IT-аудит перед сменой подрядчика: чек-лист заказчика

Расстаётесь с IT-подрядчиком или только думаете об этом? Чек-лист: что забрать, что проверить и почему аудит до расставания дешевле, чем археология после.

Смена IT-подрядчика похожа на развод: даже когда решение назрело, расставаться страшно, потому что «у него все ключи». Пароли, доступы к серверам, знание, почему интеграция работает именно так, — всё это годами копилось на той стороне. И чем дольше сотрудничество, тем сильнее ощущение заложника.

Плохая новость: само не рассосётся, зависимость только растёт. Хорошая: выход из неё — это управляемый процесс, и начинается он с инвентаризации, а не со скандала.

Почему нельзя просто «взять и уйти»

Типичный сценарий провала выглядит так. Компания ссорится с подрядчиком, забирает то, что смогла вспомнить, и нанимает нового. Новый открывает системы и месяц занимается археологией: где хостится сайт, кто владелец домена, почему обмен с 1С падает по вторникам, что за скрипт лежит на сервере и можно ли его трогать. Этот месяц оплачиваете вы — и хорошо, если старый подрядчик отвечает на письма.

Проблема не в новом исполнителе. Проблема в том, что знание о ваших системах существовало в одном экземпляре — в голове у прежнего.

Чек-лист: что должно быть у вас до расставания

Пройдитесь по списку честно. Каждый пункт «не знаю / это у подрядчика» — это ваша будущая статья расходов.

Владение и доступы:

  • домены зарегистрированы на вашу компанию, а не на подрядчика;
  • админ-доступы к хостингу, серверам, CRM, базам — у вас, подрядчик работает под своими учётками, которые можно отключить;
  • у бывших сотрудников и «того фрилансера из 2023-го» доступов нет.

Артефакты:

  • исходный код доработок в репозитории, к которому у вас есть доступ (не архив на почте);
  • документация по интеграциям: что с чем обменивается, по какому расписанию, что делать при сбое;
  • схема инфраструктуры: где что хостится, за что вы платите и когда продление.

Данные:

  • резервные копии делаются, лежат не только у подрядчика, и кто-то хотя бы раз пробовал из них восстановиться;
  • лицензии и договоры на ПО оформлены на вас.

Если из десяти пунктов уверенно закрыты два — вы не заказчик, вы заложник. Признаки того, что технической стороне вообще пора уделить внимание, мы разбирали в статье «IT-аудит или новая система».

Зачем здесь независимый аудит

Можно пройтись по чек-листу самостоятельно, и для маленькой инфраструктуры этого достаточно. Но есть три ситуации, где нужен взгляд снаружи.

Вы не можете оценить качество того, что вам передают. Код в репозитории есть, а хороший ли он — вопрос без внутренней экспертизы безответный. Аудит даёт независимую оценку: что из доработок можно поддерживать, что проще переписать, где заложены бомбы.

Отношения уже напряжённые. Аудитор с доступами на чтение соберёт картину по фактам из систем, не полагаясь на добрую волю уходящей стороны. Заодно зафиксирует состояние «на момент передачи» — это дисциплинирует всех.

Вы ещё не решили, уходить ли. Самый недооценённый сценарий. Иногда аудит показывает, что подрядчик работает нормально, а проблемы — в постановке задач или в паре конкретных вещей, которые можно попросить исправить. Это дешевле смены исполнителя, и мы не раз приходили именно к такому выводу.

Как устроен сам процесс — периметр, read-only доступы, NDA, отчёт с реестром рисков — описано на странице IT-аудита.

Как выглядит здоровый переход

Если аудит показал, что уходить всё-таки надо, последовательность такая: сначала инвентаризация и передача владения (домены, доступы, код, бэкапы) — ещё при старом подрядчике, это его договорная обязанность; затем фиксация состояния систем; и только потом — выбор нового исполнителя, уже с полным пакетом документации на руках. Новичок, получивший карту вместо археологии, стартует за дни, а не за месяцы. О том, по каким признакам выбирать, — в статье «Как выбрать подрядчика на разработку и автоматизацию».

И отдельно: не удаляйте ничего и не отключайте доступы старому подрядчику до того, как новый подтвердил, что всё работает. Мосты сжигают после переправы.

Коротко

Зависимость от IT-подрядчика измеряется просто: сколько пунктов чек-листа (домены, доступы, код, документация, бэкапы) находится у вас, а не у него. Наводить порядок надо до расставания, а не после. Независимый аудит нужен, когда нечем оценить качество передаваемого, когда отношения испорчены — или когда вы честно не уверены, что уходить вообще стоит.

Думаете о смене подрядчика — начните с независимой оценки: за 1–3 недели узнаете, что у вас на руках, что в заложниках и стоит ли вообще менять исполнителя.