ТЕНДЕНЦИИ | IТ-аудит 20 августа 2007 г.

Проверка на прочность

Автор: Ирина Лепкина, журнал "Комп&ньон" (№29, 2007)

Повышенный интерес к IТ-аудиту со стороны украинского бизнеса эксперты прогнозируют уже в ближайшем будущем.

Проверка на прочность Пока IТ-аудит относится к услугам, на которые украинский бизнес в своем большинстве не готов тратить значительные средства. Еще многие компании проводят подобные мероприятия, полагаясь исключительно на внутренние ресурсы и не прибегая к аутсорсингу. Тем не менее эксперты прогнозируют рост заинтересованности в IТ-аудите уже в ближайшие годы. Пока первопроходцами в этом направлении становятся предприятия — лидеры в своих отраслях, активно изучающие зарубежный опыт. Ведь в индустриальных странах эта услуга — достаточно распространенная практика.

Заложники информационных технологий

Топ-менеджеры компаний, которые уже стали потребителями услуг IT-аудита, едины во мнении: чтобы эффективно управлять рисками, независимое экспертное заключение о состоянии IТ-инфраструктуры время от времени все же необходимо. Управленцам и владельцам бизнеса просто не под силу самостоятельно вникнуть в подробности функционирования внедренных на предприятии информационных систем и провести анализ возможности их усовершенствования и оправданности инвестиций. Оценка самого IТ-подразделения в данном случае может оказаться либо слишком субъективной, либо поверхностной в силу высокой занятости персонала оперативной деятельностью. Поэтому услуга внешнего поставщика — оптимальное решение. Такого рода услуги в Украине поставляют компании «Инком», «S&T Софт-Троник», «БМС Консалтинг», «Супремум» и некоторые другие.

Быть партнерами

Андрей Литвиненко, консультант отдела проектных продаж SiBIS:
— Главная задача специалиста по IT-аудиту — собрать всю необходимую информацию, систематизировать ее, описать те процессы, которые не были документированы ранее, и представить эту информацию в наиболее удобном виде. Чтобы аудит был действительно эффективным и оправданным, заказчик должен, во-первых, четко уяснить необходимость и причины проведения IT-аудита, понимать, что недостаточно просто поменять одно оборудование на другое, более современное, а важно соотнести это с теми бизнес-процессами, которые протекают в компании. Во-вторых, принимать непосредственное участие в процедуре аудита, содействовать специалистам и предоставлять максимум необходимой информации. И, что немаловажно, между заказчиком и специалистом по аудиту необходимо, чтобы сложились доверительные и партнерские отношения. Компания, проводящая аудит, должна не только выявить недостатки, а индивидуально решить задачу заказчика, подойти к ней как к уникальной ситуации и в результате предложить оптимальное решение.

На сегодняшний день распространенной причиной для проверки IТ-инфраструктуры становятся реструктуризация бизнеса, слияния компаний, поглощения и т. д. Иными словами, когда две компании с различной IТ-инфраструктурой начинают работать совместно, унификация информационных систем неизбежна. А этим процессам в любом случае должен предшествовать их аудит.

Заинтересованы в независимой оценке IT-систем и быстрорастущие бизнесы, компании — лидеры на своих рынках. Зачастую они просто нуждаются в проверке систем безопасности и IТ-инфраструктуры на соответствие как текущим бизнес-процессам компании, так и международным стандартам. Аудит здесь позволяет грамотно оценивать возможные риски, прогнозировать сбои, оптимизировать работу IТ-подразделения.

«Примерно в 80% IТ-аудитов, проводимых нашей компанией, интерес заказчика фокусируется на технических и технологических вопросах. В основном клиентов беспокоит уровень продуктивности автоматизированных процессов на предприятии, — рассказывает Александр Щонхор, начальник управления информационно-технического обеспечения компании «S&T Софт-Троник». — И примерно в 20% проектов на первое место выходит чисто управленческий фактор, когда у топ-менеджмента, например, возникает желание и потребность определить уровень зрелости IТ-систем, сформировать стратегию развития информационных технологий в компании, стандартизировать IТ-деятельность».

