Введение. О чем эта статья
В этой статье я расскажу о том, как провести общий аудит всех аспектов работы IT в компании. В результате проведения такого аудита Вы получите общее представление об эффективности работы IT вашей компании, основных сильных и слабых сторонах, возможностях для улучшения. Хочу отметить, что здесь не будет описан детальный аудит какой-либо области, типа аудита конфигурации и настройки сетевой инфраструктуры, детального аудита процесса разработки или аудита информационной безопасности компании. Такие аудиты также бывают очень полезны, но обычно целесообразно сначала провести общий аудит, чтобы понять, какие области работы IT требуют первоочередного внимания, сфокусировавшись на которых Вы сможете получить наибольшую отдачу максимально быстро.
Описанная в статье методика проведения аудита подходит для проведения планового периодического аудита как силами сотрудников компании, так и с использованием внешних ресурсов.
Она также будет полезна при выборе подрядчика для проведения аудита. Так, выясняя конкретную методику проведения аудита у подрядчика, можно сравнить ее с предлагаемой здесь. Стоит оценить сбалансированность методики подрядчика, так как на определенных моментах подрядчик может делать излишне детальный фокус, а некоторые может упустить. Это случается довольно часто, так как подрядчики зачастую бывают выходцами из определенной сферы IT, и тогда они будут уделять повышенное внимание хорошо знакомой им сфере, избыточное при проведении общего аудита, и недостаточное внимание областям, которые они знают недостаточно хорошо.
Этапы аудита
Для начала хочу отметить один важный момент. Чтобы качественно рассмотреть определенный аспект деятельности, важно также получить определенное представление о смежных процессах. Так что проводя аудит подразделения IT, получите общее представление о работе компании в целом. Это очень важно, чтобы оценить согласованность работы подразделения IT и других процессов компании.
В общем-то это справедливо почти для любой деятельности. Чтобы быть хорошим специалистом в своей области специализации, нужно ориентироваться также в смежных областях.
Итак, перейдем к описанию этапов проведения аудита.
Формулирование цели
Первый этап - сформулировать цель аудита. Нужно опросить заказчиков проведения аудита и выяснить, что они хотят получить в результате. Здесь и далее всю полученную информацию нужно сразу же фиксировать. Не рекомендую полагаться на свою память. Если Вы не будете сразу же записывать всю важную информацию, скорее всего Вы многое упустите при дальнейших шагах и формировании результатов аудита.
Также у заказчиков аудита стоит получить общую информацию о компании, такую как
● численность сотрудников и пользователей IT-систем,
● географическое распределение подразделений компании,
● бюджеты доходов и расходов как компании в целом, так и IT-подразделения, в том числе очень важно увидеть не только плановые цифры, но и исполнение бюджета за несколько лет
● историю компании и IT-подразделения, в том числе основные проекты, ротацию основных сотрудников и т.д.
● что в компании в целом организовано эффективно, в чем компания сильнее своих конкурентов, а какие моменты хотелось бы улучшить
После общения с заказчиками Вы можете сформировать гипотезы о проблемных областях и возможностях для совершенствования, которые Вы будете проверять и дополнять в процессе аудита. Поддерживать список гипотез полезно, чтобы проводить аудит более фокусно и эффективно, но в то же время ни в коем случае не стоит уделять слишком мало внимания тем областям, которые не вошли в ваш список гипотез, так как тогда Вы можете упустить многие важные аспекты.
Интервьюирование бизнес-подразделений
После формулирования целей аудита и начальных гипотез нужно провести интервью с основными руководителями и ключевыми сотрудниками. Начальные списки этих людей можно узнать у заказчиков проведения аудита. А далее при проведении аудита интересоваться у ваших собеседников, с кем, по их мнению, будет полезно пообщаться и почему. Исходя из предложенных кандидатур Вы сможете выбрать тех, кто будет наиболее полезен для целей проводимого аудита, и назначить встречи с ними.
