Сначала ваша CRM «задумывается». Потом счета за облако начинают расти, а техподдержка отвечать все дольше. Потом увольняется единственный приходящий сисадмин — и внезапно выясняется, что паролей от серверов нет, резервные копии не делались год, а новый подрядчик возьмет инфраструктуру без документации с высоким чеком.

Одна из последних историй из практики. Производственная компания: четыре физических и десять виртуальных серверов, около 150 пользователей, критичные системы — 1С, файловые ресурсы, почта, виртуализация. Да, были сбои, но их списывали на нагрузку и «особенности 1С». Когда владельцы задумались о росте производства, выяснилось, что никто не знает, выдержит ли текущая инфраструктура этот рост. Аудит показал, что нет нормальной антивирусной защиты, не хватает дискового пространства на ключевых серверах, виртуализация без отказоустойчивости, нет резервных копий для важных баз и беспорядок в Active Directory. Формально все еще «работало». Фактически — один серьезный сбой или вирусная атака и производство встает надолго.

Автор статьи: Алексей Горюнов, руководитель проектного офиса ALP ITSM

Иллюзия «у нас все работает»

Не всегда, если работает — значит эффективно. В нашей практике были ситуации, когда компания с выручкой сотни миллионов рублей работала на сети из бытовых роутеров. Пока в офисе сидело 15 человек, канала хватало. Когда бизнес вырос до 100 сотрудников и попытался внедрить IP-телефонию, сеть легла.

Другой частый случай, когда клиенты внедряли систему электронного документооборота (ЭДО) или новую CRM на старую инфраструктуру. Бизнес платил за лицензии, нанимаел интегратора, но проект вставал намертво. Рабочие станции сотрудников не тянули новое ПО, корпоративный антивирус блокировал трафик, а нужных интеграций с 1С просто не было.

Технический долг копится незаметно. Собственник видит только вершину айсберга — тормозящую почту или падение 1С раз в неделю. А под водой скрываются дублирующие сервисы, за которые платят дважды, отсутствие или просроченные лицензии антивирусной защиты и инфраструктура, которая рухнет при попытке масштабирования.

После таких историй легко подумать: «Ну это у них так, у нас все не идеально, но в целом нормально». Проблема в том, что «нормально» по ощущениям и по фактам — две разные реальности.

По свежему исследованию центра инфраструктурных решений «Инфосистемы Джет» в 2025 году:

  • только у 47% компаний есть актуальная ИТ‑стратегия, остальные по сути действуют «по наитию», без четкого плана, как будет развиваться инфраструктура;

  • четверть компаний не соблюдают базовое правило резервного копирования 3‑2‑1 (три копии, два типа носителей, одна копия вне офиса или ЦОД), а 26% даже не делают тестовые восстановления;

На уровне ощущений у всех «все работает». На уровне цифр половина рынка живет без внятного плана и без нормального резервирования — и надеется, что именно к ним шифровальщик или крупная авария не зайдет.

Чек‑лист для владельца: если у вас совпадает хотя бы два пункта, аудит нужен не «когда‑нибудь», а в ближайшие месяцы:

  • Вы не знаете точное количество серверов и критичных сервисов.

  • Один администратор или подрядчик «держит все в голове».

  • Вы ни разу не пробовали восстановиться из резервной копии.

  • 1С или CRM падают раз в неделю, а восстановление занимает часы.

  • Вы платите за несколько облачных сервисов с пересекающимся функционалом.

Как ИТ‑аудит работает в разных отраслях

Есть несколько типичных сценариев, с которыми мы регулярно сталкиваемся в проектах.

Розничная сеть товаров для массового потребителя

Федеральная сеть магазинов с десятками торговых точек. До аудита — разрозненная сеть, нестабильный Wi‑Fi, устаревшее оборудование, разные подходы к настройкам в регионах. Аудит показал слабые места в сетевой архитектуре, отсутствие нормального резервирования и единых регламентов. После реализации плана сеть перевели на единую архитектуру, стандартизировали настройки и ввели регламенты: кассы и складские системы перестали «падать» в пиковые часы продаж, а открытие новых точек перестало превращаться в аврал.

