Готовы ли вы к аудиту?
Авторы: Ки Джеймс и Джон Бойер
Когда вы впервые прочитали заголовок этой статьи, вы наверняка содрогнулись и сразу подумали о своем финансовом аудите. Это может быть страшно, но как насчет Соответствие закону аудит?
Готовы ли вы к проверке соблюдения вашей организацией договорных и нормативных требований?
Аудит соответствия проверяет ваш внутренний контроль, политики безопасности, контроль доступа пользователей и управление рисками. Шансы высоки, что у вас есть некоторые политик, но аудит соответствия, связанный, например, с Законом о переносимости и подотчетности медицинского страхования (HIPAA), подтвердит, что ваша организация последовательно соблюдается политики и средства контроля, а не только то, что они зарегистрированы.
Точный характер аудита соответствия будет зависеть от типа, но часто состоит из демонстрации того, что доступ к записям безопасен и что данные в вашей аналитической среде и среде отчетности ограничены необходимым персоналом.
Проблема
Предоставление хороших и действительных доказательств приверженности может быть огромной проблемой. В демонстрационных целях давайте сосредоточимся на одном конкретном примере.
Каждая производственная среда должна иметь digital бумажный след. Он должен начинаться с идеи, продолжаться через тестирование и исправление ошибок, найти свой путь после разрешения и закончиться утверждением окончательного, завершенного продукта.
Этот последний шаг — окончательное утверждение — излюбленный выбор аудиторов. Они могут спросить: «Можете ли вы показать мне, как вы подтверждаете, что все отчеты в производственной среде соответствуют вашему документированному процессу?»
Затем вам нужно будет предоставить список каждую перенесенный отчет.
Почему это важно
Предоставление аудиторам необходимой и достаточной информации может быть сложной задачей, особенно если это ручной процесс, особенно если вы не запланировали этот случай.
Важно не только установить и соблюдать свои политики, но и поддерживать механизмы для проверки и подтверждения соблюдения ваших собственных стандартов.
Как минимум, вы должны быть готовы предоставить проверяемый отчет о том, кто к чему обращался, какие изменения были внесены в среду, все отчеты, сделанные людьми, кто сделал отчеты, и как каждый актив в производственной среде прошел через руки разработчика и контроля качества надлежащим образом. .
Стратегии
Быть «готовым» к аудиту может проявляться в нескольких различных формах, некоторые из которых требуют больших усилий и с большей вероятностью уберегут вас от неприятностей, чем другие. Вот рейтинг некоторых, но не всех, в порядке возрастания лучших вариантов.
Хаос и беспредел
Вполне возможно, что вы, дорогой, несчастный читатель, благодаря этой статье пришли к выводу, что вы совершенно не готовы доказать, что вы не совершаете ужасных нарушений HIPAA к удовлетворению аудитора.
Если это так, то может быть слишком поздно, в зависимости от того, как долго царил ваш случайный статус-кво. Вы можете оказаться в неудачном положении, пытаясь найти любые обрывки информации, какие сможете.
Это испытанный и верный метод, который, как было доказано в анналах времени, имеет катастрофические результаты.
Если вы планируете рискнуть и использовать эту стратегию, просто не делайте этого. Ваше будущее «я» скажет вам спасибо.
Кровь, пот и слезы
Традиционно предприятия вели тщательный учет всего, что происходит благодаря настойчивости и труду. В какой-то папке в их системе есть написанные от руки (или напечатанные от руки) электронные таблицы и документы, подробно описывающие все, что может понадобиться знать аудитору.
Если вы пытаетесь вырваться из стратегии Хаоса и Беспредела, это может быть вашим лучшим выбором для начала. Вместо того, чтобы ждать, пока вы переберетесь и найдете всю ключевую информацию под ужасным взглядом аудитора, выкопайте все, что у вас есть, и скомпилируйте это, по крайней мере, в полуприемлемую запись, которую вы можете сделать вручную, пока у вас есть время.
Независимо от того, является ли эта стратегия вашей повседневной нормой или способом, которым вы планируете избавиться от вредных привычек, мы рекомендуем следующий план для вас, чтобы начать как можно скорее.
Программное обеспечение для контроля версий
Наличие целостного контроля версий во всех частях вашего бизнеса, а не только в репозиториях, где они поставляются предварительно упакованными, делает весь этот процесс, по сути, самостоятельным. Когда пользователи вносят какие-либо изменения, он автоматически автоматически записывает, кто вносит изменения, в какое время, какие процедуры были соблюдены, все девять ярдов.
Когда аудиторы постучатся в вашу дверь и захотят узнать, что произошло, вы можете просто обратиться к своей внутренней истории версий. Вам не нужно карабкаться, чтобы найти доказательства, вам не нужно тратить часы на запись информации в электронную таблицу — программное обеспечение сделает всю работу за вас. Вы можете просто сосредоточиться на том, что важнее всего.
Программное обеспечение для контроля версий имеет и другие большие преимущества; а именно возможность отката на предыдущие версии. Это может быть очень полезной функцией, особенно для программ, которые в противном случае не имели бы этой функции.
Возможность всестороннего и точного отката до точных версий также дает вам защиту от таких вещей, как программы-вымогатели, когда стирание данных с ваших компьютеров может быть необходимо, чтобы снова начать бизнес. Вместо того, чтобы потерять все свои записи или даже сам проект, вы можете просто обратиться к системе управления версиями, выбрать самый последний вариант, и бада-бум, вы снова в деле.
Заключение
Аудиты не должны быть ужасающими призраками, нависшими над вашим бизнесом, ожидающими, чтобы сокрушить любой ваш импульс. Если вы примете надлежащие меры предосторожности и приобретете хорошее программное обеспечение для контроля версий, то стресс от аудита и утомительное ведение записей могут исчезнуть, как слезы под дождем.