Slepé místo mezi IT správou a auditem ve středních firmách

Většina moderních firem dnes stojí na IT infrastruktuře. Servery, firemní systémy, sdílené dokumenty, komunikace, účetnictví, výroba nebo logistika – téměř všechny důležité procesy jsou dnes přímo závislé na technologickém prostředí.

Zajímavé však je, že zatímco firmy věnují velkou pozornost finančním kontrolám, procesnímu řízení nebo compliance, technický stav IT infrastruktury často zůstává bez systematické kontroly.

IT prostředí se ve firmách obvykle vyvíjí postupně. Přibývají nové servery, aplikace, cloudové služby, síťová zařízení nebo bezpečnostní mechanismy. Infrastruktura se rozšiřuje a přizpůsobuje aktuálním potřebám firmy.

Jen málokdy však existuje okamžik, kdy by se někdo systematicky zastavil a položil jednoduchou otázku:

V jakém stavu je vlastně naše IT infrastruktura jako celek?

Právě zde vzniká slepé místo mezi IT správou a auditem. Oblast, která je pro fungování firmy kritická, ale zároveň může zůstávat dlouhodobě mimo systematickou kontrolu.

A právě zde začíná dávat smysl kontrola IT infrastruktury.

Co vlastně znamená IT ve firmě

Když se ve firmě mluví o IT, mnoho lidí si představí především počítače zaměstnanců, e-mail nebo běžnou technickou podporu.

Ve skutečnosti je však IT prostředí ve firmě mnohem širší a komplexnější. IT dnes představuje technologickou infrastrukturu, na které stojí každodenní fungování celé organizace.

Typické IT prostředí ve střední firmě zahrnuje například:

  • serverovou infrastrukturu
  • virtualizační platformy
  • datová úložiště
  • zálohovací systémy
  • síťovou infrastrukturu
  • cloudové služby
  • firemní aplikace a informační systémy
  • bezpečnostní mechanismy
  • správu identit a přístupových práv

Na těchto technologiích je dnes přímo závislá práce zaměstnanců, komunikace s klienty, sdílení dokumentů, chod účetnictví i fungování klíčových podnikových systémů.

Bez IT infrastruktury by většina firem nebyla schopna pokračovat ve své činnosti ani několik hodin.

Přesto je IT ve firmách často vnímáno spíše jako podpůrná technická služba, nikoliv jako kritická infrastruktura firmy.

Tento pohled je pochopitelný. IT funguje většinou spolehlivě a většina technologií pracuje na pozadí bez viditelné pozornosti. Právě proto však může být obtížné včas rozpoznat skutečný stav technického prostředí.

Co je audit ve firmě a co typicky řeší

Řada středních firem dnes provádí různé formy auditů nebo kontrolních mechanismů. Ty mají za cíl ověřit, že firma funguje podle nastavených pravidel, že jsou správně řízeny procesy a že jsou minimalizována provozní nebo finanční rizika.

Mezi nejběžnější typy auditů patří například:

  • finanční audit
  • interní audit procesů
  • audit hospodaření
  • audit kvality
  • compliance audit

Tyto audity se zaměřují především na oblasti, které jsou z hlediska řízení firmy dobře uchopitelné. Kontrolují správnost finančních operací, dodržování interních pravidel, efektivitu procesů nebo řízení rizik.

Audit je tedy především nástrojem, který pomáhá vedení firmy získat nezávislý pohled na fungování organizace.

Z pohledu managementu jde o velmi důležitý nástroj. Pomáhá identifikovat slabá místa ve fungování firmy a zajišťuje, že organizace pracuje transparentně a podle nastavených pravidel.

Audit však obvykle pracuje s procesy, dokumenty a rozhodovacími mechanismy. Technické prostředí firmy bývá z tohoto pohledu obtížněji uchopitelné.

Co audit ve firmě typicky vůbec neřeší

Přestože dnes téměř všechny firemní procesy závisí na IT infrastruktuře, technický stav IT prostředí bývá mimo rozsah běžných auditů.

