Estás preparado para a auditoría?
Autores: Ki James e John Boyer
Cando leu por primeira vez o título deste artigo, probablemente se estremeceu e inmediatamente pensou na súa auditoría financeira. Poden dar medo, pero que tal observancia auditorías?
Está preparado para unha revisión do cumprimento da súa organización dos requisitos contractuais e regulamentarios?
Unha auditoría de cumprimento revisa os teus controis internos, políticas de seguridade, controis de acceso dos usuarios e xestión de riscos. As posibilidades son altas que tes algúns tipo de políticas establecidas, pero unha auditoría de cumprimento relacionada (por exemplo) coa Lei de portabilidade e rendición de contas dos seguros de saúde (HIPAA) validará que a súa organización ten aplicado de forma consistente políticas e controis, non só que estean nos libros.
A natureza exacta dunha auditoría de cumprimento dependerá do tipo, pero moitas veces consiste en demostrar que o acceso aos rexistros é seguro e que os datos do seu contorno de análise e informes están restrinxidos ao persoal necesario.
O problema
Proporcionar unha boa e válida proba de adhesión pode ser unha gran dor. Para fins demostrativos, centrémonos nun exemplo específico.
Todo ambiente de produción debería ter un digital rastro de papel. Debe comezar coa ideación, continuar coas probas e a corrección de erros, atopar o seu camiño despois da resolución e rematar coa aprobación do produto final e completado.
Ese último paso, a aprobación final, é un dos favoritos dos auditores. Poden preguntar: "Podes mostrarme como confirmas que todos os informes do entorno de produción se adheriron ao teu proceso documentado?"
Despois terías que proporcionar unha lista de cada informe migrado.
Por que isto é importante
Proporcionar aos auditores a información necesaria e suficiente pode ser desalentador, especialmente cando se trata dun proceso manual, máis aínda se non planeou para a ocasión.
É importante non só establecer e seguir as súas políticas, senón tamén manter mecanismos para validar e demostrar o cumprimento dos seus propios estándares.
Como mínimo, cómpre estar preparado para proporcionar un rexistro auditable de quen accedeu a que, que cambios se fixeron no ambiente, todos os informes que fixeron as persoas, quen fixo os informes e como cada activo do contorno de produción pasou polas mans do programador e do control de calidade de forma adecuada. .
As Estratexias
Estar "preparado" para unha auditoría pode presentarse en varias formas diferentes, algunhas das cales son un esforzo maior e é máis probable que che eviten problemas que outras. Aquí tes unha clasificación dalgunhas pero non todas por orde de opcións cada vez mellores.
Caos e caos
É posible que ti, querido e desafortunado lector, a través deste artigo te decates de que non estás lamentablemente preparado para demostrar que non cometes graves violacións da HIPAA para satisfacción dun auditor.
Se este é o caso, pode que sexa demasiado tarde dependendo de canto tempo reine o teu status quo casual. Podes atoparte na desafortunada posición de buscar calquera fragmento de información que poidas.
Este é un método probado e verdadeiro que ten resultados desastrosos ao longo dos anais do tempo.
Se pensas arriscar e tirar por esta estratexia, simplemente non o fagas. O teu eu futuro agradecerachelo.
Sangue, suor e bágoas
Tradicionalmente, as empresas levaron uns rexistros meticulosos de todo o que ocorre a través do traballo e do traballo. Nalgunha carpeta do seu sistema, hai follas de cálculo e documentos manuscritos (ou escritos a man) que detallan todo o que un auditor pode necesitar saber.
Se estás intentando saír da estratexia do caos e do caos, esta pode ser a túa mellor aposta para comezar. En lugar de esperar a buscar toda a información clave baixo a terrible mirada dun auditor, desenterrar todo o que tes e recompilalo nun rexistro polo menos semi-aceptable pódese facer manualmente mentres tes tempo.
Se esta estratexia é ou non a norma do teu día a día ou a forma en que planeas saír dos malos hábitos, recomendámosche o seguinte plan para que comeces canto antes.
Software de control de versións
Ter un control holístico de versións en todas as partes da túa empresa, non só os repostos onde ven empaquetados, fai que todo este proceso se xestione por si mesmo. A medida que os usuarios fan cambios en calquera cousa, rexistrará automaticamente en silencio quen está a facer o cambio, a que hora, que procedementos se seguiron, os nove metros.
Cando os auditores chaman á túa porta e queren saber o que pasou, podes consultar o teu historial interno de versións. Non necesitarás buscar probas, non terás que perder horas nunha folla de cálculo gravando información: o software fai o traballo por ti. Podes centrarte onde máis importa.
O software de control de versións tamén ten outros grandes beneficios; é dicir, a capacidade de retroceder ás versións anteriores. Esta pode ser unha característica de calidade de vida enorme, especialmente para programas que doutro xeito non tiñan esta funcionalidade.
Ter a capacidade de volver a versións precisas de forma completa e precisa tamén che ofrece unha manta de seguridade de cousas como o ransomware, onde pode ser necesario limpar as túas máquinas para comezar a executar de novo o negocio. En lugar de perder todos os teus rexistros ou mesmo o proxecto en si, podes simplemente consultar o control de versións, escoller a opción máis recente e, boom, xa estás de volta ao negocio.
Conclusión
As auditorías non teñen que ser espectros aterradores que se asoman ao teu negocio, á espera de esmagar o impulso que teñas. Se tomas as precaucións adecuadas e adquires un bo software de control de versións, entón o estrés dunha auditoría e o esforzo de manter rexistros poden desaparecer, como bágoas na choiva.
