Зачем нужен ИТ аудит

• Понять состояние ИТ инфраструктуры.
• Собрать перечень сервисов.
• Узнать о сервисах, работающих со сбоями.
• Получить рекомендации по инфраструктуре.
• Узнать, как снизить стоимость использования ИТ.
• Оценить уровень нашей компетенции.

Аутсорсинговые компании начинают практическое знакомство с потенциальными клиентами с ИТ аудита. Мы не исключение.

ИТ аудит - процедура, помогающая клиенту понять профессиональную пригодность ИТ специалистов нашей компании обслуживать инфраструктуру.

АВИ Консалт с радостью проведет предпроектное исследование ИТ инфраструктуры, чтобы помочь понять текущую ситуацию, спланировать дальнейшие шаги по развитию и оптимизации сети, а также познакомиться с нашей командой. Если захотите сотрудничать, мы сделаем работу техники отказоустойчивой. Следовательно, убережем от неприятных неожиданностей, связанных с остановкой работы критических сервисов.

Ниже перечислим виды аудита, и дадим полезные советы по выбору обслуживающей компании.

Коммуникативные навыки, живость ума, уровень процессного подхода, качество документации - на это заказчик будет смотреть испытующим взглядом, чтобы решить, готов ли доверить дорогостоящее оборудование и критичные сервисы незнакомым людям.

Нередко клиент принимает решение уже в первые пятнадцать минут общения, т.к. основывается на сравнении уровня специалиста, который перед ним, с теми, которых встречал раньше. Закономерно, что это первое впечатление обманчиво, в силу нескольких нижеуказанных причин.

• Клиенту в прошлом попадались специалисты высокой квалификации, к которым руководитель привык, и испытывал доверие. Но это не значит, что не удастся найти такую же команду, если лучше познакомиться с новичками и оценить их способности.
• Субъективность оценки, вызванная личной симпатией. Приятный психологический портрет исполнителя при встрече не всегда показывает профессионализм остальных сотрудников компании в работе.
• Красноречивый сотрудник отдела продаж убеждает неискушенного заказчика подписать контракт. При этом качество услуг отличается от качества продаж в худшую сторону.
• Сниженная цена соблазнительна. Но нужно не забыть проверить, какой состав услуг при этом продается.

Для этого заказчик должен понимать, из каких этапов и процедур состоит процесс ИТ аудита, и что получится на выходе. Тогда просто посмотрев на то, как новоявленные специалисты выполняют аудит, делается вывод, стоит ли доверять сторонней компании функции жизнеобеспечения.

Для полного понимания скажем, что ИТ аудит - сложный процесс, который подразделяется на много видов, и в зависимости от контекста применения выглядит каждый раз иначе. Сузим обсуждение, и оставим для рассмотрения пример, когда клиент заказывает аудит у сторонней компании.

Аудит на верхнем уровне сводится к простой формуле:

• Сбор информации (интервьюирование, анкетирование, документирование).
• Непосредственный анализ (обследование оборудования, ПО, анализ процессов).
• Подготовка рекомендаций.
• Составление отчета.

Каждый из этапов, в зависимости от ситуации, или сложившейся практики, реализуют разными способами. Но в большинстве случаев присутствуют все этапы, вне зависимости от вида аудита. Рассмотрим варианты внешнего аудита, которые часто встречаются в нашей сегодняшней действительности.

Экспресс ИТ аудит

Это наиболее распространенный на российском рынке вариант ИТ аудита. Проводится аутсорсинговыми компаниями перед принятием на обслуживание компьютерной техники у малого и среднего бизнеса. Инициатором выступает владелец или топ менеджер компании, который для оценки предстоящих ежемесячных расходов устраивает своеобразный тендер. В ходе такого аудита заказчик оценивает квалификацию исполнителя, и может в режиме онлайн принять окончательное решение. Критерии выбора - стоимость, названная исполнителем, и уровень продемонстрированных навыков.

Такой аудит характерен отсутствием документации, общение происходит на словах, продолжительность составляет от одного до нескольких часов. Как и любой аудит, экспресс вариант состоит из обязательных этапов, отсутствие которых озадачивает заказчика, и вызывает сомнения в компетентности аудиторов. Первым делом технические специалисты со стороны исполнителя выясняют, «как все устроено», т.е. составляют перечень сервисов, узнают о работающих со сбоями. Затем исполнитель приступает к непосредственному осмотру техники, серверного, сетевого оборудования, рабочих станций. Плюс экспресс аудита - скорость выполнения. Заказчик уже через считанные минуты получает рекомендации по инфраструктуре, и далее оценивает, насколько эти рекомендации адекватны. Специалист обратит внимание на критичные потенциальные риски и проблемы безопасности.

Наиболее распространенные проблемы в сегменте малого и среднего бизнеса:

• антивирусная безопасность;
• безопасность систем банк-клиент (интернет-банкинга);
• резервирование оборудования;
• административный доступ пользователей.

Если знаете об этих проблемах, но в результате экспресс аудита специалисты не акцентировали на них внимание, то появляется причина насторожиться. Профессионал дает потенциальному клиенту рекомендации по оптимизации инфраструктуры, и с них начинает разговор.

Отдельного упоминания требует соответствие инфраструктуры стандартам. У каждой обслуживающей компании они различаются, но, если их нет, это как минимум подозрительно. Стандарт включает в себя должный уровень безопасности и отказоустойчивости. Аутсорсинговые компании настаивают на приведении инфраструктуры к стандарту без дополнительной оплаты со стороны клиента.

Завершающим этапом аудита будет коммерческое предложение на постоянное обслуживание. Продвинутые компании предоставляют информацию о том, как рассчитывается стоимость обслуживания в разрезе сервисов и оборудования. Сегодня расчет стоимости абонентского обслуживания у многих компаний автоматизирован, и на сайтах присутствуют калькуляторы для приблизительного расчета. Заказчик может сравнить стоимость, рассчитанную на калькуляторе , с заявленной по результатам аудита. Также может оценить стоимость предложений различных компаний на виртуальном рынке. Если стоимость сильно отличается, запрашивают разъяснения от исполнителей.

Объективно ситуация возможна, но на то необходимы веские причины:

• наличие специализированного ПО;
• большое количество виртуальных машин;
• особые условия предоставления сервиса.

Помимо предложения постоянно обслуживать клиента, хорошая компания по результатам аудита порекомендует также проект по оптимизации инфраструктуры, для устранения обнаруженных недостатков. Расскажем о маленькой хитрости, уменьшающей стоимость ежемесячного обслуживания. В компаниях малого и среднего бизнеса обслуживать ИТ поручают студентам, привлекают знакомых и друзей владельца или администратора, когда еще не решено перейти к ИТ аутсорсингу. Инфраструктура, которая получилась в результате таких действий, не экономная в дальнейшем. Стоимость использования отягощает бюджет компании. Но бизнес хочет сократить издержки, в том числе на обслуживание ИТ. Перед подписанием договора на абонентское обслуживание, или в первые месяцы сотрудничества заказывают у ИТ компании разработку проекта по оптимизации инфраструктуры, нацеленный на удешевление ежемесячных ИТ услуг. Уже через год обслуживания получают серьезную экономию на стоимости абонентских услуг, которая наверняка окупит издержки на реализацию проекта.

