IT audit a analýza jsou dva odlišné procesy s jinými výstupy. Řada firem nazývá IT analýzu auditem jen proto, že to zní odborněji. Je ale opravdu vždy nutné, aby vaše IT plnily všechny standardy, předkládané auditem? A jak vypadá nasazení auditu a analýzy v praxi?
IT audit a jeho standardy
IT audit představuje oficiálně prováděnou inspekci či verifikaci systémů, procesů, projektů, produktů a dalších aspektů ve firmě. Vždy probíhá oproti některému z uznávaných standardů (například známé ISO 9001 v oblasti managementu, jehož součástí jsou i informační technologie). Cílem celého procesu je zjednodušeně řečeno zjistit, zda konkrétní systémy dosahují požadovaných kvalit.
Ve firemním prostředí se často setkáte například s účetními audity či audity kvality. Druhé zmíněné řeší, zda systém kvality plní firmou stanovené normy (často podle ISO řady 9000). Z hlediska informačních technologií se můžete setkat například s obecnými informačními audity nebo s těmi bezpečnostními. Podstatné ale je, že se v průběhu auditu řeší především standard a příliš se nemyslí na efektivitu a funkčnost zkoumaného aspektu v rámci podniku.
Co umí analýza?
Analýza se oproti IT auditu zaměřuje na méně formální postupy, přičemž přistupuje k řešení problémů komplexním způsobem. Na první pohled se může zdát, že zde chybí přesně definované standardy. Analýza ale firmě radí, co zlepšit nebo poukazuje na to, co nefunguje. Nepoužívá přísné standardy, které mají své místo u auditu.
Analýzu využijete například na zhodnocení projektu po jeho ukončení (co se (ne)povedlo a které procesy chcete do budoucna zlepšit). Lze ji zaměřit také na celkové zhodnocení stavu IT ve firmě a identifikaci možností zlepšení, klidně i včetně kalkulací nebo návrhu budoucího projektu.
Analýza také řeší, jak jsou systémy navzájem propojené, jestli fungují správně a efektivně, jak jsou zabezpečené a zda zbytečně neomezují uživatele. Může se zabývat i jejich vazbou na další oblasti v podniku (například automatizace emailové komunikace se zaměstnanci a náborový proces versus HR, automatizace ve výrobě versus výroba samotná a další). Přitom snižuje vstupy a maximalizuje výstupy.
Příklad z praxe: Diplomové práce, IT audit a analýza
Zásadní rozdíly mezi auditem a analýzou lze hezky ilustrovat na procesu psaní odborných prací. Audit by pátral po tom, zda citace, číslování a další aspekty odborné práce odpovídají aktuálně platné normě.
Analýza by řešila nejen normu, ale hlavně obsah. Důležité by pro ni bylo zjistit, zda celá práce dává smysl, je přínosná pro vlastní obor a užitečná jako celek. Řešil by také kontext, kvalitu zdrojů a zjišťoval, zda student ví, o čem píše.
Z akademického prostředí se na chvíli vraťme zpět k IT. V jejich případě by analýza řešila, že je IT nastavené tak, aby vše dávalo smysl a aby se plně využil jeho potenciál.
Je na všechno potřeba standard?
Nejen v IT platí, že ne vždy je nutné provádět audit. Má-li firma vhodně nastavené informační technologie, disponuje kvalitním zabezpečením a funkčními informačními systémy, nemusí pro ni být standardy na prvním místě.
V IT vám tak často bude užitečnějším pomocníkem analýza (pokud nepotřebujete řešit ISO). Analýza se může dělat i se zohledněním norem. Díky tomu je možné řešit specifika konkrétní firmy, která audity často opomíjí.
Z hlediska informačních technologií potřebují firmy především funkční informační systémy a technologie, které zvyšují efektivitu práce a umožňují 100% využití IT. Za Pekk proto říkáme: důležitější, než standard, který sám o sobě nic neřeší, jsou fungující informační technologie. Proto bývá v této oblasti často lepší volbou kvalitně provedená analýza, než IT audit, vytržený z kontextu.