Для чего нужен ИТ-аудит и что в него входит

Определение, принципы, цели и задачи IT-аудита

Как говорится в определении, ИТ-аудит или аудит информационных систем — это изучение и экспертная оценка всей ИТ-инфраструктуры компании и отдельных ее частей.

Поскольку в современных компаниях все больше операций автоматизируются, проведение ИТ-аудита необходимо, чтобы удостовериться, что все связанные с информацией процессы работают должным образом.

Основные цели аудита информационной системы предприятия:

  • Оценить эффективность расходуемого на ИТ-задачи бюджета (включает в себя анализ затрат на зарплаты специалистов, капитальных затрат (CAPEX) на оборудование (в год), переменных затрат (OPEX)  на лицензии, подписки в сервисах, хостинги, сервера итд.
  • Оценить эффективность работы ИТ-отдела, а также общий уровень подготовки кадров.
  • Определить места в инфраструктуре и бизнес-процессах, где ИТ-системы используются недостаточно эффективно, выработать рекомендации по повышению эффективности, перераспределению нагрузки
  • Оценить работу систем и процессов, которые обеспечивают безопасность данных компании
  • Оценить риски для информационных активов компании, определить методы минимизации этих рисков
  • Обеспечить, чтобы все связанные с ИТ-системой процессы соответствовали законам и стандартам отрасли
  • Разработать дорожную карту устранения проблем

Аудит ИТ-инфраструктуры обязательно требуется, если:

  • У вас уже есть свидетельства того, что ИТ-инфраструктура работает плохо, в ней есть слабые места — например, часто “падает” сайт, тормозит база данных 1С, в корпоративную сеть попал вирус.
  • Глобально меняется  структура компании — например, появились новые подразделения (в том числе удаленные), произошло слияние компаний или поглощение — соответственно, будет меняться ИТ-составляющая компании. Требуется аудит деятельности, чтобы решить, что оставить как есть, что нужно добавить, от чего, возможно, отказаться.  Это поможет принять решения о централизации определенных сервисов, стандартизации оборудования, об общем снижении рисков и удобстве администрирования.
  • У компании поменялись владельцы или топ-менеджмент и новому руководству необходима актуальная информация о состоянии ИТ-инфраструктуры, нужно пройти аудит.
  • Планируется изменение статуса бизнеса, сертификация по ISO
  • Есть необходимость провести ИТ-аудит — проверить контрагента согласно условиям контрактных/договорных обязательств
  • Готовится внедрение новой для компании информационной системы или технологии, к примеру, ERP или CRM-системы, системы документооборота, в таком случае понадобится аудит ит проекта

Виды аудита ИТ систем, что можно и нужно проверять:

Вид ИТ-аудита

Что и как исследуется

Результат

Экспресс-обследование В ходе обследования собираются и структурируются общие данные о текущем состоянии ИТ-инфраструктуры Отчет, в котором зафиксировано общее описание ИТ-инфраструктуры как она есть на данный момент, чаще всего с поверхностным анализом и  набором минимальных рекомендаций.
Аудит бизнес-процесса Проводится анализ ИТ-инфраструктуры не для компании в целом, а только для определенного выбранного бизнес-процесса — аудит компьютерной техники, ПО, аудит ИТ-персонала, задействованного в бизнес-процессе, аудит ит процессов. Отчет о текущем состоянии процесса, рекомендации, как улучшить отдельные элементы ИТ-структуры, задействованные в этом бизнес-процессе, как привести их к соответствию стандартам и лучшим практикам, оценка рисков.
Аудит по критерию Собираются и анализируются сведения об ИТ-системе только в разрезе какого-либо выбранного критерия: например, аудит ИТ на быстродействие, безопасность, надежность, производительность и т.д. Отчет с оценкой соответствия или несоответствия работы ИТ-системы выбранному критерию. В случае несоответствия анализируются причины этого и даются рекомендации по улучшению.
Комплексный ИТ-аудит Общий план аудита подразумевает, что работа ИТ-инфраструктуры будет изучена и оценена всесторонне, максимально подробно Аналитические отчеты о том, какой является ИТ-инфраструктура на данный момент, насколько она соответствует потребностям бизнеса в целом и как должно происходить ее стратегическое развитие, чтобы оно соответствовало развитию бизнеса.