Основные вопросы, которые стоит задавать сотрудникам бизнес-подразделений компании:
● Насколько сильно IT влияет на Вашу область деятельности
● Какие основные способы взаимодействия с IT используются, как часто, насколько они эффективны
● Основные используемые Вами и Вашими коллегами IT-системы, насколько они удобны
● Насколько в целом Вы удовлетворены качеством работы IT в компании
● Что Вам нравится в том, как организована работа IT в компании
● Что, Вы считаете, организовано недостаточно эффективно
● Если Вы могли бы изменить любые аспекты деятельности IT, что и как бы Вы поменяли
● Знаете ли Вы планы развития IT, насколько вовлечены в их составление и исполнение
● Вопросы для проверки сформулированных вами гипотез
Важно также просить приводить конкретные примеры, которые могут продемонстрировать наглядно, почему ваш собеседник придерживается выражаемой им точки зрения.
Также полезно узнать, как проходят проекты в IT, а также проекты, не связанные с IT, в его подразделении. В целом узнать о работе бизнес-подразделения, наличии документированных процессов и т.д.
В конце я обычно интересуюсь у собеседника: “Что еще полезного для целей аудита Вы могли бы мне рассказать?” Зачастую люди сообщают какой-нибудь весьма важный аспект.
После общения с представителями бизнес-подразделений Вы будете иметь достаточно хорошее представление о том, как деятельность IT видится извне IT-подразделения.
Выделите время, чтобы обновить Ваш список гипотез для проверки.
Анализ IT-подразделения
Финальный шаг перед подготовкой результатов аудита - общение с сотрудниками подразделения IT. В принципе для экономии времени можно общаться с представителями бизнес и IT-подразделений в одно и то же время. Однако, если Вы начнете с бизнес-подразделений, то аудит получится более целостным, так как Вы сможете задавать сотрудникам IT более точные вопросы для проверки сформированных на предыдущем этапе гипотез.
Для начала возьмите оргструктуру IT-подразделения и отметьте для себя, кто должен представлять наибольший интерес с точки зрения целей аудита. Лучше всего начать общение с первого лица в IT в компании. Выясните его видение работы подразделения IT, аналогично тому, как Вы общались с нетехническими сотрудниками. Спросите также про его видение работы компании в целом, что он считает эффективно и что недостаточно эффективно происходит вне IT-подразделения. Узнайте, с какими сложностями он сталкивается при взаимодействии с прочими IT-структурами компании. Спросите его мнение, что могло бы помочь улучшить те или иные аспекты деятельности и в связи с чем отмеченных им моментов до сих пор не произошло.
Далее общайтесь с сотрудниками IT-подразделения с учетом той области, в которой они работают. Конкретные вопросы, которые нужно выяснять по каждой области деятельности, выходят за рамки данной статьи (определенные идеи можете почерпнуть в COBIT, ISO/ГОСТ 20000, ISO/ГОСТ 27000, SOX IT Controls, ITGC, ITSM), но в целом, помимо универсальных перечисленных выше вопросов, обращайте внимание на следующие моменты:
● Наличие описанных процессов выполнения деятельности. Их полнота (как достаточность, так и отсутствие избыточности) и актуальность
● Документация, в том числе ее актуальность и процессы по ведению документации
● Взаимодействие между блоком работы данного сотрудника и других блоков IT, а также с бизнес-подразделениями - как часто происходит, каким способом, по каким вопросам, что происходит хорошо и какие есть сложности
В результате Вы получите целостную картину по основным сильным и слабым сторонам работы IT в компании, причем как с точки зрения бизнес-подразделений, так и с точки зрения IT-подразделения.
