Актуальность

Год от года ИТ становится все более сложным и значимым практически в каждом виде бизнеса. Затраты на ИТ тоже растут с каждым годом. А вот эффективность этих расходов не всегда является не то что максимальной, а даже оптимальной. ИТ нужны не только для обеспечения бизнес-процессов, внедрение новые технологии раньше конкурентов может стать конкурентным преимуществом, и драйвером роста компании.

ИТ-аудит является неотъемлемой и ключевой по важности задачей при разработке оптимальной ИТ-стратегии предприятия: от малого бизнеса, до крупных международных организаций. Без проведения ИТ-аудита невозможно установить сильные и слабые места применяемых информационных технологий, определить вектор развития как компании в целом, так и отдельных подразделений.

Определение

ИТ аудит - это процесс оценки текущего состояния всех ИТ компании в целом, либо отдельных частей, с целью получить объективную оценку текущего состояния ИТ и какие возможности есть для улучшения эффективности и ускорения возврата инвестиций в ИТ.

Результат ИТ аудита является документ, который содержит объективное описание текущего уровня развития ИТ компании и пути оптимизации с применением лучших мировых и российских практик применительно к таким составляющим, как:

  • ИТ инфраструктура
  • ИТ-процессы
  • ИТ-сервисы
  • ИТ риски
  • компетенции ИТ-персонала
  • информационная и кибербезопасность
  • соответствие ИТ бизнес-целям компании
  • эффективность вложений в ИТ
  • обоснованность инвестиций в ИТ
  • информационные системы

Топ-16 причин зачем нужен ИТ аудит?

ИТ-аудит (ИТ анализ) может потребоваться в следующих случаях:

  1. как фундамент для разработки ИТ-стратегии
  2. у бизнеса сменился собственник или топ-менеджеры
  3. снизить расходы на ИТ
  4. произошло слияние компаний
  5. произошли изменения в структуре организации
  6. есть проблемы или сбои в работе ИТ
  7. планируется разработка новых ИТ-проектов и внедрение новых информационных систем
  8. планируется модернизация ИТ-инфраструктуры и/или ИТ-систем
  9. нужен «взгляд со стороны»
  10. нужно найти новые драйверы роста
  11. необходимо понять куда и на какие цели тратиться ИТ бюджет, и какова эффективность всего этого
  12. нужно оценить компетенции ИТ специалистов
  13. нужно оценить возможности и выгоды от внедрения новых технологий и инновационных подходов
  14. необходимо оценить выгоду от использования ИТ аутсорсинга
  15. планируется сертификация (ISO, ISAE)
  16. проанализировать ИТ риски

Стандарты и практики для проведения IT аудита

  • BS 25777
  • CobiT
  • ISO 27001
  • IT Governance
  • ITIL
  • ITSM
  • PMBok
  • Prince2
  • Val IT
  • СТО БР ИББС
  • ГОСТ 34.201-89
  • ГОСТ 34.321-96
  • ГОСТ 34.601-90
  • ГОСТ 34.603-92
  • ГОСТ Р 54869-2011
  • ГОСТ Р 54870-2011
  • ГОСТ Р 54871-2011

Виды ИТ аудита

Вид аудита

Результат и выгода для бизнеса

Стратегический ИТ аудит

Разработка ИТ стратегии на прочном фундаменте.

Аудит ИТ стратегии

Аудит уже существующей ИТ стратегии с целью ее актуализации.

Аудит ИТ проектов

Оценка процессов разработки, командной работы, доработки кодовой базы, внедрения позволит понять текущее положение и оценить возможные будущие риски.

Аудит IT инфраструктуры

Оценка состояния ИТ инфраструктуры компании, ее узкие места и потенциальные риски. Может включать в себя:

1. Аудит серверной инфраструктуры имеет целью оценить ее оптимальность в рамках поддержки текущих бизнес-процессов организации.

2. Аудит сетевой инфраструктуры позволяет понять насколько эффективны и надежны сети передачи данных, оптимальны ли расходы на интернет и телефонию.

3. Аудит клиентской инфраструктуры помогает определить соответствие производительности устройств на рабочих местах пользователей и выполняемых ими функций.

4. Аудит программного обеспечения имеет своей целью поиск путей сокращения расходов на лицензированное программного обеспечения и оценку степени удовлетворенности пользователей от используемых программ.

Аудит информационной безопасности

Оценка уровня защищенности данных в соответствии с лучшими мировыми практиками и последующие  рекомендации по снижению рисков утечки данных (обнаружение и предотвращение вторжений, антивирусы, межсетевые экраны). Сюда также входит оценка соответствия законодательству в части соблюдения требований по работе с персональными данными в соответствии с №152-ФЗ «О персональных данных» и Приказом ФСТЭК №21.

Оценка IT персонала

Понимание соответствия численности и квалифицированности ИТ сотрудников бизнес-целям организации.

Анализ IT затрат

Оценка эффективности расходов на ИТ и возможные способы оптимизации затрат.

Аудит готовности к ИТ-аутсорсингу

Анализ текущих внутренних и внешних затрат на ИТ-услуги с одновременной оценкой рисков и экономической выгоды от применения IT аутсорсинга.

Аудит ИТ службы

Оценка эффективности работы ИТ службы, удовлетворения потребностей бизнеса, рекомендации об оптимизации и реорганизации.

Аудит IT процессов

Ревизия зрелости и эффективности ИТ процессов для целей поддержки бизнес-процессов компании.

Аудит ИТ рисков

Оценка менеджмента явных и неявных рисков, связанных с ИТ.

Аудит уровня автоматизации бизнеса

Отчет о сопоставлении уровня внедрения ИТ в организации по сравнение с отрасью.

Аудит мобильного приложения

Выявление проблем с юзабилити, безопасностью и функциональностью мобильного приложения на iOS и Android.

Аудит сайта

Оценка безопасности и отказоустойчивости веб-сайта, поиск возможных багов с UX и UI, технических недоработок для SEO продвижения сайта.

Аудит информационной системы

Оценка эффективности использования корпоративных информационных систем поможет оценить риски при управлении бизнесом с точки зрения текущего состояния, так и при дальнейшем развитии бизнеса.

Цены на ИТ аудит

Стоимость ИТ аудита напрямую зависит от того, аудит чего именно нужно проводить, и в каких масштабах это нужно делать, поэтому цена может колебаться от нескольких десятков тысяч рублей до нескольких миллионов.

Почему ИТ-аудит внешним аудитором выгоднее?

Внешний ИТ аудит выгоднее по нескольким причинам:

  1. Собственный ИТ-персонал не может сказать, что ИТ в компании работает неэффективно, т.к. это будет означать, что они сами работают плохо.
  2. Опять таки, из политических игр внутри компании внутренний персонал не может добиться такого же уровня объективности, как внешний аудитор
  3. Знание ИТ трендов и ИТ кругозор персонала компании ниже, поскольку они привыкли работать с узким кругом технологий, одной информационной системой, одним фреймворком, и им вообще может быть не до этого, т.к. много работы и текущих задач.