Целевой ИТ аудит

Даже у солидной фирмы со временем возникает неразрешимая проблема. И когда никто из сотрудников не справляется с задачей, приходит время обратиться к аутсорсинговой или ИТ компании. Целевой аудит характерен тем, что помогает решать локализованные проблемы или конкретные задачи. Т.е. если происходит поломка или хроническая проблема, с которой хотите разобраться раз и навсегда с полным пониманием причин, последствий, вариантов решений, то заказывают целевой ИТ аудит. Сфер применения этого варианта аудита великое множество. Ниже перечислены те немногие, которые применимы на ИТ рынке сегодня.

• Обновление оборудования (апгрейд железа).
• Оптимизация работы сервисов.
• Производительность офисного программного обеспечения, информационных систем, баз данных.
• Аудит лицензий.
• Мониторинг отказоустойчивости.
• Системная интеграция.
• Улучшение работы ИТ подразделения.
• Внедрение информационных систем.
• Автоматизация бизнес процессов.

Преимущество целевого аудита - низкая стоимость проведения по сравнению с полным аудитом. При этом клиент платит за решение проблемы, не за выявление, как в случае экспресс аудита. Компания заказчик получает комплексное решение, обширные консультации, и документацию по решенной проблеме. Клиент работает самостоятельно при повторном возникновении аналогичных неполадок.

Важный момент целевого аудита - полная документированность процедуры. В крупных проектах составляют план мероприятий со сроками, этапами, указанием лиц, отвечающих за выполнение. Исполнитель опрашивает представителей заказчика, что тоже документируется и прилагается к результатам.

Затем начинается этап непосредственного анализа. Здесь исполнитель применяет специальные знания, которые нелегко формализуются, требуют интеллектуального подхода. Высокий уровень формализации свидетельствует о серьезности подхода ИТ компании. Если исполнители не первый раз работают в предметной области, у них под рукой подробные списки возможных рисков, наборы стандартов (собственные, российские или международные) для выявления отклонений, чек листы и протоколы для фиксации показателей.

Сегодня ИТ аудит выполняют, не вставая из-за стола, за считанные часы, клиент не знает, сколько человек причастно к аудиту, и где люди физически живут. Чтобы заказчик получил подробности по аудиту, запрашивают операционную документацию или дистанционную консультацию. Рекомендации и отчет, конечно же, необходимые составляющие целевого аудита, т.к. представляют конечный результат для заказчика. Отчет оформляют документально, на бумажных и цифровых носителях информации, по нему заказчик судит о качестве аудита. Если в отчете слабо акцентирована цель аудита, исполнитель применил сомнительный аналитический инструментарий, отсутствуют рекомендации, выводы не коррелируют с аналитическим разделом или не мотивированы, то у потребителя такого продукта возникнут резонные сомнения в ценности приобретения.

Полный ИТ аудит

Еще называется комплексным. Это дорогостоящий вариант аудита, который чаще заказывают представители среднего и крупного бизнеса. Применяется как часть полного аудита компании, или с целью внесения изменений в работу отдельного ИТ подразделения. В силу того, что процесс многосторонний и сложный, качество проведения полного аудита гарантировано только при следовании наработанным международным практикам и действующим стандартам.

Признанный авторитет в области стандартизации проведения ИТ аудита - международная Ассоциация по аудиту и контролю информационных систем (ISACA), которая выпустила исчерпывающие и современные публикации по проведению ИТ аудита «IT Assurance Framework» и «Cobit 5 for Assurance». Следование стандартам и профессиональный менеджмент послужат залогом успеха аудита.

Рассмотрим направления, на которые распространяется комплексный ИТ аудит:

• информационные системы;
• технологическая инфраструктура;
• ИТ-подразделение.

На выходе руководство компании получает информацию о том, насколько ИТ инфраструктура соответствует стандартам (критериям), какие риски присутствуют, а также рекомендации по устранению недостатков.

Начните с первоначального бесплатного ИТ аудита!

Добрый день!

Я хотел бы осветить вопрос соблюдения требований к управлению ИТ отдела в рамках внешнего финансового аудита компании. Цель статьи заключается не в описании сопутствующих законов, а в их конкретном влиянии на управление ИТ отдела.

Вероятно, многие из вас уже сталкивались с этими требованиями в виде либо каждодневной рутины, либо авралов в конце календарного года (больше склоняюсь ко-второму), но лично я, кроме упоминаний таких понятий как SOX, HIPAA, SAS 70 (заменен на SSAE 16) и ITGC, не встречал сколько-нибудь исчерпывающего описания этого вопроса.

Не так давно, в рамках своей работы я подготовил презентацию для новых сотрудников, которая дает минимальное представление об этом виде деятельности нашей фирмы. Собственно говоря, сама презентация и сподвигла меня на написание данной статьи. Здесь я хочу заметить, что мой опыт работы на территории стран СНГ весьма ограничен – я больше работаю с международными компаниями.

Если вас интересует данный вопрос, добро пожаловать.

Вступление

У каждого из вас может возникнуть вопрос, каким образом это касается компании, где вы работаете? В случае если компания котируется на фондовом рынке в США, либо является дочерней для одной из таких компаний, необходимо создать внутренний механизм контроля за работой ИТ отдела. Разумеется, что необходимо создание подобного механизма и в других отделах, но здесь я повторюсь, что целью данной статьи является ИТ отдел.

Итак, каким образом создается такой механизм контроля? Как правило, компания обращается к консалтинговой фирме, которая выступает представителем этой компании в переговорах с аудиторской фирмой, причем в роли консультанта может выступить и другая аудиторская фирма. Консалтинговая компания использует свои наработки, подгоняя их в той или иной степени под каждую конкретную компанию.

Что же это за наработки? По сути, это обычная таблица в Excel, содержащая риски и контроли, скомпонованные по темам, которые я опишу в дальнейшем. Откуда взялись эти риски и контроли? В зависимости от степени самоотверженности сотрудников консалтинговых фирм, начиная с тщательного изучения различных стандартов (COBIT, ITIL, COSO), их последующего анализа и построения своей собственной «библиотеки» рисков и контролей, и заканчивая простым плагиатом, как правило, бывшими сотрудниками крупных фирм, отправившимися в свободное плавание.

