№1(12)(2013)

ІТ-аудит – досить нове для нашої країни явище, яке поки не ввійшло в моду. З’явився він у нас разом з іноземними інвесторами. Взагалі ІТ-аудит є досить специфічним питанням з двох основних причин: по-перше, будь-який аудит проводиться на відповідність чогось чомусь: чи то бухгалтерія законодавству країни, чи ІТ-структура компанії вітчизняним або міжнародним стандартам, таким як ITSM, COBIT тощо (використання даних стандартів на підприємстві пов’язано з довготривалою та досить затратною роботою з модернізації ІТ-структури під згадані стандарти). По-друге, складним залишається питання довіри до компанії, що проводить аудит.

Ці проблеми з часом зійдуть нанівець, адже впровадження міжнародних стандартів стовідсотково виправдане і його ефективність перевірена не однією сотнею підприємств у всьому світі. Єдине, що затрати часу та коштів на повне втілення стандартів можуть собі дозволити лише великі компанії – для дрібних ці зміни будуть не дуже помітні щодо ефективності, але досить суттєво позначаться у фінансовому плані. А питання довіри зникне, коли на наш ринок вийдуть підприємства зі світовим іменем чи українські зароблять собі репутацію на вітчизняному ринку або, можливо, навіть за кордоном. Сьогодні не потрібно боятись проведення ІТ-аудиту, я б навіть сказав, що необхідно дати шанс нашим компаніям проявити себе, довести власну кваліфікованість, надійність та продемонструвати ефективність змін за рекомендаціями проведеного аудиту.

Вперше думка про аудит виникає тоді, коли міняється директорат всього підприємства, коли в компанію приходить новий ІТ-директор, чи керівництво має сумніви щодо доцільного використання коштів ІТ-департаментом, або компанія на шляху злиття чи поглинання. Найчастіше саме в таких випадках висновки аудиту матимуть максимальну вагу. Що нам дасть аудит? Найперше і найголовніше – це погляд ззовні людей, для яких є один єдиний пріоритет – ефективність, адже вони не знають, що заміна, наприклад, програмного забезпечення спричинить невдоволення відділу аналітики і тоді до керівництва дійде звіт із максимальною ефективністю без будь-яких відхилень на особисті стосунки та побажання, тобто голі дані без сентиментів. Маючи в руках інформацію про всі аспекти ІТ-структури, керівництво може вірно оцінити переваги від впровадження тих чи інших проектів чи навпаки відмовитися від деяких з уже втілених (застарілих або таких, що після зміни бізнес-процесів не дають користі підприємству чи вона менша собівартості підтримки цих процесів) і разом із тим, врахувавши всі моральні, матеріальні та інші аспекти, вирішувати питання про впровадження проектів, найм нових працівників, звільнення вже існуючих чи, можливо, реорганізацію окремих підрозділів.

Для нових директорів аудит дає змогу не стільки одразу перейти до дій із вдосконалення структури, скільки ознайомитись із нею, більше зрозуміти, за які ділянки хто з працівників відповідальний – так би мовити, оцінити те, що маємо, і вже згодом міняти структуру під себе. Також досить важливим аспектом проведення аудиту є питання захищеності ІТ-інфраструктури компанії від зовнішніх та внутрішніх загроз, відказостійкість від стихійних лих чи виходу з ладу окремих критичних вузлів. Маючи на руках дані такого аудиту, можна сміливо вимагати від керівництва кошти на додаткове обладнання. Відповідно, керуючому буде зрозуміло, на які потреби виділяються гроші чи, наприклад, де саме в системі безпеки збереження даних компанія помилилася та сприяти якнайшвидшому вирішенню проблем. Таким чином, після аудиту ми отримуємо перелік недоліків у нашій структурі та рекомендації щодо їх вирішення. Наголошую, що саме рекомендацій, адже аудитори не знають і не можуть знати всі підводних каменів, тому їх висновок не можна вважати керівництвом до дій.
Але виникає ще одне питання. Сподіваюсь, ми здійснюємо аудит робочої структури, тому як би там не було, але наші спеціалісти виконували свою роботу та вирішували поставлені задачі впродовж декількох років, а тут з’являються аудитори і починають розповідати, що в нас не так… Як переконатися в тому, що зроблені висновки дійсно вірні та не написано щось зайве, аби, так би мовити, відбити кошти за проведений аудит?