Однако для большинства украинских предприятий пока более приемлемой остается практика оценки необходимых инвестиций в информационные технологии перед принятием решения по внедрению на предприятии того или иного программного продукта. Такой экспресс-аудит зачастую не является отдельным проектом.

Классификация

Самая распространенная классификация IТ-аудита — по специализации (технологический, информационной безопасности и реорганизация IТ-структуры).

Причины, по которым украинские компании прибегают к IT-аудиту

  • Несогласованность деятельности бизнеса и развития IТ-систем.
  • Высокий уровень зависимости бизнес-процессов от IТ-рисков.
  • Отсутствие объективной информации о деятельности IТ-подразделения.
  • Отсутствие механизмов эффективного управления IТ-системами.

Технологический аудит необходим в тех случаях, когда предприятие нуждается в создании или модернизации инфраструктуры, происходит корпоративная реорганизация, возникает необходимость оценить качество того или иного IТ-проекта либо повысить в целом эффективность работы информационных технологий. Как правило, в данном случае оцениваются локальные и глобальные вычислительные сети, системы передачи и консолидации данных, платформы серверов, способы управления базами данных, информационные сервисы (корпоративная почта, единый каталог и т. д.). Аудитор проводит экспертизу и по ее результатам дает рекомендации, которые содержат варианты оптимальной IТ-концепции, анализ их преимуществ и недостатков, функциональные схемы основных технических решений.

Аудит информационной безопасности необходим, когда заказчику нужно повысить уровень защиты информации, оценить затраты на модернизацию систем безопасности или минимизировать бизнес-риски, связанные с использованием IТ-средств.

Реорганизация IТ-структуры — самый масштабный вид аудита, включающий экспертную оценку соответствия IТ-подразделения текущим бизнес-задачам и создание его оптимальной штатно-организационной структуры. В данном случае оценивается уровень зрелости IТ-процессов на основе международных методологий (CobiT, ITIL, CMM и др.).

Кроме вышеперечисленных видов, IT-аудит можно также классифицировать и по глубине проработки (высокоуровневый, подробный), и по составу работ (с проведением инструментального обследования или без него). Но в нынешних условиях далеко не массового потребления данной услуги аудиторы редко применяют стандартизированные методы. Подход к требованиям каждого клиента индивидуален.

Чем выше значимость — тем меньше интерес

Александр Щонхор, начальник управления информационно-технического обеспечения компании «S&T Софт-Троник»:
— С точки зрения демонстрации конкретных результатов, более привлекательны проекты технологического аудита. В данном случае от получения рекомендаций до результатов их воплощения проходит немного времени. Особенно интересны проекты с применением стресс-тестировния программно-аппаратных комплексов. Приходится искать «ниточки» архитектурных принципов построения систем, моделировать адекватные нагрузки, определять их пределы и на основе полученных результатов вырабатывать рекомендации. Еще одно интересное направление — консалтинг по обеспечению продуктивности функционирования программно-аппаратных комплексов. Тут мы вынуждены применять весь наработанный ранее опыт по максимуму, чтобы находить ошибки.

Значимость аудита безопасности или IТ-реорганизации выше технологического. Но в данном случае топ-менеджмент может не получить ожидаемого удовлетворения от проекта, так как не всегда видит его реальные результаты. Обеспечение безопасности и реорганизация — длительные процессы, и аудиторам обычно не удается напрямую влиять на все дальнейшие ключевые фазы жизнедеятельности предприятия.

Специалисты утверждают, что каждый проект уникален по специфике бизнеса, существующим в нем проблемам. Поэтому состав работ, их наполнение и количество каждый раз оговариваются индивидуально независимо от рамок, установленных различными классификациями.

Украинский опыт

Компаний, предлагающих IT-аудит в рамках отдельного проекта, как и предприятий, готовых решиться на это, в Украине немного. Многие эксперты все еще убеждены в том, что для украинского бизнеса пока достаточно экспресс-аудита в рамках комплексных IТ-проектов. Но даже те, кто уже воспользовался независимой оценкой в виде IТ-аудита, зачастую избегают огласки результатов этих проектов. Причина — в неготовности делиться своими проблемами с общественностью. Тем более что на практике действительно бывает именно так: раз уж компания отдала оценку IТ-инфраструктуры на аутсорсинг, значит, проблемы в этом направлении действительно серьезные, и в редких случаях топ-менеджмент имеет возможность похвастаться заключениями IТ-партнера.