Аудит бизнес-процесса и аудит по критерию — это частные случаи целевого ИТ-аудита, о котором будет сказано ниже.

Технический аудит компьютерных систем, систем управления и оборудования и ПО

Аудит технических систем или компьютерный аудит подразумевает, что будет проведена инвентаризация серверного и сетевого оборудования, рабочих мест, оргтехники, мобильных устройств, установленного программного обеспечения, а также обследование и анализ состояния всего перечисленного. Этот технический аудит позволит понять, какое аппаратное и программное обеспечение у вас в наличии, как оно работает, где могут быть потенциальные точки отказа, как устроена и защищена корпоративная сеть, все ли используемое ПО лицензионное и достаточно ли текущего количества лицензий.

Аудит систем безопасности

В рамках аудита безопасности компьютерных систем обычно проверяют систему хранения данных и резервного копирования, отказоустойчивость ИТ-системы, сетевые политики безопасности,  разграничение доступа к конфиденциальным данным, защиту системы от взлома извне, защиту от вирусов и спама, систему обработки персональных данных.

Аудит ИТ-безопасности вовремя обнаруживает уязвимости в системе, помогает выявить и оценить риски.

ИТ аудит работы бухгалтерии

При аудите системы бухгалтерского учета и внутреннего контроля исследуется эффективность бухгалтерских систем компании, их соответствие законодательным нормам, правилам, требованиям государственных регулирующих органов. Также может оцениваться квалификация сотрудников,  аудит ведения бухгалтерской отчетности и управленческого учета.

Аудит каналов связи, телефонии

Информационный аудит систем связи обычно включает обследование и анализ работы корпоративной телефонии, каналов связи (VPN-тоннелей), почты, мессенджеров.

ИТ-аудит интернет маркетинга, сайта

В ходе аудита сайта и интернет-маркетинга собираются и изучаются данные из веб-аналитики, отчетов по продажам, рекламных каналов(PPC) и SEO, оценивается конверсия разных маркетинговых активностей. Оцениваются схемы интеграции web-приложений и ресурсов с внутренними системами компании, оцениваются риски ddos атак, блокировки жизненно важных ресурсов компании.

Разрабатываются методики защиты веб-ресурсов, защиты call-центра, оптимизации нагрузки, а со стороны бизнес процессов — может быть построена сквозная аналитика,  воронка продаж, предложены улучшения на сайте и в рекламных кампаниях. Внедрены новые методы автоматизации — чат боты, автоматизация распределения чатов, подключен искусственный интеллект для автоматизации обработки типичных запросов.

Способы ИТ-аудита

Существуют разные методики аудита, рассмотрим некоторые из них:

Экспресс-аудит ИТ инфраструктуры

Экспресс-аудит чаще всего выполняется перед какими-либо запланированным проектом изменения ИТ-инфраструктуры и занимает 2-3 дня. В такую проверку ИТ-инфраструктуры входит оценка рабочих мест, серверов, сетевого оборудования, установленного ПО, иногда опрос пользователей.

По результатам услуги аудита делаются выводы, что именно понадобится работы по проекту, какая нужна подготовка, сколько времени он займет и сколько будет стоить.

Комплексный ИТ аудит

В ходе комплексного ИТ-аудита полностью во всех подробностях изучают ИТ-инфраструктуру компании, абсолютно все ИТ-процессы в ней, начиная от используемого оборудования и программного обеспечения,  заканчивая квалификацией работы ИТ-персонала.

