Audyt – czym jest?
Według formalnej definicji audyt jest to „systematyczny, niezależny i udokumentowany proces uzyskiwania dowodu z audytu oraz jego obiektywnej oceny w celu określenia stopnia spełnienia kryteriów audytu” (definicja wg PN-EN ISO 9000:2000 System zarządzania jakością – Podstawy i terminologia).
To właśnie międzynarodowe systemy zarządzania jakością, takie jak rodzina standardów ISO 9000, czy metodyki zarządzania projektami, m.in. PMBOK, PRINCE2, czy ASAP, wprowadziły pojęcie audytu do przedsiębiorstw, a wkrótce potem do realizowanych przez nie przedsięwzięć wdrożeniowych.
Założenia
Ta sucha, książkowa definicja nie oddaje w pełni możliwości, które audyt oferuje kierownikowi projektu wdrożeniowego. Audyty jako element obszaru zarządzania jakością w projekcie powinny dostarczać informacji o szeroko pojętej jakości przedsięwzięcia, począwszy od jego przygotowania, poprzez proces wdrożenia, aż po wsparcie projektu i jego zamknięcie. Powinny również umożliwiać ocenę zgodności produktów wdrożenia z przyjętymi procedurami i standardami (np. metodyką projektową lub szablonami dokumentacji). Dzięki temu zyskujemy wiedzę na temat bieżącego stanu projektu, a w dłuższej perspektywie – możliwość śledzenia zmian w jakości poszczególnych produktów przedsięwzięcia.
„Mapując” zatem audyt na przedsięwzięcie wdrożeniowe, otrzymamy następujące elementy:
- Audytor. Osoba przeprowadzająca audyt. Powinna dysponować odpowiednim doświadczeniem projektowym oraz znajomością poruszanej tematyki – metodyki wdrożeniowej, specyfiki danego systemu informatycznego (np. SAP).
- Kryteria audytu. Podstawy do oceny przedsięwzięcia wdrożeniowego. Polityki jakości, procedury, standardy, wymagania oraz inne dokumenty, które posłużą audytorowi do oceny projektu.
- Dowody/zapisy z audytu. Dokumentacja wynikowa zawierająca informacje na temat stwierdzonych zgodności i niezgodności wobec przyjętych kryteriów audytu. Zapisy mają najczęściej postać protokołu lub raportu opisującego elementy składowe analizowanego projektu.
W przypadku wdrożeń systemów ERP, w tym SAP, najczęściej spotykanym i przynoszącym najwięcej korzyści typem audytów są audyty zewnętrzne
Trzy typy audytów
Wyróżniamy następujące rodzaje audytów:
- Audyty wewnętrzne, nazywane czasem audytami pierwszej strony. Wykonywane przez osobę z audytowanej organizacji (np. pionu zarządzania jakością w projekcie). Ich celem jest bieżąca ocena przedsięwzięcia. Kryterium audytu są najczęściej procedury i standardy przyjęte przez pion zarządzania jakością jako obowiązujące w danym projekcie.
- Audyty zewnętrzne, często nazywane również audytami trzeciej strony (ze względu na niezależny charakter organizacji audytującej). Prowadzone np. przez zewnętrzną firmę konsultingową. Podstawą audytu może być zestaw standardów projektowych lub zewnętrzne narzędzia/metodyka (np. ASAP).
- Audyty drugiej strony. W praktyce spotykane najrzadziej. Polegają na jednostronnym lub wzajemnym audycie stron przedsięwzięcia (np. pion zapewniania jakości klienta może poddać audytowi zgodność metodyki firmy wdrożeniowej z międzynarodowymi standardami).
W przypadku wdrożeń systemów ERP, w tym SAP, najczęściej spotykanym i przynoszącym najwięcej korzyści typem audytów są audyty zewnętrzne (trzeciej strony). Dzieje się tak ze względu na niezależny charakter tego typu audytów – firmy często potrzebują obiektywnego potwierdzenia, że przedsięwzięcie toczy się zgodnie z przyjętymi założeniami i standardami.
Audyt trzeciej strony jest cennym narzędziem także tam, gdzie wewnętrzny pion zapewniania jakości działa w ograniczonym zakresie (np. jest obciążony dużą liczbą projektów) lub nie funkcjonuje w ogóle (np. nie ma takiej jednostki w ramach firmowego biura projektów).
