您準備好審核了嗎?
作者:Ki James 和 John Boyer
當您第一次看到本文的標題時,您可能會不寒而栗,並立即想到您的財務審計。 那些可能很可怕,但是呢? 符合 審計?
您是否準備好審查您的組織對合同和法規要求的遵守情況?
合規審計審查您的內部控制、安全策略、用戶訪問控制和風險管理。 您擁有的機會很高 一些 某種政策,但與(例如)《健康保險流通與責任法案》(HIPAA)相關的合規審計將驗證您的組織是否擁有 持續執行 政策和控制,而不僅僅是它們在書上。
合規審計的確切性質取決於類型,但通常包括證明對記錄的訪問是安全的,並且分析和報告環境中的數據僅限於必要的人員。
問題
提供良好且有效的依從性證明可能是一個巨大的痛苦。 出於演示目的,讓我們關註一個具體的例子。
每個生產環境都應該有一個 digital 紙跡。 它應該從構思開始,繼續通過測試和錯誤修復,找到解決方案,並在最終完成的產品獲得批准時結束。
最後一步——最終批准——是審計師最喜歡的選擇。 他們可能會問,“你能告訴我你是如何確認生產環境中的所有報告都符合你記錄的流程的嗎?”
然後,您必須提供一份清單 遷移報告。
為什麼這麼重要
向審計員提供必要和充分的信息可能會讓人望而生畏,尤其是當它是一個手動過程時——如果您還沒有為這個場合做計劃,更是如此。
重要的是不僅要建立和遵守您的政策,還要保持適當的機制來驗證和證明遵守您自己的標準。
最低限度,您需要準備好提供可審計的記錄,記錄誰訪問了什麼、對環境進行了哪些更改、人員製作的所有報告、誰製作了報告,以及生產環境中的每項資產如何適當地通過開發人員和 QA 手.
策略
為審計“做好準備”可以有多種不同的形式,其中一些需要付出更大的努力,並且比其他的更有可能讓你遠離麻煩。 以下是一些但不是全部的排名,按越來越好的選擇的順序排列。
混亂與混亂
親愛的,不幸的讀者,您很可能通過本文意識到您完全沒有準備好證明您沒有嚴重違反 HIPAA 以使審核員滿意。
如果是這種情況,則可能為時已晚,具體取決於您隨意的現狀已經統治了多長時間。 你可能會發現自己處於一個不幸的境地,你會爭先恐後地尋找任何可以找到的信息碎片。
這是一種久經考驗的真實方法,在整個時代都被證明會產生災難性的結果。
如果您打算抓住機會並採取這種策略,那就不要了。 你未來的自己會感謝你。
血汗流淚
傳統上,企業對通過毅力和勞動發生的一切都進行了細緻的記錄。 在他們系統的某個文件夾中,有手寫(或手工輸入)的電子表格和文檔,詳細說明了審核員可能需要知道的所有內容。
如果您想擺脫混亂和混亂策略,這可能是您開始的最佳選擇。 與其在審計員可怕的注視下等待爭先恐後地找到所有關鍵信息,不如在有時間的時候手動完成挖掘你擁有的所有內容並將其編譯成至少半可接受的記錄。
無論此策略是您的日常規範還是您計劃改掉壞習慣的方式,我們都建議您盡快開始以下計劃。
版本控制軟件
對業務的所有部分進行全面的版本控制,而不僅僅是預先打包的存儲庫,這使得整個過程基本上可以自行處理。 當用戶對任何東西進行更改時,它會自動默默記錄誰在進行更改,在什麼時間進行了哪些程序,整個九碼。
當審計人員來敲你的門並想知道發生了什麼時,你可以參考你的內部版本歷史。 您無需爭先恐後地尋找證據,也無需在電子表格記錄信息上浪費數小時——該軟件為您完成了這項工作。 你可以只關注最重要的地方。
版本控制軟件還有其他一些大好處; 即,能夠回滾到以前的版本。 這可能是一個巨大的生活質量功能,特別是對於沒有此功能的程序。
能夠全面而準確地回滾到精確版本還可以為您提供免受勒索軟件之類的安全保護,在這種情況下,擦除您的機器可能是重新開始運營業務的必要條件。 無需丟失所有記錄甚至項目本身,您可以簡單地查閱版本控制,選擇最新的選項,然後 bada 繁榮,您就可以重新開始工作了。
結論
審計不必成為籠罩在您業務上的可怕幽靈,等待粉碎您擁有的任何動力。 如果您採取適當的預防措施並獲得良好的版本控制軟件,那麼審核的壓力和記錄保存的艱難都會像雨中的眼淚一樣消失。