Процесс аудита ИТ отдела можно разделить на два отрезка времени. Первый, как правило, протекает поздней весной либо в начале лета, он включает в себя описание ИТ процессов и контролей (заполнение матриц) и требует предоставить минимум один документированный пример для каждого ключевого контроля. По своему опыту могу заявить, что этот этап чрезвычайно важен для самого ИТ отдела – при отсутствии тщательной проверки описанных ИТ процессов и контролей, возможные неточности могут дорого обойтись в будущем. Вторая часть аудита выпадает на осень, и включает в себя тестирование всех ключевых контролей посредством сбора документации по этим контролям.

Здесь требуется небольшое объяснение разницы между обычным и ключевым контролем: обычный контроль вносится в матрицу в виде описания, ключевой же, помимо описания, необходимо протестировать. Как узнать, где необходимо предоставить документацию по контролю, а где можно ограничиться всего лишь упоминанием? Никак. Это обговаривается между посредником и аудитором, на основании размера компании, результатов первой части аудита и т.д. Вместе с тем, по большинству из приведенных ниже контролей, необходимо предоставить документацию.

Перед началом описания процесса аудита я хотел бы упомянуть тему приказов и процедур – необходимо задокументировать все ключевые рабочие процессы ИТ отдела. Эти документы должны быть утверждены руководством компании, периодически пересматриваться и обновляться в случае существенных изменений в процессах либо технологиях.
И еще одно замечание: по возможности предоставляйте списки в формате Excel – этим вы облегчите жизнь и аудиторам, и себе (повторные требования с просьбами предоставить то же самое, но в другом виде могут заставить вас понервничать).

Перейдем к описанию контролей. Таблица рисков и контролей подразделяется на три части:
1. Логический и физический доступ
2. Эксплуатация информационных систем
3. Управление изменениями в информационных системах
Четвертая часть, «Разработка информационных систем», как правило, проверяется в рамках управления изменениями, поскольку фокусируется на документировании изменений.

Логический и физический доступ

1. Администраторы систем – здесь требуется предоставить список администраторов в каждой системе, включая сеть компании (Administrators, Domain, Enterprise и Scheme Admins) и базы данных. Список должен быть либо экспортирован из системы, либо предоставлен в виде скриншотов, причем первое предпочтительнее.
Для каждого сотрудника с правами администратора системы должен существовать приказ по утверждению. Также необходимо знать каждую сервисную учетную запись с аналогичными правами.

2. Права доступа сотрудников – проводится тестирование нескольких подпунктов:
a. Сотрудники, начавшие работу в тестируемом году – требуется предоставить список таких сотрудников, проще всего из бухгалтерской программы (исходя из факта, что нет сотрудника, который не получает зарплату).
b. Сотрудники, закончившие работу в тестируемом году – аналогично, список таких сотрудников.
c. Сотрудники, сменившие должность – список сотрудников.
d. Дополнительно следует предоставить полные списки пользователей во всех системах, включая сеть компании и базы данных
По запросу аудиторов (полный список либо выборка), следует предоставить заполненные и заверенные бланки найма и увольнения сотрудников.
Будет проведена перекрестная проверка данных: есть ли сотрудники, получившие права доступа к каким-либо системам без соответствующего разрешения, есть ли уволенные/уволившиеся сотрудники с открытыми правами доступа, есть ли неиспользуемые открытые учетные записи (вход в систему больше 90-180 дней назад).
Так же проверяется выполнение ежегодной процедуры ревизии прав пользователей – необходимо предоставить заверенный список пользователей и их прав в каждой системе. Кстати, с помощью этой проверки можно обнаружить не закрытые вовремя учетные записи уволенных/уволившихся сотрудников.

3. Права удаленного доступа – необходимо предоставить список всех сотрудников имеющих право на удалённый доступ. Так же может проверяться выполнение процедуры ревизии списка сотрудников в рамках ежегодной процедуры ревизии прав пользователей. В случае если в AD существует отдельная группа с данными правами – готовьтесь к дополнительной перекрестной проверке.

4. Права для локальной установки программ – желательно, чтобы ни один сотрудник не был локальным администратором на своем компьютере.

5. Внешние подключения – желательно заблокировать CD-ROM, USB-порты, LAN-розетки и Wi-Fi-точки. Плюс использовать систему слежения и оповещения за подключениями.

6. Политика паролей – необходимо предоставить скриншот экрана настроек пароля для всех систем, а также AD. Минимальные требования к паролю:
a. длина минимум 8 символов
b. использование различных символов
c. смена пароля максимум через 90 дней, минимум через день
d. сохранение истории паролей минимум 5 поколений, либо год
e. отсутствие возможности восстановить пароль
f. блокирование учетной записи максимум после 5 неправильных попыток
g. разблокирование учетной записи администратором сети (желательно не использовать автоматический сброс блокировки)
Также будет проведена проверка даты последней смены пароля в AD у всех учетных записей.

7. Межсетевой экран – скриншот версии FW, списка администраторов FW, списка рассылки предупреждений. Также могут потребовать заверенную периодическую проверку правил в FW. В особо тяжелых случаях просмотрят лог или потребуют документ, удостоверяющий (!), что такая проверка выполняется.

8. Антивирус – скриншот версии AV, списка рассылки предупреждений, экрана настроек обновлений сервера AV и клиентов.

9. Безопасность ноутбуков – довольно редко (пока еще) требуют предоставить список сотрудников с ноутбуками. Шифруются ли жесткие диски, если да, то каким образом.

10. Управление чрезвычайными происшествиями – каждая компания должна вести список таких происшествий (попытки взлома сети и т.д.). Желательно передавать ежеквартальные отчеты вышестоящему руководству.

Эксплуатация информационных систем

1. Резервное копирование данных – одна из основных проверок в этом разделе.
Следует предоставить скриншот версии программы бэкапа, списка рассылки статуса выполнения заданий, а также экрана настроек бэкапа. Поскольку, как правило, каждая финансовая система устанавливается на свой виртуальный сервер, да и требования к бэкапу могут быть разными (полный, дифференциальный, инкрементальный), потребуется соответствующее количество скриншотов. Непрерывность процесса резервного копирования проверяется просмотром логов, поэтому необходимо хранить логи бэкапа за три предыдущих месяца, а еще лучше - за весь тестируемый год. Здесь ищутся проблемы с бэкапом систем, длящиеся больше 2-3 дней. В таких случаях следует сохранять отчеты вышестоящему руководству, хотя бы в виде сообщений по электронной почте.

2. Проверка восстановления данных – необходимо предоставить логи восстановления данных с кассет. Опытный аудитор не ограничится несколькими документами с файлового сервера, поэтому желательно выполнять восстановления баз данных и финансовых систем.

3. Кассеты для резервного копирования – политика круговорота и перезаписи кассет должна отвечать следующим правилам:
a. ежедневные кассеты должны храниться минимум две недели
b. недельные кассеты – минимум месяц
c. месячные кассеты – минимум год
d. годичные кассеты – минимум семь лет
Кассеты необходимо хранить в огнеупорном сейфе, как минимум не в серверной комнате, а лучше в другом здании. Соответственно, необходимо иметь список всех сотрудников с доступом к сейфу.

