Ці гатовыя вы да аўдыту?
Аўтары: Кі Джэймс і Джон Боер
Калі вы ўпершыню прачыталі назву гэтага артыкула, вы, напэўна, здрыгануліся і адразу падумалі пра свой фінансавы аўдыт. Гэта можа быць страшна, але што захаванне рэвізіі?
Ці гатовыя вы да праверкі захавання вашай арганізацыяй кантрактных і нарматыўных патрабаванняў?
Аўдыт адпаведнасці разглядае вашы ўнутраныя элементы кантролю, палітыку бяспекі, кантроль доступу карыстальнікаў і кіраванне рызыкамі. Шанцы высокія, што ў вас ёсць некаторыя палітыку на месцы, але аўдыт адпаведнасці, звязаны (напрыклад) з Законам аб пераноснасці і падсправаздачнасці медыцынскага страхавання (HIPAA), пацвердзіць, што ваша арганізацыя мае паслядоўна выконваецца палітыкі і кантролю, а не толькі тое, што яны ў кнігах.
Дакладны характар аўдыту адпаведнасці будзе залежаць ад тыпу, але часта заключаецца ў дэманстрацыі таго, што доступ да запісаў з'яўляецца бяспечным і што даныя ў вашым асяроддзі аналітыкі і справаздачнасці абмежаваныя для неабходнага персаналу.
Праблема
Прадастаўленне добрага і сапраўднага доказу прыхільнасці можа быць вялікай праблемай. Для нагляднасці спынімся на адным канкрэтным прыкладзе.
Кожнае вытворчае асяроддзе павінна мець a digital папяровы след. Яно павінна пачынацца з ідэі, працягвацца праз тэставанне і выпраўленне памылак, знаходзіць шлях да вырашэння і заканчвацца зацвярджэннем канчатковага завершанага прадукту.
Гэты апошні крок - канчатковае зацвярджэнне - з'яўляецца любімым для аўдытараў. Яны могуць спытаць: «Ці можаце вы паказаць мне, як вы пацвярджаеце, што ўсе справаздачы ў вытворчым асяроддзі адпавядаюць вашаму задакументаванаму працэсу?»
Затым вы павінны прадаставіць спіс кожны перанесеная справаздача.
Чаму гэта важна
Прадастаўленне аўдытарам неабходнай і дастатковай інфармацыі можа быць складанай задачай, асабліва калі гэта працэс уручную, тым больш, калі вы не запланавалі гэтае мерапрыемства.
Важна не толькі ўсталяваць і прытрымлівацца вашай палітыкі, але і падтрымліваць механізмы праверкі і пацверджання прыхільнасці вашым уласным стандартам.
Як мінімум, вам трэба быць гатовым даць падлягаючы аўдыту запіс аб тым, хто да чаго атрымліваў доступ, якія змены былі ўнесены ў асяроддзе, усе справаздачы, зробленыя людзьмі, хто рабіў справаздачы і як кожны актыв у вытворчай асяроддзі належным чынам праходзіў праз рукі распрацоўшчыкаў і QA .
Стратэгіі
Быць «гатовым» да аўдыту можа быць у розных формах, некаторыя з якіх патрабуюць больш намаганняў і з большай верагоднасцю ўратуюць вас ад непрыемнасцей, чым іншыя. Вось рэйтынг некаторых, але не ўсіх, у парадку ўсё лепшых варыянтаў.
Хаос і бязмежжа
Цалкам магчыма, што вы, дарагі, няшчасны чытач, з дапамогай гэтага артыкула прыйшлі да ўсведамлення таго, што вы вельмі не гатовыя даказаць, што вы не здзяйсняеце сур'ёзных парушэнняў HIPAA да задавальнення аўдытара.
Калі гэта так, можа быць занадта позна ў залежнасці ад таго, як доўга панаваў ваш бязладны статус-кво. Вы можаце апынуцца ў няшчасным становішчы, пачынаючы з усіх сіл шукаць любыя абрыўкі інфармацыі.
Гэта правераны і верны метад, які, як было даказана летапісам часу, мае катастрафічныя вынікі.
Калі вы плануеце рызыкнуць і страляць па гэтай стратэгіі, проста не рабіце гэтага. Ваша будучыня будзе вам удзячна.
Кроў, пот і слёзы
Традыцыйна прадпрыемствы вялі дбайны ўлік усяго, што адбываецца з працай. У нейкай тэчцы ў іх сістэме ёсць рукапісныя (або надрукаваныя ад рукі) электронныя табліцы і дакументы, у якіх падрабязна апісваецца ўсё, што можа спатрэбіцца ведаць аўдытару.
Калі вы спрабуеце пазбавіцца ад стратэгіі Chaos and Mayhem, гэта можа быць вашым лепшым варыянтам для пачатку. Замест таго, каб чакаць, каб шукаць усю ключавую інфармацыю пад жудасным позіркам аўдытара, выкапаць усё, што ў вас ёсць, і сабраць гэта ў прынамсі паўпрымальны запіс можна зрабіць уручную, пакуль у вас ёсць час.
Незалежна ад таго, ці з'яўляецца гэтая стратэгія вашай паўсядзённай нормай ці спосабам, якім вы плануеце адмовіцца ад шкодных звычак, мы рэкамендуем вам пачаць прытрымлівацца наступнага плана, як толькі зможаце.
Праграму кантролю версій
Наяўнасць цэласнага кантролю версій ва ўсіх частках вашага бізнесу, а не толькі ў сховішчах, дзе яны пастаўляюцца загадзя ўпакаванымі, робіць увесь гэты працэс, па сутнасці, спраўляцца самастойна. Калі карыстальнікі ўносяць змены ў што-небудзь, ён будзе аўтаматычна запісваць, хто ўносіў змены, у які час, якія працэдуры выконваліся, цэлыя дзевяць ярдаў.
Калі аўдытары пастукаюцца ў вашы дзверы і захочуць даведацца, што здарылася, вы можаце проста звярнуцца да вашай унутранай гісторыі версій. Вам не трэба будзе шукаць доказы, вам не трэба будзе марнаваць гадзіны на электронную табліцу, запісваючы інфармацыю - праграмнае забеспячэнне зробіць гэтую працу за вас. Вы можаце проста засяродзіцца там, дзе гэта найбольш важна.
Праграмнае забеспячэнне для кантролю версій мае і іншыя вялікія перавагі; а менавіта магчымасць адкату да папярэдніх версій. Гэта можа быць велізарнай функцыяй для паляпшэння якасці жыцця, асабліва для праграм, якія інакш не мелі такой функцыі.
Магчымасць поўнага і дакладнага адкату да дакладных версій таксама дае вам абарону ад такіх рэчаў, як праграмы-вымагальнікі, у якіх ачыстка вашых машын можа быць неабходнасцю, каб зноў пачаць бізнес. Замест таго, каб страціць усе свае запісы ці нават сам праект, вы можаце проста пракансультавацца з кантролем версій, выбраць самы апошні варыянт і, на жаль, вы зноў у справе.
заключэнне
Праверкі не павінны быць жахлівымі прывідамі, якія навісаюць над вашым бізнесам і чакаюць, каб раздушыць любы імпульс, які вы маеце. Калі вы прымеце належныя меры засцярогі і набудзеце добрае праграмнае забеспячэнне для кантролю версій, стрэс ад аўдыту і цяжкі час вядзення дакументацыі могуць знікнуць, як слёзы пад дажджом.