Cele i zakres audytów IT
Co ciekawe, wydaje się że najtrudniejszy moment w audycie to… podjęcie decyzji o jego przeprowadzeniu. Audyt zwykle kojarzy się z nieprzyjemną kontrolą i sprawdzaniem przez „obcych” prac prowadzonych w ramach „naszego projektu”. Na to skojarzenie wpływa zarówno historycznie negatywna kultura kontroli (kary i straty finansowe), jak i sami kontrolerzy/audytorzy, którzy zapominają o swej doradczej roli i zamieniają się w „karzącą rękę sprawiedliwości”.
Warto zwrócić uwagę, że audyt ma charakter doradczy – w oparciu o przyjęte standardy wskazuje silne i słabe strony przedsięwzięcia. Dlatego też audyty warto przeprowadzać na samym początku projektu, wtedy kiedy definiowane są założenia i struktura organizacyjna przedsięwzięcia, kiedy projekt dopiero się „rodzi”.
Co ciekawe, wydaje się że najtrudniejszy moment w audycie to… podjęcie decyzji o jego przeprowadzeniu. Audyt zwykle kojarzy się z nieprzyjemną kontrolą i sprawdzaniem przez „obcych” prac prowadzonych w ramach „naszego projektu”. Na to skojarzenie wpływa zarówno historycznie negatywna kultura kontroli (kary i straty finansowe), jak i sami kontrolerzy/audytorzy, którzy zapominają o swej doradczej roli i zamieniają się w „karzącą rękę sprawiedliwości”.
Dlatego tak ważne jest, aby już na etapie planowania audytu przedstawić jego podstawowe cele i założenia. Podanie tych informacji przed rozpoczęciem audytu ma kluczowe znaczenie dla jego dalszego powodzenia.
Warto zwrócić uwagę, że audyt ma charakter doradczy – w oparciu o przyjęte standardy wskazuje silne i słabe strony przedsięwzięcia. Dlatego też audyty warto przeprowadzać na samym początku projektu, wtedy kiedy definiowane są założenia i struktura organizacyjna przedsięwzięcia, kiedy projekt dopiero się „rodzi”.
Założenia audytu
- Określenie zgodności z wymaganiami przedsięwzięcia (np. metodyką, ale także założeniami co do wyboru systemu, jego skalowalności itp.)
- Określenie zgodności z planami, politykami jakościowymi, procedurami i standardami
- Stymulacja działań korygujących
i naprawczych w zakresie zgodności ze standardami - Zwiększenie skuteczności i użyteczności wykorzystywanych standardów
Cele audytu
- Ocena zgodności projektu i jego produktów z przyjętymi wymaganiami i standardami oraz ich znajomości wśród członków projektu
- Ocena projektu i/lub produktu, a nie ocena uczestników projektu
Audyt przeprowadzony w odpowiednim momencie daje kierownikowi projektu wiedzę na temat ryzyka projektowego i wskazuje obszary, które muszą zostać udoskonalone. Audyt, który zostanie przeprowadzony zbyt późno, zwykle wykaże jedynie uchybienia, którym nie zawsze będzie można zapobiec.
Organizacja audytu
Czynnikiem niezbędnym dla powodzenia audytu jest jego odpowiednie przygotowanie, zarówno – co oczywiste – z punktu widzenia audytora, ale również z punktu widzenia audytowanego przedsięwzięcia. Pomocne w tym są listy kontrolne, przygotowane zwykle w oparciu o uznane standardy i metodyki projektowe (np. PMBOK, ASAP). Na podstawie dostarczonej przez audytora listy kierownik audytowanego projektu (lub wyznaczona przez niego osoba) przygotowuje wstępny zestaw zagadnień, które zostaną omówione wspólnie z audytorem podczas spotkania.
W pierwszym etapie audytu ocenie jest poddawany obszar zarządzania i organizacji przedsięwzięcia wdrożeniowego. Ze względu na „globalny” charakter tego obszaru ma on bezpośredni wpływ na analizowane w późniejszych fazach biznesowe i techniczne aspekty przedsięwzięcia.
Należy pamiętać, że w zależności od charakteru i typu wdrożenia, audyt będzie obejmował inne obszary zarządzania projektem. Np. w przypadku projektu SAP typu roll-out audyt powinien uwzględnić rolę projektu w programie roll-out korporacji (harmonogramy, budżet itp.). Weryfikacji powinno podlegać przygotowanie projektu (plany, zasady komunikacji, raportowanie), dokumentacja (zakres, stan, zasady dostępu) oraz weryfikacja i walidacja rezultatów (zapewnianie jakości, organizacja testów modułowych integracyjnych czy akceptacyjnych).
