№1(12)(2013)

IT-аудит - достаточно новое для нашей страны явление, которое пока не вошло в моду. Пришел он к нам вместе с иностранными инвесторами. Вообще IT-аудит является достаточно специфическим вопросом по двум основным причинам: во-первых, любой аудит проводится на соответствие чего-то чему-то: будь то бухгалтерия законодательству страны или IT-структура компании отечественным или международным стандартам, таким как ITSM, COBIT и т.д. (использование данных стандартов на предприятии связано с долговременной и достаточно затратной работой по модернизации IT-структуры под упомянутые стандарты). Во-вторых, сложным остается вопрос доверия к компании, проводящей аудит.

Эти проблемы со временем сойдут на нет, ведь внедрение международных стандартов стопроцентно оправдано и его эффективность проверена не одной сотней предприятий во всем мире. Единственное, что затраты времени и средств на полное воплощение стандартов могут себе позволить только крупные компании - для мелких эти изменения будут не очень заметны по эффективности, но достаточно существенно отразятся на финансах. А вопрос доверия исчезнет, когда на наш рынок выйдут предприятия с мировым именем или украинские заработают себе репутацию на отечественном рынке или, возможно, даже за границей. Сегодня не нужно бояться проведения IT-аудита, я бы даже сказал, что необходимо дать шанс нашим компаниям проявить себя, доказать собственную квалификацию, надежность и продемонстрировать эффективность изменений по рекомендациям проведенного аудита.

Впервые мысль об аудите возникает тогда, когда меняется директорат всего предприятия, когда в компанию приходит новый IT-директор, или руководство сомневается относительно целесообразного использования средств IT-департаментом, или компания на пути слияния или поглощения. Зачастую именно в таких случаях выводы аудита имеют максимальный вес. Что нам даст аудит? Первое и самое главное - это взгляд извне людей, для которых существует один единственный приоритет - эффективность, ведь они не знают, что замена, например, программного обеспечения повлечет недовольство отдела аналитики, и тогда к руководству придет отчет с максимальной эффективностью без каких-либо отклонений на личные отношения и пожелания, то есть голые данные без сантиментов. Имея в руках информацию о всех аспектах IT-структуры, руководство сможет правильно оценить преимущества от внедрения тех или иных проектов или наоборот отказаться от некоторых уже воплощенных (устаревших или таких, которые после изменения бизнес-процессов не приносят пользы предприятию или она меньше себестоимости поддержки этих процессов) и вместе с тем, учитывая все моральные, материальные и другие аспекты, решать вопрос о реализации проектов, найме новых работников, увольнении уже существующих или, возможно, реорганизации отдельных подразделений.

Новым директорам аудит позволяет не столько сразу перейти к действиям по совершенствованию структуры, сколько ознакомиться с ней, больше понять, за какие участки кто из сотрудников ответственный - так сказать, оценить то, что имеем, и уже потом менять структуру под себя. Также немаловажным аспектом аудита является вопрос защищенности IT-инфраструктуры компании от внешних и внутренних угроз, отказоустойчивость от стихийных бедствий или выхода из строя отдельных критических узлов. Имея на руках данные такого аудита, можно смело требовать от руководства средства на дополнительное оборудование. Соответственно, управляющему будет понятно, на какие нужды выделяются деньги или, например, где в системе безопасности хранения данных компания ошиблась и способствовать скорейшему решению проблем. Таким образом, после аудита мы получаем перечень недостатков в нашей структуре и рекомендации по их решению. Подчеркиваю, что именно рекомендации, ведь аудиторы не знают и не могут знать все подводные камни, поэтому их вывод нельзя считать руководством к действиям.

Но возникает еще один вопрос. Надеюсь, мы осуществляем аудит рабочей структуры, поэтому как бы там ни было, но специалисты выполняли свою работу и решали поставленные задачи в течение нескольких лет, а тут появляются аудиторы и начинают рассказывать, что не так... Как убедиться в том, что сделанные выводы действительно верны и не написано что-то лишнее, чтобы, так сказать, «отбить» средства за проведенный аудит?