Audit se může dotknout například:

  • řízení přístupových práv
  • ochrany dat
  • bezpečnostních pravidel
  • práce s informacemi

Tyto oblasti jsou z hlediska auditu dobře definované a lze je kontrolovat prostřednictvím procesů nebo dokumentace.

Samotná technická infrastruktura firmy však bývá mnohem složitější.

Audit obvykle neodpovídá například na otázky:

  • Jak staré jsou klíčové servery?
  • Jak je navržena infrastruktura firmy?
  • Jsou zálohy skutečně obnovitelné?
  • Existuje dokumentace IT prostředí?
  • Jaká technická rizika mohou ohrozit provoz firmy?

Tyto otázky jsou přitom zásadní pro stabilitu technologického prostředí.

Audit tedy může potvrdit, že firma má správně nastavené procesy. Nemusí však nutně odhalit technické slabiny infrastruktury, na které jsou tyto procesy závislé.

Proč střední firmy nedělají audit IT

Důvod je ve skutečnosti poměrně jednoduchý.

Plnohodnotný IT audit je pro většinu středních firem příliš rozsáhlý a nákladný.

IT audity jsou běžné především u velkých organizací nebo v regulovaných odvětvích. Typicky jde například o:

  • banky
  • finanční instituce
  • velké korporace
  • organizace s certifikací ISO 27001
  • firmy podléhající regulatorním kontrolám

V těchto organizacích existují rozsáhlá IT prostředí a zároveň regulatorní povinnost provádět detailní technické kontroly.

Ve středních firmách je situace jiná. IT infrastruktura bývá menší a firma obvykle nemá důvod investovat do rozsáhlého certifikačního auditu.

Výsledkem je, že technické prostředí firmy může zůstat dlouhé roky bez nezávislého posouzení.

IT správci řeší každodenní provoz, management očekává, že vše funguje, a audit se soustředí na jiné oblasti.

Technická infrastruktura se mezitím postupně vyvíjí, stárne a komplikuje.

Co by měly firmy dělat: IT revize a kontrola IT

Existuje však přístup, který je pro střední firmy mnohem praktičtější než klasický audit.

Tím je kontrola IT infrastruktury, někdy označovaná jako IT revize.

Nejde o formální audit ani o compliance kontrolu. Smyslem je získat nezávislý pohled na technický stav prostředí firmy.

Kontrola IT infrastruktury se zaměřuje například na:

  • architekturu IT prostředí
  • stáří a životní cyklus technologií
  • zálohování a obnovitelnost dat
  • správu přístupových práv
  • dokumentaci IT prostředí
  • technická provozní rizika

Cílem není hodnotit jednotlivé zaměstnance nebo dodavatele. Smyslem je pochopit, v jakém stavu se skutečně nachází technologické prostředí firmy.

Kontrola IT tak může managementu poskytnout jasný a srozumitelný pohled na stav infrastruktury, která je pro chod firmy klíčová.

Proč by firmy měly kontrolu IT provádět

V mnoha firmách je IT oblast postavena především na důvěře. Management důvěřuje IT oddělení nebo externím dodavatelům a předpokládá, že infrastruktura funguje správně.

Tento model může dlouhou dobu fungovat bez větších problémů.

Současně však znamená, že jedna z nejkritičtějších oblastí firmy může zůstat dlouhodobě bez nezávislé kontroly.

IT infrastruktura přitom není statická. Technologie se postupně mění, přibývají nové systémy, roste objem dat a prostředí firmy se stává složitějším.

Bez pravidelné kontroly může být pro vedení firmy velmi obtížné posoudit:

  • zda je infrastruktura stále bezpečná
  • zda je připravena na výpadek nebo incident
  • zda neexistují technická rizika, která mohou ohrozit provoz firmy

Právě proto se kontrola IT infrastruktury postupně stává přirozenou součástí řízení moderní firmy.

Stejně jako firmy pravidelně kontrolují finance nebo procesy, dává smysl věnovat pozornost také technologickému prostředí, na kterém dnes stojí většina jejich činnosti.