Audyt technologiczny w firmie od A do Z

Czy audyt technologiczny systemu IT to rzeczywiście najlepszy przyjaciel nowoczesnych firm? Z tego artykułu dowiesz się jak wygląda audyt, co daje przedsiębiorstwu i jak się do niego przygotować.

A jak audyt technologiczny systemu IT

Jak zapewne dobrze wiesz, audyt technologiczny to rzetelna i kompleksowa ocena obecnego stanu systemu informatycznego, która w każdym przedsiębiorstwie pełni dwie kluczowe role: rolę kontrolną i rolę przyszłościową. Kontrolną, bo audyt systemu IT to nic innego, jak identyfikacja słabych i silnych stron infrastruktury, technologii i całego know-how, jaki stoi za produktem. Przyszłościową, bo jego efektem jest lista rekomendacji, co należy zrobić z systemem, aby nie zaciągał więcej technologicznego długu, działał sprawnie i spełniał swoje biznesowe cele.

Innymi słowy, audyt technologiczny stosuje się po to, żeby sprawdzić, czy i jak bardzo dany software nadal jest funkcjonalny, bezpieczny i zgodny z nowoczesnymi normami. A jeżeli nie jest… to, żeby wiedzieć co dokładnie należy z nim zrobić.

Mała adnotacja od nas: sam termin audyt technologiczny (ang. Information technology audit) funkcjonuje w języku biznesowym również jako audyt informatyczny oraz audyt systemu IT. Chodzi o to samo.

Audyt technologiczny w praktyce

Jeżeli Twoja firma posiada jakiś system informatyczny (CRM, ERP, platformę danych czy aplikację), która istnieje minimum 5 lat i dobrze widzisz, że wiele rzeczy w nim kuleje, to nie zadawaj sobie pytania:

Czy moja firma jest gotowa na audyt technologiczny?

Pytanie, które powinieneś sobie zadać, to:

Dlaczego udajemy, że “jakoś to będzie”, zamiast po prostu zlecić wykonanie audytu ekspertom?

Wielu właścicieli i managerów odpowie na powyższe pytanie “No tak, ale jeżeli wyjdzie bardzo źle, to będzie trzeba coś z tym systemem zrobić… Zainwestować w nowy, znaleźć na to pieniądze. Jeny, ja teraz ledwo wyrabiam się z odpisywaniem na maile. Nie mam na to czasu!”. Takie podejście niestety zaprzecza temu, co jest niezaprzeczalne w biznesie: jeżeli firma chce pozostać konkurencyjną na rynku, to po prostu musi znaleźć czas i pieniądze na takie działania, a nie tylko ad hoc łatać dziury w awaryjnym systemie.

Zwróć też uwagę na to, że w pytaniu nie bez powodu, użyliśmy słowa ekspert. Prawda jest taka, że multum firm najzwyczajniej w świecie nie posiada wystarczających zasobów IT, żeby przeprowadzić audyt software samodzielnie. Z pewnością managerowie i pracownicy dostrzegają to, że system się zawiesza, wyrzuca błędy czy zwraca niedokładne dane, ale żeby poznać pełnowymiarową ocenę obecnego stanu naszego rozwiązania informatycznego, potrzebujemy kogoś, kto jest w stanie zajrzeć do środka i powiedzieć “To i to jest OK, ale tu jest technologia sprzed 10 lat. Tutaj przydałoby się unowocześnić to, a tutaj zrobić rewrite fragmentów kodu”.

W naszych poprzednich artykułach opisaliśmy już (i zachęcamy, żeby to do nich zajrzeć):

• na czym polega problem legacy systems i technologicznego długu
• jakie są możliwe strategie wyjścia z legacy, czyli jak można ugryźć temat (wymiana systemu na nowy vs. rewrite vs. refactoring)
• oraz przedstawiliśmy w pełni case study, w jaki sposób nasza firma, najpierw przeprowadziła audyt informatyczny systemu jednego z naszych Klientów, a potem na tej podstawie, stworzyła świetne, nowe rozwiązanie.