Светлана Мильгевская, генеральный директор транспортной компании САТ, рассказывает, что специалисты компании «Инком», которые проводили аудит на ее предприятии, оценили уровень IТ-инфраструктуры на твердую «четверку», предоставив при этом целый талмуд рекомендаций по улучшению. Такой результат компанию САТ очень вдохновил, поскольку к независимой оценке были представлены собственные разработки, потребовавшие вложения значительных инвестиций.

Процессы управления в данном проекте оценивались на соответствие международному стандарту CobiTt, который предполагает построение IТ-инфраструктуры и системы управления на основе бизнес-целей и векторов развития компании. CobiT — фактически единственный международный стандарт, позволяющий выстроить стройную систему взаимосвязи между бизнесом и информационными технологиями.

Обычно у украинских компаний, проводящих IT-аудит, есть собственная методология, но если проект требует большого количества ресурсов и знаний, которыми обладают международные компании, то их привлекают в качестве партнеров. Например, «БМС Консалтинг» в разное время работала с Hewlett-Packard, Microsoft, Symantec. Иногда и сами клиенты требуют от аудитора взаимодействия с интересующими их партнерами.

Начать с определения целей

Алексей Янко, руководитель отдела IТ-консалтинга компании «БМС Консалтинг»:
— Профессиональный взгляд извне позволит более точно оценить темпы развития и уровень зрелости компании. IТ-аудит дает возможность получить данные о текущем состоянии информационных технологий компании, а также выявить уровень автоматизации основных бизнес-процессов. Кроме того, IТ-аудит может быть проведен с целью выявления существующих рисков для разработки стратегии их снижения, с целью планирования и обоснования IТ-бюджета, создания или модернизации системы инвестирования, оценки совокупной стоимости владения информационной системой компании, получения исходных аналитических данных для перевода информационных систем на аутсорсинг, разработки методологии развития и управления IТ-службой согласно рекомендациям лучших мировых практик и стандартов. Клиент прежде всего должен определить те практические цели, для достижения которых аудит выполняется. А уже основываясь на них, обратить внимание на:

  • квалификацию компании-исполнителя, ее предыдущий опыт в ведении подобных проектов;
  • состав рабочей группы, которая будет работать над этим проектом. В ее состав должны войти не только специалисты компании-исполнителя, но и специалисты клиента как IТ-подразделений, так и бизнес-подразделений.





ЧИТАЙТЕ ТАКЖЕ:
КНИГИ ДЛЯ РАЗВИТИЯ:
Мастер своего дела. 7 практик высокой продуктивностиМастер своего дела. 7 практик высокой продуктивности
Под давлением. Как добиваться результатов в условиях жестких дедлайнов и неопределенностиПод давлением. Как добиваться результатов в условиях жестких дедлайнов и неопределенности
Продуктивный ниндзя. Работай лучше, получай больше, люби свое делоПродуктивный ниндзя. Работай лучше, получай больше, люби свое дело

МЕТОДОЛОГИЯ: Стратегия, Маркетинг, Изменения, Финансы, Персонал, Качество, ИТ
АКТУАЛЬНО: Новости, События, Тренды, Инсайты, Интервью, Бизнес-обучение, Рецензии, Консалтинг
СЕРВИСЫ: Бизнес-книги, Работа, Форумы, Глоссарий, Цитаты, Рейтинги, Статьи партнеров
ПРОЕКТЫ: Блог, Видео, Визия, Визионеры, Бизнес-проза, Бизнес-юмор

Страница Management.com.ua в Facebook    Менеджмент.Книги: телеграм-канал для управленцев    Management Digest в LinkedIn    Отслеживать нас в Twitter    Подписаться на RSS    Почтовая рассылка


Copyright © 2001-2023, Management.com.ua

Менеджмент.Книги

телеграм-канал Менеджмент.Книги Менеджмент.Книги — новинки, книжные обзоры, авторские тезисы и ценные мысли из бизнес-книг. Подписывайтесь на телеграм-канал @books_management



Спасибо, я уже подписан(-а)