Раскроет точки роста – почему ИТ-аудит полезен компаниям

Обеспечить безопасность ИТ-систем компании и управление рисками, оптимизировать информационную инфраструктуру – все это ключевые задачи ИТ-аудита. В процессе цифровой трансформации РЖД ИТ-аудит приобретает особое значение. Он помогает выявлять уязвимости, соблюдать стандарты и внедрять лучшие практики для повышения устойчивости бизнеса к внешним и внутренним угрозам. С 2024 года в дочерних компаниях РЖД его проводит ООО «РЖД-Технологии». Как организован этот процесс, какие сложности могут возникнуть и о планах «РЖД-Технологий», в нашем материале.

Классический аудит давно знаком российским компаниям. Он является важным элементом контроля и обеспечения качества в организации. Однако сейчас в условиях импортозамещения иностранного софта все бóльшую популярность приобретает ИТ-аудит, который фокусируется на проверке ИТ-процессов, ИТ-систем и инфраструктуры компании. ООО «РЖД-Технологии» проводит аудит в наиболее значимых дочерних компаниях РЖД.  Сейчас в этом списке числятся 37 организаций разных профилей деятельности. Это и пригородные пассажирские компании, логистические и грузовые компании, научно-исследовательские институты, а также компании, занимающиеся разработкой профильного программного обеспечения.

Генеральный директор ООО «РЖД-Технологии» Александр Мискарян:
«Перед «РЖД-Технологиями» стоит задача сделать проведение ИТ-аудита регулярным мероприятием, как аудит финансово-хозяйственной деятельности. Это позволит поддерживать сведения о состоянии информационных технологий в наиболее значимых подконтрольных обществах «РЖД» в актуальном состоянии. Мы проводим аудиты по всем областям информационных технологий. При этом наиболее востребованными являются аудиты ИТ-инфраструктуры и ИТ-процессов».

ИТ-аудит охватывает оценку таких аспектов, как соответствие организационной структуры ИТ целям и задачам организации, влияние информационных систем на критические бизнес-процессы, подходы к выбору и разработке ПО, управление данными, безопасность информации, резервное копирование данных, управление проектами ИТ и т.д.

Сам по себе ИТ-аудит не несет каких-либо эффектов, но он подсвечивает те области, в которых существуют риски как для ИТ, так и для организации в целом, а также предлагает меры по снижению этих рисков. А вот реализация мероприятий, предлагаемых по итогу аудита, способна принести значительные эффекты. Если говорить о глобальных эффектах, то можно заявить следующие из них:

• снижение операционных рисков;
• оптимизация ИТ-ресурсов;
• повышение безопасности;
• соответствие нормативным требованиям;
• увеличение прозрачности и контроля;
• повышение стратегической ценности ИТ;
• обеспечение непрерывности бизнеса.

Генеральный директор ООО «РЖД-Технологии» Александр Мискарян:
«ИТ-аудит, проводимый «РЖД-Технологии», имеет ряд преимуществ для разных категорий стейкхолдеров. Например, генеральному директору он помогает понять, насколько хорошо организация управляет своими ИТ-ресурсами, и выявляет возможные риски, которые могут повлиять на бизнес. ИТ-аудит помогает убедиться, что информационные системы и технологии организации работают эффективно, безопасно и поддерживают стратегические цели организации. Это особенно важно в современном мире, где информационные технологии играют центральную роль в большинстве бизнес-операций».

«ИТ-аудит помогает руководству компании принимать обоснованные решения о стратегическом развитии организации и необходимости инвестиций в информационные технологии, а также способствует улучшению репутации организации, ведь показатель эффективного и безопасного использования ИТ может увеличить доверие клиентов, партнеров и других заинтересованных сторон», – рассказал руководитель отдела ИТ-аудита и консалтинга «РЖД-Технологий» Алексей Никифоров.

Для руководителей ИТ-службы такой аудит – инструмент, который помогает определить слабые места в ИТ-системах и процессах организации, оценить текущее состояние ИТ-инфраструктуры и эффективность использования ресурсов ИТ-службы. Результаты ИТ-аудита могут использоваться для выполнения мероприятий, которые приводят к более рациональному использованию существующих и планированию будущих ресурсов, а также к улучшению восприятия ИТ внутренними и внешними заказчиками.