На даному етапі становлення українського ІТ-аудиту це питання є дуже гострим. Добре, коли у вас є знайомий чи принаймні знайомий знайомого, який має якесь відношення до котроїсь із таких компаній, аби хоч трохи підтвердити її компетентність. А в аспекті того, що далеко не всі процеси навіть на великих підприємствах структуровані під міжнародні стандарти, конкретних методик, вимог для проведення аудиту саме в таких ланках ІТ-структури компанії не існує. Вони можуть бути розроблені безпосередньо окремою фірмою-аудитором і використовуватимуться лише для її потреб, і перевірити ефективність таких характеристик аудиту ніяк не виявляється можливим. Єдине, що залишається – це прийняти на віру слова аудиторів. Тому надзвичайно важливим залишається не стільки той факт, якими методиками користується аудиторська компанія в своїй роботі, скільки те, які працівники її здійснюють та які враження про проведений аудит залишилися в попередніх замовників. Як і на будь-якому ринку, що тільки розвивається, надзвичайно велику роль відіграє «сарафанне радіо», адже по суті жодна з фірм не має достатнього банку клієнтів, аби зробити собі ім’я в даній ніші ринку, котре б не потребувало конкретних відгуків від знайомих замовників.

Цікавим та корисним може бути залучення аудиторів як консультантів під час впровадження нового ІТ-проекту. Чим це доречне? По-перше, все тим же поглядом ззовні, як то кажуть, одна голова добре – а дві краще. Нехай такий проект подорожчає на 5-15%, але вже на етапі проектування ми отримуємо зовнішню підтримку аудиторів, чий досвід може в рази перевищувати знання власних працівників. По-друге, виправляти певні недоліки значно краще і менш затратно на початковому етапі, а не після того, коли поверх проблемної ланки виникне ще маса бізнес-процесів, що значно ускладнять переробку первинної структури. В подальшому це може призвести до повного перепланування проекту. Тому 5-15% на першочерговому впровадженні – невелика сума за подальший спокій, це свого роду наше страхування від ризиків, що спричинять помилки в новому ІТ-проекті.

Досить часто зустрічаються випадки, коли до аудиторів звертаються конкретно з проханням вирішити те чи інше питання. В чому вигода від такого аутсорсингу? Найперше, це ціна: аудит обійдеться дешевше аутсорсингу від відомої компанії. По-друге, аудитори нададуть рекомендації (в даному випадку – керівництво до дій), що будуть виконувати вже ваші спеціалісти, і тому будь-які питання щодо забезпечення конфіденційності, які завжди виникають при використанні послуг зовнішніх підрядчиків, а саме ними і є аутсорсери, зникають самі собою. Наприклад, аудитори запропонували зробити додатковий канал зв’язку – і все, на цьому їх знання закінчуються. А вже як саме, тобто яким маршрутом – під чи над землею тягнути лінію або копати траншею – це вже на ваш вибір. І якщо хтось захоче зняти дані з цього каналу, то потрібно буде як мінімум виявити, де він, оскільки максимум, що можна дізнатися від аудиторів, – це дані лише про наявність каналу, в той час як аутсорсерам було б відомо про всі аспекти виконаних робіт.

Взагалі, як і будь-яка перевірка, ІТ-аудит проводиться не від «солодкого життя», а через наявність певних підозр, проблем чи невпевненості, тому здійснення перевірки, як на мене, є вирішенням проблеми. Єдиним фактором утримання, чи, вірніше, відтермінування, даного заходу може бути лише ціна або, можливо, прихід в ІТ-відділ людини, якій керівництво стовідсотково довіряє, тому відбудеться той саме аудит, але вже внутрішніми силами. Можна проводити аудит для профілактики, і це має якийсь сенс, але не думаю, що доцільно витрачати такі кошти. Аудит – це корисний інструмент, який може значно покращити та облегшити життя компанії, потрібно лише використовувати його в потрібних моментах. Адже безпідставна перевірка підірве довіру персоналу до керівництва, що в подальшому може погано відбитися на працездатності колективу та його моральному дусі.