В малом и среднем бизнесе ИТ почти всегда «как‑то работает» — пока одна поломка, шифровальщик или уход сисадмина не останавливают компанию на дни. На проектах мы регулярно видим одну картину: инфраструктура выросла стихийно, технический долг копится годами, а собственник узнает о реальном состоянии дел только во время крупного сбоя.
Меня зовут Дмитрий Бессольцев, я руковожу компанией ALP ITSM. С 1996 года мы проводим ИТ‑аудиты, проектируем и поддерживаем инфраструктуру для ритейла, производства, дистрибуции и сервисных бизнесов. В этой статье на живых кейсах разбираем, почему ощущение «у нас все работает» опасно для малого и среднего бизнеса, какие типовые «дыры» аудит показывает в 9 из 10 компаний и как превратить плановый ИТ‑аудит из затратной строки в инструмент управления рисками и ИТ‑бюджетом.
Иллюзия «у нас все работает»
Самая опасная фраза, которую может услышать собственник от своего ИТ-отдела: «Работает — не трогай».
Работает — не значит эффективно. В нашей практике были ситуации, когда компания с выручкой сотни миллионов рублей строит сеть на бытовых роутерах, которыми к тому же управляет провайдер. Пока в офисе сидело 15 человек, канала хватало. Когда бизнес вырос до 100 сотрудников и попытался внедрить IP-телефонию, сеть легла.
Другой частый сценарий — попытка внедрить систему электронного документооборота (ЭДО) или новую CRM на старую инфраструктуру. Бизнес платит за лицензии, нанимает интегратора, но проект встает намертво. Почему? Потому что рабочие станции сотрудников не тянут новое ПО, корпоративный антивирус блокирует трафик, а нужных интеграций с 1С просто нет.
Технический долг копится незаметно. Собственник видит только вершину айсберга — тормозящую почту или падение 1С раз в неделю. А под водой скрываются дублирующие сервисы, за которые платят дважды, отсутствие или просроченные лицензии антивирусной защиты и инфраструктура, которая рухнет при попытке масштабирования.
После таких историй легко подумать: «Ну это у них так, у нас все не идеально, но в целом нормально». Проблема в том, что «нормально» по ощущениям и по фактам — две разные реальности.
По свежему исследованию центра инфраструктурных решений «Инфосистемы Джет» в 2025 году:
- только у 47% компаний есть актуальная ИТ‑стратегия, остальные по сути действуют «по наитию», без четкого плана, как будет развиваться инфраструктура;
- четверть компаний не соблюдают базовое правило резервного копирования 3‑2‑1 (три копии, два типа носителей, одна копия вне офиса или ЦОД), а 26% даже не делают тестовые восстановления;
На уровне ощущений у всех «все работает». На уровне цифр половина рынка живет без внятного плана и без нормального резервирования — и надеется, что именно к ним шифровальщик или крупная авария не зайдет.
Чек‑лист для владельца: если у вас совпадает хотя бы два пункта, аудит нужен не «когда‑нибудь», а в ближайшие месяцы:
- Вы не знаете точное количество серверов и критичных сервисов.
- Один администратор или подрядчик «держит все в голове».
- Вы ни разу не пробовали восстановиться из резервной копии.
- 1С или CRM падают раз в неделю, а восстановление занимает часы.
- Вы платите за несколько облачных сервисов с пересекающимся функционалом.
Живые примеры: как ИТ‑аудит работает в разных отраслях
Есть несколько типичных сценариев, с которыми мы регулярно сталкиваемся в проектах ALP ITSM.
Розничная сеть товаров для массового потребителя
Федеральная сеть магазинов с десятками торговых точек. До аудита — разрозненная сеть, нестабильный Wi‑Fi, устаревшее оборудование, разные подходы к настройкам в регионах. Аудит показал слабые места в сетевой архитектуре, отсутствие нормального резервирования и единых регламентов. После реализации плана сеть перевели на единую архитектуру, стандартизировали настройки и ввели регламенты: кассы и складские системы перестали «падать» в пиковые часы продаж, а открытие новых точек перестало превращаться в аврал.
Крупный форматный ритейл (гипермаркеты)
Сеть гипермаркетов с большим трафиком, складским учетом и онлайн‑заказами. Изначально сеть и Wi‑Fi собирались по мере роста бизнеса: разное оборудование, разные схемы, слабое покрытие и временами «падающие» кассы. Аудит выявил узкие места в существующей инфраструктуре, точки перегрузки и ошибки в проектировании. После модернизации и унификации решений сеть перестала быть «узким горлышком»: торговый зал и склады стабильно выдерживают пиковые нагрузки, а ИТ‑служба работает по четкой схеме с понятными регламентами эксплуатации.