Кстати, типичная ошибка аудита — доверить проведение ИТ аудита собственным сотрудникам, так как они не всегда могут объективно оценивать свою работу. Даже в ИТ-компаниях ИТ аудит, проводимый независимыми экспертами, просто необходим.

В результате комплексного аудита ИТ-систем вы получаете:

  • Комплект технической документации, где подробно описано текущее состояние ИТ-инфраструктуры компании, есть перечень оборудования, схема сети и подобное.
  • Рекомендации по возможным улучшениям в ИТ-инфраструктуре для повышения ее качества и экономичности.

Целевой ИТ аудит

В рамках целевого аудита исследуются только отдельные составляющие ИТ-инфраструктуры, например, это может быть только аудит компьютерной сети, аудит системы управления, аудит системы расчета себестоимости или аудит системы интернет-закупок.

Соответственно, в отчете описывается только эта составляющая и предложения по модернизации, которые ее касаются.

Виды ИТ-аудита

Оставьте заявку на консультацию

От чего зависит стоимость проведения проверки ИТ-систем?

На стоимость аудита компьютерных систем влияет масштаб обследования — количество рабочих мест, серверов и т.д., сотрудников аудируемого предприятия, его филиалов. Имеет значение также, насколько детальным и комплексным будет исследование: комплексный ИТ аудит на предприятии наиболее дорогой, а вот экспресс-аудит может оказаться даже бесплатным, если системный интегратор проводит его в рамках какого-либо будущего проекта.

Стоимость проверки определяется заранее, до начала работ, на этапе планирования аудита. Она может быть сразу фиксированной и записанной в договоре ИТ-аудита, или же, если объем работ сложно оценить заранее, устанавливается стоимость часа ИТ-аудита. Обычная цена для Санкт-Петербурга и Москвы колеблется в районе 2000-3500 руб, в зависимости от профиля сотрудников, участвующих в аудите.

Распространенной практикой являются тендеры на аудит ИТ.

Результаты аудита, что делать после ИТ-аудита

Что является результатами проектов по ИТ аудиту? Как уже упоминалось ранее в статье, в результате аудита вы получаете отчет о текущем состоянии всей ИТ-инфраструктуры (или ее компонента, который проверяли) и предложения по улучшению.

Соответственно, после аудита вам предстоит внедрить эти улучшения или хотя бы запланировать это, перестроить свою ИТ-инфраструктуру с учетом указанных в отчете недостатков и уязвимостей.

Примеры отчетов

По итогам вы получаете рабочие документы ИТ аудита — отчеты, в которых находится:

  • Общее описание ИТ-инфраструктуры
  • Инфраструктура бизнес-приложений и сервисов
  • Операционная инфраструктура
  • Выявленные проблемы и риски (уязвимости, потенциально сбойные участки, неоптимальное использование вычислительных ресурсов  и другие выводы из ИТ аудита)
  • Итоговый отчет по аудиту ИТ содержит предложения по устранению недостатков, модернизации и стратегия дальнейшего развития ИТ-инфраструктуры

Пример отчета по аудиту ит инфраструктуры мы можем предоставить по запросу, обращайтесь.

Особенности ИТ-аудитов в компании Интегрус

  • Из особенностей нашей работы в сфере проведения ИТ консалтинга в России и аудитов ИТ в первую очередь мы можем отметить, что наша компания — системный интегратор и у нас уже накоплена масса практического опыта, как должна работать ИТ-инфраструктура, как внедрять в нее что-то новое или модернизировать.
  • Все решения, которые мы предлагаем своим заказчикам, проверены нами на практике. А все рекомендации, которые мы дадим по результатам процедуры аудита — это не только теория, наши специалисты могут сами реализовать для вас эти улучшения.
  • Мы работаем по международному стандарту ИТ-аудита COBIT и придерживаемся принципов, целей и задач аудита, заложенных в этом стандарте.