На данном этапе становления украинского IT-аудита этот вопрос является очень острым. Хорошо, если у вас есть знакомый или хотя знакомый знакомого, который имеет какое-то отношение к любой из таких компаний, чтобы хоть немного подтвердить ее компетентность. А в аспекте того, что далеко не все процессы даже на крупных предприятиях структурированы под международные стандарты, конкретных методик, требований для проведения аудита именно в таких звеньях IT-структуры компании не существует. Они могут быть разработаны непосредственно отдельной фирмой-аудитором и использоваться только для ее нужд, и проверить эффективность таких характеристик аудита никак не представляется возможным. Единственное, что остается - это принять на веру слова аудиторов. Поэтому чрезвычайно важным остается не столько тот факт, какими методиками пользуется аудиторская компания в своей работе, сколько то, какие сотрудники ее осуществляют и какие впечатления о проведенном аудите остались у предыдущих заказчиков. Как и на любом развивающемся рынке, чрезвычайно большую роль играет «сарафанное радио», ведь по сути ни одна из фирм не имеет достаточного банка клиентов, чтобы сделать себе имя в данной нише рынка, которое бы не требовало конкретных отзывов от знакомых заказчиков.

Интересным и полезным может быть привлечение аудиторов в качестве консультантов при внедрении нового IT-проекта. Чем это полезно? Во-первых, все тем же взглядом извне, как говорится, одна голова хорошо - а две лучше. Пусть такой проект подорожает на 5-15%, но уже на этапе проектирования мы получаем внешнюю поддержку аудиторов, чей опыт может в разы превышать знания собственных сотрудников. Во-вторых, исправлять некоторые недостатки значительно лучше и менее затратно на начальном этапе, а не после того, когда поверх проблемного звена возникнет еще масса бизнес-процессов, значительно усложняющих переделывание первичной структуры. В дальнейшем это может привести к полной перепланировке проекта. Поэтому 5-15% на первоочередном этапе - небольшая сумма за дальнейшее спокойствие, это своего рода наша страховка от рисков, которые могут повлечь ошибки в новом IT-проекте.

Довольно часто встречаются случаи, когда к аудиторам обращаются конкретно с просьбой решить тот или иной вопрос. В чем выгода от такого аутсорсинга? Прежде всего, это цена: аудит обойдется дешевле аутсорсинга от известной компании. Во-вторых, аудиторы предоставят рекомендации (в данном случае - руководство к действиям), которые будут выполнять уже ваши специалисты, и поэтому любые вопросы обеспечения конфиденциальности, всегда возникающие при использовании услуг внешних подрядчиков, а именно ими и являются аутсорсеры, исчезают сами собой. Например, аудиторы предложили сделать дополнительный канал связи - и все, на этом их знания заканчиваются. А уж как именно, т.е. каким маршрутом - под или над землей тянуть линию или копать траншею - это уже на ваш выбор. И если кто-то захочет снять данные с этого канала, то потребуется как минимум выяснить, где он, поскольку максимум, что можно узнать от аудиторов, - это данные только о наличии канала, в то время как аутсорсерам было бы известно обо всех аспектах выполненных работ.

Вообще, как и любая проверка, IT-аудит проводится не от «сладкой жизни», а из-за наличия определенных подозрений, проблем или неуверенности, поэтому осуществление проверки, как по мне, является решением проблемы. Единственным фактором удержания, или, вернее, отсрочки, данного мероприятия может быть только цена или, возможно, приход в IT-отдел человека, которому руководство стопроцентно доверяет, поэтому будет проведен тот же самый аудит, но уже внутренними силами. Можно осуществлять аудит для профилактики, и это имеет какой-то смысл, но не думаю, что целесообразно тратить такие средства. Аудит - это полезный инструмент, который может значительно улучшить и облегчить жизнь компании, нужно лишь использовать его в нужных моментах. Ведь безосновательная проверка подорвет доверие персонала к руководству, что в дальнейшем может плохо отразиться на работоспособности коллектива и его и моральном духе.