Медицинская компания с распределенной ИТ‑инфраструктурой
Крупная медицинская организация с тестовой средой и множеством внутренних ИТ‑сервисов. Команда ALP ITSM была привлечена, чтобы понять, соответствует ли тестовая инфраструктура требованиям по производительности, емкости и доступности и где можно оптимизировать процессы. Исследование показало, что часть ресурсов используется неэффективно, а процессы развертывания и тестирования можно упростить. После внедрения рекомендаций тестовая среда стала работать стабильнее и быстрее, сократилось время на запуск новых сценариев и снизились лишние затраты на инфраструктуру.
Производитель промышленного оборудования
Международная компания с представительством в России. До проекта офисная инфраструктура собиралась постепенно, под текущие задачи, без запаса по отказоустойчивости и роста. Задача аудита — оценить исходное состояние и спроектировать ИТ‑инфраструктуру под локальные условия с учетом планов по развитию бизнеса. Аудит и последующее проектирование позволили построить новую инфраструктуру с резервированием и понятной архитектурой. В результате компания получила платформу, к которой можно безопасно добавлять новые сервисы, площадки и пользователей без риска «обрушить» существующие системы.
Эти истории показывают: в разных отраслях картинка «на уровне ощущений все работает» часто скрывает серьезные риски — и именно аудит дает дорожную карту, как перевести ИТ из режима «как‑то живем» в управляемую систему.
Когда бизнесу пора делать аудит прямо сейчас
Есть ситуации, когда аудит из рекомендации превращается в обязательный нулевой этап. Без него любые инвестиции в ИТ сгорят.
- Смена ИТ-подрядчика или уход ключевого инженера. Новый подрядчик всегда работает вслепую, если нет актуальной схемы сети и доступов. Аудит фиксирует, в каком состоянии вы передаете ИТ-хозяйство новым рукам, и защищает от шантажа старых сотрудников.
- Масштабирование бизнеса. Вы открываете новые филиалы, запускаете франшизу или переходите на круглосуточную работу складов. Инфраструктура, собранная «на коленке», такую нагрузку не выдержит.
- Регулярные мелкие сбои. Если 1С падает раз в неделю, а база данных восстанавливается по три часа — проблема не в «магнитных бурях». Инфраструктура работает на пределе.
- Переход на российское ПО (импортозамещение). К 2026 году требования регуляторов коснулись не только госсектора, но и коммерческих компаний, работающих с персональными данными или объектами КИИ. Перенести системы без карты зависимостей невозможно.
- Когда «все нормально». Парадоксально, но самый выгодный момент для аудита — когда ничего еще не горит. В этот момент можно спокойно выявить риски, спланировать замену и миграцию без авралов и ночных работ.
Что видит бизнес и что показывает аудит
Собственник не обязан разбираться в SQL, виртуализации и Active Directory. Аудит переводит техническую картину на язык денег и рисков.
В истории производственной компании по результатам аудита сформировали конкретный план: настройку централизованной системы обновлений и антивирусной защиты, внедрение дополнительного гипервизора с репликацией, перераспределение и расширение дисковых ресурсов, настройку регулярного резервного копирования и наведение порядка в Active Directory.
Российские реалии 2026 года: регуляторика и киберриски
К 2026 году аудит перестал быть просто поиском способов сэкономить. Он стал инструментом выживания в условиях жесткой регуляторики.
Организации, подпадающие под закон о критической информационной инфраструктуре, обязаны перейти на отечественные решения и обеспечить устойчивость своих систем. Если компания не провела инвентаризацию и не составила план миграции, она рискует получить «зоопарк» несовместимых систем, рост затрат и остановку ключевых процессов при попытке перейти на новое ПО.
Параллельно растут риски вокруг персональных данных. Штрафы за утечки измеряются миллионами рублей, и для малого бизнеса даже одна серьезная санкция может стать критичной. Аудит помогает заранее закрыть очевидные дыры: права доступа, хранение бэкапов, открытые порты, отсутствие шифрования.
Импортозамещение в ИТ в 2026 году — это уже не эксперимент, а жесткая реальность. Начинать его без аудита ИТ-стека и выявления критичных зависимостей от иностранного ПО — значит гарантированно остановить бизнес на этапе миграции.
Сколько стоит не делать ИТ-аудит
Многое становится понятнее, когда избавиться от общих слов и посчитать.
Возьмем компанию с выручкой 100 млн рублей в год и штатом 30 человек.
Итого — примерно 310 000 рублей за один инцидент в базовом, не самом тяжелом сценарии. Если речь о шифровальщике и простое в несколько дней, сумма возрастает кратно.
По рыночным данным, средняя стоимость одного значимого ИТ-инцидента для российской компании составляет около 2 млн рублей. Для шифровальщика с требованием выкупа — от 240 тыс. до 4 млн рублей только для СМБ-сегмента.
На фоне этих цифр стоимость планового аудита в «сотни тысяч рублей» перестает выглядеть затратой и превращается в страховку: вы платите за то, чтобы понимать состояние инфраструктуры и устранять риски до того, как они сработают.