Dziś przyjrzymy się z kolei bliżej pierwszemu krokowi, jaki należy postawić, gdy zaczynamy myśleć perspektywicznie o celach biznesowych firmy i chcemy wyjść z legacy system — opowiemy o tym, jak wygląda audyt technologiczny systemu IT w praktyce. W dalszej części artykułu znajdziesz odpowiedzi na następujące pytania:

1. Jak wygląda proces audytu informatycznego i ile trwa?
2. Co firma powinna przygotować zewnętrznemu audytorowi, tak aby ten mógł dokonać efektywnej oceny systemu?
3. Jak wygląda raport z audytu technologicznego, czyli to, za co finalnie płacimy?

Jak wygląda audyt informatyczny i ile trwa?

Zacznijmy od tego, że audyt systemu IT, to nie jest audyt na pozyskanie przez firmę certyfikatu ISO/IEC 27001 czy 9001. Software house, któremu zlecimy zadanie oceny naszej aplikacji, owszem, będzie zadawał konkretne pytania i będzie potrzebował konkretnych odpowiedzi, ale podejdzie do całego procesu jak przyjaźnie nastawiony konsultant a nie wróg. Nie będzie oceniał ludzi i ich dotychczasowej pracy. Oceniać będzie tylko i wyłącznie rozwiązanie software.

Zazwyczaj, proces audytu technologicznego wygląda następująco:

• Przedsiębiorstwo kontaktuje się z wybraną przez siebie firmą technologiczną i opowiada z grubsza, jaki ma problem z systemem.
• Firma technologiczna zadaje kilka dodatkowych pytań (m.in. o wielkość samej aplikacji), tak aby móc wycenić koszt audytu IT i zrozumieć funkcje systemu. Jeżeli wycena zostaje zaakceptowana, przesyła przedsiębiorstwu listę rzeczy, które będzie potrzebować, aby wykonać audyt.
• Przedsiębiorstwo przesyła dokumentację i niezbędne informacje, i ustalana jest data wizyty w siedzibie zleceniodawcy.
• Podczas wizyty audytora, która zazwyczaj trwa 1 dzień (ewentualnie, przy większych, bardziej złożonych systemach, kilka dni), otrzymuje on pełen dostęp do systemu i testuje go pod różnymi kątami. Z przyczyn bezpieczeństwa, rzadko kiedy odbywa się to zdalnie.
• Po wizycie, firma technologiczna potrzebuje średnio od 2 do 4 tygodni, aby napisać raport z audytu technologicznego.

Cały proces trwa około 5 tygodni, a jego finalnym efektem jest profesjonalnie napisany raport, w którym uwzględnione zostaną wszystkie mocne i słabe strony systemu oraz rekomendacje. Co bardzo ważne, raport z audytu IT staje się własnością przedsiębiorstwa — może go ono wykorzystać, jak tylko chce i pokazać tylu osobom czy potencjalnym firmom, z którymi chce dalej współpracować, na ile tylko ma ochotę. Jeżeli z raportu wynika na przykład, że koniecznym jest budowa całego systemu na nowo, to przedsiębiorstwo nie musi wcale zlecać tego zadania firmie audytującej. Może przekazywać ten raport dalej, aby znaleźć idealnego dostawcę nowego rozwiązania.

Co trzeba przygotować na audyt technologiczny systemu IT?

Wszystko, co musi przygotować firma zlecająca wykonanie audytu informatycznego można zebrać w pięciu punktach. Znajdują się wśród nich zarówno dokumenty techniczne oraz produktowe, jak i odpowiedni człowiek do kontaktu.

Lista 5 “rzeczy”, jakie należy przygotować w firmie przed audytem technologicznym:

1. Aktualna dokumentacja produktowa — tj. opis założonego celu i sposobu realizacji potrzeby biznesowej przez system
2. Aktualna dokumentacja techniczna — tj. opis schematu architektury systemu, przepływu danych (requestów), zabezpieczeń i całej infrastruktury (VPN, sposób hostowania, VMKA, dedykowana maszyna czy cloud, separacja na poziomie topologii sieci np. VLAN itp.)
3. Dostęp do repozytorium kodu i/lub fizyczny dostęp do infrastruktury (przygotowanie do dostępu na odwiedziny audytora w przedsiębiorstwie)
4. Opis procesu wytwarzania i utrzymywania oprogramowania, tj. informacja o tym, czy w procesie uczestniczy jedna czy wiele osób, a jeżeli to drugie, to w jaki sposób one ze sobą pracują, czy robią przegląd kodu (code review), czy piszą testy, czy mają ustalone standardy tworzenia kodu, czy się ich trzymają — chodzi o opis całej otoczki, która może mieć wpływ na ostateczny produkt
5. Człowiek, który dobrze zna ten system IT i z którym można merytorycznie porozmawiać na tematy związane z powyższymi punktami oraz dopytać o szczegóły

