ИТ-директор современной компании часто слышит о необходимости проводить обследования ИТ-подразделений, информационных систем, ИТ-инфраструктуры. (Под ИТ-инфраструктурой понимается совокупность программного и аппаратного обеспечения — включая бизнес-приложения, — используемого в компании.)

Руководитель ИТ-подразделения должен четко представлять состояние всей ИТ-инфраструктуры компании как с точки зрения аппаратной, так и программной составляющей. Поэтому при подготовке к выполнению любого крупного ИТ-проекта первый этап в большинстве случаев заключается в обследовании текущего состояния ИТ.

Но описание существующего состояния ИТ-инфраструктуры еще не является аудитом. Под аудитом понимается оценка объекта/системы на соответствие определенным стандартам, положениям и т.п. В России применительно к обследованию ИТ-инфраструктуры часто используется именно термин «аудит», хотя при этом далеко не всегда используются общепризнанные стандарты. В области ИТ-инфраструктуры укоренилась практика применения стандартов, выработанных внутри компаний. И дополнительной задачей проектов по ИТ-аудиту часто становится формирование корпоративного стандарта ИТ-инфраструктуры, определяющего типовое программное обеспечение и оборудование компании. То есть формирование стандарта ИТ-инфраструктуры происходит по результатам обследования и оценка соответствия этому стандарту все-таки выполняется. В этом случае использование термина «аудит» вполне обоснованно.

Проблемы

Возникающие в ходе ИТ-аудита проблемы бывают двух видов: проблемы, связанные с человеческим фактором, и проблемы, связанные со сложностью обработки большого объема данных.

Ключевыми, на мой взгляд, являются проблемы, приведенные в табл. 1.

Табл. 1. Проблемы ИТ-аудита
Эти проблемы должны решаться в ходе любого ИТ-аудита, выполняемого как самими сотрудниками компании, так и внешними подрядчиками.

Методы решения достаточно очевидны, но, пытаясь сэкономить время и средства, компании их нередко игнорируют, что увеличивает риск неудачного завершения проекта.

Чтобы упростить получение нужных сведений от сотрудников, необходимо до начала массового сбора информации провести несколько презентаций, обозначив цели проекта в целом и осветив вопросы, которые будут заданы в ходе анкетирования и интервью. Также должна быть организована горячая линия для оперативной помощи при заполнении анкет. Необходимы и периодические презентации для руководителей, которые будут принимать участие в согласовании отчета. Желательно заранее, а не в последний день, направить отчет на согласование и использовать в нем максимально объективные формулировки, приводить факты, а не мнение. Процедура согласования итогового отчета, с четкими сроками и указанием ответственных, должна быть определена еще на этапе согласования методики аудита.

Для упрощения анализа большого объема данных (особенно в случае, когда они получены путем анкетирования сотрудников) необходима автоматизация процедуры сбора и обработки информации. Для повышения достоверности данных нужна выборочная проверка заполненных анкет.

Цели и структура

Формировать методику ИТ-аудита необходимо исходя из его конечной цели. Структура и содержание отчета об аудите должны соответствовать задачам проекта.

Определим основные виды аудита ИТ-инфраструктуры и рассмотрим их особенности (аудит информационной безопасности в статье не рассматривается).

В основном аудит проводится с целью подготовки компании к внешней сертификации. В этом случае выполняется аудит в классическом его понимании. Объектом аудита является структура и процессы ИТ-подразделения (сопровождение ПО, поддержка пользователей, развитие ИС и т.п.).

Аудит может проводиться на соответствие различным стандартам (COBIT, ISO 20000 и др.). Подобная задача возникает, например, у сервисных ИТ-компаний, которые хотят получить подтверждение качества своих процессов, а также у компаний, планирующих выход на международные рынки, что предъявляет в том числе требования к ИТ-поддержке бизнеса. Назовем данный тип проектов аудитом перед сертификацией.

Основные его параметры приводятся в табл. 2.