4. Доступ в серверную комнату – следует предоставить заверенный список сотрудников с доступом в серверную комнату. Необходимо вести журнал посещений, а сделать это посредством установки специализированной системы контроля доступа. На мой взгляд, достаточно обычной системы доступа по личным удостоверениям (ID tag). Я бы посоветовал периодически просматривать журнал посещений – в некоторых случаях, вам может открыться интересная картина.

5. Контроль окружающей среды в серверной комнате – наличие датчиков дыма, огня, затопления, независимая система кондиционирования (от близлежащих помещений), наличие UPS и генератора, список сотрудников, получающих уведомления в экстренных случаях.

6. Резервный ДЦ – расстояние от головного офиса, способ передачи данных, наличие плана BCM/DRP (ИТ отделу следует обратить внимание на вторую часть плана), осуществление ежегодных (как минимум) учений по плану.

7. Пакетная обработка данных – здесь подразумевается автоматическая обработка данных (как правило, выполняющаяся в ночное время), не требующая вмешательства операторов. Необходим список всех сотрудников с правами изменения настроек, список рассылки статуса выполнения обработки данных. Также могут потребовать предоставить лог и исследовать его на предмет ошибок, как в случае с бэкапами.

8. Интерфейсы – в принципе взаимосвязано с предыдущим пунктом, но все же упомяну этот контроль. Желательно иметь схему интерфейсов всех финансовых систем (не только между ними, а к ним и от них).

9. Решение проблем инфраструктуры – здесь подразумевается внутренний колл-центр для регистрации и последующего решения всех возникающих в компании проблем, в той или иной степени связанных с информационными системами и инфраструктурой (упал сервер, отключили электричество, не работает мышь, две кнопки «Пуск» и т.д.). Управление чрезвычайными происшествиями из предыдущего раздела может осуществляться в рамках этого контроля.

Управление изменениями в информационных системах

1. Рабочие среды – очень просто: для каждой финансовой системы предоставить скриншоты как минимум трех рабочих сред – разработки, тестирования и боевой. Для вышеупомянутых случаев, достаточно двух последних скриншотов (да-да, даже для коробочной версии должна быть среда тестирования).

2. Доступ к рабочим средам – списки учетных записей для каждой среды, список имен разработчиков и тестировщиков. Выполняется уже известная нам перекрестная проверка, смысл которой заключается в следующем: разработчикам и тестировщикам запрещен доступ в боевую среду, обычным пользователям запрещен доступ ко всему, кроме боевой среды. Если версия коробочная, достаточно списков к тестируемой и боевой средам. Это весьма проблематично сделать в компаниях малых и средних размеров, поэтому аудиторы идут на некоторые компромиссы.

3. Процесс переноса изменений – в идеале, сотрудник, отвечающий за перенос изменений из тестируемой среды в боевую, не имеет отношения ни к разработке, ни к бизнес-процессам. Опять-таки, в этом случае аудиторы тоже могут пойти на компромисс.

4. Изменения – необходимо предоставить список всех изменений в финансовых системах, внедренных в тестируемом году. Не было таких? Значит скриншот папки с установленной системой, с файлами, упорядоченными по дате изменений. Ну, а если были, то будет вам выборка с просьбой предоставить следующую документацию:
a. Запрос на изменения от пользователя – специальные бланки, либо письмо по электронной почте.
b. Техническое задание для изменения – в зависимости от типа изменения (добавить поле в бланке либо разработать модуль с нуля) будет требоваться документация - от обычного письма с описанием изменения до полноценного многостраничного документа, заверенного подписями всевозможных начальников и руководителей.
c. Тестирование изменения – тест-кейсы с чек-листами и разрешение пользователя, что данное изменение удовлетворяет его запросу.
d. Разрешение на перенос изменения в боевую среду – за подписью руководителя, ответственного за разработку в данном направлении.

5. Управление критическими изменениями – по большому счету не отличается от предыдущего пункта. Единственное отличие – критические изменения обычно происходят без документации, поэтому важно получить все документы ретроактивно, и сохранить на будущее.

Вот вы и закончили сбор всей необходимой документации, что же делать дальше? Аудитор запросит у вас собранные документы и проведет их анализ. По некоторым контролям будут запрошены дополнительные документы, поскольку аудитору необходимо сохранять независимость от внутренних проверок (вдруг у вас есть только 10 запросов на открытие учетных записей для новых сотрудников, хотя самих сотрудников больше 50-ти; или вы стерли со скриншота группы администраторов домена учетную запись генерального директора). А дальше таблица рисков и контролей будет заполнена результатами тестов и представлена на обсуждение руководителю ИТ отдела и финансовому директору компании (поскольку он несет ответственность за финансовую отчетность).

Заключение

На мой взгляд, это описание в достаточной мере дает представление о процессе внешнего аудита ИТ отдела, но я думаю, что главный вопрос заключается в следующем: можно ли самостоятельно подготовиться к внешнему аудиту ИТ отдела, не прибегая к помощи посредников? На основании своего опыта, я заявляю, что можно, хотя это и требует приложить определенные усилия, но в конечном итоге позволит ежегодно сэкономить приличную сумму. Вместе с тем, если вы готовитесь к аудиту впервые и не уверены в своих силах и знаниях, я все же порекомендовал бы нанять хорошую консалтинговую фирму. Правда, желательно выделить одного сотрудника для помощи в подготовке к аудиту, чтобы в дальнейшем он взял на себя эту обязанность.

Надеюсь, представленная информация будет полезна как непосредственно принимающим участие в аудите, так и более широкой публике.
С радостью отвечу на все возникшие вопросы.

Проведение комплексного аудита позволяет получить наиболее полную, систематизированную и достоверную информацию о состоянии ИТ-инфраструктуры заказчика. Проведение аудита необходимо для оценки ИТ, принятия решений, прогнозирования развития ситуации, управления ИТ.

Когда (в каких случаях) эта услуга востребована?

1. Приобретение бизнеса, либо объединение предприятий (формальное, или неформальное) в холдинговою структуру. Возникает необходимость интеграции ИТ-инфраструктуры купленной компании с собственной инфраструктурой. Проведение независимого аудита позволит снизить затраты и ускорить сроки проведения работ по интеграции.
2. Перед проведением модернизации ИТ-инфраструктуры предприятия. Необходимо оптимизировать затраты на модернизацию и выработать стратегию развития.
3. Когда рост бизнеса опережает развитие ИТ . В этом случае наблюдается отсутствие, либо недостаток у руководства предприятия управленческой информации о составе и состоянии ИТ-инфраструктуры.
4. Если ИТ-инфраструктура работает неудовлетворительно на данный момент. Проведение аудита - это самый оптимальный способ выявить проблемные места инфраструктуры и получить необходимые рекомендации по их устранению

Какие преимущества эта услуга дает заказчику?

