Семь типичных ошибок при аудите цифровой инфраструктуры и как их избежать

Цифровизация, импортозамещение в сфере ИТ и рост требований к информационной безопасности делают аудит в России все более востребованным инструментом, особенно на объектах критической информационной инфраструктуры. Зачем и кому он может понадобиться, каковы основные ошибки и сложности при его проведении и как правильно подготовиться к ИТ-аудиту, рассказывает директор по цифровой трансформации Fork-Tech Анастасия Ластовкина.

Когда нужен ИТ-аудит

По оценке Fork-Tech, рост спроса на ИТ-аудит в России составляет примерно 15–20% в год, а до конца 2025 года отечественный рынок экспертизы в сфере информационных технологий может увеличиться на 20–30%. Интерес к этой услуге связан с:

• ростом роли ИТ в бизнесе компаний, особенно в финансах, телекоме и ритейле, где качество услуг напрямую зависит от цифровой инфраструктуры;
• увеличением бюджетов на ИТ, что усилило требования к прозрачности этих расходов;
• переходом на удалённые и гибридные форматы работы, который осложнил контроль над ИТ-процессами.

Дополнительным импульсом для развития ИТ-аудита стал уход иностранных вендоров. Компании столкнулись с необходимостью проанализировать существующую архитектуру и разработать стратегию импортозамещения.

За последнее время изменилась и сама практика проведения аудитов. Они стали более комплексными: в фокусе не только соответствие процессов нормативным требованиям, но и оценка зрелости ИТ-функции, её способности масштабироваться, поддерживать инновации. Всё больше этапов проверки проводится дистанционно, с применением инструментов удалённого анализа, опросов, метрик и сканирования инфраструктуры.

ИТ-аудит — это чекап цифровой инфраструктуры, который помогает оценить её эффективность, надёжность и безопасность.

Аудит выяснит, действительно ли сервисы работают на цели бизнеса, поможет принять взвешенные решения в ситуациях, когда в компании меняется руководство, предстоит слияние или продажа бизнеса. Подобное обследование также позволит ответить на вопросы о том, стоит ли инвестировать в новую инфраструктуру, где можно сэкономить, не потеряв в эффективности, есть ли риски, которые руководство не замечает.

Иногда организация в ИТ-сфере может выглядеть устойчивым механизмом, но за аккуратным фасадом скрываются устаревшие решения, уязвимости, «заплатки» прошлых лет. Внешняя независимая экспертиза помогает увидеть систему без искажений, такой, какова она есть на самом деле, оценить соответствие лучшим рыночным практикам и выявить риски.

Основные ошибки

Как избежать превращения ИТ-аудита в дорогостоящую формальность? Вот наиболее распространённые ошибки, которые могут к этому привести.

1. Нечёткая формулировка целей

Частая проблема при заказе ИТ-аудита — расплывчатая или вовсе отсутствующая цель. При отсутствии фокуса даже качественная экспертиза не даст ощутимого результата.

Чтобы избежать этого, стоит чётко сформулировать цель. Возможные формулировки:

• оценить реалистичность бюджета проекта и найти точки оптимизации;
• проверить, насколько текущая ИТ-инфраструктура готова к росту бизнеса;
• определить, стоит ли развивать собственную систему разработки или перейти на готовое решение;
• разобраться в причинах падения качества ПО.

Что делать:

• сформулировать цель вместе с аудитором — хороший подрядчик поможет уточнить задачу;
• определиться с ожиданиями от результата: просто отчёт, план действий, архитектурная схема;
• определить ключевые параметры оценки: производительность, скорость вывода продукта на рынок и прочее.

2. Отсутствие подготовки сотрудников к аудиту

Когда сотрудники не понимают, зачем в компанию пришли аудиторы, процесс начинает буксовать. Кто-то воспринимает процедуры как формальность, кто-то — как поиск виноватых и угрозу. Это мешает полноценному взаимодействию: информация скрывается, проблемы замалчиваются. В итоге аудит превращается в «парад фасадов», а не в инструмент развития.