Вторая возможная цель аудита — получение рекомендаций по организации ИТ-подразделений. Такой аудит выполняется, например, в холдингах при приобретении новых компаний, для определения рациональной процедуры интеграции их ИТ-инфраструктуры с ИТ головной компании. Назовем его аудитом перед реструктуризацией ИТ-подразделений.

Основные параметры этого аудита приводятся в табл. 3.

Табл. 3. Параметры аудита перед реструктуризацией
Третий тип — аудит перед внедрением информационной системы. В этом случае обследование ИТ-инфраструктуры завершает собой определенный этап развития ИТ-инфраструктуры компании и выполняется перед началом проектов по замене или внедрению комплексных информационных систем. Целью аудита является определение изменений в ИТ-инфраструктуре и информационных системах компании. Подобное обследование можно считать необходимой составляющей стратегии развития ИТ, поскольку лишь после анализа текущего состояния ИТ-инфраструктуры можно сформировать обоснованный план достижения стратегических целей.

Основные параметры этого аудита приводятся в табл. 4.

Особо стоит упомянуть аудит перед внедрением систем управления конфигурацией или ИТ-активами. В этом случае обследование ИТ-инфрастуруктуры необходимо для дальнейшего внедрения автоматизированных средств ее инвентаризации и управления.

В зависимости от вида ИТ-аудита схема его организации и состав проектной команды достаточно сильно различаются. В разных форматах представляются и результаты проекта.

Основные параметры этого типа аудита приводятся в табл. 5.

Табл. 5. Параметры проекта аудита перед внедрением систем управления конфигурацией или ИТ-активами
Сколько стоит

Еще одним важным вопросом, который должен решаться при планировании ИТ-аудита, является выбор источника финансирования. В большинстве случаев подобные проекты не имеют финансового эффекта сами по себе, а являются лишь подготовительным этапом к последующим проектам в области реструктуризации ИТ, внедрения новых информационных систем и т.п. Если считать оптимизацию ИТ-инфраструктуры инвестиционным проектом, то аудит в лучшем случае можно рассматривать как изучение инвестиционных возможностей.

Тем не менее подобный проект требует затрат. Основными затратами являются.

В случае выполнения проекта внешним подрядчиком — стоимость проекта, выплачиваемая подрядчику, а также стоимость отвлечения сотрудников заказчика от своей основной деятельности (заполнение анкет, участие в интервью).

В случае выполнения собственными силами — стоимость работы сотрудников, выполняющих и организующих сам проект, и рабочее время сотрудников, отвлекаемых на выполнение проекта.

Другие издержки, специфичные для отдельных видов аудита: стоимость сертификации, обучения сотрудников, внедрения систем, используемых для сбора инвентаризационной информации.

Определим типовую структуру издержек для рассмотренных выше видов ИТ-аудита и рекомендуемые источники финансирования.

Подготовка компании к сертификации по международным стандартам

Структура затрат по проекту включает: стоимость работ внешней компании (обычно сертифицированной), стоимость сертификации (определяется владельцами стандарта, в соответствии с которым производится сертификация) и финансовую оценку рабочего времени сотрудников ИТ, задействованных в проекте.

Обоснование проекта зависит от заказчика. Если сертификация ИТ выполняется в рамках общей сертификации компании (например, при подготовке к выходу на IPO), то отдельное обоснование не требуется и проект выполняется в рамках общего бюджета сертификации компании. Если же выполняется сертификация только ИТ-подразделения, то проект может быть обоснован только в том случае, если от качества ИТ-процессов зависит финансовый результат компании и ее конкурентоспособность. Это возможно для компаний телекоммуникационной отрасли и в меньшей степени — для финансовой отрасли.

Обоснование проекта включает в себя оценку финансовой составляющей таких показателей, как повышение конкурентоспособности компании, увеличение количества потенциальных клиентов и т.п.

