Sei pronto per l'audit?
Autori: Ki James e John Boyer
Quando hai letto per la prima volta il titolo di questo articolo, probabilmente hai rabbrividito e hai subito pensato al tuo audit finanziario. Quelli possono essere spaventosi, ma che dire conformità audit?
Sei pronto per una revisione dell'aderenza della tua organizzazione ai requisiti contrattuali e normativi?
Un audit di conformità esamina i controlli interni, le politiche di sicurezza, i controlli di accesso degli utenti e la gestione del rischio. Le possibilità che hai sono alte alcuni tipo di politiche in atto, ma un audit di conformità relativo (ad esempio) all'Health Insurance Portability and Accountability Act (HIPAA) convaliderà che la tua organizzazione ha costantemente applicato politiche e controlli, non solo che sono sui libri contabili.
L'esatta natura di un audit di conformità dipenderà dal tipo, ma spesso consiste nel dimostrare che l'accesso ai record è sicuro e che i dati nell'ambiente di analisi e reporting sono limitati al personale necessario.
Il problema
Fornire una prova valida e valida di adesione può essere un enorme dolore. A scopo dimostrativo, concentriamoci su un esempio specifico.
Ogni ambiente di produzione dovrebbe avere a digital traccia cartacea. Dovrebbe iniziare con l'ideazione, continuare attraverso i test e la correzione dei bug, trovare la strada oltre la risoluzione e terminare con l'approvazione del prodotto finale e completato.
Quest'ultimo passaggio, l'approvazione finale, è uno dei preferiti dai revisori dei conti. Potrebbero chiedere: "Puoi mostrarmi come confermi che tutti i rapporti nell'ambiente di produzione hanno aderito al tuo processo documentato?"
Dovresti quindi fornire un elenco di ogni rapporto migrato.
Perché questo è importante
Fornire agli auditor le informazioni necessarie e sufficienti può essere scoraggiante, in particolare quando si tratta di un processo manuale, a maggior ragione se non hai pianificato per l'occasione.
È importante non solo stabilire e seguire le tue politiche, ma anche mantenere in atto meccanismi per convalidare e dimostrare l'adesione ai tuoi standard.
Come minimo, devi essere preparato a fornire un registro verificabile di chi ha avuto accesso a cosa, quali modifiche sono state apportate all'ambiente, tutte le segnalazioni fatte dalle persone, chi le ha fatte e come ogni risorsa nell'ambiente di produzione è passata in modo appropriato dalle mani dello sviluppatore e del QA .
Le strategie
Essere "pronti" per un audit può assumere diverse forme, alcune delle quali richiedono uno sforzo maggiore e hanno maggiori probabilità di tenerti fuori dai guai rispetto ad altre. Ecco una classifica di alcuni ma non tutti in ordine di opzioni sempre migliori.
Caos e caos
È possibile che tu, caro, sfortunato lettore, attraverso questo articolo ti sia reso conto di essere tristemente impreparato a dimostrare di non commettere gravi violazioni dell'HIPAA con soddisfazione di un revisore dei conti.
Se questo è il caso, potrebbe essere troppo tardi a seconda di quanto tempo ha regnato il tuo status quo casuale. Potresti trovarti nella sfortunata posizione di arrampicarti per trovare qualsiasi frammento di informazioni che puoi.
Questo è un metodo provato e vero che è stato dimostrato nel corso degli annali del tempo per avere risultati disastrosi.
Se hai intenzione di correre il rischio e puntare per questa strategia, semplicemente non farlo. Il tuo io futuro ti ringrazierà.
Sangue sudore e lacrime
Tradizionalmente, le aziende hanno tenuto registri meticolosi di tutto ciò che accade attraverso la grinta e il lavoro. In alcune cartelle del loro sistema, ci sono fogli di calcolo e documenti scritti a mano (o digitati a mano) che descrivono in dettaglio tutto ciò che un revisore potrebbe aver bisogno di sapere.
Se stai cercando di tirarti fuori dalla strategia Chaos and Mayhem, questa potrebbe essere la soluzione migliore per iniziare. Piuttosto che aspettare di rimescolare e trovare tutte le informazioni chiave sotto lo sguardo terribile di un auditor, scavare tutto ciò che hai e compilarlo in un record almeno semi accettabile può essere fatto manualmente mentre hai tempo.
Indipendentemente dal fatto che questa strategia sia o meno la tua norma quotidiana o il modo in cui prevedi di rompere le cattive abitudini, ti consigliamo il seguente piano per iniziare il prima possibile.
Software di controllo della versione
Avere il controllo olistico della versione in tutte le parti della tua attività, non solo nei repository in cui viene fornito preconfezionato, fa sì che l'intero processo si mantenga essenzialmente da solo. Quando gli utenti apportano modifiche a qualsiasi cosa, registrerà automaticamente in silenzio chi sta apportando la modifica, a che ora, quali procedure sono state seguite, per tutti i nove metri.
Quando gli auditor vengono a bussare alla tua porta e vogliono sapere cosa è successo, puoi semplicemente fare riferimento alla cronologia delle versioni interna. Non dovrai affannarti per trovare prove, non dovrai sprecare ore in un foglio di calcolo per registrare informazioni: il software fa il lavoro per te. Puoi concentrarti solo dove conta di più.
Il software di controllo della versione ha anche altri grandi vantaggi; vale a dire, la possibilità di tornare alle versioni precedenti. Questa può essere un'enorme funzionalità di qualità della vita, in particolare per i programmi che altrimenti non avevano questa funzionalità.
Avere la possibilità di tornare a versioni precise in modo completo e accurato ti offre anche una coperta di sicurezza da cose come il ransomware, in cui pulire i tuoi computer potrebbe essere una necessità per ricominciare a gestire l'attività. Invece di perdere tutti i tuoi record o anche il progetto stesso, puoi semplicemente consultare il controllo della versione, scegliere l'opzione più recente e bada boom, sei di nuovo in attività.
Conclusione
Gli audit non devono essere fantasmi terrificanti che incombono sulla tua attività, in attesa di schiacciare qualsiasi slancio tu abbia. Se prendi le dovute precauzioni e acquisisci un buon software di controllo della versione, lo stress di un audit e lo sgobbare della conservazione dei registri possono entrambi scomparire, come lacrime sotto la pioggia.