1. Упрощение модернизации ИТ-инфраструктуры за счет получения наиболее полной и актуальной информации об имеющихся ИТ-ресурсах.
2. Получение оценки затрат по модернизации ИТ-инфраструктуры. Знание отражаемых в отчетной документации степени необходимости и прогнозируемых объемов работ, позволяет заказчику принимать обоснованное решение.
3. Повышение эффективности использования имеющихся ИТ-ресурсов, после учета результатов аудита, и минимизация бизнес-рисков, связанных с использованием информационных технологий.
4. Повышение управляемости ИТ предприятия. Руководство получает необходимую управленческую информацию, необходимую для принятия решений, прогнозирования развития ситуации, управления ИТ. Возрастает эффективность работы ИТ-службы предприятия, сокращается время простоев и количество нештатных ситуаций.
5. Получение практических рекомендаций по используемым технологиям, оборудованию и его настройкам. Все рекомендации связаны с конкретными проблемами, обнаруженными при проведении аудита, поэтому реализация каждой рекомендации приносит исключительно пользу для компании.

Аудит информационной безопасности можно проводить как силами штатного персонала (внутренний аудит), так и привлекая независимых специалистов (внешний аудит). Ценность внешнего аудита информационной безопасности для потенциальных клиентов заключается в следующем:

1. Аудит представляет собой независимое исследование, что повышает степень объективности результатов.
2. Эксперты, проводящие аудит, имеют более высокую квалификацию и больший опыт подобной работы, нежели штатные сотрудники организации.
3. Дешевле поручить выполнение работ по аудиту специализированной организации, чем организовывать их самостоятельно.

Описание услуги

Проведение комплексного аудита включает три основных этапа:

• Сбор данных

Постановка задачи и уточнение границ работ

На этапе постановки задачи проводятся организационные мероприятия по подготовке проведения аудита:

• Уточняются цели и задачи аудита
• Формируется рабочая группа
• Подготавливается и согласовывается техническое задание (ТЗ) на проведение аудита

Иногда для проведения аудита необходим доступ к информации, которую заказчик считает конфиденциальной. В этом случае параллельно с ТЗ разрабатывается соглашение о конфиденциальности и организуется взаимодействие со службой безопасности заказчика.

Сбор данных

На этом этапе проводят интервьюирование персонала заказчика, осмотр и инвентаризацию оборудования, сбор конфигурационной информации. Детальный перечень выполняемых работ определяется в ТЗ на аудит.

Выполняется обследование всех технических и организационных составляющих ИТ-инфраструктуры:

• Оборудование — аппаратное обеспечение, создающие и поддерживающие информационные технологии: сетевое оборудование, сервера и рабочие станции, системы хранения и др.;
• Средства поддержки — вспомогательные ресурсы, оборудование, помещения, необходимые для поддержки функционирования ИТ-инфраструктуры;
• Технологии — операционные системы, системы управления базами данных, интеграции приложений и прочее;
• Приложения — прикладное программное обеспечение, используемое в работе предприятия;
• Данные — в самом широком смысле - документооборот, внешние и внутренние, структурированные и неструктурированные, справочная, мультимедийная и др.;
• Трудовые ресурсы — персонал, его навыки: исследуются навыки, понимание задач и производительность их работы.

По окончании этапа сбора данных компания, проводящая аудит, владеет набором документов, детально описывающих ИТ-инфраструктуру.

Анализ данных и подготовка отчета

На этом этапе выполняются следующие работы:

• проверка и анализ собранных данных
• подготовка эксплуатационной документации
• выработка рекомендаций
• подготовка отчета об аудите

Проводится проверка собранных данных на полноту и корректность, анализ полученной информации, формирование выводов и рекомендаций, оформление и презентация результатов. В ходе анализа может быть принято решение о сборе дополнительных данных.

На основе собранных данных подготавливается эксплуатационная документация, содержащая детализированные данные об ИТ-инфраструктуре предприятия. Вырабатываются рекомендации по улучшению качества работы и повышению эффективности функционирования ИТ-инфраструктуры

Аналитический отчет является основным отчетным документом об аудите. Он включает описание текущего состояния ИТ-инфраструктуры,эксплуатационную документацию, перечень обнаруженных проблем, рекомендации по модернизации и развитию ИТ-инфраструктуры.

Этап завершается передачей заказчику разработанных документов.

Результат

Результатом аудита является создание пакета документов, содержащего детализированные данные об ИТ-инфраструктуре, а так же рекомендации по улучшению качества работы и повышению эффективности функционирования.

Основным отчетным документом является отчет об аудите. Его структура, как правило, согласуется еще на этапе разработки ТЗ. Он включает описание текущего состояния ИТ-инфраструктуры, выводы о соответствии ИТ-инфраструктуры решаемым задачам, рекомендации по модернизации и развитию.

ИТ-аудит серверного ландшафта «Автотрейд-АГ»

Заказчик

«Автотрейд-АГ» продает и обслуживает легковые, коммерческие и специализированные автомобили марки Volkswagen с 1998 года. Входит в TOP-10 лучших дилеров России и регулярно получает награды за качество работы от Фольксваген Груп Рус.

Ситуация

• Особенность работы компании - круглосуточный сервис для клиентов (24/7).
• ИТ-инфраструктура предприятия, поддерживающая его бизнес-процессы, должна работать идеально, без сбоев.
• Для дилера Volkswagen особенно важна безопасность работы с информацией корпоративных заказчиков.

Причины выбора ИТ-партнера

• Специализация ALP Group на услугах ИТ-аудита и ИТ-аутсорсинга.
• Высокая оценка компанией-исполнителем роли ИТ на предприятии.
• Сильные компетенции в части сред виртуализации.
• Опыт работы с ИБ-решениями от ведущих мировых вендоров.

Сроки и работы

• 10 рабочих дней.
• Тщательная проверка ИТ-инфраструктуры (серверное оборудование, СХД, локальная сеть, Active Directory, среда виртуализации, почтовый сервис, «1С» и др.) на соответствие актуальным требованиям к производительности, масштабируемости, емкости и доступности.
• Тестирование системы на устойчивость к возможным отказам и сбоям.
• Анализ подходов клиента к выбору, установке, использованию и обслуживанию современных высокотехнологичных решений.
• Исследование степени сохранности данных в случае их повреждения; выработка способов предотвращения несанкционированного доступа к важной информации.

