачу заказчика, подойти к ней как к уникальной ситуации и в результате предложить оптимальное решение.

На сегодняшний день распространенной причиной для проверки IТ-инфраструктуры становятся реструктуризация бизнеса, слияния компаний, поглощения и т. д. Иными словами, когда две компании с различной IТ-инфраструктурой начинают работать совместно, унификация информационных систем неизбежна. А этим процессам в любом случае должен предшествовать их аудит.

Заинтересованы в независимой оценке IT-систем и быстрорастущие бизнесы, компании — лидеры на своих рынках. Зачастую они просто нуждаются в проверке систем безопасности и IТ-инфраструктуры на соответствие как текущим бизнес-процессам компании, так и международным стандартам. Аудит здесь позволяет грамотно оценивать возможные риски, прогнозировать сбои, оптимизировать работу IТ-подразделения.

«Примерно в 80% IТ-аудитов, проводимых нашей компанией, интерес заказчика фокусируется на технических и технологических вопросах. В основном клиентов беспокоит уровень продуктивности автоматизированных процессов на предприятии, — рассказывает Александр Щонхор, начальник управления информационно-технического обеспечения компании «S&T Софт-Троник». — И примерно в 20% проектов на первое место выходит чисто управленческий фактор, когда у топ-менеджмента, например, возникает желание и потребность определить уровень зрелости IТ-систем, сформировать стратегию развития информационных технологий в компании, стандартизировать IТ-деятельность».

Однако для большинства украинских предприятий пока более приемлемой остается практика оценки необходимых инвестиций в информационные технологии перед принятием решения по внедрению на предприятии того или иного программного продукта. Такой экспресс-аудит зачастую не является отдельным проектом.

Классификация

Самая распространенная классификация IТ-аудита — по специализации (технологический, информационной безопасности и реорганизация IТ-структуры).

Причины, по которым украинские компании прибегают к IT-аудиту

  • Несогласованность деятельности бизнеса и развития IТ-систем.
  • Высокий уровень зависимости бизнес-процессов от IТ-рисков.
  • Отсутствие объективной информации о деятельности IТ-подразделения.
  • Отсутствие механизмов эффективного управления IТ-системами.

Технологический аудит необходим в тех случаях, когда предприятие нуждается в создании или модернизации инфраструктуры, происходит корпоративная реорганизация, возникает необходимость оценить качество того или иного IТ-проекта либо повысить в целом эффективность работы информационных технологий. Как правило, в данном случае оцениваются локальные и глобальные вычислительные сети, системы передачи и консолидации данных, платформы серверов, способы управления базами данных, информационные сервисы (корпоративная почта, единый каталог и т. д.). Аудитор проводит экспертизу и по ее результатам дает рекомендации, которые содержат варианты оптимальной IТ-концепции, анализ их преимуществ и недостатков, функциональные схемы основных технических решений.

Аудит информационной безопасности необходим, когда заказчику нужно повысить уровень защиты информации, оценить затраты на модернизацию систем безопасности или минимизировать бизнес-риски, связанные с использованием IТ-средств.

Реорганизация IТ-структуры — самый масштабный вид аудита, включающий экспертную оценку соответствия IТ-подразделения текущим бизнес-задачам и создание его оптимальной штатно-организационной структуры. В данном случае оценивается уровень зрелости IТ-процессов на основе международных методологий (CobiT, ITIL, CMM и др.).

Кроме вышеперечисленных видов, IT-аудит можно также классифицировать и по глубине проработки (высокоуровневый, подробный), и по составу работ (с проведением инструментального обследования или без него). Но в нынешних условиях далеко не массового потребления данной услуги аудиторы редко применяют стандартизированные методы. Подход к требованиям каждого клиента индивидуален.

Чем выше значимость — тем меньше интерес

Александр Щонхор, начальник управления информационно-технического обеспечения компании «S&T Софт-Троник»:
— С точки зрения демонстрации конкретных результатов, более привлекательны проекты технологического аудита. В данном случае от получения рекомендаций до результатов их воплощения проходит немного времени. Особенно интересны проекты с применением стресс-тестировния программно-аппаратных комплексов. Приходится искать «ниточки» архитектурных принципов построения систем, моделировать адекватные нагрузки, определять их пределы и на основе полученных результатов вырабатывать рекомендации. Еще одно интересное направление — консалтинг по обеспечению продуктивности функционирования программно-аппаратных комплексов. Тут мы вынуждены применять весь наработанный ранее опыт по максимуму, чтобы находить ошибки.

Значимость аудита безопасности или IТ-реорганизации выше технологического. Но в данном случае топ-менеджмент может не получить ожидаемого удовлетворения от проекта, так как не всегда видит его реальные результаты. Обеспечение безопасности и реорганизация — длительные процессы, и аудиторам обычно не удается напрямую влиять на все дальнейшие ключевые фазы жизнедеятельности предприятия.

