Российским ИТ-компаниям трудно принять факт того, что аудит ИТ — это инвестиция. Хотя иногда их скепсис понятен: топовые аудиторы загибают ценники, а от дешевых зачастую никакой пользы. Есть ли тут золотая середина? Когда окупятся вложения в аудит? Как оценить компетентность аудитора? Попробуем во всём этом разобраться.
Сразу оговоримся, что речь пойдет об аудите ИТ-инфраструктуры, а не об аудите информационной безопасности. Одно другому не мешает, тем не менее аудит ИБ — отдельная тема. Нас же в данном случае интересует экономическая эффективность — когда аудитор оценивает текущее состояние ИТ-инфраструктуры и объясняет, почему компания теряет деньги.
Этот пост — взгляд на проблему со стороны сервисного ИТ-провайдера с 10-летним опытом обслуживания и администрирования различных систем и оборудования.
С чего всё начинается (и чем обычно заканчивается)
Первая мысль managed-services-провайдера (MSP), который приходит к новому клиенту: «Здесь точно нужен аудит». Мысль возникает чуть реже, чем всегда. Начинаешь объяснять клиенту, что хорошо бы — перед тем как разворачивать сервис — сделать обследование, оценить состояние инфраструктуры. Иначе сейчас всё запустим, а потом всплывет что-нибудь такое, от нас не зависящее — вам же дороже будет. «А зачем? — отвечает обычно клиент. — У нас вроде бы всё нормально работает».
Заказчику бывает трудно втолковать, что аудит помогает понять количество и качество ресурсов и сервисов, которые он использует, после чего — оптимизировать инфраструктуру и, в конечном итоге, начать экономить. Потому что это логично только для провайдера. Ведь даже для сознательных клиентов — сколько бы те не говорили про своевременность, важность и нужность аудита, — как правило, всё заканчивается ничем.
Для чего нужен аудит
Один из самых распространенных поводов для проведения аудита — когда руководство теряет доверие к ИТ-отделу. Обычно сценарий такой: в штат набирают ИТ-специалистов, формируют отдел, выделяют деньги на обслуживание железа, сервисов и пр. Затем количество задач у ИТ-отдела начинает расти, иногда в геометрической прогрессии. При этом айтишники не всегда могут внятно объяснить текущее положение дел. Часто ИТ-отдел начинает буксовать, накапливается legacy, технический долг — и в итоге просит увеличить финансирование.
Но для бизнеса любой расход — это инвестиция. Если деньги выделяются, причем в требуемом объеме, но ситуация особо не меняется — более того, ИТ-отдел просит еще денег, — здравомыслящему руководителю будет понятно, что наращивание финансирования ни к чему не приведет. В такие моменты возникает напряженность между ИТ и руководством, которое часто может доходить до полного недоверия.
Особый случай — когда штатные айтишники пытаются «залочить» на себе часть сервисов, компетенций и ответственности, не ведут никакой документации, доступы и пароли хранят непонятно где, в непонятном виде. То есть сотрудники повышают риски, которые вызовет их увольнение. В таких ситуациях MSP всю эту информацию приходится получать самостоятельно, что повышает вероятность простоя сервисов и, как следствие, убытков.
Как выбирают аудитора
В ситуациях, подобных описанной выше, первая мысль, которая возникает у руководства — провести аудит. На рынке аудиторских услуг представлены 3 типа сервисных компаний, которые отличаются ценниками.
- Представители «большой четверки»: Deloitte Touche Tohmatsu, PricewaterhouseCoopers, Ernst & Young, KPMG. Аудиты ИТ-систем здесь стоят соответствующих денег. Эти компании, как правило, используют подрядчиков, потому что ИТ — не основное их направление. Главное преимущество в том, что они говорят с бизнесом на одном языке. Впрочем, нанимаемые подрядчики здесь подобающего уровня, с международными сертификатами типа CISA и COBIT.
- Компании, для которых ИТ, в том числе аудит ИТ-систем, — это основное направление. У этих специалистов зачастую нет международных сертификатов, но зато есть многолетний профильный опыт. С бизнесом им, возможно, сложнее найти общий язык, но они знают, как должна работать ИТ-инфраструктура и почему. У таких компаний цены на аудит могут начинаться с 200 тыс. руб. и доходить до 1 млн и выше, в зависимости от объема работы.
- Компании, которые обещают проведение аудита (на сайте) за 30 тыс. руб. Либо компании, которые пытаются привлечь клиента низкой стоимостью аудита, рассчитывая впоследствии заключить с ним контракт на обслуживание. А затем, за счет повышения ежемесячных рекуррентных платежей, окупить для себя стоимость проведения аудита.
Почему в России не хотят проводить аудит
Если утрировать, результат аудита ИТ-инфраструктуры для бизнеса выглядит как документ — допустим, pdf-файл, — за который приходится платить большие деньги. Этот документ не отвечает на вопросы «кто виноват?» и «что делать?». И это, пожалуй, главная причина непопулярности услуги. Клиенты хотят сразу получить обслуживание, надеясь, что ИТ-компания разберется с возможными проблемами по ходу дела. Смысла в «переплате за красивый документ» они не видят. То, что в остальном мире думают иначе — для клиента не показатель. Логичный вопрос: как тогда показать бизнесу ценность аудита?
Берем калькулятор
Показать несложно. Достаточно представить аудит как инвестиционный инструмент. Допустим, проведение аудита стоит 500 тыс. руб. и включает в себя месяц работы нескольких квалифицированных инженеров. Аудит должен, помимо предоставления ясной и полной картины о текущем состоянии ИТ-инфраструктуры предприятия, дать четкие ответы на вопросы: куда и как двигаться дальше? как сэкономить на ИТ, не потеряв в качестве?
Представим, что после проведения аудита, компания-аудитор предлагает ряд оптимизаций, которые помогут либо эффективнее использовать текущий бюджет на ИТ (за те же деньги получать больше), либо уменьшить операционные расходы (сократить затраты и получать то же). Соответственно, сразу появляется основа для оценки окупаемости проведенного аудита.
Предположим, рекомендации, которые дал MSP, позволили сэкономить заказчику 100 тыс. руб. в месяц. Путем нехитрых вычислений получим, что проведенный аудит окупится через полгода после его проведения.