Audyt wdrożenia – część merytoryczna
W kolejnej fazie audytu uwaga konsultantów zaangażowanych w przedsięwzięcie skupia się na wszechstronnej analizie systemu. Prace dotyczą weryfikacji wdrożonej funkcjonalności, przygotowanej konfiguracji oraz jakości i bezpieczeństwa zaimplementowanych rozwiązań systemowych. Informacje uzyskane podczas audytu konfrontowane są nie tylko z przyjętymi procedurami audytu, ale też, co istotne, wiedzą i doświadczeniem konsultanta.
W trakcie analizy funkcjonalnej efektem prac jest identyfikacja procesów i funkcji:
- objętych zakresem projektu, które nie zostały uruchomione produkcyjnie
- objętych zakresem projektu, które wymagają zmiany/korekty konfiguracji
- objętych zakresem projektu, lecz niewykorzystywanych efektywnie (np. ze względu na brak dokumentacji lub szkolenia użytkowników końcowych)
- procesów/funkcji/modułów systemu SAP nieobjętych zakresem wdrożenia, rekomendowanych jako uzupełnienie obecnej funkcjonalności.
Przed przystąpieniem do analizy funkcjonalnej niezbędne jest ustalenie zakresu podlegającego weryfikacji. Pomocna tu jest dostępna dokumentacja wdrożeniowa, m.in. koncepcja, ale też arkusze testów modułowych i integracyjnych. Natomiast szczegółową identyfikację zakresu analizy umożliwi Reverse Business Engineer (RBE) – standardowy program narzędziowy dostarczany przez SAP AG, dzięki któremu audytorzy określają najczęściej używane w danym systemie transakcje i programy, którym należy poświęcić szczególną uwagę podczas dalszej, szczegółowej analizy.
Przykładowe zagadnienia z zakresu zarządzania przedsięwzięciem
- Planowanie
Karta projektu. Jakie są cele i zakres projektu? Jakie są produkty projektu? Jakie elementy wchodzą w skład dokumentacji projektowej? Jak zdefiniowano zasady dostępności dokumentacji dla członków projektu? Kto odpowiada za tworzenie poszczególnych typów dokumentacji? Czy zdefiniowano harmonogram projektu? Jaki jest jego poziom szczegółowości? Czy każdy z członków projektu zna swoją rolę i zakres odpowiedzialności?
- Procedury i standardy
Jaki jest język projektu? Czy zdefiniowano wymagania co do dokumentacji projektowej?
Czy szablony dokumentów są dostępne dla uczestników projektu? Czy zdefiniowano standardy wymiany informacji z systemami zewnętrznymi? Czy uzyskano informacje na temat wymiany informacji z produktami stanowiącymi zamknięte standardy? W jaki sposób zdefiniowane jest wsparcie dla projektu? Jaki model wsparcia zdefiniowano (lokalne IT, serwis aplikacyjny, wsparcie korporacyjne, inny)?
Po zakończeniu identyfikacji zakresu analizowanej funkcjonalności następuje faktyczna jej weryfikacja w systemie. W oparciu o przygotowany wcześniej plan konsultanci wraz z pracownikami uruchamiają testowo programy i transakcje. W trakcie tej analizy zbierane są uwagi co do kompletności przebiegu procesu biznesowego, w tym kompletności uzupełnianej w trakcie procesu informacji.
Podczas weryfikacji poszczególnych procesów audytorzy sprawdzają też jakość zaimplementowanych rozszerzeń, m.in. rozszerzeń funkcjonalności oraz modyfikacji standardowych elementów aplikacji. Weryfikowane jest nie tylko ich działanie, ale też zasadność ich wykorzystania (jako regułę przyjmuje się, że w miarę możliwości należy korzystać ze standardowej funkcjonalności systemu).
Efektem może być, poza wskazaniem potrzeby wykonania poprawki, także rekomendacja zastąpienia rozszerzenia inną standardową funkcjonalnością.
Informacje zebrane podczas analizy funkcjonalności są konfrontowane ze stanem opracowanej konfiguracji oraz jej dokumentacją, a wszelkie braki w tym zakresie są odnotowywane.
Audyt techniczny
Podczas audytu technicznego wykonywany jest przegląd stanu bezpieczeństwa w zakresie dostępu do systemu oraz analiza bieżącego działania i procedur administracyjnych. Analiza stanu bezpieczeństwa pozwala wykryć potencjalne „dziury” w systemie – np. niezablokowani domyślni użytkownicy i hasła systemowe czy też przypisanie zbyt szerokich profili uprawnień do użytkowników.
Ważne jest, aby już na etapie planowania audytu przedstawić jego podstawowe cele i założenia. Przy analizie bieżącej pracy systemu badany jest aktualny stan obciążenia serwera, np. wykorzystanie pamięci, procesora, czy też buforów systemu. Analiza logów systemu pozwala wykryć nieprawidłowości mające istotny wpływ na jakość działania.
