Аудит информационных систем — сравнительно молодая услуга для российского рынка. В некоторой степени ее можно сравнить с аудитом финансовым, правда в этом случае консультанты проверяют не состояние финансовой отчетности, а качество работы информационных систем. Из таких данных компания может извлечь немалую выгоду. О грамотном аудите рассказывает Иван Фёдоров, директор департамента ERP ГК «КОРУС Консалтинг».
Когда вам требуется ИТ аудит?
В большинстве случаев необходимость аудита появляется, либо когда руководству компании хочется понять, что происходит в ИТ-ландшафте организации, или если текущий ИТ-отдел зашел в тупик с решением той или иной задачи, или им нужен свежий взгляд со стороны. Сложностей с ИТ-системами может быть несколько:
-
Серьёзные изменения бизнеса
Компания развивалась или наоборот переживает не лучшие времена и старые бизнес-процессы, уже автоматизированные, не подходят в новых условиях. Другой вариант: бизнес вырос, например, за счет приобретенных новых предприятий, у которых уже есть своя ИТ-инфраструктура. В этом случае руководству непонятно, как правильно интегрировать разные ИТ-составляющие, от чего можно избавиться, а что нужно добавить для того, чтобы новая единая организация эффективно работала.
Технические проблемы
ИТ-платформа устарела, а специалисты компании не знакомы со всеми тонкостями и сложностями в интеграции современных бизнес-приложений. Нужен свежий взгляд и опыт работы с разными вендорами, чтобы модернизировать инфраструктуру.
Создание ИТ-стратегии компании
Cитуация, когда нужно посмотреть со стороны на ключевые процессы компании и перенести бизнес-цели организации на язык ИТ.
Существующие решения для проведения ИТ аудита
Одним из решений может быть приглашение внешнего подрядчика, у которого есть многолетний опыт решения аналогичных задач, как в проведении самих аудитов, так и в рамках работы с конкретными платформами.
Вариантов сотрудничества несколько:
ИТ-стратегия
Это проработка всех информационных потоков с учётом новых технологий и изменений текущего бизнес-плана. На этом этапе полезно разложить все существующие в компании процессы на блоки, каждый из которых может быть автоматизирован. Итогом работы тут будет концепция или дорожная карта, в которой прописано движение компании с нынешней точки развития ИТ в желаемую.
Главное — понимать цель, пути её достижения, и разбить эти пути на ряд некрупных проектов. Они могут идти параллельно или последовательно, на этапе проработки ИТ-политики необязательно прописывать работу с конкретными продуктами. Важно обозначить класс систем.
К примеру, если вы хотите отдать колл-центр на аутсорсинг, на уровне ИТ-политики необходимо прописать, какие данные мы предоставляем аутсорсинговому центру, что получаем, как это согласовывается с информационной безопасностью и так далее.
Проекты
В рамках аудита можно рассматривать разные по масштабу и значению задачи. Особенно это актуально, когда компания не готова заниматься созданием или модификацией полноценной ИТ-стратегии но точно знает, что есть проблемы в той или иной части ИТ-инфраструктуры.
Здесь примером может быть длительное внедрение ERP-системы, когда очевидно, что существуют какие-то фундаментальные проблемы на уровне бизнес-процессов, которые проектная команда решить не может. Тогда и требуется взгляд со стороны, привлекается внешний консультант для ИТ-аудита.
ИТ-инфраструктура
Тут важно не только определить проблему, но и предложить изменения либо в старой платформе, либо, более радикально, предложить внедрение нового программно-аппаратного комплекса, который сможет поддержать компанию. Для того, чтобы сделать этот выбор наиболее точно, необходимо, конечно, владеть некоторым опытом в работе с разными решениями от разных разработчиков.
Шеф-надзор
Если у компании есть своя сильная ИТ-команда, то проект она может делать сама, но это значит, что внутри компании должен быть собственный мини-консалтинговый проект. Обычно такие задачи компании стараются отдавать на аутсорсинг, а некоторые крупные структуры выделяют их в отдельные бизнесы.