Специалисты утверждают, что каждый проект уникален по специфике бизнеса, существующим в нем проблемам. Поэтому состав работ, их наполнение и количество каждый раз оговариваются индивидуально независимо от рамок, установленных различными классификациями.

Украинский опыт

Компаний, предлагающих IT-аудит в рамках отдельного проекта, как и предприятий, готовых решиться на это, в Украине немного. Многие эксперты все еще убеждены в том, что для украинского бизнеса пока достаточно экспресс-аудита в рамках комплексных IТ-проектов. Но даже те, кто уже воспользовался независимой оценкой в виде IТ-аудита, зачастую избегают огласки результатов этих проектов. Причина — в неготовности делиться своими проблемами с общественностью. Тем более что на практике действительно бывает именно так: раз уж компания отдала оценку IТ-инфраструктуры на аутсорсинг, значит, проблемы в этом направлении действительно серьезные, и в редких случаях топ-менеджмент имеет возможность похвастаться заключениями IТ-партнера.

Светлана Мильгевская, генеральный директор транспортной компании САТ, рассказывает, что специалисты компании «Инком», которые проводили аудит на ее предприятии, оценили уровень IТ-инфраструктуры на твердую «четверку», предоставив при этом целый талмуд рекомендаций по улучшению. Такой результат компанию САТ очень вдохновил, поскольку к независимой оценке были представлены собственные разработки, потребовавшие вложения значительных инвестиций.

Процессы управления в данном проекте оценивались на соответствие международному стандарту CobiTt, который предполагает построение IТ-инфраструктуры и системы управления на основе бизнес-целей и векторов развития компании. CobiT — фактически единственный международный стандарт, позволяющий выстроить стройную систему взаимосвязи между бизнесом и информационными технологиями.

Обычно у украинских компаний, проводящих IT-аудит, есть собственная методология, но если проект требует большого количества ресурсов и знаний, которыми обладают международные компании, то их привлекают в качестве партнеров. Например, «БМС Консалтинг» в разное время работала с Hewlett-Packard, Microsoft, Symantec. Иногда и сами клиенты требуют от аудитора взаимодействия с интересующими их партнерами.

Начать с определения целей

Алексей Янко, руководитель отдела IТ-консалтинга компании «БМС Консалтинг»:
— Профессиональный взгляд извне позволит более точно оценить темпы развития и уровень зрелости компании. IТ-аудит дает возможность получить данные о текущем состоянии информационных технологий компании, а также выявить уровень автоматизации основных бизнес-процессов. Кроме того, IТ-аудит может быть проведен с целью выявления существующих рисков для разработки стратегии их снижения, с целью планирования и обоснования IТ-бюджета, создания или модернизации системы инвестирования, оценки совокупной стоимости владения информационной системой компании, получения исходных аналитических данных для перевода информационных систем на аутсорсинг, разработки методологии развития и управления IТ-службой согласно рекомендациям лучших мировых практик и стандартов. Клиент прежде всего должен определить те практические цели, для достижения которых аудит выполняется. А уже основываясь на них, обратить внимание на:

  • квалификацию компании-исполнителя, ее предыдущий опыт в ведении подобных проектов;
  • состав рабочей группы, которая будет работать над этим проектом. В ее состав должны войти не только специалисты компании-исполнителя, но и специалисты клиента как IТ-подразделений, так и бизнес-подразделений.





ЧИТАЙТЕ ТАКЖЕ:
КНИГИ ДЛЯ РАЗВИТИЯ:
Гид HBR. Как стать продуктивнееГид HBR. Как стать продуктивнее
Высшая цель. Секрет, который поддерживает вас каждую минутуВысшая цель. Секрет, который поддерживает вас каждую минуту
Год личной эффективности. Сборник 2. Внутриличностный интеллект. Знаю, понимаю, управляю собойГод личной эффективности. Сборник 2. Внутриличностный интеллект. Знаю, понимаю, управляю собой

МЕТОДОЛОГИЯ: Стратегия, Маркетинг, Изменения, Финансы, Персонал, Качество, ИТ
АКТУАЛЬНО: Новости, События, Тренды, Инсайты, Интервью, Бизнес-обучение, Рецензии, Консалтинг
СЕРВИСЫ: Бизнес-книги, Работа, Форумы, Глоссарий, Цитаты, Рейтинги, Статьи партнеров
ПРОЕКТЫ: Блог, Видео, Визия, Визионеры, Бизнес-проза, Бизнес-юмор

Страница Management.com.ua в Facebook    Менеджмент.Книги: телеграм-канал для управленцев    Management Digest в LinkedIn    Отслеживать нас в Twitter    Подписаться на RSS    Почтовая рассылка


Copyright © 2001-2024, Management.com.ua

Подписка на Менеджмент.Дайджест

Получайте самые новые материалы на свой e-mail (1 раз в неделю)



Спасибо, я уже подписан(-а)