Аудит ИТ – это в первую очередь наведение порядка в сфере ИТ, разработка ИТ стратегии, оптимизация стоимости обслуживания и владения информационной системой, анализ рисков, разработка процедур контроля и как результат - предоставление руководству компании отчета о текущем состоянии ИТ и рекомендации повышения эффективности работы информационной системы.

Поводом для проведения ИТ аудита могут служить такие факторы:

• анализ процессов разработки и внедрения информационных систем;
• анализ  процессов сопровождения и технической поддержки;
• анализ используемых решений на соответствие требованиям бизнеса компании;
• организация информационной системы, адекватной задачам бизнеса;
• оценка информационной системы предприятия на функциональную полноту и соответствие международным стандартам;
• оценка системы по нефункциональным критериям;
• оценка совокупной стоимости владения и возврата инвестиций в ИТ;
• анализ проблем в информационной системе и предложенных решений.

Конечно, часто проведение ИТ аудита связано с модернизацией предприятия, расширением  бизнеса за счет слияния или сменой управленческих кадров. Как правило, заказчиком  ИТ аудита является руководство компании. Руководство на этих этапах хочет понять, насколько правильно вкладываются средства в различные направления ИТ и можно ли их перераспределить, например, увеличить расходы на развитие информационных систем, сократив затраты на поддержку или передать  сервисы на ИТ аутсорсинг.

 Аудит крупной компании – это удовольствие довольно дорогое. Чтобы он принес реальную выгоду компании, необходимо ясное понимание задач, которые планируется решить с помощью аудита. Если задача ставится так: “Хочу, чтобы у меня все было лучше чем у всех”, то от аудита трудно ожидать чего-то большего, чем выдача общих рекомендаций на основе “лучшего мирового опыта”. Вряд ли такие рекомендации смогут быть реализованы в реальных условиях.

Как показывает наш опыт, целесообразно разбивать процесс аудита на этапы длительностью порядка 10 дней. В этом случае задачи могут быть сформулированы более конкретно, при этом на начальном этапе всегда лучше сделать первичное обследование, которое поможет в общих чертах оценить текущее состояние дел в сфере ИТ, определить основные проблемы и расставить приоритеты их решения. На последующих этапах уже можно будет заняться более подробным анализом выявленных проблем и выработкой конкретных предложений по их устранению. Чтобы обезопасить внутреннюю информацию от возможных утечек при проведении аудита, необходимо достаточно внимательно отнестись к выбору организации, проводящей аудит. Любая организация на рынке ИТ услуг, много лет подряд занимающаяся вопросами аудита, сама крайне заинтересована в недопущении таких утечек. В противном случае ее репутация может быть безвозвратно испорчена.

Не редко рядовые сотрудники ИТ служб оказывают сопротивление проведению ИТ аудита и это обычно связано либо с ростом компании, либо с проблемами, возникающими при слиянии компаний. При росте компании возникает момент, когда ИТ служба не может больше функционировать по-старому. В небольших компаниях работа часто строится на личных связях между сотрудниками, а в крупной компании такой метод принципиально не применим. Без достаточной формализации процесса взаимодействия между подразделениями невозможно оперативно решать возникающие задачи. Кроме того, в небольших компаниях методы решения задач выбираются, исходя из знаний и умений сотрудников, и эти методы не всегда оптимальны. Большие же компании, наоборот, подбирают сотрудников в соответствии с их умением эффективно решать задачи принятыми на предприятии методами. Еще одна проблема связана с тем, что при росте компании всегда остается значительное количество исторически используемых приложений, и нередко трудно найти замену сотрудникам, занимающимся их эксплуатацией, или даже обеспечить этих специалистов полной рабочей загрузкой. В данном случае задачей аудита является определение возможности отказа от унаследованных приложений и разработка плана мероприятий по их замене на более современные.

Проблемой роста является также использование подразделениями компании различного инструментария для решения схожих задач, либо повторное приобретение уже имеющихся в компании продуктов. В этом случае аудиторы должны провести инвентаризацию оборудования и программного обеспечения и выдать предложения по их унификации. Конечно, унификация используемого оборудования и ПО приводит к более легкой «заменяемости» сотрудников, что многим из них может не понравиться. Сотрудники, обладавшие неким «кастомизированным знанием» теряют возможность практически бесконтрольной и безотчетной работы. С другой стороны, они при этом приобретают новые знания, а умение применять современные и широко распространенные технологии делает специалиста гораздо более привлекательными участником рынка труда.

Основные выгоды, которые может получить организация от проведения ИТ аудита:

• Описание структуры ИТ службы и решаемых ею задач;
• Рекомендации по использованию ИТ ресурсов, как технологических, так и человеческих;
• Рекомендации по решению технологических проблем;
• Рекомендации по обеспечению информационной безопасности.

Даже если в момент завершения аудита у предприятия отсутствуют ресурсы для выполнения всех рекомендаций, наличие стратегического плана развития ИТ обязательно пригодится в долгосрочной перспективе и на основе данного плана, всегда можно передать сервисы информационной системы ИТ аутсорсинговой компании.