Инициаторами проекта часто становятся подразделения, ответственные за развитие бизнеса компании. Решение об аудите всей компании принимается руководством компании. Решение об аудите ИТ-подразделения находится в компетенции директора по развитию или директора по маркетингу.

Аудит перед реструктуризацией ИТ-подразделений

Структура затрат: стоимость работ внешней компании (обычно сертифицированной) и финансовая оценка рабочего времени сотрудников ИТ, задействованных в проекте.

Подобные проекты часто выполняются силами собственных сотрудников, в этом случае все затраты относятся ко второй статье.

Этот тип проектов достаточно сложен в финансовом обосновании. Возможно поэтому часто выполняется силами собственных сотрудников ИТ компании (как правило, сотрудников ИТ-департамента головной компании).

Поскольку конечные цели этого аудита (эффективная организация деятельности ИТ-подразделения) относятся к задачам именно ИТ, то подобные проекты выполняются внешними компаниями в тех случаях, когда ИТ имеет бюджет на внутренние проекты. Для ИТ-руководителя компании ценность подобного проекта очевидна, но для финансового директора обосновать ее довольно сложно.

Финансируется этот вид проекта чаще всего из бюджета внутренних проектов ИТ, заказчиком является ИТ-директор компании.

Аудит перед внедрением информационной системы

Структура затрат: стоимость работ внешней компании (обычно сертифицированной), стоимость рабочего времени сотрудников ИТ, задействованных в проекте, и стоимость ПО, используемого для сбора информации.

Соотношение двух последних статей затрат таково: чем более функциональное (и, как правило, более дорогое) ПО используется для сбора информации, тем меньше рабочего времени сотрудников отвлекается. Подобный аудит выполняется обычно перед началом комплексных проектов по внедрению информационных систем. Поэтому рекомендуется обосновывать этот проект не отдельно, а рассматривать его как первый этап проекта по внедрению.

При этом сам проект по внедрению может расцениваться как инвестиционный, если речь идет о внедрении бизнес-приложений, которые автоматизируют основные бизнес-процессы (в этом случае можно говорить о снижении операционных издержек, повышении производительности труда и т.п.).

Аудит в данном случае призван сформировать варианты внедрения информационной системы и оценить каждый из них. Заказчиками проекта являются руководители бизнес-подразделений, в которых планируется внедрить новые информационные системы.

Аудит перед внедрением систем управления конфигурацией/ИТ-активами

Структура затрат та же, что и в предыдущем случае. Подобный аудит рассматривается как часть общего проекта по внедрению систем управления конфигурацией/ИТ-активами. В случае, если речь идет об управлении и финансовой составляющей ИТ (ИТ-активы), заинтересованным лицом может быть финансовый директор. Такая ситуация возможна в том случае, если ИТ-инфраструктура составляет существенную часть основных фондов компании.

В противном случае такой аудит, скорее всего, может рассматриваться только как внутренний проект ИТ. Заказчиками являются либо ИТ-директор, либо финансовый директор.

О методике и финансах

Подводя итог, можно сказать, что решение возможных проблем, возникающих при ИТ-аудите, закладывается на этапе разработки и согласования методики аудита. Думается, что 50% успеха проекта обеспечивает именно детальная методика проведения аудита. Именно она определяет основные составляющие проекта: схему выполнения, участников, состав собираемых данных, результат. Поэтому этап формирования и согласования методики обследования является ключевым в любом аудите. Даже если используются типовые методики, их необходимо пересматривать и согласовывать с заказчиком работ перед каждым проектом.

При финансовом обосновании проекта в большинстве случаев нужно оценивать не результаты самого проекта, а их применение в последующих проектах (отдача от внедрения новых приложений, от реструктуризации ИТ-структуры и т.п.), а ИТ-аудит рассматривать как первый и необходимый этап последующих проектов.

Мария Бартенева — руководитель отдела ITSM-консалтинга компанииVerysell Projects, maria.barteneva@verysell.ru