Jak wygląda raport z audytu technologicznego? Przykład

Jak już wspomnieliśmy wyżej, efektem audytu technologicznego software jest raport. W zależności od wielkości ocenianego systemu czy aplikacji, może on mieć długość od kilkunastu do nawet kilkudziesięciu stron, a to co się w nim znajdzie, będzie mocno powiązane z charakterystyką konkretnego rozwiązania software.

Dla przykładu, raport z audytu technologicznego systemu IT, który jest webową platformą bazującą na danych będzie skupiać się na opisie, ocenie i rekomendacjach:

• infrastruktury aplikacji (w raporcie znajdzie się opis bieżącego hostingu i serwerów oraz sposobu tworzenia i wdrażania zmian w systemie, zalety i wady bieżącej infrastruktury, konkretne zalecenia do jej ulepszenia),
• gromadzenia i moderacji danych (skoro jest to platforma danych, to tutaj szczegółowo opisane zostaną źródła i sposób, w jaki aplikacja pobiera dane oraz to, w jaki sposób je przetwarza i zwraca, oceniona zostanie wydolność bieżącego rozwiązania, wypisane zostaną jego słabe i mocne strony, a także rekomendacje na przyszłość. Dołączona zostanie również ilościowa i jakościowa ocena danych),
• frontendu aplikacji (tego czy platforma jest użyteczna i funkcjonalna dla użytkownika końcowego (audyt UX) oraz opis problemów, z jakimi użytkownik ten się styka, a także ocena panelu administracyjnego).

W raporcie zawarte zostaną również finalne konkluzje, czyli ogólne wnioski z audytu systemu IT, na podstawie, których przedsiębiorstwo może podjąć dalsze decyzje, co zrobić z tą aplikacją.

Z jak zakończenie z efektem, czyli co zrobić dalej z raportem z audytu systemu IT?

Raport z audytu technologicznego software, który otrzymuje przedsiębiorstwo nierzadko nie jest łatwy do przełknięcia. Klienci zazwyczaj nie zdają sobie sprawy z tego, jak bardzo ich systemy są do tyłu w porównaniu do nowoczesnych standardów. Zakładają, że wyjdzie na jaw wiele słabych stron stosowanego przez nich rozwiązania, ale liczą na to, że wszystko da się szybko i tanio naprawiać. I czasem tak jest — wystarczy unowocześnić nieco system poprzez refactoring kodu w kilku miejscach. Innym razem warto zaplanować stopniowy rewrite (czyli przepisanie) całego systemu na nową technologię. Niekiedy jednak w finalnych wnioskach z audytu znajdziemy informację o tym, że wprowadzanie zmian w bieżącym systemie się nie kalkuluje i zdecydowanie taniej wyjdzie firmie zainwestować w nowe rozwiązanie niż próbować ratować obecne.

Wówczas zadaniem Chief Digital Officera czy innego managera, który przyjął na siebie zadanie zlecenia audytu technologicznego, staje się wyszukanie odpowiednich środków na dalsze prace. Może to zrobić wykazując w tabelach opłacalność inwestycji w perspektywie dłuższego czasu (obecne koszty utrzymania vs. redukcja lub całkowita eliminacja kosztów w przyszłości) albo przedstawiając symulacje finansowe, które udowodnią zarządowi, że nowy system zwiększy zyski firmy. Może też niejako schować część wydatków na inwestycję, wpisując je w ROI innego projektu, który jest w jakiś sposób powiązany z legacy system (np. musi zaciągać z niego dane). Jeżeli środki się znajdą, pozostaje już tylko znaleźć odpowiedniego partnera technologicznego, który pomoże firmie wdrożyć w praktyce zalecenia z audytu.