Audit projektu. Audit auditu projektu. Audit auditu auditu projektu. Ano, v poslední době jsme se mohli setkat s nejrůznějšími slovními spojeními, v nichž hlavní roli hrál audit. Kombinace a řady všeho druhu však měly vždy jedno společné - vedly k „ověřeně správnému výsledku" a následovalo zvolání „máme čisté ruce". Jak to tedy je s těmi audity?
Každý si vybaví mnoho druhů auditů, např.: finanční audit, audit jakosti, bezpečností audit a v poslední době hodně známý audit IT projektu. Vzhledem k tomu, že v české legislativě chybí definice pro IS/IT audity, je velmi těžké definovat, co vlastně takový IS/IT audit je?
Audit obecně je nástrojem řízení a slouží k objektivnímu ověření stavu odborníkem! Tak praví definice. Už z toho je zřejmé, že pokusy ohýbat audit, tak aby poskytoval správné výsledky, popírá jeho samotný smysl. Proč se to tedy stále děje?
Cílem jakéhokoliv funkčního auditu, tedy i auditu IS/IT není primárně nalézt viníky čehokoliv a vyhnat je daleko za hranice, nýbrž nalézt jádro problému a navrhnout nápravná opatření. Ostatně to by měl být i přínos funkčního auditu. Ovšem ve skutečnosti to často znamená, že na světlo světa vyplují skutečnosti, které měly zůstat skryty a lidově řečeno tzv. vyhnít. Ano, často je to pohodlnější, ale upřímně - je toto dlouhodobě udržitelné? Možná si to i díky průběhu minulého roku někteří lidé konečně začali uvědomovat.
Není čeho se bát!
Každý alespoň trochu zkušený auditor bude mít snahu projednat dílčí závěry IS/IT auditu s managementem firmy ještě před vlastním vydáním auditorské zprávy, což dává managementu šanci přijmout některá nápravná opatření bez zbytečného odkladu. Auditorská zpráva by rovněž měla být poskytnuta pouze zadavateli auditu, což v případě funkčních auditů bývá nejčastěji právě management. Žádný auditor si na sebe dobrovolně nevezme riziko prozrazení citlivých dat, ani nepřebere odpovědnost za rozhodnutí managementu.
Klíčovým úspěchem IS/IT auditu je tak výběr vhodného partnera a vzájemná důvěra, pak se skutečně audit ukáže být silným manažerským nástrojem nejen pro řízení ICT oddělení, ale i pro integraci s dalšími odděleními.
Politika do auditu nepatří!
Kdokoliv si objedná funkční audit, měl by si předem říci, co od něj očekává. Pokud očekává konstruktivní kritiku, na základě které přizpůsobí svá další rozhodnutí, může v IS/IT auditu obdržet mocný nástroj pro efektivní řízení. Pokud však očekává, že dostane pouze mýdlo na své ruce a bič na své podřízené, je primárně něco špatně a kvalitní audit ho zcela jistě zklame.
Dobrá auditorská společnost, která hledí své reputace by měla takový IS/IT audit odmítnout a navrhnout konstruktivní řešení. Že se tak v praxi neděje a „audit" dělá každý Jenda z horní dolní za pár kaček a pro pár minut slávy zadavatele, vidíme každý den v novinách.
Nezbývá než věřit, že si i čeští manažeři v praxi ověří, že těch pár minut slávy nestojí za tu námahu, kterou je lepší vynaložit na kvalitní IS/IT nebo projektový audit, efektivní opatření a dlouhodobý přínos.
O kvalitě funkčních auditů v ČR snad zase někdy příště...
Martin Stoilov
IT Governance Unit Lead at Conceptica s.r.o.
(profil blogera zde)
