ИТ-чекап, ИТ-аудит или ИТ-консалтинг: выбор инструмента для собственника

Если сотрудники регулярно жалуются на медленную работу 1С и других систем, сайт компании «падает» в разгар дня — бизнес теряет деньги, даже если этого никто не считает. В такие моменты собственнику чаще всего предлагают купить новый сервер или запустить большой проект по изменениям.

Проблема в том, что эти шаги стоят дорого, а верное решение в каждой конкретной ситуации только одно. Прежде чем соглашаться, важно понять, что предложенное решение поможет. Для этого сначала нужно разобраться в причинах. Где-то хватает короткой диагностики, чтобы понять направление. Где-то нужен глубокий технический разбор. Где-то речь уже идет о проектной работе и сопровождении изменений.

В этой статье расскажем, как разобраться, какой инструмент подходит вам в зависимости от ситуации — ИТ-чекап, ИТ-аудит или ИТ-консалтинг.

Три инструмента, которые помогут

Под разные ситуации существуют разные инструменты. Они не взаимозаменяемы, у каждого своя глубина и стоимость. Дальше расскажу,  что есть в арсенале и чем они отличаются.

ИТ-чекап: быстрая диагностика без доступа к серверам

Чекап — это экспресс-диагностика через интервью. Команда подрядчика проводит две встречи: одну с собственником, одну с ИТ-специалистом. Полтора часа каждая. На серверы никто не подключается, пароли не запрашиваются, инфраструктуру не трогают.

Метод простой. Бизнесу и ИТ задают одни и те же вопросы по разным направлениям: бэкапы, доступы, инциденты, требования к восстановлению, версии ПО. Ответы сопоставляются. На стыке ожиданий бизнеса и реальности ИТ всегда обнаруживаются расхождения. Иногда мелкие, иногда критические.

На выходе собственник получает отчет на 3–5 страниц на языке бизнеса. Список рисков, узких мест, приоритетов и рекомендаций к действию. Без технического жаргона.

Срок: 3–5 рабочих дней. Обычно стоимость укладывается в небольшой бюджет по сравнению с ценой простоя нескольких рабочих дней. 

Что чекап не делает. Не находит технических причин конкретных сбоев, т.к. для этого нет доступа к системам. Не разрабатывает решений. Не внедряет изменений. Это диагностика, а не лечение.

ИТ-аудит: детальный технический разбор

Аудит — это глубокая проверка с полным административным доступом к инфраструктуре. Аудиторы заходят в серверы, читают логи, анализируют архитектуру, тестируют резервные копии, сканируют сеть на уязвимости.

Аудит может включать разные направления. 

• Комплексный аудит — это инвентаризация всего ИТ-ландшафта. 
• Технический аудит — разбор серверов, систем хранения, сети и баз данных. 
• Аудит безопасности — проверка устойчивости к взлому, анализ уязвимостей, тестирование резервного копирования и защиты данных. 
• Отдельно при необходимости проводят аудит ИТ‑процессов (например, как устроена работа с инцидентами, запросами на обслуживание, изменениями) и аудит ИТ‑команды — роли, компетенции, нагрузка, узкие места в управлении.

На выходе заказчик получает детальный отчет с уязвимостями, архитектурными ошибками и планом исправлений. С конкретикой: какой запрос блокирует базу, почему дисковая подсистема не справляется с нагрузкой, где в правах доступа критические дыры.

Срок: 2–8 недель в зависимости от глубины. Стоимость зависит от масштаба инфраструктуры и глубины проверки, для среднего бизнеса это уже ощутимая статья расходов. 

Еще раз хочу отметить, что это не только технический разбор, но и работа с процессами и командой, кто за что отвечает, каких компетенций не хватает. 

Что аудит не делает. Не внедряет рекомендации сам. Аудитор показывает, что и как нужно исправить, но реализацией занимается либо ваша команда, либо отдельный проект. 

ИТ-консалтинг: проектирование и сопровождение изменений

Консалтинг — это полноценная проектная работа, когда подрядчик встраивается в команду и доводит изменения до результата. Это уже не «найдите, что не так» и не «составьте список рекомендаций». Это «спроектируйте новое, помогите внедрить, доведите до работающего состояния».

Сюда входит проектирование архитектуры под рост или миграцию, внедрение нового ПО, перестройка процессов по лучшим отраслевым стандартам и практикам, управление изменениями, обучение команды, формирование ИТ-стратегии и бюджета на несколько лет вперед.

Срок: от 4 недель, обычно несколько месяцев. Стоимость таких проектов заметно выше чекапа и аудита и зависит от масштаба изменений и длительности работы. 

Что консалтинг не делает. Не подходит, если ситуация не определена и непонятно, что вообще менять. Перед консалтингом обычно нужен либо чекап, либо аудит, чтобы знать исходную точку.

Как ИТ-чекап работает на практике: три истории

Чтобы теория не висела в воздухе, разберу три случая из практики. Компании из разных сфер и разного масштаба, общая часть одна: на ИТ-чекапе всплывают вещи, о которых ни собственник, ни ИТ-команда раньше не задумывались. Названия и имена скрыты.