Если компания самостоятельно реализует такой проект, то нужен кто-то, кто будет контролировать процесс. Это логично делать, когда проект комплексный, есть и внутренние и внешние команды. Шеф-надзор — это задача компании, которая помогает проработать правила проведения тендера, выбора подрядчика, инициирования проекта, оценивать ход выполнения проекта и результат.
Важно отметить, что аудитора можно привлекать не только перед стартом проекта, но и в процессе, когда проект идёт полным ходом, но вы понимаете, что в данном случае исполнитель может не справиться со своей задачей, так как процесс реализации проекта уже идет и рекомендации, данные аудитором, могут говорить о том, что этот проект вообще преждевременен для компании. Ведь аудит — это мини-проверка готовности компании к проекту.
Как выбрать аудитора?
Очень важен баланс между наличием у подрядчика опыта в проведении аудитов и во внедрении самих информационных систем разной сложности. Можно уметь хорошо внедрять, но не уметь грамотно, точечно и эффективно, с точки зрения затрат, проводить аудиты, и наоборот. Если вы находите компанию, которая уже длительное время занимается внедрениями различных систем и имеет в портфеле аудиторские проекты с высоким результатом и достойными отзывами, с ними стоит начать работу. Они обеспечат относительно небольшие затраты и максимальный результат.
Обращайте внимание на мультивендорность такого аудитора. Чем большее количество партнеров-вендоров у него по нужным для компании направлениям, тем лучше.
В зависимости от вида работ, сроки выполнения ИТ-аудита могут быть разными. Небольшие задачи можно закрыть в течение пары недель, проработка ИТ-инфраструктуры может занять несколько месяцев. Если мы проводим аудит и для этого необходимо объехать 100 магазинов ритейлера, то такой проект может затянуться и дольше.
Как подготовиться к проекту
Основной подготовкой к аудиту должен быть сформированный запрос и понимание у сотрудников компании, зачем эти мероприятия проводятся. Реализовывать проект будет сложно, если на встречи к аудитору будут приходить неподготовленные сотрудники, плохо понимающие цели и выгоды от аудита. Если же ключевые сотрудники присутствуют на всех собраниях, дают доступ к системам и помогают искать решение проблемы, это существенно увеличит шансы на успех мероприятия.
К примеру, у нас был проект в компании MC-Bauchemie. Мы провели аудит, на основании которого потом проходил открытый тендер, не связанный с выбором конкретной платформы. Было понятно, что есть технологические ограничения решений, что будет бурное развитие системы в регионы. Компания понимала, что ей нужно сменить платформу, но не знала, на какую именно переходить. Во время аудита описывались процессы, проблемы в рамках этих процессов, цели руководства. В результате проекта руководство компании получило детальный отчет о том, как в настоящий момент обстоит дело с бизнес-процессами, которые планируется автоматизировать, и создана целевая модель будущих оптимизированных процессов.
Лишь после этого MC-Bauchemie выбрало консультанта, который эти бизнес-процессы автоматизировал на базе связки Microsoft Dynamics AX и «1С: Бухгалтерия 8 КОРП».
Кризис больно бьёт по бюджетам компаний, и многие руководители хотят оптимизировать максимальное количество процессов и сэкономить ресурсы. Аудит дает обоснованные рекомендации по такой оптимизации. Поэтому я уверен, в ближайшее время всё больше компаний будут обращаться к консультантам за этой услугой. Очевидно, что в современных условиях выиграют те, кто инвестировал в развитие компании, в том числе и её технологического фундамента. Аудит в этом смысле может оказаться весьма полезным подспорьем для усиления компании и консолидации всех ресурсов для эффективной работы в будущем.
Материал опубликован на портале Global CIO, декабрь 2016
в Telegram