IT strategie a audit Publikováno 12. listopadu 2024 7 min čtení Martin Giertl

Co je IT audit a kdy ho skutečně potřebujete

Slovo „audit” má v češtině nepříjemný zvuk. Bývá spojováno s kontrolou od finančního úřadu nebo s nudným dokumentačním cvičením. IT audit bývá něco jiného — a pokud ho uděláte ve správný moment, vrátí se vám v podobě jasné hlavy a ušetřených peněz.

Co IT audit vlastně je

IT audit je strukturované zmapování toho, co máte za IT, jak to funguje a jaká z toho plynou rizika nebo příležitosti. Výsledkem není (nebo by neměl být) stostránkový dokument plný technického žargonu, ale přehled, ze kterého vedení firmy ví:

  • Co stojí a co ne
  • Kde jsou bezpečnostní rizika
  • Co brzdí byznys
  • Co by se dalo zrušit nebo zlevnit
  • Co by bylo potřeba pořídit nebo modernizovat

Audit může být zaměřen úzce — například jen na bezpečnost přístupů, nebo jen na licencování softwaru — nebo široko, pokud firma nemá přehled o celém IT portfoliu.

Kdy má smysl IT audit udělat

Z praxe vidím několik spouštěcích momentů.

Přebíráte novou roli nebo novou firmu. Nový IT manažer, nový ředitel, investice do firmy — kdokoliv, kdo přebírá odpovědnost za IT a potřebuje rychle vědět, do čeho vstupuje.

Rapidně rostete nebo se chystáte na akvizici. Při due diligence nebo před vstupem nového investora se IT audit stává nezbytností. Ukáže, co je v pořádku a co jsou skryté závazky.

Máte pocit, že IT hodně stojí, ale nevíte proč. Licence, smlouvy, nevyužívané systémy — tohle je klasická oblast, kde audit najde úspory do měsíce.

Chystáte větší IT projekt. Než investujete do nového ERP, cloudu nebo digitalizace, je rozumné vědět, co máte dnes. Jinak budujete na nejistém základě.

Přišel bezpečnostní incident nebo vás audituje zákazník. Firemní zákazníci stále častěji požadují doložení bezpečnostní úrovně dodavatelů. Audit vám dá podklady pro takový audit nebo certifikaci.

Kvalifikační otázky: poznáte, že je čas?

Spouštěcí momenty výše jsou často vidět zvenku. Existuje ale druhá kategorie signálů, které se ozývají uvnitř firmy a často se přehlížejí. Pokud na některou z následujících otázek odpovídáte ano, je čas o auditu uvažovat:

  • Nejste schopni jasně rozlišit, co vás v IT stojí kolik? Kolik je za infrastrukturu, kolik za hlavní informační systémy, kolik za podpůrné aplikace?
  • Rostou vám IT náklady bez zjevného důvodu a nejste schopni přijít na to proč?
  • Vaše IT dlouhodobě nestíhá uspokojovat byznysové požadavky? Vývoj trvá dlouho, někdy se projekt zastaví nebo je dodán až ve chvíli, kdy už funkce není relevantní?
  • Kvůli pomalému IT nejste schopni reagovat na situaci na trhu dost flexibilně? Rychlá marketingová kampaň je pro vás neřešitelný problém?
  • Máte pocit, že kdyby vám konkurence „rozjela” produkt rychleji, nemáte čím odpovědět?
  • Stojíte před významnou investicí (nový hlavní informační systém, infrastruktura, cloud) a nevíte, jestli stávající architektura tu investici unese?

Pokud na více než jednu otázku odpovíte ano, audit vám pravděpodobně přinese víc jistoty, než kolik bude stát. Souvisí to často s tím, že firma sebe sama už dávno přestala vnímat jako organizaci, kde IT hraje strategickou roli, i když to tak fakticky je. K tomu jsem napsal samostatný text — proč je IT věcí každé firmy →.

Co audit nezachytí

IT audit mapuje stav, ne budoucnost. Nedoporučí vám konkrétní produkt (a pokud to dělá, prověřte vztah auditora s dodavatelem). Neřeší procesní změny ani organizaci lidí. A nenahradí penetrační test, pokud potřebujete hloubkové prověření bezpečnosti.

Jak dlouho to trvá

Záleží na rozsahu a velikosti firmy. Audit zaměřený na konkrétní oblast (licencování, přístupy, infrastruktura) pro firmu do 200 lidí trvá obvykle 2–4 týdny od zahájení po finální zprávu. Širší audit celého IT portfolia pak 4–8 týdnů.

Jak vypadá výstup, který je k něčemu

Dobrý auditní výstup je čitelný pro manažera bez technického zázemí. Obsahuje:

  1. Executive summary — co je nejdůležitější, bez technického žargonu
  2. Přehled nálezů s prioritizací (co je urgentní, co je doporučené, co je jen informace)
  3. Konkrétní doporučení — ne „zvažte zlepšení bezpečnosti”, ale „zaveďte MFA na všechny účty s přístupem do systému X do 30 dnů”
  4. Orientační náklady a přínosy tam, kde to jde odhadnout

Audit je první krok, ne poslední

Audit mapuje stav, ne budoucnost. Po auditu má následovat IT poradenství a konzultace, které pomohou navrhnout strategické změny. Bez tohoto navazujícího kroku zůstává audit inventurou, která sice popisuje, ale neřídí.

Audit sám o sobě je inventura. Hodnotu získá teprve tím, jak na něj firma dál naváže. To znamená rozhodnout, co se z doporučení skutečně udělá, kdo to udělá, kdy a za kolik. A pak to také odpracovat.

A tady je třeba jedno upřímné varování: firma musí být připravena si to „odpracovat” sama. Externí poradce může poradit, ukázat cestu, podpořit změnu, ale skutečnou transformaci provádí firma vlastními silami. Bez vnitřního odhodlání vedení je výstup auditu jen drahý dokument v šuplíku.

Praktická poznámka

Nejčastější chyba, kterou vidím, je IT audit dělaný jako formalita — pro investora nebo zákazníka, ne pro sebe. Takový audit pak leží v šuplíku. Audit, který skutečně pomáhá, je ten, kde si zadavatel přečte výstup a v průběhu roku postupně škrtá body z doporučeného seznamu.

Pokud nevíte, kde začít, nebo chcete nezávislý pohled na vaše IT — rád se s vámi pobavím.

Jak IT audit provádím →

← Zpět na blog