Какие бывают ИТ-аудиты (по‑человечески)
Важно, что под «ИТ-аудитом» не всегда подразумевается огромный комплексный проект на месяцы работы. Есть различные форматы, которые подходят и малым, и средним компаниям.
- Обследование (экспресс-аудит): быстрый сбор фактуры, чтобы просто понять, что у вас есть и в каком состоянии.
- Технический аудит: проверка железа, виртуализации, сетей и баз данных с выявлением узких мест.
- Аудит по критерию: фокус на одном вопросе — например, производительность или безопасность.
- Комплексный аудит: когда нужно честно ответить, насколько ИТ вообще соответствует целям бизнеса.
Это снижает страх «мы не потянем аудит»: начать можно с малого, с понятного и ограниченного по объему формата.
Как выглядит аудит изнутри: что с вами будут делать
Частый страх собственника: придут айтишники, все сломают, всех отвлекут и будут месяц ковыряться в серверах. В реальности базовый ИТ‑аудит в среднем бизнесе занимает примерно 2–4 недели и идет фоном: компания работает как обычно, максимум — пару раз попросят доступ или комментарий.
По шагам это выглядит так:
- Сначала — разобраться, что у вас вообще есть. Команда собирает карту инфраструктуры: сервера, сети, облака, сервисы, кому что выдано из доступов. Часто на этом этапе всплывают «забытые» виртуалки, тестовые сервера и платные подписки, про которые давно никто не помнит
- Потом — понять, как все это скручено между собой. Смотрят архитектуру: что на чем завязано, где нет резервирования, как ходят данные между 1С, CRM, складами, сайтами. На этом шаге обычно видно, почему любое обновление 1С превращается в квест на выходные.
- Дальше — безопасность без страшилок. Проверяют, у кого какие права, какие учетки зависли после увольнения, как настроен антивирус и файрвол, что торчит наружу. Почти в каждом проекте находится хотя бы один «универсальный» админский логин, которым пользуются все — и который никто не менял годами.
- Параллельно — здравый смысл по производительности. Смотрят, какие сервера и базы работают на пределе, где диск забит «под завязку», где виртуалка тащит на себе полкомпании. Это тот самый момент, когда становится понятно, выдержит ли инфраструктура рост бизнеса, или «оно и так еле дышит».
- В финале — не отчет «на полку», а план. Вам не выкатывают 100 страниц логов. Вы получаете короткий управленческий документ: что горит прямо сейчас, что нужно заложить в бюджет на ближайший квартал, а что можно не трогать. Плюс — оценки по деньгам и срокам, чтобы можно было принимать решения, а не просто «знать, что все плохо».
Так аудит перестает быть «черным ящиком» и превращается в понятный процесс: за месяц вы из состояния «мы примерно представляем, что у нас там в ИТ» переходите к конкретной картине с рисками, цифрами и планом действий.
Что бизнес получает на выходе
Хороший аудит не заканчивается 100-страничным техническим отчетом, который никто не будет читать. Руководитель получает управленческие инструменты:
Прозрачную карту ИТ-ландшафта. Понятную визуальную схему: какие серверы где стоят, за что отвечают, сколько стоят и на кого завязаны.
Матрицу критических рисков. «Светофор» проблем: красная зона (исправить завтра, иначе встанут продажи), желтая зона (заложить бюджет на квартал), зеленая зона (не трогать, работает стабильно).
К этому добавляются рекомендации по архитектуре, безопасности, резервному копированию и плану развития инфраструктуры на горизонте 1–3 лет.
Стоимость планового аудита — сотни тысяч рублей. Стоимость одного дня простоя для компании с оборотом 100 млн рублей — от 300 тысяч рублей.
ИТ-аудит — это не про недоверие к администратору. Это про управляемость. Он показывает, где вы действительно рискуете бизнесом, а где просто переплачиваете. И дает опору для решений: что менять, когда и за какие деньги.
Заключение: с чего начать прямо сейчас
ИТ‑аудит — не про «приехали консультанты, все раскритиковали и уехали». Это решение на уровне собственника: либо вы продолжаете жить на пороховой бочке и верить, что «у нас все нормально», либо получаете прозрачную карту своей инфраструктуры с понятными рисками.
Если вы давно чувствуете, что инфраструктура «росла сама», 1С падает с пугающей регулярностью, а ИТ‑затраты растут без понятной логики — это сигнал не терпеть, а проверять. Начните с простого: короткого экспресс‑аудита текущей инфраструктуры. Это дешевле и безопаснее, чем героически восстанавливать бизнес из резервных копий после очередной аварии или увольнения «незаменимого» админа.
Если вы сейчас понимаете, что текущий подход к ИТ себя исчерпал и вы задумываетесь о привлечении внешних специалистов, будет полезна наша инструкция по выбору ИТ-партнера. В ней мы собрали критерии: на что смотреть, где чаще всего прячутся риски и как сравнивать предложения не только по цене. С ней можно пройтись по рынку с чек‑листом, а не выбирать «на ощущениях».