Сеть продуктовых гипермаркетов

Сеть гипермаркетов с большим трафиком, складским учетом и онлайн‑заказами. Изначально сеть и Wi‑Fi собирались по мере роста бизнеса: разное оборудование, разные схемы, слабое покрытие и временами «падающие» кассы. Аудит выявил узкие места в существующей инфраструктуре, точки перегрузки и ошибки в проектировании. После модернизации и унификации решений сеть перестала быть «узким горлышком»: торговый зал и склады стабильно выдерживают пиковые нагрузки, а ИТ‑служба работает по четкой схеме с понятными регламентами эксплуатации.

Производитель промышленного оборудования

Международная компания с представительством в России. До проекта офисная инфраструктура собиралась постепенно, под текущие задачи, без запаса по отказоустойчивости и роста. Задача аудита — оценить исходное состояние и спроектировать ИТ‑инфраструктуру под локальные условия с учетом планов по развитию бизнеса. Аудит и последующее проектирование позволили построить новую инфраструктуру с резервированием и понятной архитектурой. В результате компания получила платформу, к которой можно безопасно добавлять новые сервисы, площадки и пользователей без риска «обрушить» существующие системы.

Эти истории показывают: в разных отраслях картинка «на уровне ощущений все работает» часто скрывает серьезные риски — и именно аудит дает дорожную карту, как перевести ИТ из режима «как‑то живем» в управляемую систему.

Когда нужен ИТ-аудит

Аудит — это обязательный нулевой шаг. Если зайти в проект без него, то деньги почти гарантированно уйдут в трубу.

  • Ушел ключевой айтишник. В голове одного человека живет вся схема: где что стоит, какие пароли, какие костыли держат 1С и CRM. Он увольняется — и внезапно никто не знает, как все устроено. Новый подрядчик отказывается брать на поддержку инфраструктуру без документации. Аудит в такой ситуации — способ зафиксировать, что у вас есть, забрать знания из голов в документы и не зависеть от настроения одного человека.

  • Бизнес растет быстрее, чем ИТ. Вы открываете новые филиалы, запускаете франшизу, переходите на круглосуточную работу складов. Пока было два офиса и один склад, инфраструктура еще тянула. Как только нагрузка увеличилась в два–три раза, начали сыпаться 1С, VPN, удаленка и телефония. Аудит показывает, где именно инфраструктура не выдержит следующего шага роста — и что нужно усилить до того, как вы поедете открывать следующий филиал.

  • Сбои стали нормой. 1С падает раз в неделю, восстановление занимает часа два-три, пользователи уже даже не ругаются, когда в очередной раз сидят без работы. Формально компания работает, но каждый такой инцидент съедает деньги и нервы. Аудит в такой ситуации помогает выявить системные проблемы: где не хватает ресурсов, где нет резервирования, где все держится на одном старом сервере под столом.

  • Переход на российское ПО и импортозамещение. Если вы работаете с персональными данными или попадаете под контур КИИ, вам нужно перенести системы на отечественное ПО. Сделать это без карты зависимостей — плохая идея. Аудит дает эту карту: какие сервисы от чего зависят, что можно заменить «в лоб», а где нужна поэтапная миграция.

  • Когда «все нормально» — самое коварное состояние. Ничего не горит, 1С падает «всего раз в месяц», пользователи уже перестали жаловаться. Кажется, что сейчас точно не время для аудита. На деле это лучший момент: можно спокойно разобрать инфраструктуру, спланировать замену железа и миграции, разнести работы по кварталам и не работать ночами в режиме «все упало, поднимите к утру».

В каждой из этих ситуаций аудит — это способ понять, на чем на самом деле стоит бизнес, до того как это покажет случайный сбой или шифровальщик.

Что видит бизнес и что показывает аудит

Собственник не обязан разбираться в SQL, виртуализации и Active Directory. Аудит переводит техническую картину на язык денег и рисков.

В истории производственной компании по результатам аудита сформировали конкретный план: настройку централизованной системы обновлений и антивирусной защиты, внедрение дополнительного гипервизора с репликацией, перераспределение и расширение дисковых ресурсов, настройку регулярного резервного копирования и наведение порядка в Active Directory.

Российские реалии 2026 года: регуляторика и киберриски

К 2026 году аудит перестал быть просто поиском способов сэкономить. Он стал инструментом выживания в условиях жесткой регуляторики.