История 1. Бэкапы делаются, но никто не знает, рабочие ли они

Производственная компания, около 200 сотрудников. Вся инфраструктура держалась на одном администраторе. Собственник был спокоен: «У нас же бэкапы каждую ночь, все под контролем».

Что показал чекап. На интервью с админом мы задали серию диагностических вопросов: когда последний раз восстанавливали данные из резервных копий, проверяется ли консистентность, измерялось ли реальное время восстановления. Ответ: бэкапы технически запускаются по расписанию, но проверка восстановимости не проводилась ни разу. Никто не знает, читаются ли эти файлы и сколько займет реальное восстановление.

Это типичная история. Технически процесс есть, фактически — лотерея. Узнали бы об этом в момент сбоя, когда восстанавливать уже надо, а не из чего.

Что рекомендовали. Создать регламент регулярной проверки консистентности и возможности восстановления. Назначить ответственного. Дублировать критические доступы — чтобы система не зависела от одного человека. Эти решения собственник внедрил с командой за следующие два месяца. Без аудита, своими силами, по чек-листу, который сформировали по итогам диагностики.

История 2. Бизнес и ИТ годами говорили на разных языках

Розничная сеть, около 40 точек. Магазины периодически зависали, бизнес терял выручку из-за простоев касс. Собственник хотел понять, где именно проблема.

Что показал чекап. На встрече собственник сформулировал требование: «Если 1С падает — мы должны подняться максимум за час, иначе теряем дневную выручку». Через день мы встретились с ИТ-командой и спросили то же самое: «За сколько вы реально восстановите 1С при серьезном сбое?» Ответ: «Часа за четыре, если повезет».

Бизнес ставит время восстановления в 1 час, ИТ может обеспечить 4 часа. Все ходят и не подозревают о расхождении, пока не случится первый серьезный сбой и не выяснится: вместо обещанного часа простоя магазины стоят полдня.

Что рекомендовали. Зафиксировать требования бизнеса по времени восстановления в письменном виде. Провести узкий технический аудит резервного копирования и архитектуры 1С — посмотреть, за счет каких изменений сократить реальное время восстановления. По итогам аудита внедрить изменения и согласовать реалистичный SLA. Здесь чекап стал входной точкой для следующего шага — фокусного аудита с конкретной целью.

История 3. Бизнес без ключей от собственного сайта

Онлайн-ретейлер с одной командой разработки. Сайт — единственный источник дохода. Команда работала обособленно, отчетности нет, что происходит — собственник не понимал.

Что показал чекап. На интервью с собственником вскрылось, что у него нет административных доступов к ключевым системам. Ни к панели хостинга, ни к регистратору доменов, ни к системе аналитики, ни к репозиторию с кодом. Все доступы — у ведущего разработчика. Уйди он завтра — сайт продолжит работать, но управлять им будет некому. Восстановить контроль над собственным доменом без участия разработчика — это юридическая процедура на месяцы.

Никакого мониторинга, независимого от разработчика, тоже не было. О падениях сайта собственник узнавал от клиентов в чате.

Что рекомендовали. Собрать карту критичных доступов на стороне собственника. Перевести регистратор домена на корпоративный аккаунт. Подключить независимый внешний мониторинг доступности сайта. Прописать регламент передачи доступов при увольнении ключевых сотрудников.

Общее у всех трех случаев: чекап не лечит, а ставит диагноз. Дальше собственник уже сам решает, что с этим делать — внедрять рекомендации своими силами, заказывать узкий аудит или ничего не менять, если риск приемлемый.

Три инструмента в одной таблице

Если коротко — вот характеристики всех трех инструментов рядом. Полезно держать перед глазами, когда выбираете путь.

Какой инструмент подходит под вашу ситуацию

Самая частая ошибка собственника — выбрать инструмент не под свою задачу. Заказать аудит, когда с начала достаточно было диагностики. Заказать чекап, когда уже точно нужно техническое расследование. Дальше — разбор шести начальных ситуаций и подходящих к ним инструментов.

«Не понимаю, что происходит» чекап

Когда нет конкретики, а есть только общая тревога — лезть с аудитом за 500 тысяч преждевременно. Сначала нужно понять, есть ли вообще что аудировать. Чекап за неделю дает собственнику карту рисков и понимание масштаба. После него либо станет ясно, что критических проблем нет (и можно расслабиться), либо появится фокусная задача для следующего шага.

Типичный исход: из чекапа собственник выходит со списком из 5–10 рисков, оцифрованных в деньгах и приоритетах. Часть закрывается силами штатной команды по чек-листу. Часть требует более глубокого разбора — и вот под нее уже заказывается узкий аудит.

«Тормозит 1С» сразу технический аудит

Симптом известен и конкретен. Чекап тут даст слишком общий ответ, что «есть проблема с производительностью 1С». Это и так понятно. Нужна точная причина: какие запросы блокируют базу, насколько загружена дисковая подсистема, корректно ли настроены индексы, нет ли ошибок в конфигурации самой 1С.

