没有人喜欢审计。即使在最好的结果中,审计也占用了本可于改善服务并增加收益的宝贵时间。但是,一个失败的IT审计可能会比拒绝服务攻击(denial of service attack)更快地毁掉你整整一周的时间。更糟糕的是,负面的IT审计就像你的管理能力的成绩报告单——以及未来。
但事实可以不必如此。下一次内部或外部审计组织自己及仔细检查你的IT基础架构、策略和运营时,只要你做好准备,即可证明你的绩效。
第一步是避免以下常见的IT审计错误。请注意这些警告,您应该能够避免IT审计灾难。
你对自己的技术资产的了解还不如审计师多
对IT审计结果的最佳防守是彻底了解你的技术环境。很少有人希望IT领导者亲自了解每项资产,因此你必须依靠流程、技术和人才。
咨询公司毕马威(KPMG)的首席信息官咨询经理Felix Acosta说:“我在加拿大看到的很多机构仍在奋力确认它们所有的技术资产。”他补充说:“在拥有老旧设备的机构中,比如室内仍有一个未标记的服务器,这尤其是一个挑战。”
在很多公司,IT库存信息的质量是更大的挑战。
Acosta说:“我已经见过有机构将其关于技术资产的电子表格和笔记散落在不同地方的情况。然而,这些跟踪过程通常是手动更新的。在审计是一种惯常做法之前,仓促更新这些跟踪文件。”
Acosta解释说:“如果你不知道你的技术资产是什么,你可能会遇到审计问题,毕竟如果你不了解你的资产,你如何执行控制并记录该运营?市场上有各种软件产品能就硬件和软件的资产管理提供帮助。但是,这些系统可能不全面。例如,告诉审计师你不追踪云资产并不能让你处于有利的位置。
你依靠手动过程来解决审计师请求
配置服务器、工具和其它技术资产以赶期限并满足合规性要求是很困难的。如果你没有自动化工具的帮助,那么你注定失败。
在这点上,开源集成商Shadow-Soft的高级顾问John Ray推荐用审计和测试框架。
Ray说:“我用Chef Inspec为审计师创建了易于阅读的报告。这需要一些定制才能取得成果,但已经有效果了。与其用电子表格和手动跟踪来满足合规性需求,不如使用Inspec等自动化工具更好。”
当罚款和增加的支出正在发生时,轻松跟踪资产和环境的能力显得尤为重要。对来自软件供应商的审核,这是首席信息官的一个关键挑战。
你没能力挑战软件供应商的审计
一些技术领导者在软件供应商审计方面面临更大的风险。当供应商进行审计时,无论你是否符合其许可,最好先做好准备。
此前曾在加拿大的全国零售商哈德逊湾公司(Hudson Bay Company)担任首席信息官,现任加拿大首席信息官协会的首席信息官导师兼董事会成员Gary Davenport说:“根据我的经验,软件审计通常是最痛苦的做法。我看到软件厂商改变了规则。这使了解变化并跟上这些变化变得很困难。”
在很多情况下,软件供应商的审计直接转化为更高的费用。以IBM对Passport Advantage的更改为例。正如The Register报告的那样:“信息很明确:如果你在审计过程中无法正确地证明过度使用时,你需要支付整整两年的维护费用——即许可成本的40%。”
软件审计是高科技采取强硬态度的方式,在追求追加付款方面远不止IBM。有专门的顾问和律师致力于帮助客户面对来自甲骨文、微软和其它大型软件公司的供应商审计。
你没有对审计发现采取迅速行动
如果发生最坏的情况,你会发现自己面临严重的审计失败。在这些情况下,快速反应是最好的过程。
希尔顿的首席技术官Michael Leidinger说:“您可以期待审计师对你进行跟进,并询问你可能做出的回应。”
如果管理者忽视了自己的责任,审计师就不会对他们发现的问题保持沉默。由于审计结果往往都会抄送给高管,所以缓慢的回应将被整个指挥系统注意到。
不要让IT审计的失败成为迈向漫长而艰辛的衰落的第一步。
您没有事先与你的审计师建立关系
将作为项目利益相关者的审计师纳入其中是在以后的过程中避免痛苦问题的最佳方式之一。