У нас есть опыт проведения ИТ-аудитов на следующих компаниях и заводах РФ:

  • Prismian Group, Рыбинск кабель, г. Рыбинск
  • Симикон, Санкт-Петербург
  • ФТК Ростр, Санкт-Петербург
  • Велмаш, Великие Луки
  • Инаман, Ишимбай
  • Палфингер Кама Циллиндры, Нефтекамск

На части предприятий был выполнен аудит производственных процессов и реализованы проекты по автоматизации на базе 1С ERP/УПП.

Подробнее узнать про наши услуги и цены по проведению ИТ-аудита, можно в разделе Услуги аудита ИТ-инфраструктуры

Присоединяйтесь к нам, чтобы каждую неделю получать полезные и рабочие материалы для улучшения вашего бизнеса.

Кейсы и стратегии от экспертов рынка.

Смотрите также:

ОБЭП забирает компьютеры –
Как обезопасить ИТ-инфраструктуру от ОБЭП

Как обеспечить защиту информации организации на случай изъятия серверов, компьютеров и прочего «железа» ОБЭПом, и – в первую очередь – как быстро восстановить работу сети из архива (бекапа), если изъятие состоялось.

Защита электронной почты
Как защитить электронную почту компании

Защита электронной почты сотрудника компании является одним из важных этапов комплексной защиты информации на предприятии. Именно почтой нередко пользуются злоумышленники для осуществления несанкционированного доступа, и именно почта нередко становится «точкой входа» для вирусов.

автоматизация техподдержки с помощью мессенджеров
Как настраивать WhatsApp для консультантов и менеджеров

Как настроить WhatsApp для онлайн-консультаций, установить виджет мессенджера на сайт. В чем преимущества использования виджетов по сравнению с традиционной установкой просто номера телефона на сайте. Какие преимущества для бизнеса можно извлечь от использования мессенджера.

SEO аудит сайта
Аудит сайта

Поисковые системы “не замечают” ваш сайт, несмотря на все усилия по его продвижению? Seo анализ поможет понять, в чем проблема и как ее устранить.

Комплексный аудит 1C
Аудит серверного оборудования

Слаженность и быстродействие работы программ, в том числе 1С, влияет на бизнес-процессы. Аудит помогает найти и исправить ошибки ПО, а также устранить слабости локальной системы.

затраты на ай-пи телефонию
Аудит телефонии и предложение оптимизации затрат на звонки

Проведен аудит аналоговой  телефонии в крупной строительной компании - расходы на звонки, оборудование и его содержание. Руководству компании предоставлен развернутый отчет о возможностях экономии до 30% бюджета при внедрении IP-телефонии. Преимущества перехода бизнеса на услуги IP-телефонии значительная экономия на стоимости звонков простота и удобство внедрения и поддержки, легко модернизировать и расширять. нет необходимости в телефонной…

внедрение 1С управленческий учет, аудит отчетности управленческого учета
Аудит 1С

Внедрение, автоматизация, создание эффективной системы управленческого учета 1С. Разработка автоматизированной системы управленческого учета на предприятии в программах 1С 8 УПП, УП (ERP), УТ

Аудит it инфраструктуры
Услуги ИТ аудита от Интегрус

ИТ-аудит – это диагностика ИТ-инфраструктуры, позволяющая получить рекомендации по ее пригодности к обслуживанию бизнес-процессов. Выбор типа аудита определяется размерами компании и количеством проблем, требующих внешнего вмешательства.

Модернизируем ИТ инфраструктуру

Предлагаем комплекс услуг по модернизации ИТ-инфраструктуры компаний. Решаем задачи по реорганизации, расширению существующих ит-систем, аудит, проектирование, подбор и закупка оборудования и ПО, отладка ИТ-системы под задачи клиента, техобслуживание

серверные помещения под ключ
Серверные под ключ

Оборудование серверных помещений “под ключ” - проектирование, создание "с нуля", монтаж серверных стоек, переоборудование существующих серверных в рамках развития и модернизации IT-инфраструктуры компании.