Главное об ИТ-аудите в трех ответах на актуальные вопросы
Повышение производительности труда, отдача от инвестиций и снижение издержек – вот что всегда волнует бизнес. При этом информационные технологии являются одной из самых важных и одновременно затратных его составляющих, а ИТ-аутсорсинг рассматривается как возможность повышения эффективности и собственно ИТ, и бизнеса в целом. Однако полная стоимость услуг, вопросы информационной безопасности, финансовые гарантии аутсорсера и другие аспекты требуют тщательного анализа рисков при переходе на аутсорсинг. Кто поможет решить эту задачу?
Согласно отчету IDC, одним из трендов развития сферы ИТ-услуг в России в ближайшем будущем станет консалтинг. Уже сегодня для российской ИТ-сферы характерен рост спроса на краткосрочные консалтинговые услуги (проекты), связанные с эффективностью и оптимизацией деятельности компании. К таким услугам относится и ИТ-аудит. Что это такое и как он работает на практике?
Вопрос 1: что такое ИТ-аудит? В чем его суть?
Из множества определений аудита остановимся на следующем: «Аудит — это процедура независимой оценки деятельности компании, системы, процесса, проекта или продукта». ИТ-аудит – один из видов аудита, фокусирующийся на домене ИТ. Учитывая общепринятые практики (в частности, CobIT), можно сказать, что ИТ-аудит – это деятельность, осуществляемая в интересах заказчика аудита, в рамках которой выполняются:
Вопрос 2: ИТ в компании – это довольно широкое понятие. Где конкретно применяется ИТ-аудит?
Безусловно, при планировании аудита необходимо сфокусироваться и определить его объекты. Наиболее часто ими являются:·
-
ИТ-инфраструктура.
-
Рабочие места.
-
Информационная безопасность инфраструктуры.
Когда зависимость бизнеса от ИТ возрастает, руководство компаний предъявляет все больше требований к эффективности управления ИТ. Одним из показателей является зрелость системы управления. При проведении ее аудита можно выделить несколько предметных областей в зависимости от решаемых задач. Например:·
-
процессы управления ИТ-услугами;
-
процессы предоставления ИТ-услуг;
-
организационная структура ИТ;
-
готовность компании к внедрению ITSM-системы;
-
готовность компании к ИТ-аутсорсингу.
Практический кейс
В качестве примера посмотрим результаты такого аудита, проведенного ICL Services в одном из крупных промышленных холдингов с множеством региональных подразделений.
Одной из составляющих этого аудита стало исследование организационной структуры ИТ и основных процессов предоставления ИТ-услуг. Первым делом, путем опроса была собрана первичная информация об аудируемой компании, более подробные данные собирались в части системы управления ИТ-услугами. Потом совместно с заказчиком были сформулированы основные потребности бизнеса, являющиеся предпосылками к аудиту, процессы, входящие в область аудита, критерии аудита (внутренние ожидания, практики CobIT, ITIL), рассматриваемые подразделения компании, глубина исследования (данные за последние 12 месяцев), а также методы аудита. На основе полученных входных данных был сформирован план.
Сбор данных осуществлялся как удаленно, так и непосредственно на местах. Для определения удовлетворенности ИТ-услугами был проведен опрос конечных пользователей лично и заочно, в том числе на условиях анонимности. Изучались регламентирующие документы, собирались и анализировались факты исполнения их требований. Помимо прочего, был проведен анализ данных из ITSM-системы. Первоначально предполагалось использовать метод и средства process mining, но вследствие того, что ITSM-система не использовалась в полной мере и необходимые данные отсутствовали, применение этого метода стало невозможным.
Финально в результате аудита была сделана оценка системы управления ИТ-услугами, выявлены проблемы и предложены рекомендации (некоторые из них представлены в таблицах ниже). Каждая из проблем была приоритизирована исходя из опыта развития системы управления ИТ-услугами и текущих возможностей аудируемой компании.
Таблица 1
Таблица 2
Таблица 3
Внешний аудит позволяет по-новому взглянуть на процессы системы управления ИТ-услугами. Независимые специалисты дадут объективную экспертную оценку состояния и эффективности применяемой в компании системы управления ИТ, проведут анализ ключевых рисков, проблем и их причин. Кроме того, результатом аудита является набор экспертных рекомендаций по оптимизации системы управления ИТ.
Нередко приходится наблюдать следующую картину. ИТ-департамент на волне моды покупает дорогую игрушку – ITSM-систему, которых сегодня на рынке множество. Но в итоге или ее не использует, или использует частично, игнорируя заложенную в такие системы методологию (ITSM). Происходит это потому, что процессы не выстроены и внедрение ITSM-системы преждевременно. Аудит поможет выявить и приоритизировать цели и задачи автоматизации процессов предоставления ИТ-услуг и выработать стратегию дальнейшего развития ITSM-системы компании. Заказчик получает заключение о целесообразности и предложение поэтапного внедрения ITSM-системы – рекомендованный план внедрения согласно результатам анализа с целью максимизации эффекта от автоматизации процессов. Также в результате аудита компании будут даны рекомендации по внедрению системы измерения эффективности процессов предоставления ИТ-услуг.
Кроме того, аудит может охватывать вопросы операционной модели ИТ. ИТ-аутсорсинг для многих компаний – это большая неопределенность. Аудит готовности к ИТ-аутсорсингу включает в себя детальный анализ текущей стратегии потребления внешних ИТ-услуг, анализ нереализованных возможностей использования ИТ-аутсорсинга, оценку сопутствующих рисков готовности компании к аутсорсингу и в целом. Заказчик получает заключение о том, является ли ИТ-аутсорсинг приемлемым механизмом повышения эффективности системы управления ИТ в текущей ситуации или в будущем. Аудит дает возможность получить подробную оценку применимости различных моделей ИТ-аутсорсинга и практические рекомендации по повышению готовности компании к внедрению модели ИТ-аутсорсинга.
Вопрос 3: когда компании нужен ИТ-аудит и есть ли жизнь после него?
В ситуациях, когда владельцы и ТОП-менеджмент компании часто задаются вопросами:·
-
Почему так много затрат идет на ИТ?
-
А эффективно ли мы тратим деньги на ИТ?
-
Может ли ИТ приносить больше пользы?
-
Почему ИТ плохо работает?
то есть в тех случаях, когда ставится задача по снижению затрат и повышению качества ИТ услуг, ИТ-аудит поможет дать ответ на эти вопросы и создать предпосылки для решения перечисленных задач.
Как показывает практика, потребность в ИТ-аудите возникает в первую очередь при смене ответственного за ИТ, например ИТ-директора или руководителя ИТ-департамента. У нового ИТ-руководителя возникает потребность пролить свет на вверенное ему хозяйство. Также часто бывает, что при слиянии компаний у ИТ-департамента возникает множество вопросов к присоединяемой системе ИТ.
Потребность аудита также появляется, когда вы планируете крупный ИТ-проект (внедрение ITSM-системы или переход к аутсорсингу) и вам нужно помочь спланировать и обосновать затраты на него, а также дать независимую оценку по результатам такого проекта.
Возможна ситуация, когда необходимо спасти репутацию ИТ-департамента, то есть дать объективную оценку ИТ-системы компании в противовес, возможно, необоснованным жалобам пользователей, выявить истинные причины недовольства ИТ-услугами.
Верным решением после успешного ИТ-аудита будет внедрение рекомендаций по его итогам в соответствии с установленными приоритетами. Можно попробовать сделать это своими силами. Но если у вас нет соответствующих ресурсов, лучше привлечь внешнюю компанию для трансформации системы управления ИТ.
Опубликовано 17.02.2016