Главные результаты ИТ-аудита

• Детальные рекомендации по трем ключевым для клиента направлениям: нормализация ИТ-инфраструктуры, реорганизация критичных для бизнеса сервисов, рекомендации, связанные с дальнейшим ростом уровня информационной безопасности.
• Выделение перспективных направлений развития в части ИТ. Выполнив рекомендованные работы, заказчик мог гарантированно рассчитывать на увеличение доступности и отказоустойчивости ключевых для бизнеса сервисов, на сведение к минимуму финансовых рисков, связанных с возможными простоями системы.
• Оптимизация использования имеющихся ресурсов и развитие ИТ-инфраструктуры, способствующее дальнейшему обеспечению непрерывности бизнеса и росту его технологичности.

Оценка работы ALP Group

Юрий Орлов, IT-директор «Автотрейд-АГ»:

• «Фактически, команда ALP Group сформировала для нас подробную и ясную „дорожную карту“, отражающую то, как именно, к какому моменту, с какими ресурсными и финансовыми затратами „Автотрейд-АГ“ сможет сделать ИТ-инфраструктуру полностью отказо- и катастрофоустойчивой. Кроме того, в карте был указан комплекс мер, который поможет нам снизить риск утечек и искажения рабочей информации, возможной потери данных или их нецелевого использования. Поэтому совершенно естественно, что мы продолжили сотрудничество и доверили специалистам ALP Group все работы, связанные с оптимизацией ИТ-ландшафта, реорганизацией критичных для бизнеса сервисов, защитой важной для бизнеса информации и, главное, с дальнейшим развитием компании в части информационных технологий. Хотим особо отметить сильную экспертизу специалистов ИТ-аутсорсинговой компании, их профессиональный подход к делу и высокую клиентоориентированность»

Стоимость

Чтобы узнать точную стоимость комплексного ИТ-аудита серверного ландшафта, проконсультируйтесь, пожалуйста, с нашими специалистами.

ИТ-аудит сетевой и серверной инфраструктуры администрации Смоленской области

Заказчик

Департамент Смоленской области по информационным технологиям.

Проектные задачи

• Анализ и тестирование работы сетевой и серверной инфраструктуры организации.
• Проверка того, как работает платформа виртуализации (VMware vSphere).
• Выработка подробных предложений по устранению обнаруженных отклонений.

Сроки и условия

• 20 рабочих дней.
• На площадке организации-заказчика.

Основные работы

• Тестирование и анализ эффективности использования программно-аппаратных ресурсов и характеристик масштабируемости серверного ландшафта.
• Исследование устойчивости системы к отказам отдельных элементов.
• Выявление недочетов, ошибок и системных проблем ИТ-инфраструктуры.
• Тестирование работы серверного оборудования и оборудования систем хранения данных (СХД), локальной сети и платформы виртуализации.

Причины выбора ALP Group

• Сильные компетенции ИТ-специалистов в части систем виртуализации.
• Специализация ALP Group на ИТ-аудитах (общие, микро-аудиты, непрерывный).
• Наличие успешно реализованных проектов на крупных государственных предприятиях и в органах власти.
• Большой опыт решения сложных технологических и организационных вопросов.

Итоги проекта

• Рекомендации, нацеленные на оптимизацию и развитие ИТ-инфраструктуры по важным для заказчика направлениям:
  1. Развитие и масштабирование системы виртуализации.
  2. Повышение надежности серверной инфраструктуры и СХД.
  3. Общий рост зрелости инфраструктуры.
  4. Дальнейшее развитие процессов управления ИТ-проблемами и изменениями.
• Акцент на положительных аспектах работы Департамента Смоленской области по информационным технологиям:
  1. Правильно выбранные технологии (с учетом необходимости дальнейшего развития органа власти).
  2. Оборудование последнего поколения.
  3. Разумный подход к привлечению внешних ИТ-компаний для выполнения технологически сложных работ по анализу, модернизации и комплексной поддержке существующей инфраструктуры.

Обратная связь от заказчика

Андрей Николаевич Рудометкин, начальник Департамента Смоленской области по информационным технологиям:

• «Департамент рекомендует ALP Group как организационно и методологически сильного партнера в области информационных технологий. Партнера, обладающего глубокой технической экспертизой и большим опытом в реализации сложных технологических задач для государственных структур и организаций»

Стоимость

Чтобы узнать точную стоимость общего ИТ-аудита и анализа работы платформы виртуализации, проконсультируйтесь, пожалуйста, с нашими специалистами.

ИТ-аудит ГК «Омега»



Заказчик

• Группа компаний «Омега» - один из ведущих российских дистрибьюторов запасных частей к грузовикам европейского производства (MERCEDES, MAN, SCANIA, VOLVO, DAF, IVECO, RENAULT). Предприятие работает с продукцией свыше 90 ведущих брендов на рынке автозапчастей.
• География поставок группы охватывает всю территорию России, Беларуси и Казахстана.

Ситуация

• Головной офис, логистический центр и распределительный склад группы компаний находятся в Москве, существует сеть региональных филиалов и розничных магазинов. ГК «Омега» также работает с разветвленной партнерской сетью.
• Бизнес-процессы и информационная система (ИС) обеспечивают заказчику постоянное наличие на московском распределительном складе и в розничных точках более 25 тыс. наиболее востребованных покупателями наименований, быструю доставку запчастей под заказ, отлаженную систему поставок в регионы, работу с запчастями всех ценовых категорий.
• Проанализировать текущее состояние инфраструктуры.
• Выбрать направление развития ИС на длительный период
• Разработать оптимальную систему ее обслуживания.

Масштаб проекта

• Центральный офис: полное обследование.
• Регионы: работы в некоторых типовых филиалах. Это позволит снизить расходы на ИТ-аудит и получить адекватное представление о региональном сегменте информационной системы.

Ключевые работы

• Комплексный аудит ИТ-инфраструктуры ГК «Омега». Анализ состояния серверов, систем хранения данных, сетевого оборудования, сети передачи данных, способов подключения абонентских устройств. Проверка надежности решений, обеспечивающих информационную безопасность.
• Тщательное исследование работы прикладного ПО: систем управления закупками и продажами, бизнес-приложений на платформе «1С:Предприятие».
• Анализ важнейших инфраструктурных сервисов: Active Directory, СУБД, электронной почты, файлового хранилища, сервиса удаленных рабочих столов.

Результаты ИТ-аудита

• Подробная характеристика состояния исследуемых объектов.
• Анализ причин, вызывающих недочеты в работе информационной системы.
• Детальные рекомендации по ключевым направлениям развития инфраструктуры.
• Пошаговые инструкции по модернизации серверного ландшафта.

Влияние ИТ-аудита на бизнес ГК «Омега»

• Получив ответы на основные вопросы, руководство и ИТ-менеджмент компании решили кардинально улучшить ситуацию с ИТ, несмотря на то, что выявленные недочеты достаточно типичны для современных предприятий.
• ALP Group разработала для ГК «Омега» концепцию новой ИТ-инфрастуктуры, которая позволит максимально гибко настроить всю инфраструктуру, быстрее и дешевле обеспечить ее отказо- и катастрофоустойчивость, а также оптимально использовать имеющиеся мощности.

