Определение, принципы, цели и задачи IT-аудита
Как говорится в определении – IT-аудит или аудит информационных систем – это изучение и экспертная оценка всей IT-инфраструктуры компании и отдельных ее частей.
Поскольку в современных компаниях все больше операций автоматизируются, проведение IT-аудита необходимо, чтобы удостовериться, что все связанные с информацией процессы работают должным образом.
Основные цели аудита информационной системы предприятия:
- Оценить эффективность расходуемого на IT-задачи бюджета ( включает в себя анализ затрат на зарплаты специалистов, капитальных затрат (CAPEX) на оборудование(в год), переменных затрат(OPEX) на лицензии, подписки в сервисах, хостинги, сервера итд.
- Оценить эффективность работы IT-отдела, а также общий уровень подготовки кадров.
- Определить места в инфраструктуре и бизнес-процессах, где IT-системы используются недостаточно эффективно, выработать рекомендации по повышению эффективности, перераспределению нагрузки
- Оценить работу систем и процессов, которые обеспечивают безопасность данных компании
- Оценить риски для информационных активов компании, определить методы минимизации этих рисков
- Обеспечить, чтобы все связанные с IT-системой процессы соответствовали законам и стандартам отрасли
- Разработать дорожную карту устранения проблем
Аудит ИТ-инфраструктуры обязательно требуется, если:
- У вас уже есть свидетельства того, что IT-инфраструктура работает плохо, в ней есть слабые места – например, часто “падает” сайт, тормозит база данных 1С, в корпоративную сеть попал вирус.
- Глобально меняется структура компании – например, появились новые подразделения (в том числе удаленные), произошло слияние компаний или поглощение – соответственно, будет меняться IT-составляющая компании. Требуется аудит деятельности, чтобы решить, что оставить как есть, что нужно добавить, от чего, возможно, отказаться. я Это поможет принять решения о централизации определенных сервисов, стандартизации оборудования, общему снижению рисков и удобству администрирования.
- У компании поменялись владельцы или топ-менеджмент и новому руководству необходима актуальная информация о состоянии IT-инфраструктуры, нужно пройти аудит.
- Планируется изменение статуса бизнеса, сертификация по ISO
- Есть необходимость провести IT-аудит – проверить контрагента согласно условиям контрактных/договорных обязательств
- Готовится внедрение новой для компании информационной системы или технологии, к примеру, ERP или CRM-системы, системы документооборота, в таком случае понадобится аудит IT-проекта
Виды аудита IT-систем, что можно и нужно проверять:
Аудит бизнес-процесса и аудит по критерию – это частные случаи целевого IT-аудита, о котором будет сказано ниже.
Технический аудит компьютерных систем, систем управления и оборудования и ПО
Аудит технических систем или компьютерный аудит подразумевает, что будет проведена инвентаризация серверного и сетевого оборудования, рабочих мест, оргтехники, мобильных устройств, установленного программного обеспечения, а также обследование и анализ состояния всего перечисленного. Этот технический аудит позволит понять, какое аппаратное и программное обеспечение у вас в наличии, как оно работает, где могут быть потенциальные точки отказа, как устроена и защищена корпоративная сеть, все ли используемое программное обеспечение лицензионное и достаточно ли текущего количества лицензий.
Аудит систем безопасности
В рамках аудита безопасности компьютерных систем обычно проверяют систему хранения данных и резервного копирования, отказоустойчивость IT-системы, сетевые политики безопасности, разграничение доступа к конфиденциальным данным, защиту системы от взлома извне, защиту от вирусов и спама, систему обработки персональных данных.
Аудит IT-безопасности вовремя обнаруживает уязвимости в системе, помогает выявить и оценить риски.
IT-аудит работы бухгалтерии
При аудите системы бухгалтерского учета и внутреннего контроля исследуется эффективность бухгалтерских систем компании, их соответствие законодательным нормам, правилам, требованиям государственных регулирующих органов. Также может оцениваться квалификация сотрудников, аудит ведения бухгалтерской отчетности и управленческого учета.
Аудит каналов связи, телефонии
Информационный аудит систем связи обычно включает обследование и анализ работы корпоративной телефонии, каналов связи (VPN-тоннелей), почты, мессенджеров.
IT-аудит интернет маркетинга, сайта
В ходе аудита сайта и интернет-маркетинга собираются и изучаются данные из веб-аналитики, отчетов по продажам, рекламных каналов(PPC) и SEO, оценивается конверсия разных маркетинговых активностей. Оцениваются схемы интеграции web-приложений и ресурсов с внутренними системами компании, оцениваются риски ddos атак, блокировки жизненно важных ресурсов компании.