Procedury administracyjne sprawdzane są w zakresie bieżących i okresowych prac, takich jak codzienny monitoring systemu, czy też procedury zarządzania danymi użytkowników, uprawnieniami oraz archiwizacji.
Redokumentacja
Szczególnym przypadkiem projektu audytu jest tzw. redokumentacja systemu. Jest to odtworzenie lub uzupełnienie dokumentacji projektowej, która z różnych przyczyn nie jest kompletna lub aktualna.
O konieczności posiadania dokumentacji systemu nie trzeba przekonywać żadnego kierownika projektu. Aktualna dokumentacja jest bezcenna w przypadku modyfikacji istniejącego systemu, wynikającej np. ze zmiany procesów biznesowych, zmiany struktury przedsiębiorstwa lub przeprowadzenia upgrade’u. Systemy takie jak mySAP ERP są złożone i pozwalają osiągnąć cele na wiele różnych sposobów. Dlatego korzystanie przez zespół projektowy z dokumentacji istniejącego rozwiązania (o ile jest ona wystarczająco dokładna i aktualna), która objaśnia, w jaki sposób wymagania biznesowe zostały odzwierciedlone w systemie, pozwala znacznie skrócić czas kolejnych projektów.
Projekt redokumentacji – w porównaniu z audytami opisanymi w artykule – różni się rezultatami prac. Poza listą uwag i rekomendacji (jak w typowych audytach wdrożenia) produktem tego projektu jest również zestaw uzupełnionej lub „odświeżonej” dokumentacji projektowej.
Zakres redokumentacji zależy od bieżących potrzeb i jest ustalany indywidualnie – redokumentacja przebiegu procesów, ustawień konfiguracyjnych, profili uprawnień, rozszerzeń funkcjonalnych systemu lub też wszystkich wymienionych elementów.
Uprawnienia audytora
Istotne dla zapewnienia płynności prac audytorów jest zdefiniowanie szczegółowego profilu uprawnień audytora przed rozpoczęciem audytu. W tym profilu uwzględniony jest zestaw transakcji systemowych, których dostępność jest niezbędna.
Każdemu konsultantowi przeprowadzającemu audyt nadawane są uprawnienia „tylko do odczytu” danych podstawowych oraz transakcyjnych odpowiedniego modułu systemu SAP. W trakcie audytu do systemu nie są wprowadzane ani modyfikowane żadne dane, nie są wykonywane też zmiany istniejących programów lub struktur danych w SAP-ie.
Prace osób audytujących kończą się przygotowaniem szczegółowego raportu z analizy zawierającego omówienie stanu systemu w poszczególnych obszarach oraz rekomendacje zmian i usprawnień. Raport może być wykorzystany przy planowaniu dalszej strategii rozwoju systemu czy też do szybkiego zaplanowania najpilniejszych zadań, takich jak poprawa błędów lub uzupełnienie dokumentacji użytkowej systemu.
Lepsza profilaktyka
W zależności od zakresu audytu, może on trwać od kilku do kilkunastu dni. W porównaniu z całym wdrożeniem jest to więc około 1-3% łącznego czasu/kosztu. Zazwyczaj przedsiębiorstwa decydują się na badanie wdrożenia w sytuacjach konfliktu lub kryzysu, kiedy trzeba pilnie ustalić aktualny stan zarządzania projektem i uzyskać jego obiektywną ocenę przez „trzecią stronę”.
Przypomina to trochę wizytę u lekarza w zaawansowanym stadium choroby. Na tym etapie jest często za późno na wdrożenie łagodnych środków zaradczych, a terapia jest zwykle kosztowna i nieprzyjemna.
Bardziej korzystne jest „badanie profilaktyczne”. Nawet jeśli wdrożenie przebiega poprawnie, niezależne spojrzenie „z boku” przez osoby niezaangażowane na co dzień w prace projektowe może wskazać pole do usprawnienia procedur projektowych, konieczne korekty zakresu prac, uzupełnienia dokumentacji itp.
W doświadczonych i dojrzałych organizacjach, które prowadzą dużą liczbę projektów, audyt wdrożenia jest planowany od początku w harmonogramie projektu – bez względu na to, jak faktycznie będzie przebiegało wdrożenie w przyszłości.
Warto z tych dobrych praktyk korzystać w każdym projekcie o istotnym znaczeniu dla przedsiębiorstwa – a do tej grupy projektów na pewno należą wdrożenia zintegrowanych systemów informatycznych.