Мнение клиента

Алексей Ширяев, руководитель службы ИТ ГК «Омега»:

• «Хочется отметить высокое качество проведенных ALP Group работ. Системный подход специалистов как к ИТ-аудиту, так и к разработке концепции новой ИТ-инфраструктуры, зрелую техническую, сильную организационную и методологическую базу каждого сотрудника, участвовавшего в проекте. Считаем нужным также поблагодарить ALP Group за постоянное внимание к нашим запросам и проактивный подход к работе. Рассчитываем на продолжение постоянного сотрудничества - уже по схеме ИТ-аутсорсинга. И рекомендуем этого поставщика внешних ИТ-услуг всем компаниям нашего сегмента рынка».

Стоимость

Чтобы узнать точную стоимость ИТ-аудита территориально распределенной группы компаний, проконсультируйтесь, пожалуйста, с нашими специалистами.

Антимонопольный ИТ-аудит для крупных корпоративных заказчиков «Пепеляев Групп»



Заказчик

Юридическая компания «Пепеляев Групп» предлагает корпоративным клиентам полный спектр правовых услуг во всех регионах России, странах СНГ и за рубежом.

Ситуация

• В рамках оптимизации бизнес-процессов крупных предприятий-заказчиков юристы «Пепеляев Групп» проводят целый комплекс работ по антимонопольному аудиту.
• Одна из важных составляющих комплекса – автоматический анализ содержания почтовых сообщений сотрудников, которые глубоко вовлечены в системообразующие процессы крупной компании, приносящие прибыль – в продажи и работу с клиентами (топ-менеджеры, специалисты департаментов продаж и клиентских служб).

Причины выбора ИТ-партнера

• Анализ содержания электронных писем, выявляющий несанкционированную передачу конфиденциальной информации третьим лицам, должен проходить максимально быстро и качественно.
• Антимонопольный аудит должны проводить профессионалы, обладающие соответствующими знаниями и компетенциями в сфере информационной безопасности.

Ключевые работы

• Индексация и анализ заголовков и структуры сотен тысяч сообщений на наличие запрещенных ключевых слов.
• Проверка на наличие в тексте сообщений или во вложенных файлах слов и словосочетаний, запрещенных к использованию в электронной переписке.

Результаты ИТ-аудита

• Передача клиенту выявленных почтовых сообщений, содержащих запрещенные слова и выражения.

Оценка работы ALP Group

Елена Соколовская, руководитель группы по антимонопольному регулированию в «Пепеляев Групп:

• «Неконтролируемость электронной почты дает возможность использовать ее для организации скрытых каналов передачи информации. Причем, передавать можно не только служебные данные (тексты договоров, сведения о планируемых сделках), но и информацию о внутренней сети (структура сети, пароли, системные данные). Это грозит нарушением конфиденциальности и может привести к серьезным последствиям, не только финансовым, но и юридическим. Специалисты ALP Group уже не первый год проводят для наших крупнейших клиентов большую работу, направленную на то, чтобы снизить эти риски. И проводят ее, правильно готовя инфраструктуру Exchange, создавая четкие запросы и получая максимально точный и понятный для нас, как для заказчика, результат. И, что еще важнее, неизменно совершенствуя методологию анализа. Мы рекомендуем ALP Group как профессионалов в области информационной безопасности»

Стоимость

Чтобы узнать точную стоимость антимонопольного ИТ-аудита, проконсультируйтесь, пожалуйста, с нашими специалистами.

Комплексный ИТ-аудит инфраструктуры «Стройсервис-АВФ»

Заказчик

«Стройсервис-АВФ» специализируется на поставках сантехнического и климатического оборудования, подрядных работах по монтажу систем отопления, кондиционирования, водоснабжения, водоотведения и индивидуальных тепловых пунктов.

Ситуация

• Предприятие взаимодействует не только со многими поставщиками, но и с большим количеством заказчиков. Это государственные и муниципальные организации, девелоперские компании, проектные институты, монтажные фирмы, дизайнеры и дизайн-студии, прямые заказчики из разных сфер бизнеса, частные клиенты.
• Бесперебойная работа ИТ-сервисов критически важна для непрерывности бизнеса «Стройсервис-АВФ», строгого соблюдения сроков поставок и монтажных работ, а также для своевременных взаиморасчетов со всеми контрагентами.

Как выбрать исполнителя

Анатолий Николаевич Воронько, заместитель директора по общим вопросам компании «Стройсервис-АВФ»:

• «Выбор подрядчика на сегодняшнем перенасыщенном рынке ИТ-услуг - непростая задача. Это чем-то похоже на выбор хорошего врача. С одной стороны, нужно быть уверенным в его опыте и компетенциях. С другой стороны - в том, что подрядчик будет работать честно, вникнет в цели и задачи заказчика и не станет навязывать услуги, в которых нет необходимости. Для нас таким подрядчиком стала ALP Group, имеющая хорошую репутацию на рынке и массу положительных отзывов от клиентов, получивших эту же услугу. При этом стоит отметить, что услуга, номинально одна, а вот количество и состав работ очень сильно зависят от масштаба и зрелости заказчика»

Проектные задачи для ALP Group

• Проверка существующей конфигурации ИТ-инфраструктуры на соответствие требованиям компании к производительности, безопасности, емкости и доступности сервисов.
• Анализ соблюдения требований со стороны производителей оборудования и программного обеспечения, выработка предложений по устранению обнаруженных отклонений.
• Профессиональная помощь в составлении технической документации. Такие документы необходимы для качественной работы внутренней ИТ-службы «Стройсервис-АВФ» и быстрой передачи дел в случае ротации кадров.

Сроки и особенности проведения ИТ-аудита

• 10 рабочих дней.
• На основе предварительно сформулированных требований к сервисам.
• Инспекция и экспертный анализ текущей инфраструктуры.
• Подробный опрос ИТ-службы компании-заказчика.

Что исследовали инженеры

• Серверное оборудование, локальную сеть, службы Active Directory, среду виртуализации, бизнес-приложение «1С:Предприятие», почтовый сервис, доступ в интернет, сервисы, обеспечивающие информационную безопасность.

Приоритетные направления работы

• Эффективность использования аппаратных и программных ресурсов;
• Характеристики масштабируемости инфраструктуры;
• Обеспечение непрерывности бизнеса (устойчивость системы к отказам отдельных элементов);
• Сохранность данных в случае преднамеренного или случайного повреждения, предотвращение несанкционированного доступа к важной информации.
• Выявление недочетов, ошибок и системных проблем в серверном ландшафте.