Бизнес опасается «ревизоров», сотрудники — увольнений, а руководители — репутационных последствий. Иногда это оборачивается попыткой показать только лучшее, которая вредит прежде всего самой компании. Аудит теряет смысл, если его используют как витрину, а не инструмент развития.

Что делать:

• совместно с подрядчиком провести вводный брифинг. Чётко обозначить цели, формат работы и задачи сотрудников. Дать возможность сотрудникам задать интересующие их вопросы;
• объяснять, что аудит является способом диагностики проблем, а не поиска виноватых. Оцениваться будут процессы, архитектура, инфраструктура, инструменты, а не личная работа каждого сотрудника.

3. Сотрудникам не выделяется время на взаимодействие с аудиторами

Аудит требует диалога с ключевыми специалистами. Если на это нет времени, работа затягивается или проводится поверхностно. Документы часто не отражают реального положения дел, поэтому взаимодействие с людьми критически важно.

Что делать:

• назначить ответственных за коммуникацию с подрядчиком;
• заранее согласовать график и выделить время на участие сотрудников.

4. Отсутствие внутреннего куратора проекта аудита

Без внутреннего координатора аудит превращается в сложно управляемый процесс: документы не предоставляются, нужные сотрудники не участвуют, сроки срываются. Особенно важна эта роль на этапе сбора и анализа информации.

Что делать:

• назначить проектного менеджера для координации участия сотрудников в аудите и обеспечивающего своевременное предоставление информации аудиторам.

5. Слишком узкий охват

Клиенты иногда ограничивают аудит только видимой частью проблемы. Например, жалуются на качество ПО и просят проверить отдел тестирования. При этом корень проблемы может быть в другом — в слабой аналитике, хаосе в разработке или ошибках архитектуры.

Что делать:

• транслировать аудитору проблемы, с которыми сталкиваетесь и решения которых ожидаете получить в результате аудита;
• предложить подрядчику самостоятельно определить объект аудита.

6. Выбор неподходящего подрядчика

Качество результатов аудита напрямую зависит от компетенций команды, которая его проводит. Если подрядчик не разбирается в специфике отрасли, использует шаблонные подходы и не задаёт уточняющих вопросов, результатом может стать поверхностный отчёт с общими рекомендациями, неприменимыми к реальной ситуации.

Признаками некомпетентных подрядчиков могут быть отсутствие методики, чёткого плана работ, а также привлечение специалистов без необходимой экспертизы. В ходе аудита не учитывается бизнес-стратегия заказчика, предоставляются общие рекомендации, неприменимые в конкретной компании, не проясняются реальные цели аудита.

Что делать:

• запросить профайлы ключевых участников проекта для оценки их экспертизы;
• уточнить, есть ли опыт именно в конкретной индустрии, а не просто в ИТ;
• попросить референсы с возможностью контакта;
• провести вводную встречу с исполнителями. По их вопросам к заказчику можно оценить глубину их экспертизы;
• дать пилотное задание — небольшой аудит одного участка или попросить обезличенный фрагмент отчёта.

7. Результаты аудита не влияют на изменения в организации

Исследование выполнено, рекомендации получены. Что делать дальше? Ещё одна распространённая проблема, которая возникает уже после завершения работы, — отсутствие изменений. Отчёт ложится на полку и не находит реализации.

Причины могут быть разными: изменились бизнес-приоритеты, недостаточно полномочий и ресурсов, нет ответственного за реализацию. Нередко начинается «пинг-понг» ответственности: подразделения перекидывают друг на друга задачу по устранению первопричины и предотвращению повторного возникновения проблемы.

Что делать:

• назначить ответственного за реализацию изменений и предоставить ему необходимые полномочия;
• включить мероприятия по реализации рекомендаций аудиторов в квартальные/годовые планы;
• выделить необходимые ресурсы.

В нашей практике немало примеров того, как ИТ-аудит позволил обнаружить и исправить ключевые проблемы в цифровой инфраструктуре компаний.