Без полного доступа к серверам и СУБД эти вопросы не решить. Цена такого аудита 1С может быть в пределах 200–400 тысяч рублей. Это окупается даже на одном цикле, если выясняется, что покупать новое железо за миллионы не нужно.

«Все держится на одном айтишнике» чекап

Тут хватает интервью и пары диагностических вопросов, чтобы понять масштаб зависимости. Где хранятся пароли. Есть ли документация. Кто восстановит инфраструктуру, если админ завтра попадет в больницу. Есть ли мониторинг, независимый от него.

Большинство рекомендаций после такого чекапа компания внедряет своими силами по чек-листу: корпоративный менеджер паролей, дублирование критических доступов, базовая документация по инфраструктуре, внешний мониторинг. Аудит здесь избыточен. Если только не выясняется, что админ еще и архитектуру построил так, что без него никто не разберется — тогда отдельным шагом нужен технический аудит инфраструктуры.

«Бэкапы непонятно как работают» чекап, потом узкий аудит

Парадокс. На чекапе вы за час разговора с админом узнаете, проверяет ли он восстановимость бэкапов. Если выясняется, что не проверяет — этого уже достаточно, чтобы запустить регламент проверок. Это управленческое решение, а не техническое.

Если же проверки формально есть, но бизнес не уверен, что в случае реального сбоя все восстановится корректно — нужен узкий аудит резервного копирования. Аудитор тестирует восстановление на отдельной площадке, проверяет полноту копий, измеряет реальное время восстановления. Стоить такой аудит может в районе 100–200 тысяч.

«Готовимся к крупным изменениям» консалтинг

Миграция, импортозамещение, внедрение ERP, отделение от материнской структуры — это уже не диагностика и не разбор «как есть». Это проектирование того, «как должно быть», с сопровождением до результата.

Чекап и аудит здесь могут быть подготовительным шагом, если непонятно, от чего отталкиваемся. Но основная работа — проектная: архитектура, дорожная карта, миграция, обучение команды, новые процессы. Без консалтингового сопровождения такие проекты часто захлебываются — компания год пытается своими силами и бросает с сорванными сроками и потраченным бюджетом.

«Не понимаю, эффективно ли работает ИТ-команда» аудит процессов

Это специальный вид аудита — не инфраструктурный, а процессный. Аудиторы анализируют выгрузки из системы заявок, смотрят, на что уходит время инженеров, оценивают регламенты и метрики. По стандартам ITSM можно посчитать, сколько времени тратится на рутину, какие задачи можно автоматизировать, насколько обоснованы запросы на расширение штата.

Чекап тут не подходит — глубины разговора не хватит. Консалтинг подключается следующим шагом, если по итогам аудита нужно перестраивать процессы.

Как эти три инструмента сочетаются между собой

Часто кажется, что чекап, аудит и консалтинг — это лестница, по которой нужно пройти все три ступеньки. Это не так. У каждого инструмента — своя роль, и в конкретной ситуации может понадобиться только один.

Чекап подходит как точка входа, когда ситуация неясна. Он помогает понять, какой следующий шаг нужен — и нужен ли он вообще. После чекапа возможны четыре варианта развития событий:

•     критических рисков немного, рекомендации внедряются силами своей команды по чек-листу;

•     обнаружена конкретная техническая проблема — заказывается фокусный аудит под нее;

•     выявлена системная задача (миграция, импортозамещение, перестройка процессов) — следующий шаг консалтинг;

•     выясняется, что ИТ-подрядчик не справляется — собственник меняет подрядчика с понятным брифом на руках.

Аудит подходит, когда симптом конкретен и нужна техническая причина. Аудит тоже не всегда требует продолжения в виде консалтинга — рекомендации может реализовать ваша команда, если ее квалификация позволяет.

Консалтинг подходит, когда задача понятна и нужно ее довести до результата. Заказывать консалтинг без четкой цели — дорого и бесполезно.

Бывает и так, что собственник заходит сразу в аудит или консалтинг, минуя чекап. Это нормально, если задача с самого начала очевидна. Например, известно, что сайт не выдерживает нагрузку и нужен анализ архитектуры. В таких случаях быстрая диагностика была бы лишним шагом.

Вместо заключения: алгоритм собственника

Если свести все сказанное к практическому алгоритму, выглядит он так.

Сначала честно опишите свою ситуацию. Не «у нас плохо с ИТ», а конкретно: что именно беспокоит, какие симптомы, что пробовали, что говорит ИТ-команда. Чем точнее формулировка, тем дешевле и быстрее путь к решению.

Затем подберите инструмент под ситуацию.  Если нет понимания в целом — это чекап. Конкретный технический симптом — аудит. Известная задача с проектным контуром — консалтинг.

После этого выберите подрядчика, который задает правильные вопросы и не пытается продать максимум с порога.

И главное — действуйте с открытыми глазами. ИТ давно перестало быть просто обслуживающей функцией. Это инфраструктура бизнеса, и решения по ней принимать вслепую слишком дорого.