Консолидированные результаты ИТ-аудитов планируется передавать в ЦКИ для их учета при согласовании программ цифровизации. Таким образом, ЦКИ со временем будут иметь представление, в каком состоянии находятся информационные технологии в ДЗО.

«РЖД-Технологии» проводят ИТ-аудит по нескольким направлениям:
•    Аудит оргструктуры ИТ.
Это процесс оценки организационной структуры информационных технологий в компании для определения ее эффективности, наличия необходимых ресурсов и соответствия выполняемым задачам и стратегическим целям организации. Он включает анализ структуры ИТ-отдела, выявление возможных проблем и  разработку рекомендаций по их устранению. Учитываются уровень квалификации сотрудников, их мотивация, наличие необходимых компетенций и функций внутри отдела, степень загруженности персонала.
В результате формируется представление о состоянии ИТ-отдела и его способности удовлетворять текущие и будущие потребности бизнеса.

•    Аудит ИТ-процессов.
В ходе этих работ проводится выявление, какие процессы существуют в организации в части стратегического управления ИТ, управления программным обеспечением, управления проектами, управления ИТ-услугами. Аудит предполагает оценку того, как процессы выполняются, кто в них участвует, какие продукты создаются, как процессы взаимодействуют между собой, насколько они автоматизированы и как они в текущем своем состоянии способствуют достижению корпоративных целей.
В результате работ заказчик получает оценку текущего состояния процессов по уровням возможностей, предложение целевого состояния и аргументированную позицию о необходимости развития каких-либо процессов.
В результате реализации предлагаемых мероприятий можно ожидать повышение прозрачности в деятельности ИТ, улучшение управляемости, снижение рисков деградации предоставляемых услуг, а также улучшение восприятия информационных технологий в организации.

•    Аудит ИТ-инфраструктуры.
Это оценка физических и логических компонентов ИТ-инфраструктуры, таких как серверы, сетевое оборудование, базы данных, чтобы убедиться, что они безопасны, работают эффективно и соответствуют целям и задачам организации. Специалисты, проводящие такой аудит, анализируют техническую документацию на оборудование, схемы построения сетей, проводят интервью с работниками организации, выясняют, где оборудование работает, как хранится, как обслуживается, кто имеет к нему доступ.
В результате организация получает отчет о состоянии инфраструктуры и насколько текущая конфигурация оптимальна для использования.

•    Аудит программного обеспечения.
Это процесс проверки программного обеспечения на соответствие лицензионным требованиям, наличия обновлений и патчей безопасности. Аудит ПО может быть направлен на проверку качества программного обеспечения, его безопасности, эффективности и надежности, а также для определения степени соответствия программного обеспечения установленным стандартам и требованиям, выявления возможных уязвимостей или потенциальных рисков. Особое внимание уделяется влиянию программного обеспечения на критически важные бизнес-процессы организации.

«Также компания «РЖД-Технологии» имеет опыт аудита программного обеспечения на предмет соответствия кода и функционала программного продукта установленным при разработке требованиям, по развитию этого направления», -  говорит Алексей Никифоров.

Самое сложное в проведении ИТ-аудитов – это собрать достоверные сведения об организации.  
Нередко в компании очень мало нормативной документации либо она не утверждена. В таком случае аудиторам приходится опираться на результаты интервью работников организации либо на черновики документов, но для формирования каких-либо выводов это является плохой доказательной базой. Также для проведения интервью аудиторам приходится учитывать загруженность работников-респондентов и корректировать план проекта, чтобы не допустить просрочек по договорным обязательствам.

«РЖД-Технологии» планируют предлагать услуги по моделированию бизнес-процессов и разработке регламентов, а также по анализу процессов с применением технологии процесс-майнинг.
Спрос на эти услуги есть всегда, так как компании, как внутри РЖД, так и за ее пределами, в основном являются, во-первых, процессно-ориентированными, а во-вторых, постоянно стремятся повышать свою операционную эффективность. Для этого нужно представлять, как работает организация, то есть смоделировать ее процессы. Затем для этих процессов нужно установить метрики и контроли. И только потом необходимо провести оценку, понять текущую производительность процессов и понять, насколько она организацию устраивает. Следующий этап – анализ процессов, поиск возможных узких мест или точек роста, учет их в плане улучшения процессов и целевых моделях. «РЖД-Технологии обладают необходимым опытом и компетенциями для предоставления этих услуг, и в будущем их перечень будет расширяться.