На предыдущую страницу
Блог

Почему в России не принято проводить аудит ИТ-инфраструктуры и почему это плохо

Российским ИТ-компаниям трудно принять факт того, что аудит ИТ — это инвестиция. Хотя иногда их скепсис понятен: топовые аудиторы загибают ценники, а от дешевых зачастую никакой пользы. Есть ли тут золотая середина? Когда окупятся вложения в аудит? Как оценить компетентность аудитора? Попробуем во всём этом разобраться.

Сразу оговоримся, что речь пойдет об аудите ИТ-инфраструктуры, а не об аудите информационной безопасности. Одно другому не мешает, тем не менее аудит ИБ — отдельная тема. Нас же в данном случае интересует экономическая эффективность — когда аудитор оценивает текущее состояние ИТ-инфраструктуры и объясняет, почему компания теряет деньги.

Этот пост — взгляд на проблему со стороны сервисного ИТ-провайдера с 10-летним опытом обслуживания и администрирования различных систем и оборудования.

С чего всё начинается (и чем обычно заканчивается)

Первая мысль managed-services-провайдера (MSP), который приходит к новому клиенту: «Здесь точно нужен аудит». Мысль возникает чуть реже, чем всегда. Начинаешь объяснять клиенту, что хорошо бы — перед тем как разворачивать сервис — сделать обследование, оценить состояние инфраструктуры. Иначе сейчас всё запустим, а потом всплывет что-нибудь такое, от нас не зависящее — вам же дороже будет. «А зачем? — отвечает обычно клиент. — У нас вроде бы всё нормально работает».

Заказчику бывает трудно втолковать, что аудит помогает понять количество и качество ресурсов и сервисов, которые он использует, после чего — оптимизировать инфраструктуру и, в конечном итоге, начать экономить. Потому что это логично только для провайдера. Ведь даже для сознательных клиентов — сколько бы те не говорили про своевременность, важность и нужность аудита, — как правило, всё заканчивается ничем.

Для чего нужен аудит

Один из самых распространенных поводов для проведения аудита — когда руководство теряет доверие к ИТ-отделу. Обычно сценарий такой: в штат набирают ИТ-специалистов, формируют отдел, выделяют деньги на обслуживание железа, сервисов и пр. Затем количество задач у ИТ-отдела начинает расти, иногда в геометрической прогрессии. При этом айтишники не всегда могут внятно объяснить текущее положение дел. Часто ИТ-отдел начинает буксовать, накапливается legacy, технический долг — и в итоге просит увеличить финансирование.

Но для бизнеса любой расход — это инвестиция. Если деньги выделяются, причем в требуемом объеме, но ситуация особо не меняется — более того, ИТ-отдел просит еще денег, — здравомыслящему руководителю будет понятно, что наращивание финансирования ни к чему не приведет. В такие моменты возникает напряженность между ИТ и руководством, которое часто может доходить до полного недоверия.

Особый случай — когда штатные айтишники пытаются «залочить» на себе часть сервисов, компетенций и ответственности, не ведут никакой документации, доступы и пароли хранят непонятно где, в непонятном виде. То есть сотрудники повышают риски, которые вызовет их увольнение. В таких ситуациях MSP всю эту информацию приходится получать самостоятельно, что повышает вероятность простоя сервисов и, как следствие, убытков.

Как выбирают аудитора

В ситуациях, подобных описанной выше, первая мысль, которая возникает у руководства — провести аудит. На рынке аудиторских услуг представлены 3 типа сервисных компаний, которые отличаются ценниками.

  • Представители «большой четверки»: Deloitte Touche Tohmatsu, PricewaterhouseCoopers, Ernst & Young, KPMG. Аудиты ИТ-систем здесь стоят соответствующих денег. Эти компании, как правило, используют подрядчиков, потому что ИТ — не основное их направление. Главное преимущество в том, что они говорят с бизнесом на одном языке. Впрочем, нанимаемые подрядчики здесь подобающего уровня, с международными сертификатами типа CISA и COBIT.
  • Компании, для которых ИТ, в том числе аудит ИТ-систем, — это основное направление. У этих специалистов зачастую нет международных сертификатов, но зато есть многолетний профильный опыт. С бизнесом им, возможно, сложнее найти общий язык, но они знают, как должна работать ИТ-инфраструктура и почему. У таких компаний цены на аудит могут начинаться с 200 тыс. руб. и доходить до 1 млн и выше, в зависимости от объема работы.
  • Компании, которые обещают проведение аудита (на сайте) за 30 тыс. руб. Либо компании, которые пытаются привлечь клиента низкой стоимостью аудита, рассчитывая впоследствии заключить с ним контракт на обслуживание. А затем, за счет повышения ежемесячных рекуррентных платежей, окупить для себя стоимость проведения аудита.

Почему в России не хотят проводить аудит

Если утрировать, результат аудита ИТ-инфраструктуры для бизнеса выглядит как документ — допустим, pdf-файл, — за который приходится платить большие деньги. Этот документ не отвечает на вопросы «кто виноват?» и «что делать?». И это, пожалуй, главная причина непопулярности услуги. Клиенты хотят сразу получить обслуживание, надеясь, что ИТ-компания разберется с возможными проблемами по ходу дела. Смысла в «переплате за красивый документ» они не видят. То, что в остальном мире думают иначе — для клиента не показатель. Логичный вопрос: как тогда показать бизнесу ценность аудита?

Берем калькулятор

Показать несложно. Достаточно представить аудит как инвестиционный инструмент. Допустим, проведение аудита стоит 500 тыс. руб. и включает в себя месяц работы нескольких квалифицированных инженеров. Аудит должен, помимо предоставления ясной и полной картины о текущем состоянии ИТ-инфраструктуры предприятия, дать четкие ответы на вопросы: куда и как двигаться дальше? как сэкономить на ИТ, не потеряв в качестве?

Представим, что после проведения аудита, компания-аудитор предлагает ряд оптимизаций, которые помогут либо эффективнее использовать текущий бюджет на ИТ (за те же деньги получать больше), либо уменьшить операционные расходы (сократить затраты и получать то же). Соответственно, сразу появляется основа для оценки окупаемости проведенного аудита.

Предположим, рекомендации, которые дал MSP, позволили сэкономить заказчику 100 тыс. руб. в месяц. Путем нехитрых вычислений получим, что проведенный аудит окупится через полгода после его проведения.

Оцените данную статью

Be the first to know about new articles!

Подпишитесь на нашу рассылку
Нажимая на кнопку, Вы соглашаетесь с условиями «Политики конфиденциальности»
Пользуясь нашим сайтом, вы соглашаетесь с тем, что мы используем cookies