Czy jesteś gotowy do audytu?
Autorzy: Ki James i John Boyer
Kiedy po raz pierwszy przeczytałeś tytuł tego artykułu, prawdopodobnie wzdrygłeś się i od razu pomyślałeś o swoim audycie finansowym. To może być przerażające, ale co z spełnienie audyty?
Czy jesteś przygotowany na przegląd przestrzegania przez Twoją organizację wymogów umownych i regulacyjnych?
Audyt zgodności obejmuje kontrolę wewnętrzną, zasady bezpieczeństwa, kontrolę dostępu użytkowników i zarządzanie ryzykiem. Szanse są wysokie, że masz kilka rodzaj obowiązujących zasad, ale audyt zgodności związany z (na przykład) Ustawą o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA) potwierdzi, że Twoja organizacja konsekwentnie egzekwowane zasady i kontrole, a nie tylko to, że są w księgach.
Dokładny charakter audytu zgodności będzie zależał od rodzaju, ale często polega na wykazaniu, że dostęp do zapisów jest bezpieczny, a dane w środowisku analitycznym i raportowym są ograniczone do niezbędnego personelu.
Problem
Dostarczenie dobrego i ważnego dowodu przestrzegania zaleceń może być ogromnym bólem. W celach demonstracyjnych skupmy się na jednym konkretnym przykładzie.
Każde środowisko produkcyjne powinno mieć digital papierowy szlak. Powinna zaczynać się od ideacji, przechodzić przez testowanie i naprawianie błędów, znaleźć drogę poza rozwiązanie, a kończyć się na zatwierdzeniu ostatecznego, ukończonego produktu.
Ten ostatni krok – ostateczne zatwierdzenie – jest ulubieńcem audytorów. Mogą zapytać: „czy możesz mi pokazać, w jaki sposób potwierdzasz, że wszystkie raporty w środowisku produkcyjnym są zgodne z udokumentowanym procesem?”
Musisz wtedy podać listę każdy zmigrowany raport.
Dlaczego to jest ważne
Dostarczanie audytorom niezbędnych i wystarczających informacji może być zniechęcające, szczególnie gdy jest to proces ręczny – tym bardziej, jeśli nie zaplanowano na tę okazję.
Ważne jest nie tylko ustalenie i przestrzeganie własnych zasad, ale także utrzymywanie mechanizmów sprawdzania i udowadniania przestrzegania własnych standardów.
Minimalnie, musisz być przygotowany na zapewnienie audytowalnego rejestru tego, kto miał dostęp do czego, jakie zmiany zostały wprowadzone w środowisku, wszystkie raporty wykonane przez ludzi, kto je wykonał i jak każdy zasób w środowisku produkcyjnym przeszedł odpowiednio przez ręce dewelopera i QA .
Strategie
Bycie „gotowym” do audytu może przybierać różne formy, z których niektóre są bardziej pracochłonne i bardziej prawdopodobne niż inne. Oto ranking niektórych, ale nie wszystkich, w kolejności coraz lepszych opcji.
Chaos i chaos
Możliwe, że ty, drogi, niefortunny czytelniku, poprzez ten artykuł uświadomiłeś sobie, że jesteś żałośnie nieprzygotowany, aby udowodnić, że nie popełniasz poważnych naruszeń HIPAA ku zadowoleniu audytora.
Jeśli tak jest, może być za późno, w zależności od tego, jak długo panowało twoje przypadkowe status quo. Możesz znaleźć się w niefortunnej sytuacji, gdy próbujesz znaleźć wszelkie skrawki informacji, które możesz.
Jest to wypróbowana i prawdziwa metoda, która od wieków dowiodła, że przynosi katastrofalne rezultaty.
Jeśli planujesz zaryzykować i strzelać do tej strategii, po prostu nie rób tego. Twoje przyszłe ja ci podziękuje.
Krew, pot i łzy
Tradycyjnie firmy prowadziły drobiazgowe rejestry wszystkiego, co dzieje się przez wysiłek i pracę. W niektórych folderach w ich systemie znajdują się odręcznie napisane (lub ręcznie wpisane) arkusze kalkulacyjne i dokumenty wyszczególniające wszystko, co audytor może potrzebować wiedzieć.
Jeśli próbujesz wygrzebać się ze strategii Chaosu i chaosu, może to być najlepsza opcja na początek. Zamiast czekać na rozszyfrowanie i znalezienie wszystkich kluczowych informacji pod okropnym spojrzeniem audytora, wykopanie wszystkiego, co masz i kompilację w przynajmniej częściowo akceptowalnym rejestrze, można zrobić ręcznie, gdy masz czas.
Niezależnie od tego, czy ta strategia jest twoją codzienną normą, czy sposobem, w jaki planujesz wyrwać się ze złych nawyków, zalecamy następujący plan, abyś zaczął jak najszybciej.
Oprogramowanie do kontroli wersji
Posiadanie holistycznej kontroli wersji we wszystkich częściach firmy, a nie tylko w repozytoriach, w których jest ona wstępnie zapakowana, sprawia, że cały proces zasadniczo radzi sobie sam. Gdy użytkownicy wprowadzają zmiany do czegokolwiek, automatycznie rejestruje on po cichu, kto dokonał zmiany, o której godzinie, jakie procedury zostały zastosowane, całe dziewięć metrów.
Kiedy audytorzy zapukają do Twoich drzwi i chcą wiedzieć, co się stało, możesz po prostu odwołać się do swojej wewnętrznej historii wersji. Nie musisz się męczyć, aby znaleźć dowód, nie musisz tracić godzin na zapisywanie informacji w arkuszu kalkulacyjnym — oprogramowanie zrobi to za Ciebie. Możesz po prostu skoncentrować się tam, gdzie ma to największe znaczenie.
Oprogramowanie do kontroli wersji ma też inne duże zalety; mianowicie możliwość powrotu do poprzednich wersji. Może to być ogromna funkcja poprawiająca jakość życia, szczególnie w przypadku programów, które w przeciwnym razie nie miałyby tej funkcji.
Możliwość kompleksowego i dokładnego przywrócenia dokładnych wersji zapewnia również ochronę przed takimi rzeczami, jak oprogramowanie ransomware, w przypadku których wyczyszczenie komputerów może być koniecznością, aby ponownie rozpocząć działalność. Zamiast tracić wszystkie swoje rekordy, a nawet sam projekt, możesz po prostu sprawdzić kontrolę wersji, wybrać najnowszą opcję i zły boom, wracasz do pracy.
Wnioski
Audyty nie muszą być przerażającymi widmami, które wiszą nad Twoją firmą, czekając, by zmiażdżyć Twój impet. Jeśli podejmiesz odpowiednie środki ostrożności i zdobędziesz dobre oprogramowanie do kontroli wersji, stres związany z audytem i trudem prowadzenia dokumentacji mogą zniknąć jak łzy w deszczu.