Você está pronto para auditoria?
Autores: Ki James e John Boyer
Quando você leu pela primeira vez o título deste artigo, provavelmente estremeceu e imediatamente pensou em sua auditoria financeira. Isso pode ser assustador, mas o que dizer compliance auditorias?
Você está preparado para uma revisão da aderência de sua organização aos requisitos contratuais e regulatórios?
Uma auditoria de conformidade analisa seus controles internos, políticas de segurança, controles de acesso de usuários e gerenciamento de riscos. As chances são altas que você tem alguns tipos de políticas em vigor, mas uma auditoria de conformidade relacionada (por exemplo) à Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) validará que sua organização aplicado de forma consistente políticas e controles, não apenas que eles estão nos livros.
A natureza exata de uma auditoria de conformidade dependerá do tipo, mas geralmente consiste em demonstrar que o acesso aos registros é seguro e que os dados em seu ambiente de análise e relatórios são restritos ao pessoal necessário.
O Problema
Fornecer uma prova boa e válida de adesão pode ser uma dor enorme. Para fins demonstrativos, vamos nos concentrar em um exemplo específico.
Todo ambiente de produção deve ter um digital trilha de papel. Ele deve começar com a ideação, continuar com testes e correção de bugs, encontrar o caminho após a resolução e terminar com a aprovação do produto final e concluído.
Essa última etapa – a aprovação final – é a favorita dos auditores. Eles podem perguntar: “você pode me mostrar como você confirma que todos os relatórios no ambiente de produção aderiram ao seu processo documentado?”
Você teria então que fornecer uma lista de cada relatório migrado.
Por que isso é importante?
Fornecer aos auditores informações necessárias e suficientes pode ser assustador, principalmente quando se trata de um processo manual – ainda mais se você não tiver planejado para a ocasião.
É importante não apenas estabelecer e seguir suas políticas, mas também manter mecanismos para validar e provar a aderência aos seus próprios padrões.
No mínimo, você precisa estar preparado para fornecer um registro auditável de quem acessou o quê, quais alterações foram feitas no ambiente, todos os relatórios que as pessoas fizeram, quem fez os relatórios e como cada ativo no ambiente de produção passou pelas mãos do desenvolvedor e do controle de qualidade. .
As estratégias
Estar “pronto” para uma auditoria pode vir de várias formas diferentes, algumas das quais são mais difíceis e mais propensas a mantê-lo longe de problemas do que outras. Aqui está um ranking de algumas, mas não todas, em ordem de opções cada vez melhores.
Caos e caos
É possível que você, caro leitor desafortunado, através deste artigo tenha chegado à conclusão de que está lamentavelmente despreparado para provar que não comete graves violações da HIPAA para a satisfação de um auditor.
Se este for o caso, pode ser tarde demais, dependendo de quanto tempo seu status quo aleatório reinou. Você pode se encontrar na infeliz posição de lutar para encontrar qualquer fragmento de informação que puder.
Este é um método testado e comprovado que tem sido comprovado ao longo dos anais de ter resultados desastrosos.
Se você planeja arriscar e apostar nessa estratégia, simplesmente não o faça. Seu eu futuro agradecerá.
Sangue suor e lágrimas
Tradicionalmente, as empresas mantêm registros meticulosos de tudo o que acontece por meio de garra e trabalho. Em alguma pasta em seu sistema, há planilhas e documentos manuscritos (ou digitados à mão) detalhando tudo o que um auditor pode precisar saber.
Se você está tentando se livrar da estratégia Chaos and Mayhem, esta pode ser sua melhor aposta para começar. Em vez de esperar para embaralhar e encontrar todas as informações importantes sob o terrível olhar de um auditor, desenterrar tudo o que você tem e compilá-lo em um registro pelo menos semi-aceitável pode ser feito manualmente enquanto você tem tempo.
Seja essa estratégia ou não sua norma do dia a dia ou a maneira como você planeja se livrar de maus hábitos, recomendamos o seguinte plano para você começar o mais rápido possível.
Software de controle de versão
Ter controle de versão holístico em todas as partes do seu negócio, não apenas repos onde ele vem pré-empacotado, faz com que todo esse processo essencialmente se resolva sozinho. À medida que os usuários fizerem alterações em qualquer coisa, ele registrará automaticamente silenciosamente quem está fazendo a alteração, a que horas, quais procedimentos foram seguidos, todos os nove metros.
Quando os auditores baterem à sua porta e quiserem saber o que aconteceu, basta consultar o histórico de versões internas. Você não precisará se esforçar para encontrar provas, não precisará perder horas em uma planilha registrando informações – o software faz o trabalho para você. Você pode apenas se concentrar onde é mais importante.
O software de controle de versão também tem outros grandes benefícios; ou seja, a capacidade de reverter para versões anteriores. Esse pode ser um grande recurso de qualidade de vida, principalmente para programas que, de outra forma, não possuíam essa funcionalidade.
Ter a capacidade de reverter de forma abrangente e precisa para versões precisas também oferece uma cobertura de segurança de coisas como ransomware, onde a limpeza de suas máquinas pode ser uma necessidade para começar a administrar os negócios novamente. Ao invés de perder todos os seus registros ou até mesmo o projeto em si, você pode simplesmente consultar o controle de versão, escolher a opção mais recente, e pronto, você está de volta aos negócios.
Conclusão
As auditorias não precisam ser espectros aterrorizantes pairando sobre seus negócios, esperando para esmagar qualquer impulso que você tenha. Se você tomar as devidas precauções e adquirir um bom software de controle de versão, o estresse de uma auditoria e o trabalho árduo de manutenção de registros podem desaparecer, como lágrimas na chuva.