Завершение аудита
В результате у вас должно сложиться общее представление по следующим областям:
● Внедрение и поддержка бизнес-приложений
● Разработка приложений
● IT-инфрастуктура
● Поддержка пользователей
● Управление портфелем и уровнем услуг
● Использование insourcing/outsourcing, управление подрядчиками
● Финансирование IT, процессы бюджетирования
● Управление доступностью
● Управление рисками
● Управление качеством
● Управление непрерывностью, наличие и актуальность плана восстановления в случае крупных сбоев и чрезвычайных ситуаций
● Управление уровнем информационной безопасности
● Управление соответствием регуляторным требованиям
● Управление изменениями
● Управление релизами и внедрениями
● Управление конфигурациями
● Управление знаниями
● Сравнение технологий работы компании с современными практиками, как в области процессов (например Agile, DevOps, ITSM), так и применяемых технологий и классов систем (системы каких классов применяются и насколько, а каких не применяются либо применяются мало и в связи с чем, например, насколько применяются ERP, CRM, BI, RPA, системы искусственного интеллекта)
● Взаимодействие сотрудников как внутри IT-подразделения, так и между IT и бизнес-подразделениями, в компании в целом. В том числе психологический климат в подразделениях, IT-культура как внутри IT-подразделения так и вне его, а также список используемых методов управления коммуникациями между IT и бизнес-подразделениями
● Оптимальность организационной структуры подразделения IT. Можно попытаться оценить и соответствие специалистов занимаемым должностям, но вообще говоря это задача для более узконаправленного аудита
● Уровни зрелости основных процессов
● Процессы управления документацией
● Целесообразность каждого аспекта работы IT. Отсутствие избыточности (например, избыточных мощностей, избыточно качественного оборудования). Также достаточность каждого аспекта (например, важно проверить достаточность надежности процессов, систем или оборудования для критичных областей)
● Согласованность процессов каждой области внутри IT с другими областями IT
● Управление IT-проектами (в том числе программами и портфелями проектов). Согласованность методологии управления IT-проектами и другими проектами компании
● IT-стратегия и бизнес-стратегия, согласованность целей бизнеса и IT. Горизонт и схема планирования и видения
● IT-архитектура
● Управление инновациями
● Система контроля эффективности работы IT-процессов, применяемые KPI, используемые методики совершенствования деятельности IT-подразделения, способы оценки качества работы подразделения IT руководством компании
● Степень влияния IT на бизнес компании, соответствие данной степени влияния специфике работы компании и ее оценке менеджментом компании
● Бизнес-анализ, в том числе методики определения направлений совершенствования бизнес-процессов
Используйте этот список во время аудита, чтобы охватить все важные аспекты работы IT в компании. Я рекомендую перед началом аудита обсудить данный список с заказчиками аудита и определиться, насколько большое внимание будет уделено каждому из перечисленных аспектов (часть аспектов, возможно, будет иметь смысл полностью вычеркнуть из области охвата проводимого аудита).
Также по ходу аудита составляйте списки следующих выявленных моментов по всем направлениям:
● Основные сильные стороны
● Основные проблемные области
● Основные области для дальнейшего изучения
● Основные возможности совершенствования
Перечитайте Ваши записи и проанализируйте всю полученную информацию. Все процессы должны иметь под собой достаточное основание, должны быть достаточными для достижения цели, но и не быть излишними. Процессы не должны быть ради процессов, и затраты на ведение процессов не должны превосходить пользу от этих процессов. Проанализируйте, какие есть альтернативные пути ведения основных процессов.
После анализа сформулируйте отчет по аудиту, который должен содержать информацию о ходе аудита - кратко что Вы сделали, с кем пообщались, основную полученную вами информацию и ваши выводы - что Вы считаете сильными сторонами IT в компании, какие стороны недостаточно сильные, и ваши рекомендации, на что стоит обратить внимание в первую очередь - какие изменения стоит сделать или какие области стоит изучить более детально для выработки точных предложений по ним.
Часто имеет смысл включить в отчет Executive summary - самую важную информацию по результатам аудита, основные выводы и несколько самых важных рекомендаций.
Желательно предоставить отчет сначала ключевым сотрудникам IT-подразделения и узнать их мнение по нему. Возможно, они смогут дать полезные советы, что можно улучшить в подготовленном отчете, а также показать Ваши ошибки, если определенные аспекты Вы поняли или отразили неверно.
Финально отчет предоставляется заказчикам аудита. Лучше всего для этого организовать сессию, где Вы представите отчет с вашими комментариями и ответите на вопросы. Также отчет может быть интересен всем сотрудникам, с которыми Вы общались в процессе аудита. Если у заказчиков нет возражений, рекомендую переслать отчет также всем участникам аудита, и/или выложить его на внутреннем портале организации (возможно исключив из него информацию, которая может быть конфиденциальной для части сотрудников).
Дополнительные инструменты и рекомендации
Список гипотез
В данной статье я рекомендую проводить аудит не полностью равномерно, с одинаковым погружением во все области, а на основе списка гипотез. Такой подход позволит Вам сфокусироваться на наиболее вероятных проблемных областях и в результате проработать их более качественно. В то же время, любой выбор имеет как положительные, так и отрицательные стороны. При аудите на основе гипотез повышается вероятность упустить определенные аспекты, которые Вы заметили бы при проведении равномерного аудита.