Организации, подпадающие под закон о критической информационной инфраструктуре, обязаны перейти на отечественные решения и обеспечить устойчивость своих систем. Если компания не провела инвентаризацию и не составила план миграции, она рискует получить «зоопарк» несовместимых систем, рост затрат и остановку ключевых процессов при попытке перейти на новое ПО.

Параллельно растут риски вокруг персональных данных. Штрафы за утечки измеряются миллионами рублей, и для малого бизнеса даже одна серьезная санкция может стать критичной. Аудит помогает заранее закрыть очевидные дыры: права доступа, хранение бэкапов, открытые порты, отсутствие шифрования.

Импортозамещение в ИТ в 2026 году — это уже не эксперимент, а жесткая реальность. Начинать его без аудита ИТ-стека и выявления критичных зависимостей от иностранного ПО — значит гарантированно остановить бизнес на этапе миграции.

Сколько стоит не делать ИТ-аудит

Многое становится понятнее, когда избавиться от общих слов и посчитать.

В стоимость одного ИТ‑инцидента обычно закладывают несколько групп потерь.

  1. Прямые потери выручки.
    Все продажи и операции, которые не состоялись, пока система лежала: неоформленные заказы, неоплаченные счета, простаивающие кассы, сорванные отгрузки. Считают как «средняя выручка в час/минуту × время простоя».

  2. Простой команды.
    Зарплата сотрудников, которые в это время не могут работать из‑за недоступности систем: офис, склад, кол‑центр, бухгалтерия, производство. Обычно считают как «средняя ставка в час × количество людей × часы простоя».

  3. Затраты на восстановление ИТ.
    Время ИТ‑команды и подрядчиков на поиск причины, восстановление сервисов, откат из бэкапов, проверку данных и доработки, которые пришлось сделать в авральном режиме. Это человеко‑часы инженеров по их ставке (часто с повышающим коэффициентом за ночь/выходные).

  4. Репутационные и отложенные потери.
    Штрафы от клиентов и партнеров, уход части заказов к конкурентам, ухудшение условий договоров, негатив в соцсетях. В расчетах их часто оценивают как процент от прямых потерь выручки или через консервативную оценку потерянных клиентов.

Если описывать формально, модель выглядит так:
Стоимость инцидента = прямые потери выручки + простой команды + восстановление ИТ + репутационные/отложенные потери.

По рыночным данным, средняя стоимость одного значимого ИТ-инцидента для российской компании составляет около 2 млн рублей. Для шифровальщика с требованием выкупа — от 240 тыс. до 4 млн рублей только для СМБ-сегмента.

На фоне этих цифр стоимость планового аудита в «сотни тысяч рублей» перестает выглядеть затратой и превращается в страховку: вы платите за то, чтобы понимать состояние инфраструктуры и устранять риски до того, как они сработают.

Какие бывают ИТ-аудиты

Важно, что под «ИТ-аудитом» не всегда подразумевается огромный комплексный проект на месяцы работы. Есть различные форматы, которые подходят и малым, и средним компаниям.

  • Обследование (экспресс-аудит): быстрый сбор фактуры, чтобы просто понять, что у вас есть и в каком состоянии.

  • Технический аудит: проверка железа, виртуализации, сетей и баз данных с выявлением узких мест.

  • Аудит по критерию: фокус на одном вопросе — например, производительность или безопасность.

  • Комплексный аудит: когда нужно честно ответить, насколько ИТ вообще соответствует целям бизнеса.

Это снижает страх «мы не потянем аудит»: начать можно с малого, с понятного и ограниченного по объему формата.

Как выглядит аудит изнутри

У собственников часто одна картинка в голове. Приедут айтишники, будут дергать сотрудников и мешать работать. В жизни базовый ИТ‑аудит в среднем бизнесе обычно укладывается в две–четыре недели и идет фоном. Компания продолжает работать, а от команды периодически нужен только доступ или короткий комментарий. 

Рассмотрим типовые шаги стандартного аудита:

Шаг 1. Понять, что у вас вообще есть

Команда начинает с карты инфраструктуры. Смотрит на сервера, сети, облака, основные сервисы, выданные доступы. На этом этапе почти всегда всплывают забытые виртуалки, тестовые стенды, старые интеграции и платные подписки, о которых уже никто не помнит.

