Готови ли сте за одит?
Автори: Ки Джеймс и Джон Бойър
Когато за първи път прочетете заглавието на тази статия, вероятно сте потръпнали и веднага сте се сетили за вашия финансов одит. Това може да е страшно, но какво да кажем спазване одити?
Готови ли сте за преглед на придържането на вашата организация към договорните и регулаторните изисквания?
Одитът за съответствие преглежда вашите вътрешни контроли, политики за сигурност, контроли за потребителски достъп и управление на риска. Шансовете са големи, че имате някакъв въведени политики, но одитът за съответствие, свързан с (например) Закона за преносимост и отчетност на здравното осигуряване (HIPAA), ще потвърди, че вашата организация има последователно прилагани политики и контрол, а не само, че са в книгите.
Точното естество на одита за съответствие ще зависи от типа, но често се състои в демонстриране, че достъпът до записите е защитен и че данните във вашата среда за анализ и отчитане са ограничени до необходимия персонал.
Проблемът
Предоставянето на добро и валидно доказателство за придържане може да бъде огромна болка. За демонстративни цели нека се съсредоточим върху един конкретен пример.
Всяка производствена среда трябва да има a digital хартиена следа. Трябва да започне с идея, да продължи надолу през тестване и отстраняване на грешки, да намери своя път след разрешаването и да завърши с одобрението на крайния, завършен продукт.
Последната стъпка – окончателното одобрение – е предпочитана от одиторите. Те може да попитат: „Можете ли да ми покажете как потвърждавате, че всички отчети в производствената среда са се придържали към вашия документиран процес?“
След това ще трябва да предоставите списък на всеки мигриран отчет.
Защо това е важно
Предоставянето на необходимата и достатъчна информация на одиторите може да бъде обезсърчително, особено когато това е ръчен процес – още повече, ако не сте планирали случая.
Важно е не само да установите и следвате вашите политики, но и да поддържате механизми за валидиране и доказване на придържането към вашите собствени стандарти.
Като минимум, трябва да сте готови да предоставите подлежащ на одит запис за това кой до какво е достъпил, какви промени са направени в средата, всички отчети, направени от хората, кой е направил отчетите и как всеки актив в производствената среда е преминал по подходящ начин през ръцете на разработчици и QA .
Стратегиите
Да бъдеш „готов“ за одит може да дойде в множество различни форми, някои от които изискват по-голямо усилие и е по-вероятно да ви предпазят от проблеми, отколкото други. Ето класация на някои, но не всички, в ред на все по-добри опции.
Хаос и хаос
Възможно е вие, скъпи, нещастен читателю, чрез тази статия да сте стигнали до осъзнаването, че сте ужасно неподготвен да докажете, че не извършвате сериозни нарушения на HIPAA, за да удовлетворите одитора.
Ако случаят е такъв, може да е твърде късно в зависимост от това колко дълго е царувало вашето случайно статукво. Може да се окажете в неприятната позиция да се бъркате, за да намерите всякакви парчета информация, които можете.
Това е изпитан и верен метод, за който е доказано в аналите на времето, че има катастрофални резултати.
Ако планирате да рискувате и да стреляте за тази стратегия, просто не го правете. Вашето бъдещо аз ще ви благодари.
Кръв, пот и сълзи
Традиционно фирмите водят щателни записи за всичко, което се случва чрез песъчинки и труд. В някаква папка в тяхната система има написани на ръка (или напечатани на ръка) електронни таблици и документи, описващи всичко, което един одитор може да трябва да знае.
Ако се опитвате да се измъкнете от стратегията Chaos and Mayhem, това може да е най-добрият ви залог, за да започнете. Вместо да чакате да бъркате и да намерите цялата ключова информация под ужасния поглед на одитор, изравянето на всичко, което имате, и компилирането му в поне полуприемлив запис може да се направи ръчно, докато имате време.
Независимо дали тази стратегия е вашата ежедневна норма или начинът, по който планирате да се откажете от лошите си навици, ние ви препоръчваме следния план, който да започнете възможно най-скоро.
Софтуер за контрол на версиите
Наличието на цялостен контрол на версиите във всички части на вашия бизнес, а не само репозиции, където идва предварително пакетиран, прави целия този процес по същество да се справя сам. Докато потребителите правят промени в каквото и да било, автоматично тихо ще записва кой прави промяната, по кое време, какви процедури са следвани, всичките девет ярда.
Когато одиторите почукат на вратата ви и искат да знаят какво се е случило, можете просто да се обърнете към вашата вътрешна хронология на версиите. Няма да се налага да се бъркате, за да намерите доказателство, няма да е необходимо да губите часове в електронна таблица, записвайки информация – софтуерът върши работата вместо вас. Можете просто да се съсредоточите там, където е най-важно.
Софтуерът за контрол на версиите има и други големи предимства; а именно възможността за връщане към предишни версии. Това може да бъде огромна функция за качество на живот, особено за програми, които иначе не са имали тази функционалност.
Наличието на възможност за цялостно и точно връщане към точни версии също ви дава защита от неща като ransomware, където изтриването на вашите машини може да е необходимост, за да започнете отново да управлявате бизнеса. Вместо да загубите всичките си записи или дори самия проект, можете просто да се консултирате с контрола на версиите, да изберете най-новата опция и бада бум, отново сте в бизнеса.
Заключение
Одитите не трябва да бъдат ужасяващи призраци, надвиснали над вашия бизнес, чакащи да смажат всяка инерция, която имате. Ако вземете подходящи предпазни мерки и се сдобиете с добър софтуер за контрол на версиите, тогава стресът от одит и трудностите при водене на записи могат да изчезнат като сълзи в дъжд.