Формальные списки метрик для проверки
При проведении общего аудита формальные списки метрик, вероятно, не понадобятся опытному аудитору, но если Вы не проводите аудиты часто, либо если Вы хотите детально посмотреть на определенный аспект работы IT, то формальные списки могут быть очень полезны.
Стиль проведения аудита
При проведении аудита многие люди могут быть настроены с определенной долей враждебности по отношению к Вам - кого-то Вы можете банально отвлекать от работы, и он не видит никакой пользы для себя общаться с Вами, кто-то может бояться, что Вы низко оцените его участок работы, кто-то захочет по тем или иным причинам не показывать определенные области. Я рекомендую стараться придерживаться в целом дружелюбного стиля, в том числе, начинать общение с людьми не с рабочих моментов, в процессе стараться нащупать области интереса собеседника и выразить свой интерес к ним. В то же время, для успешного проведения аудита заручитесь поддержкой руководства компании, поинтересуйтесь возможным сопротивлением и договоритесь, как руководители могут помочь в его преодолении со своей стороны.
Однако не забывайте, что везде важна золотая середина, не стоит переусердствовать с давлением на вашего собеседника. Чаще всего более важно поддерживать дружелюбное отношение, а недостающую информацию получить у его коллег, из документов или при более детальном аудите, пометив данный вопрос как требующий дополнительной проработки.
Уровни зрелости и CMMI
В качестве одной из задач проведения аудита можно выбрать оценку уровня зрелости всех основных (либо списка выбранных) IT-процессов и смежных бизнес-процессов. В результате можно получить текущую картину и выработать целевые уровни на заданный период. При этом не рекомендуется ставить цель перескакивать сразу через несколько уровней зрелости по каждому отдельному процессу, а также улучшать слишком много процессов одновременно.
Очень важно всегда помнить о целесообразности предлагаемых изменений уровней зрелости. Обычно ничего не бывает бесплатно, любой дополнительный уровень зрелости, помимо очевидных выгод, несет в себе затраты ресурсов, а также может ухудшить определенные аспекты как самого процесса, так и его взаимодействия со смежными процессами. Любую систему стоит развивать гармонично, и развитие должно быть обоснованным.
Аудит в несколько этапов
Хорошей практикой является проведение аудита не в один этап, а в несколько. Если Вы не очень сжаты во времени и ресурсах, стоит разбить аудит хотя бы на два этапа - провести сначала экспресс-аудит, выработать основные гипотезы, обсудить их с заказчиком проведения аудита и потом провести более глубокий аудит с учетом обратной связи от заказчика и с более глубокой проработкой наиболее интересных ему аспектов.
Сравнение метрик со стандартными показателями
Обычно полезно бывает сравнить полученные результаты обследования со средними/стандартными показателями аналогичных компаний-конкурентов. Как минимум, стоит сравнить метрики с метриками по аналогичным компаниям отрасли и/или региона. Такие показатели может быть сложно или дорого получить, поэтому сравнение может получиться неполным, но вместе с тем без такого сравнения будет гораздо сложнее понять, насколько эффективна данная компания по сравнению с конкурентами. По меньшей мере, сравните показатели с теми данными, которые Вы можете легко и быстро получить.
Стоит обратить внимание как на формальные метрики, например, количество и распределение IT-сотрудников по отношению к численности или обороту компании, так и на менее формальные показатели, например, рассмотреть, какие процессы, технологии и инструменты используют другие подобные компании, и сравнить их с таковыми в обследуемой Вами компании.
Заключение
Мы рассмотрели типичную схему проведения IT-аудита общего плана, а также ряд дополнительных инструментов и рекомендаций, которые могут быть полезны при проведении IT-аудита.
Крайне важно по завершении аудита инициировать и выполнить работу по его результатам. Если этого не сделать, то, помимо неэффективно потраченных ресурсов на проведение аудита, пострадает мотивация сотрудников, принимавших в нем участие. Пострадает их вера в возможность позитивных изменений, и при следующих попытках аудита они будут относиться к нему более формально и отстраненно.
Таким образом, после аудита нужно наметить и выполнить план дальнейших действий. Определитесь, какие изменения можно инициировать сразу после аудита, какие отправить на дальнейшую проработку и изучение вариантов и возможностей, по каким областям следует провести более детальные аудиты для выявления дополнительных путей совершенствования. Не откладывая, составьте план действий и включите его в общее расписание проектов компании.
Сергей Суховерхов
soukhoverkhov.ru