Bent u audit-ready?
Auteurs: Ki James en John Boyer
Toen u de titel van dit artikel voor het eerst las, huiverde u waarschijnlijk en dacht u meteen aan uw financiële controle. Die zijn misschien eng, maar hoe zit het met? nakoming controles?
Bent u voorbereid op een beoordeling van de naleving door uw organisatie van contract- en regelgevende vereisten?
Een compliance-audit beoordeelt uw interne controles, beveiligingsbeleid, gebruikerstoegangscontroles en risicobeheer. De kans is groot dat je sommige soort beleid, maar een nalevingsaudit met betrekking tot (bijvoorbeeld) de Health Insurance Portability and Accountability Act (HIPAA) zal valideren dat uw organisatie consequent gehandhaafd beleid en controles, niet alleen dat ze in de boeken staan.
De exacte aard van een compliance-audit is afhankelijk van het type, maar bestaat vaak uit het aantonen dat toegang tot records veilig is en dat gegevens in uw analyse- en rapportageomgeving beperkt zijn tot het benodigde personeel.
Het probleem
Het leveren van een goed en geldig bewijs van therapietrouw kan een enorme pijn zijn. Laten we ons voor demonstratieve doeleinden concentreren op één specifiek voorbeeld.
Elke productieomgeving zou een digital papieren spoor. Het moet beginnen met het bedenken van ideeën, doorgaan met testen en het oplossen van bugs, zijn weg vinden voorbij de oplossing en eindigen bij de goedkeuring van het uiteindelijke, voltooide product.
Die laatste stap – de definitieve goedkeuring – is een favoriet van auditors om op te pikken. Ze kunnen vragen: "Kunt u me laten zien hoe u bevestigt dat alle rapporten in de productieomgeving voldoen aan uw gedocumenteerde proces?"
U moet dan een lijst met elk gemigreerd rapport.
Waarom dit belangrijk is
Het kan ontmoedigend zijn om auditors de nodige en voldoende informatie te geven, vooral wanneer het een handmatig proces is – vooral als u niet voor de gelegenheid hebt gepland.
Het is belangrijk om niet alleen uw beleid vast te stellen en te volgen, maar ook mechanismen in stand te houden om de naleving van uw eigen normen te valideren en te bewijzen.
Minimaal moet u bereid zijn om een controleerbaar verslag te verstrekken van wie toegang heeft tot wat, welke wijzigingen zijn aangebracht in de omgeving, alle rapporten die mensen hebben gemaakt, wie de rapporten heeft gemaakt en hoe elk middel in de productieomgeving op de juiste manier door de ontwikkelaar en QA-handen is gegaan .
De strategieën
"Klaar" zijn voor een audit kan verschillende vormen aannemen, waarvan sommige meer inspanning vergen en u waarschijnlijker uit de problemen houden dan andere. Hier is een rangschikking van enkele, maar niet alle, in volgorde van steeds betere opties.
Chaos en chaos
Het is mogelijk dat u, beste, ongelukkige lezer, door dit artikel tot het besef bent gekomen dat u hopeloos onvoorbereid bent om te bewijzen dat u geen ernstige HIPAA-overtredingen begaat tot tevredenheid van een auditor.
Als dit het geval is, kan het te laat zijn, afhankelijk van hoe lang uw lukrake status-quo heeft geregeerd. U bevindt zich misschien in de ongelukkige positie van klauteren om alle stukjes informatie te vinden die u kunt vinden.
Dit is een beproefde methode waarvan in de loop van de tijd is bewezen dat ze rampzalige resultaten heeft.
Als je van plan bent om je kansen te grijpen en voor deze strategie te schieten, doe het dan gewoon niet. Je toekomstige zelf zal je dankbaar zijn.
Bloed zweet en tranen
Traditioneel hebben bedrijven nauwgezet vastgelegd wat er gebeurt met grit en arbeid. In een of andere map in hun systeem zijn er handgeschreven (of met de hand getypte) spreadsheets en documenten waarin alles wordt beschreven wat een auditor mogelijk moet weten.
Als je jezelf uit de Chaos and Mayhem-strategie probeert te graven, is dit misschien de beste gok om aan de slag te gaan. In plaats van te wachten om alle belangrijke informatie te vinden onder de verschrikkelijke blik van een auditor, kunt u alles wat u hebt opgraven en het in een op zijn minst semi-aanvaardbaar record samenstellen, handmatig doen terwijl u tijd heeft.
Of deze strategie nu wel of niet uw dagelijkse norm is of de manier waarop u van plan bent slechte gewoonten te doorbreken, we raden u aan om zo snel mogelijk met het volgende plan te beginnen.
Versiebeheersoftware
Met holistisch versiebeheer in alle delen van uw bedrijf, niet alleen repo's waar het voorverpakt wordt geleverd, zorgt ervoor dat dit hele proces in wezen zichzelf afhandelt. Als gebruikers iets wijzigen, registreert het automatisch in stilte wie de wijziging aanbrengt, op welk moment, welke procedures zijn gevolgd, de hele negen meter.
Wanneer de auditors bij u aankloppen en willen weten wat er is gebeurd, kunt u gewoon uw interne versiegeschiedenis raadplegen. U hoeft niet te klauteren om bewijs te vinden, u hoeft geen uren te verspillen aan het opnemen van informatie in een spreadsheet - de software doet het werk voor u. Je kunt je gewoon concentreren waar het er het meest toe doet.
Software voor versiebeheer heeft nog enkele andere grote voordelen; namelijk de mogelijkheid om terug te gaan naar eerdere versies. Dit kan een enorme kwaliteit van leven zijn, vooral voor programma's die deze functionaliteit anders niet hadden.
De mogelijkheid om volledig en nauwkeurig terug te gaan naar precieze versies geeft je ook een veiligheidsdeken tegen zaken als ransomware, waarbij het wissen van je machines een noodzaak kan zijn om het bedrijf weer te runnen. In plaats van al uw gegevens of zelfs het project zelf te verliezen, kunt u gewoon het versiebeheer raadplegen, de meest recente optie kiezen, en u bent weer aan het werk.
Conclusie
Audits hoeven geen angstaanjagende spoken te zijn die boven je bedrijf opdoemen, wachtend om het momentum dat je hebt te verpletteren. Als u de juiste voorzorgsmaatregelen neemt en goede software voor versiebeheer aanschaft, kunnen de stress van een audit en het sjouwen van de administratie beide verdwijnen, als tranen in de regen.