Davenport说:“将IT审计师纳入你的技术项目将使每个人的生活变得更轻松。如果审计师在你实现了一个主要系统之后到来,实施其建议将会更加困难。将审计纳入重大项目节省了时间和金钱。这也是与审计组织建立积极工作关系的最佳方式之一。”
如果你的组织过去曾经与审计有事务联系或临时联系,那并不是唯一的操作方式。与审计发展持续的关系将有助于你建立信任并尽量减少沟通困难。
你尚未为你的员工准备好审计上的成功
没有任何准备和指导; 审核对你的员工来说是一个令人不安的体验。
Davenport说:“内部审计在帮助公司取得成功方面发挥了作用。我向员工解释说他们有工作要做,我们需要支持他们进行这项工作。”
这种方法可以辅之以通过询问有经验的工作人员来指导较新的员工进行审计要求。这种非正式的支持方法并不总是足够的。考虑与贵公司的审计职能建立持续的关系。
你没有适当的审计参与流程
如果你的员工对于如何与审计师进行沟通感到不确定或恐惧,则审计不可能顺利展开。向少数一些员工分配审计管理是改进的一种方式。
Leidinger说:“当我们准备好把希尔顿上市时,审计活动大幅增加。我们的很多技术人员不确定如何处理审计问题。”Leidinger补充说:“最终,我让两个有审计和技术经验的人负责管理IT。他们为促进审计流程做出了巨大贡献。”
你像对待敌人一样对待审核员
很少有人在听说他们的部门即将被审计时还高兴得起来。谁想要外部专家检查你的运营,归档和人员面试?将审计师视为对手只会导致进一步的问题。
Leidinger说:“我认为审计是另一个业务利益相关者。与审计师定期会晤是流程的关键部分,在很多情况下,审计师根据众所周知的标准和最佳实践对我们的流程进行评估。这种评估有助于验证我们的流程。当我们将组织转变为敏捷时,审计审查了我们的流程和方法。IT帮助我们取得了成功的转型。“
让你的员工达到这些期望将大大有助于实现成功的审计结果,只有当你把审计员视为合作伙伴,而不是对手时才能实现。毕竟,如果你的机构正在进行业务转型,审计可以作为衡量绩效以支持目标的客观方式,如果审计师认为需要额外的资源来实现这些目标,它可能会产生更多的资源。
你使你的员工陷入复杂的政策和程序
一旦公司达到一定规模,政策和程序就成为管理增长所必不可少的要素。但是,你的员工可能要努力遵守政策。
Leidinger说:“几年前,我们公司大力推动策略的简化。我们力求使我们的策略更容易理解并在数量上简化,通过减少策略合规性的负担,审计上取得成功变得更加容易。”
简化机构的策略和程序并不是件容易的事情。这可能需要来自多个单位的专题专家,包括合规、会计、审计和人力资源。或者,你可以赞助技术领域特有的简化策略。可参考Sam Carpenter的书《用系统来工作:更少工作、更多获得的简单机制(Work the System: The Simple Mechanics of Making More and Working Less)》,以获得更多如何开发和定期调整业务流程和政策的额外的洞察。
你因为一千个例外而使自己处于死亡的危险
大多数公司策略都有一个允许例外的流程。这些公司策略的偏离对审计师构成了挑战。以软件补丁为例。
Ray说:“最近一个客户面临一个关乎其软件修补方法的审计问题。有归档流程,但却没有指定一些细节。这就成问题了,因为立即应用安全修补程序会破坏应用程序。审计师希望更深入地了解处理例外情况的流程。”
安全补丁的延迟实施增加了安全风险,因此把你延迟的理由都记录下来是有价值的。
结语
作为技术领导者,改善审计结果依赖于一些原则。首先,认识到审计师对整个组织带来的价值。接下来,制定一个管理审计活动的内部流程,包括弥补差距和回答问题。最后,与审计组织建立持续的业务关系。正如希尔顿的Leidinger所说,“我将审计看作是另一个利益相关者,我们需要在我们的工作中解决。