Sunteți gata pentru audit?
Autori: Ki James și John Boyer
Când ați citit prima dată titlul acestui articol, probabil v-ați înfiorat și imediat v-ați gândit la auditul financiar. Acestea pot fi înfricoșătoare, dar ce zici conformitate audituri?
Sunteți pregătit pentru o revizuire a aderării organizației dvs. la cerințele contractuale și de reglementare?
Un audit de conformitate vă examinează controalele interne, politicile de securitate, controalele accesului utilizatorilor și gestionarea riscurilor. Șansele pe care le aveți sunt mari unele un fel de politici în vigoare, dar un audit de conformitate legat de (de exemplu) Legea privind portabilitatea și responsabilitatea asigurărilor de sănătate (HIPAA) va valida că organizația dvs. are aplicat consecvent politicile și controalele, nu doar că acestea sunt în cărți.
Natura exactă a unui audit de conformitate va depinde de tip, dar deseori constă în demonstrarea faptului că accesul la înregistrări este securizat și că datele din mediul dumneavoastră de analiză și raportare sunt limitate la personalul necesar.
Problema
Oferirea de dovezi bune și valide de aderență poate fi o durere uriașă. În scopuri demonstrative, să ne concentrăm pe un exemplu specific.
Fiecare mediu de producție ar trebui să aibă un digital urma de hartie. Ar trebui să înceapă cu idee, să continue prin testare și remediere a erorilor, să-și găsească drumul peste rezoluție și să se termine la aprobarea produsului final, finalizat.
Ultimul pas – aprobarea finală – este un favorit al auditorilor. Ei ar putea întreba: „Îmi puteți arăta cum confirmați că toate rapoartele din mediul de producție au respectat procesul dumneavoastră documentat?”
Atunci va trebui să furnizați o listă de fiecare raport migrat.
De ce acest lucru este important
Furnizarea auditorilor de informații necesare și suficiente poate fi descurajantă, mai ales atunci când este un proces manual – cu atât mai mult dacă nu ați planificat pentru această ocazie.
Este important nu numai să stabiliți și să urmați politicile dvs., ci și să păstrați mecanisme pentru a valida și dovedi aderarea la propriile standarde.
În minimum, trebuie să fiți pregătit să furnizați o înregistrare auditabilă a cine a accesat ce, ce modificări au fost aduse mediului, toate rapoartele făcute de oameni, cine a făcut rapoartele și modul în care fiecare activ din mediul de producție a trecut în mod corespunzător prin mâinile dezvoltatorului și QA. .
Strategiile
A fi „pregătit” pentru un audit poate veni în mai multe forme diferite, dintre care unele sunt un efort mai mare și mai probabil să te țină departe de necazuri decât altele. Iată un clasament al unora, dar nu al tuturor, în ordinea opțiunilor din ce în ce mai bune.
Haos și haos
Este posibil ca tu, dragă, nefericitul cititor, prin acest articol să fi ajuns să-ți dai seama că ești îngrozitor de nepregătit să dovedești că nu comiți încălcări grave HIPAA spre satisfacția unui auditor.
Dacă acesta este cazul, poate fi prea târziu, în funcție de cât timp a domnat status quo-ul tău întâmplător. S-ar putea să vă aflați în situația nefericită de a vă amesteca pentru a găsi orice fragmente de informații pe care le puteți.
Aceasta este o metodă încercată și adevărată, care s-a dovedit de-a lungul analelor timpului că are rezultate dezastruoase.
Dacă intenționați să vă riscați și să trageți pentru această strategie, pur și simplu nu o faceți. Sinele tău viitor îți va mulțumi.
Sânge, sudoare și lacrimi
În mod tradițional, întreprinderile au ținut o evidență meticuloasă a tot ceea ce se întâmplă prin grija și muncă. În unele dosare din sistemul lor, există foi de calcul și documente scrise de mână (sau tastate de mână) care detaliază tot ceea ce un auditor ar putea avea nevoie să știe.
Dacă încerci să te scoți din strategia Chaos and Mayhem, acesta poate fi cel mai bun pariu pentru a începe. În loc să aștepți să te amesteci și să găsești toate informațiile cheie sub privirea îngrozitoare a unui auditor, să dezgrozi tot ce ai și să le compilați într-o înregistrare cel puțin semi-acceptabilă se poate face manual cât timp aveți timp.
Indiferent dacă această strategie este sau nu norma ta de zi cu zi sau modul în care intenționezi să scapi de obiceiurile proaste, îți recomandăm următorul plan să începi cât mai curând posibil.
Software de control al versiunilor
Având controlul holistic al versiunilor în toate părțile afacerii dvs., nu doar repozițiile unde este pre-ambalat, face ca întregul proces să se ocupe în esență de el însuși. Pe măsură ce utilizatorii fac modificări la orice, acesta va înregistra automat în tăcere cine face modificarea, la ce oră, ce proceduri au fost urmate, toți cei nouă metri.
Când auditorii vă bat la ușă și vor să știe ce s-a întâmplat, puteți să vă referiți la istoricul intern al versiunilor. Nu va trebui să vă amestecați pentru a găsi dovezi, nu va trebui să pierdeți ore întregi într-o foaie de calcul înregistrând informații - software-ul face treaba pentru dvs. Vă puteți concentra doar acolo unde contează cel mai mult.
Software-ul de control al versiunilor are și alte beneficii mari; și anume, capacitatea de a reveni la versiunile anterioare. Aceasta poate fi o caracteristică uriașă de calitate a vieții, în special pentru programele care altfel nu aveau această funcționalitate.
Având capacitatea de a reveni în mod cuprinzător și precis la versiuni precise, vă oferă, de asemenea, o pătură de securitate pentru lucruri precum ransomware, unde ștergerea mașinilor ar putea fi o necesitate pentru a relua afacerea. În loc să-ți pierzi toate înregistrările sau chiar proiectul în sine, poți pur și simplu să consulți controlul versiunii, să alegi cea mai recentă opțiune și, bine, te-ai întors în afaceri.
Concluzie
Auditurile nu trebuie să fie niște spectre terifiante care planează asupra afacerii tale, care așteaptă să zdrobească orice impuls pe care îl ai. Dacă luați măsurile de precauție adecvate și achiziționați un software bun de control al versiunilor, atunci stresul unui audit și sarcina de a păstra înregistrările pot dispărea ambele, ca lacrimile în ploaie.
