ИТ-аудит или аудит информационных систем — это изучение и экспертная оценка всей ИТ-инфраструктуры компании и отдельных ее частей. Не рекомендуется проводить внутренними сотрудниками предприятия. Основные цели аудита информационной системы предприятия:

• оценить эффективность расходуемого на ИТ-задачи бюджета (включает в себя анализ затрат на зарплаты специалистов, капитальных затрат на оборудование (в год), переменных затрат на лицензии, подписки в сервисах, хостинги, сервера и т.д.;
• оценить эффективность работы ИТ-отдела, а также общий уровень подготовки кадров;
• определить места в инфраструктуре и бизнес-процессах, где ИТ-системы используются недостаточно эффективно, выработать рекомендации по повышению эффективности, перераспределению нагрузки;
• оценить работу систем и процессов, которые обеспечивают безопасность данных компании;
• оценить риски для информационных активов компании, определить методы минимизации этих рисков;
• обеспечить, чтобы все связанные с ИТ-системой процессы соответствовали законам и стандартам отрасли;
• инвентаризация оборудования, обследование элементов IT-инфраструктуры, оценка надёжности программного и антивирусного обеспечения, оценка возможных рисков (уязвимости, потенциально сбойные участки, неоптимальное использование вычислительных ресурсов и т.п.) и проблемных частей в процессе эксплуатации;
• разработать дорожную карту устранения проблем.

Результатом проведения аудита является предоставление итогового отчёта с результатами обследования, найденными проблемами, способам их решения, затратам и предполагаемой выгоде по результатам проведения всех необходимых изменений.

Стоимость проверки определяется заранее, до начала работ, на этапе планирования аудита и зависит от объема работ в часах. Стоимость одного часа работы специалиста составляет 20 000 рублей. Глубина проводимого исследования, а, значит, и степень соответствия практической значимости подобранных решений поставленным целям напрямую зависит от объема проведенных работ.

Количество часов, необходимых для осуществлении работ, зависит от количества задействованных помещений, количества сотрудников, количества информационных систем.

В стоимость одного часа специалиста не включаются командировочные расходы до места проведения аудита. Примерная продолжительность и ориентировочная стоимость работ представлены в таблице ниже.

В ходе обследования собираются и структурируются общие данные о текущем состоянии ИТ-инфраструктуры. Отчет, в котором зафиксировано общее описание ИТ-инфраструктуры как она есть на данный момент, чаще всего с поверхностным анализом и набором минимальных рекомендаций. Выделяются все основные информационные системы предприятия. На основе экспресс-обследования можно составить план глубокого обследования предприятия.

Проводится реверс-инжиниринг бизнес-процессов. Проводится анализ ИТ-инфраструктуры для каждого из выбранных бизнес-процессов — аудит компьютерной техники, ПО, аудит ИТ персонала, задействованного в бизнес-процессе, аудит ит-процессов. Оценивается, как улучшить отдельные элементы ИТ-структуры, задействованные в этом бизнес-процессе, как привести их к соответствию стандартам и лучшим практикам, проводится оценка рисков.

Составляется список IT-процессов, интегрированных в общую структуру бизнес-процессов. Для каждого ИТ-процесса определяются:

• роли участников процесса;
• метрики процесса;
• состав процедур;
• ответственные за реализацию процесса.

Оценка работы систем хранения данных и резервного копирования, работа антивирусных программ), оценка работы систем связи (интернет, телефония). Работа пользовательского ПО (серверных, прикладных и пользовательских программ). Техническое состояние оборудования (диагностика компьютеров, систем внутренних коммуникаций и СКС). Проверка отказоустойчивости ИТ-системы, сетевые политики безопасности, разграничение доступа к конфиденциальным данным, защиту системы от взлома извне, защиту от вирусов и спама, систему обработки персональных данных. Проверку персонала на склонность к атакам с использованием социальной инженерии.

Аудит ИТ-безопасности вовремя обнаруживает уязвимости в системе, помогает выявить и оценить риски. Сетевая инфраструктура, используемые программные решения и каналы связи, в том числе сюда может входить анализ работы корпоративной телефонии, почты, мессенджеров по различным критериям.

Инвентаризация серверного и сетевого оборудования, рабочих мест оргтехники, мобильных устройств, установленного программного обеспечения, а также обследование и анализ состояния всего перечисленного. Этот технический аудит позволит понять, какое аппаратное и программное обеспечение сетевой инфраструктуры в наличии, как оно работает, где могут быть потенциальные точки отказа, как устроена и защищена корпоративная сеть, все ли используемое ПО лицензионное и достаточно ли текущего количества лицензий. Проверяется соответствие законодательным нормам, правилам, требованиям государственных регулирующих органов.

UI/UX аудит юзабилити позволяет выявить сложности интерфейса, отсутствие целевых действий посетителей. Юзабилити дизайна напрямую влияет на посещаемость и продажи, поэтому для повышения функциональности и эффективности юнит-экономики необходим взгляд со стороны. Неотъемлемой частью аудита пользовательских интерфейсов является также выявление и анализ ошибок работы сайта, анализ ошибок на ключевых страницах, в том числе влияющих на ранжирование сайта в поисковых системах, анализ адаптивности на различных устройствах и браузерах.

В ходе аудита пользовательских веб-интерфейсов собираются и изучаются данные из веб-аналитики, оценивается конверсия разных маркетинговых активностей. Оцениваются схемы интеграции web-приложений и ресурсов с внутренними системами компании.

Возможные результаты:

• увеличение конверсии без повышения рекламного бюджета;
• уменьшение количество ошибок работы сайта;
• анализ адаптивности на различных устройствах и браузерах;
• повышение конкурентоспособности.

Разрабатываются методики защиты веб-ресурсов, защиты call-центра, оптимизации нагрузки, а со стороны бизнес процессов — может быть построена сквозная аналитика, предложены улучшения на сайте и в рекламных кампаниях. Внедрены новые методы автоматизации — чат-боты, автоматизация распределения чатов, подключен искусственный интеллект для автоматизации обработки типичных запросов.

Может оцениваться квалификация сотрудников с точки зрения эффективности и корректности использования имеющихся программных продуктов, например, относительно скорости получения результата, качества результата или безопасности процесса.

Оценка финансовых затрат при использовании тех или иных информационных систем или решений.

Собираются и анализируются сведения о конкретной ИТ-системе только в разрезе какого-либо выбранного критерия:

• удобство использования;
• производительность;
• адаптируемость;
• масштабируемость;
• отказоустойчивость;
• стоимость поддержки и развития.

Результат – с оценкой соответствия или несоответствия работы ИТ-системы выбранному критерию. В случае несоответствия анализируются причины этого и даются рекомендации по улучшению.