Результаты ИТ-аудита

• Выводы о состоянии ИТ-инфраструктуры, об использовании ресурсов, устойчивости и надежности системы.
• Рекомендации и предложения по повышению проанализированных показателей.
• Мероприятия для оптимизации инфраструктуры и снижения рисков.
  1. первоочередные меры – устраняют самые критичные риски;
  2. меры, направленные на рост доступности и отказоустойчивости сервисов;
  3. перспективные направления развития ИТ в компании;
  4. помощь в создании списка документов, необходимых для качественной работы внутренней ИТ-службы и передачи дел новым специалистам (описание инфраструктуры, карта сети, карта сервисов и пр.).

Оценка работы ALP Group

Воронько Анатолий Николаевич, заместитель директора по общим вопросам компании «Стройсервис-АВФ»:

• «Благодаря аудиту мы получили подробнейшую картину состояния ИТ-инфраструктуры компании - выявили критичные риски и возможные точки отказа, определили направления развития в части ИТ. Кроме того, теперь у нас есть, фактически, пошаговая инструкция: какие работы здесь нужно проводить и в каком порядке, в соответствии со степенью важности сервисов. Это позволяет нам четко планировать сроки, ресурсы и закладывать оптимальные бюджеты на модернизацию и развитие ИТ. Отмечу, что подход компании ALP Group, их экспертиза, клиентоориентированность, умение слушать и слышать заказчика заслуживают самой высокой оценки»

Стоимость

Чтобы узнать точную стоимость комплексного ИТ-аудита, проконсультируйтесь, пожалуйста, с нашими специалистами.

Известно, что зачастую внедренные на предприятии информационные технологии с самого начала остаются или становятся со временем "тайной за семью печатями" и для руководителей компании, и для сотрудников, и особенно для сторонних, но отнюдь не менее заинтересованных лиц - клиентов, инвесторов, партнеров. Конечно же, это не прибавляет доверия к компании, не гарантирует безопасности ее бизнеса, не способствует привлечению клиентов и инвесторов. ИТ-аудит - один из механизмов, позволяющих "пролить свет" на истинное положение дел в компании, оптимизировать работу информационных систем и, следовательно, бизнес в целом.

Основная цель IT аудита -- это оценка рисков, связанных с использованием информационных технологий, оценка их контроля и выработка рекомендаций по принятию корректирующих мер в областях, где риски должны быть снижены.

Мы предлагаем провести в Вашей компании IT аудит, который может состоять из следующих работ:

Для определения состава работ IT аудита, сроков проведения и стоимости работ рекомендуется провести IT-диагностику. Диагностика проводится в течение 3-5ти рабочих дней. В ходе диагностики собирается информация, необходимая для выявления ключевых проблем в области IT. На основании этой информации разрабатываются детальные предложения о проведении IT аудита в компании.

Результатом аудита является набор выводов о том, отвечает ли потребностям бизнеса существующая в компании информационная система (ИС), вырабатываются рекомендации по оптимизации и дальнейшему развитию ИС.

В ходе аудита выполняется анализ соответствия существующей ИС бизнес-процессам компании, который подразумевает анализ оргструктуры компании, иерархии подразделений, внутреннего документооборота, учетной политики, соответствия модулей используемой ИС реальным потребностям подразделений.

Аудит ИС направлен на достижение следующих целей:

• Сокращение затрат на сопровождение и развитие IT-инфраструктуры
• Сокращение затрат на выполнение автоматизируемых бизнес-операций
• Повышение эффективности работы ИС
• Повышение эффективности вложений в ИС компании

В рамках аудита ИС выполняются следующие работы:

• Анализ соотсветсвия возможностей и стратегии ИС стратегии компании, бизнес-целям и бизнес-процессам
• Анализ существующих IT-сервисов и поддерживающих их информационных систем (программных продуктов)
• Определение проблемных мест существующей IT-инфраструктуры:
  • уровень соответствия информационной системы бизнес-требованиям
  • стоимость сопровождения и развития ИС
  • соответствие IT-процессов стандартам ISO 9000
  • уровень обеспечения информационной безопасности
• Выработка рекомендаций по улучшению IT-инфраструктуры:
  • оценка стоимости выполнения каждой рекомендации;
  • план выполнения рекомендаций.
  • рекомендации по реинжинирингу IT-инфраструктуры.

В рамках аудита и экспертизы IT-инфраструктуры будут обследованы следующие показатели: производительность, полнота функциональности, безопасность, целостность IT-процессов и др.

В результате Компания получит описание выявленных несоответствий между IT-инфраструктурой и потребностями бизнеса, существующих проблем и рисков развития IT-инфраструктуры, а также рекомендации по устранению выявленных, с оценкой затрат на выполнение предложенных рекомендаций и планом работы.

Эта информация является основой для построения стратегии автоматизации и определения наиболее эффективных путей вложения в IT.

Позволяет заказчику получить экспертную оценку текущего состава и уровня функционирования технологических платформ, аппаратно-программных комплексов, сетей и средств коммуникации (IT-инфраструктуры), а также получить рекомендации по повышению эффективности их использования, модернизации, снижения стоимости владения.

Например, аудиторское заключение, может содержать выводы о соответствии загрузки серверов их характеристикам, подтверждающие, что серверная платформа позволяет наращивать задачи, либо работает на пределе мощности и т. п.

Аудит включает в себя формирование экспертной оценки текущего состояния системы защиты информации (СЗИ), оценку информационных рисков, рекомендации по совершенствованию СЗИ, расчет стоимости по созданию или модернизации СЗИ. Проведение аудита информационной безопасности позволяет компаниям-заказчикам снизить бизнес-риски и повысить уровень защищенности информации.

Результаты аудита позволяют провести ряд работ по увеличению эффективность деятельности IT-подразделения, оптимизировать расходы на ИТ, повысить качество услуг, предоставляемых в области ИТ, провести реорганизацию IT-подразделений в соответствии с бизнес-задачами компании и современной методологией эксплуатации IT-инфраструктуры.

На основании аудиторского заключения выдаются, в частности, детальные рекомендации по организации планирования работы ИТ-служб в соответствии с потребностями бизнеса компании.

Возможности дальнейшего сотрудничества

Результаты IT аудита позволят наметить направления дальнейшего сотрудничества между нашими компаниями и в частности определить необходимость проведения следующего ряда работ в области IT консалтинга:

• Разработка IT стратегии
• Разработка Концепции информационной системы, в том числе разработка экономического обоснования оптимизации/развития IT
• Оптимизация/развитие информационной системы (ИС), включающая в себя:
  • Разработка Технического задания на доработку/создание существующих/ недостающих подсистем/модулей ИС
  • Выбор программных систем (вендоров) для КИС
  • Организация и управление проектом оптимизации ИС
  • Разработка методической/сопроводительной документации
  • Разработка/внедрение доработанных/новых подсистем/модулей ИС
  • Подготовка и обучение персонала. Консультации персонала
• Мониторинг и сопровождение эксплуатации ИС