您准备好审核了吗?
作者:Ki James 和 John Boyer
当您第一次看到本文的标题时,您可能会不寒而栗,并立即想到您的财务审计。 那些可能很可怕,但是呢? 符合 审计?
您是否准备好审查您的组织对合同和法规要求的遵守情况?
合规审计审查您的内部控制、安全策略、用户访问控制和风险管理。 您拥有的机会很高 一些 某种政策,但与(例如)《健康保险流通与责任法案》(HIPAA)相关的合规审计将验证您的组织是否拥有 持续执行 政策和控制,而不仅仅是它们在书上。
合规审计的确切性质取决于类型,但通常包括证明对记录的访问是安全的,并且分析和报告环境中的数据仅限于必要的人员。
当前困境
提供良好且有效的依从性证明可能是一个巨大的痛苦。 出于演示目的,让我们关注一个具体的例子。
每个生产环境都应该有一个 digital 纸迹。 它应该从构思开始,继续通过测试和错误修复,找到解决方案,并在最终完成的产品获得批准时结束。
最后一步——最终批准——是审计师最喜欢的选择。 他们可能会问,“你能告诉我你是如何确认生产环境中的所有报告都符合你记录的流程的吗?”
然后,您必须提供一份清单 每周 迁移报告。
为什么这很重要
向审计员提供必要和充分的信息可能会让人望而生畏,尤其是当它是一个手动过程时——如果您还没有计划好这个场合,情况更是如此。
重要的是不仅要建立和遵守您的政策,还要保持适当的机制来验证和证明遵守您自己的标准。
最低限度,您需要准备好提供可审计的记录,记录谁访问了什么、对环境进行了哪些更改、人员制作的所有报告、谁制作了报告,以及生产环境中的每项资产如何适当地通过开发人员和 QA 手.
战略
为审计“做好准备”可以有多种不同的形式,其中一些需要付出更大的努力,并且比其他的更有可能让你远离麻烦。 以下是一些但不是全部的排名,按照越来越好的选择的顺序排列。
混乱与混乱
亲爱的,不幸的读者,您很可能通过本文意识到您完全没有准备好证明您没有严重违反 HIPAA 以使审核员满意。
如果是这种情况,则可能为时已晚,具体取决于您随意的现状已经统治了多长时间。 您可能会发现自己处于不幸的境地,忙于寻找任何可以找到的信息碎片。
这是一种久经考验的真实方法,在整个时代都被证明会产生灾难性的结果。
如果您打算抓住机会并采取这种策略,那就不要了。 你未来的自己会感谢你。
血汗流泪
传统上,企业对通过毅力和劳动发生的一切都进行了细致的记录。 在他们系统的某个文件夹中,有手写(或手写)的电子表格和文档,详细说明了审核员可能需要知道的所有内容。
如果您想摆脱混乱和混乱策略,这可能是您开始的最佳选择。 与其在审计员可怕的注视下等待争先恐后地找到所有关键信息,不如在有时间的时候手动完成挖掘你拥有的所有内容并将其编译成至少半可接受的记录。
无论此策略是您的日常规范还是您计划改掉坏习惯的方式,我们都建议您尽快开始以下计划。
版本控制软件
对业务的所有部分进行全面的版本控制,而不仅仅是预先打包的存储库,这使得整个过程基本上可以自行处理。 当用户对任何东西进行更改时,它会自动默默记录谁在进行更改,在什么时间进行了哪些程序,整个九码。
当审计人员来敲你的门并想知道发生了什么时,你可以参考你的内部版本历史。 您无需争先恐后地寻找证据,也无需在电子表格记录信息上浪费数小时——该软件为您完成了这项工作。 你可以只关注最重要的地方。
版本控制软件还有其他一些大好处; 即,能够回滚到以前的版本。 这可能是一个巨大的生活质量功能,特别是对于没有此功能的程序。
能够全面而准确地回滚到精确版本还可以为您提供免受勒索软件之类的安全保护,在这种情况下,擦除您的机器可能是重新开始运营业务的必要条件。 无需丢失所有记录甚至项目本身,您可以简单地查阅版本控制,选择最新的选项,然后 bada 繁荣,您就可以重新开始工作了。
结论
审计不必成为笼罩在您业务上的可怕幽灵,等待粉碎您拥有的任何动力。 如果您采取适当的预防措施并获得良好的版本控制软件,那么审核的压力和记录保存的艰辛都可以像雨中的眼泪一样消失。