Разрабатываются методики защиты веб-ресурсов, защиты call-центра, оптимизации нагрузки, а со стороны бизнес процессов – может быть построена сквозная аналитика, воронка продаж, предложены улучшения на сайте и в рекламных кампаниях. Внедрены новые методы автоматизации – чат боты, автоматизация распределения чатов, подключен искусственный интеллект для автоматизации обработки типичных запросов.
Способы IT-аудита
Существуют разные методики аудита, рассмотрим некоторые из них:
Экспресс-аудит IT-инфраструктуры
Экспресс-аудит чаще всего выполняется перед какими-либо запланированным проектом изменения IT-инфраструктуры и занимает 2-3 дня. В такую проверку IT-инфраструктуры входит оценка рабочих мест, серверов, сетевого оборудования, установленного программного обеспечения, иногда опрос пользователей.
По результатам услуги аудита делаются выводы, что именно понадобится работы по проекту, какая нужна подготовка, сколько времени он займет и сколько будет стоить.
Комплексный IT-аудит
В ходе комплексного IT-аудита полностью во всех подробностях изучают IT-инфраструктуру компании, абсолютно все IT-процессы в ней, начиная от используемого оборудования и программного обеспечения, заканчивая квалификацией работы IT-персонала.
Кстати, типичная ошибка аудита – доверить проведение IT-аудита собственным сотрудникам, так как они не всегда могут объективно оценивать свою работу. Даже в IT-компаниях IT-аудит, проводимый независимыми экспертами, просто необходим.
В результате комплексного аудита ИТ-систем вы получаете:
- Комплект технической документации, где подробно описано текущее состояние IT-инфраструктуры компании, есть перечень оборудования, схема сети и подобное.
- Рекомендации по возможным улучшениям в IT-инфраструктуре для повышения ее качества и экономичности.
Целевой IT-аудит
В рамках целевого аудита исследуются только отдельные составляющие IT-инфраструктуры, например, это может быть только аудит компьютерной сети, аудит системы управления, аудит системы расчета себестоимости или аудит системы интернет-закупок.
Соответственно, в отчете описывается только эта составляющая и предложения по модернизации, которые ее касаются.
От чего зависит стоимость проведения проверки IT-систем?
На стоимость аудита компьютерных систем влияет масштаб обследования – количество рабочих мест, серверов и т.д., сотрудников аудируемого предприятия, его филиалов. Имеет значение также, насколько детальным и комплексным будет исследование: комплексный IT-аудит на предприятии наиболее дорогой, а вот экспресс-аудит может оказаться даже бесплатным, если системный интегратор проводит его в рамках какого-либо будущего проекта.
Стоимость проверки определяется заранее, до начала работ, на этапе планирования аудита. Она может быть сразу фиксированной и записанной в договоре IT-аудита, или же, если объем работ сложно оценить заранее, устанавливается стоимость часа IT-аудита. Обычная цена для Алматы и Нур-Султана колеблется в районе 30000-50000 тенге, в зависимости от профиля сотрудников, участвующих в аудите.
Результаты аудита, что делать после IT-аудита?
Что является результатами проектов по IT-аудиту? Как уже упоминалось ранее в статье, в результате аудита вы получаете отчет о текущем состоянии всей IT-инфраструктуры (или ее компонента, который проверяли) и предложения по улучшению.
Соответственно, после аудита вам предстоит внедрить эти улучшения или хотя бы запланировать это, перестроить свою IT-инфраструктуру с учетом указанных в отчете недостатков и уязвимостей.
Примеры отчетов
По итогам вы получаете рабочие документы IT-аудита – отчеты, в которых находится:
- Общее описание IT-инфраструктуры
- Инфраструктура бизнес-приложений и сервисов
- Операционная инфраструктура
- Выявленные проблемы и риски (уязвимости, потенциально сбойные участки, неоптимальное использование вычислительных ресурсов и другие выводы из IT-аудита)
- Итоговый отчет по IT-аудиту содержит предложения по устранению недостатков, модернизации и стратегия дальнейшего развития IT-инфраструктуры
Особенности IT-аудитов в IT-компании «WEB-LABS»
- Из особенностей нашей работы в сфере проведения IT-консалтинга в Казахстане и IT-аудитов, в первую очередь мы можем отметить, что у нас уже накоплена масса практического опыта и знаний о том, как должна работать IT-инфраструктура организации, как внедрять в нее что-то новое или модернизировать.
- Все решения, которые мы предлагаем своим заказчикам, проверены нами на практике. А все рекомендации, которые мы дадим по результатам процедуры аудита – это не только теория, наши специалисты могут сами реализовать для вас эти улучшения.