Mezi dvě základní charakteristiky dnešní doby patří složitost a komplexnost – samozřejmě to platí i pro informační technologie. Složitost i komplexnost způsobují, že podniková informační architektura je mnohdy velmi rozsáhlá a nepřehledná, zejména pak v případě středně velkých a velkých firem. Je proto zcela pochopitelné, že jednou za čas by měl proběhnout audit IT – a ten je ve své podstatě specializovanou podobou assessmentu.
Audit informačních technologií je tedy složen ze stejných kroků, jako assessment, jen se typově i rozsahem mění sledované informace a zjišťované vztahy mezi nimi. Samozřejmě se liší i závěry, které se více zaměřují na IT problematiku. Proces je však podobný, je nutný přístup k infrastruktuře, jsou zjišťována data o možných rizicích, a v závěru dochází k analytickému zpracování za využití lidské síly.
Surová data nestačí
Mimochodem, využití lidské inteligence je u assessmentu i auditu IT přidanou hodnotou, která umožňuje správné vysvětlení vazeb mezi jednotlivými prvky. Sebelepší program v tomto případě nenahradí odborníka s dostatečným množstvím zkušeností z obdobných assessment projektů. Pro zákazníka navíc nejsou důležitá získaná surová data, ale manažerský přehled – a to je zase přidaná hodnota, kterou přináší externí dodavatel, například systémový integrátor. Je sice pravda, že interní techničtí specialisté by si s těmito informacemi dokázali poradit, ale zde již vystupuje do popředí možná neobjektivita, ať úmyslná či nikoliv.
Konkrétní zaměření IT auditu příliš neovlivňuje následnou reakci zákazníka. Nejdůležitější totiž je, že klient má přesné informace o aktuálním stavu a reakce mnohem více souvisí se zjištěnými skutečnostmi, než s oblastí, na kterou bylo šetření zaměřené. Významnou roli hrají i opakovaně odhalená rizika, pokud tedy například pravidelné hodnocení stavu infrastruktury upozorňuje na končící životnost přepínače, je velmi pravděpodobné, že jednou k jeho selhání dojde – i s možnými dopady na kritickou součást infrastruktury.
Přístup musí být odpovědný
Na druhou stranu dosavadní zkušenosti ukazují, že ve chvíli, kdy někdo investuje do IT auditu prostředky a čas svých pracovníků, má současně velký zájem řešit i zjištěná rizika a slyší na konkrétní doporučení. Výstupy mohou sloužit přímo pro vyřešení problému nebo jako vstup k podrobnějšímu auditu zaměřenému jen na konkrétní prvek a jeho okolí. Řešení může mít navíc celou řadu podob – od výměny problematických zařízení přes změnu servisních smluv až třeba po obměnu jednotlivých týmů. Důležité je, že informace v závěrečné zprávě umožňují přijmout adekvátní rozhodnutí a zahájit cestu k nápravě.
Může nastat i situace, kdy po provedeném IT auditu klient řekne, že plně rozumí rizikům, na která zpráva upozorňuje, ale že v současné době nemá ve svém rozpočtu prostředky na vyřešení zjištěných problémů. I za této situace lze zákazníkovi pomoci. Mezi možné způsoby řešení patří různé úrovně zajištění problémových oblastí, například pomocí specializovaných služeb nebo komplexního převzetí správy. Řešením může být i řízená postupná obměna podle priorit konkrétního zákazníka.
Autoři jsou činí ve společnosti Dimension Data