Шаг 2. Разобраться, как все связано

Дальше аудиторы разбирают архитектуру. Смотрят, какие системы завязаны друг на друге, где нет резервирования, как ходят данные между 1С, CRM, складами, сайтом и внешними сервисами. В этот момент обычно становится понятно, почему любое обновление 1С превращается в ночной квест на выходные.

Шаг 3. Навести порядок в безопасности

Следующий блок касается прав и защиты. Проверяют, у кого какие роли, какие учётки остались после увольнения, как работают антивирус и файрвол, какие сервисы видны снаружи. Почти в каждом проекте находится один универсальный админский логин, которым пользуются все и который не меняли годами.

Шаг 4. Оценить, выдержит ли все это рост

Параллельно команда смотрит на производительность. Выясняет, какие сервера и базы работают на пределе, где диски забиты под завязку, какие виртуалки тянут на себе полкомпании. В этот момент становится ясно, есть ли у инфраструктуры запас по росту или она уже сейчас держится на честном слове.

Шаг 5. Дать план действий, а не отчет на полку

В конце вы получаете не стопку логов на сотню страниц, а короткий управленческий документ. В нем видно, что горит прямо сейчас, что имеет смысл заложить в бюджет на ближайший квартал, а к чему можно не притрагиваться. 

После такого разбора аудит перестает выглядеть как черный ящик. Примерно за месяц компания проходит путь от смутного ощущения, что «мы вроде понимаем, что у нас в ИТ», к конкретной картине с рисками, цифрами и понятным планом действий. Всё это время бизнес продолжает работать, сотрудники не сидят без доступа к системам, а аудиторы ведут себя как гости, а не как оккупационная администрация. Инцидент, которого такой аудит помогает избежать, обычно занимает те же недели, но уже в режиме аврала, ночных смен и прямых потерь выручки.

Что бизнес получает на выходе

Хороший аудит не заканчивается 100-страничным техническим отчетом, который никто не будет читать. Руководитель получает управленческие инструменты:

Прозрачную карту ИТ-ландшафта. Понятную визуальную схему: какие серверы где стоят, за что отвечают, сколько стоят и на кого завязаны.

Матрицу критических рисков. «Светофор» проблем: красная зона (исправить завтра, иначе встанут продажи), желтая зона (заложить бюджет на квартал), зеленая зона (не трогать, работает стабильно).

К этому добавляются рекомендации по архитектуре, безопасности, резервному копированию и плану развития инфраструктуры на горизонте 1–3 лет.

Стоимость планового аудита — сотни тысяч рублей. Стоимость одного дня простоя для компании с оборотом 100 млн рублей — от 300 тысяч рублей.

ИТ-аудит — это не про недоверие к администратору. Это про управляемость. Он показывает, где вы действительно рискуете бизнесом, а где просто переплачиваете. И дает опору для решений: что менять, когда и за какие деньги.

Вместо вывода

ИТ-аудит — это не про недоверие к админам и не про желание «найти крайнего». Это управленческий инструмент, который переводит ИТ из режима «черного ящика» в понятную матрицу рисков и задач. Он показывает, где вы действительно рискуете бизнесом, а где просто переплачиваете за дублирующие сервисы, и дает опору для решений: какие компоненты требуют замены. 

Если вы дочитали до этого места и узнали в тексте свою инфраструктуру — значит, первый шаг вам уже понятен. Не обязательно начинать с многомесячного проекта. Достаточно короткого экспресс-аудита, чтобы честно ответить на простой вопрос: «А мы точно понимаем, на чем сейчас держится наш бизнес?».

Расскажите в комментариях: а вы сталкивались с ситуацией, когда «все работало», а потом выяснялось, что бэкапы не делались год, или доступы ушли вместе с админом? Как решали проблему?

Что еще почитать по теме:

Как выбрать модель ИТ-поддержки — свой отдел или аутсорсинг — разбираем плюсы и минусы обоих подходов на цифрах.

Больше практики — в нашем Telegram-канале. Пишем о том, как бизнесу не терять деньги на ИТ-инфраструктуре: делимся кейсами, чек-листами для проверки подрядчиков и разборами реальных инцидентов. Подписывайтесь!