Жизнь после аудита: как и зачем внедрять полученные рекомендации

Жизнь после аудита: как и зачем внедрять полученные рекомендации

Итак, вы все-таки решили провести профессиональный аудит IT-инфраструктуры. Аудитор сделал свое дело и ушел, оставив внушительный отчет с результатами проверки. И что с ним теперь делать? Можно просто потерять среди других документов, а можно использовать с пользой для бизнеса. О том, как это сделать, мы и расскажем дальше.

Из чего состоит аудиторский отчет?

  1. Цель и объекты аудита. В этом пункте описывается, что и зачем проверяет аудитор. Например, он может оценивать соответствие IT-архитектуры или отдельных ее компонентов актуальным бизнес-требованиям.
  2. Описание инфраструктуры. Здесь дается расширенный анализ текущей IT-системы со всеми подсистемами и подключенными сервисами, а также схема работы локальной сети.
  3. Результаты аудита. Специалист, проводящий проверку, детально описывает обнаруженные проблемы и уязвимости, узкие места и критические зоны IT-инфраструктуры, а также все риски с ними связанные. Из этого пункта вы узнаете, что работает не так, как это отображается на функционировании системы сейчас и к чему может привести в будущем.
  4. Рекомендации по решению обнаруженных проблем. Если не считать сами результаты, это самая важная часть отчета. Аудитор дает конкретные предложения по исправлению выявленных ошибок и оптимизации работы IT-инфраструктуры.

И что со всем этим делать?

Конечно, можно просто прочитать пункт с обнаруженными проблемами и отложить отчет. Но сам смысл аудита не в том, чтобы просто увидеть слабые места, а в том, чтобы понять, как их исправить и добиться максимально эффективной работы IT.

Для этого и нужна дальнейшая работа с разделом рекомендаций. Он может, в зависимости от ситуации, содержать следующие пункты:

Проект оптимизации инфраструктуры. Если это оговорено в договоре, компания, проводящая аудит, разрабатывает архитектуру IT-среды с учетом потребностей бизнеса. Эти наработки можно передать в собственный IT-отдел, чтобы их внедрением занимались штатные специалисты.

Разовые действия для нормализации работы системы. Если в ходе проверки были обнаружены критические ошибки, которые уже снижают эффективность работы IT-системы, аудитор прописывает рекомендации для их немедленного решения. Это может быть устранение багов в конкретных приложениях, настройка отдельных сервисов, разработка новых правил и процедур по управлению IT-средой и т.д.

Предложения по аутсорсингу. Если информационные технологии имеют решающее значение для бизнеса, но не являются профильным направлением компании, аудитор может порекомендовать передать критичные IT-системы сторонним специалистам. Этот пункт особенно важен для компаний, которые хотели бы отдать часть IT-процессов на аутсорсинг, но не могут определиться, что именно передавать.

Другие рекомендации, которые не имеют прямого отношения к IT-инфраструктуре, но важны для оптимизации ее работы. Это могут быть предложения по изменению кадрового состава, пересмотру затрат на обслуживание IT и др.

Таким образом, вы получаете конкретные указания по изменению существующей инфраструктуры и направления для ее дальнейшего развития. Выполняя их, вы получите IT-систему, которая работает на ваш бизнес.

Поэтому, изучив отчет, очень важно составить детальный план по внедрению полученных рекомендаций. Оптимальным вариантом будет следовать предложениям аудитора, подгоняя их под себя. Например, если приоритетные для бизнеса системы вышли из строя, первым пунктом в плане должно быть устранение их проблем и уязвимостей. Затем можно передать на аутсорсинг важные компоненты IT-инфраструктуры, которыми вы не можете или не хотите заниматься сами. После этого можно детальнее планировать и реорганизацию инфраструктуры.

Только в таком случае аудит принесет практическую пользу бизнесу. Если не внедрять полученных рекомендаций, он станет лишь нецелесообразной статьей расходов в бюджете.