IT審計就像令人不快的麻煩，但是巨大的價值總是降臨到那些關(guān)注這些會不可避免地導(dǎo)致IT審計災(zāi)難的常見錯誤的人。

[[197512]]

沒有人喜歡審計。即使在最好的結(jié)果中，審計也占用了本可于改善服務(wù)并增加收益的寶貴時間。但是，一個失敗的IT審計可能會比拒絕服務(wù)攻擊(denial of service attack)更快地毀掉你整整一周的時間。更糟糕的是，負面的IT審計就像你的管理能力的成績報告單——以及未來。

但事實可以不必如此。下一次內(nèi)部或外部審計組織自己及仔細檢查你的IT基礎(chǔ)架構(gòu)、策略和運營時，只要你做好準備，即可證明你的績效。

第一步是避免以下常見的IT審計錯誤。請注意這些警告，您應(yīng)該能夠避免IT審計災(zāi)難。

你對自己的技術(shù)資產(chǎn)的了解還不如審計師多

對IT審計結(jié)果的最佳防守是徹底了解你的技術(shù)環(huán)境。很少有人希望IT領(lǐng)導(dǎo)者親自了解每項資產(chǎn)，因此你必須依靠流程、技術(shù)和人才。

咨詢公司畢馬威(KPMG)的首席信息官咨詢經(jīng)理Felix Acosta說：“我在加拿大看到的很多機構(gòu)仍在奮力確認它們所有的技術(shù)資產(chǎn)。”他補充說：“在擁有老舊設(shè)備的機構(gòu)中，比如室內(nèi)仍有一個未標記的服務(wù)器，這尤其是一個挑戰(zhàn)。”

在很多公司，IT庫存信息的質(zhì)量是更大的挑戰(zhàn)。

Acosta說：“我已經(jīng)見過有機構(gòu)將其關(guān)于技術(shù)資產(chǎn)的電子表格和筆記散落在不同地方的情況。然而，這些跟蹤過程通常是手動更新的。在審計是一種慣常做法之前，倉促更新這些跟蹤文件。”

Acosta解釋說：“如果你不知道你的技術(shù)資產(chǎn)是什么，你可能會遇到審計問題，畢竟如果你不了解你的資產(chǎn)，你如何執(zhí)行控制并記錄該運營?市場上有各種軟件產(chǎn)品能就硬件和軟件的資產(chǎn)管理提供幫助。但是，這些系統(tǒng)可能不全面。例如，告訴審計師你不追蹤云資產(chǎn)并不能讓你處于有利的位置。

你依靠手動過程來解決審計師請求

配置服務(wù)器、工具和其它技術(shù)資產(chǎn)以趕期限并滿足合規(guī)性要求是很困難的。如果你沒有自動化工具的幫助，那么你注定失敗。

在這點上，開源集成商Shadow-Soft的高級顧問John Ray推薦用審計和測試框架。

Ray說：“我用Chef Inspec為審計師創(chuàng)建了易于閱讀的報告。這需要一些定制才能取得成果，但已經(jīng)有效果了。與其用電子表格和手動跟蹤來滿足合規(guī)性需求，不如使用Inspec等自動化工具更好。”

當罰款和增加的支出正在發(fā)生時，輕松跟蹤資產(chǎn)和環(huán)境的能力顯得尤為重要。對來自軟件供應(yīng)商的審核，這是首席信息官的一個關(guān)鍵挑戰(zhàn)。

你沒能力挑戰(zhàn)軟件供應(yīng)商的審計

一些技術(shù)領(lǐng)導(dǎo)者在軟件供應(yīng)商審計方面面臨更大的風險。當供應(yīng)商進行審計時，無論你是否符合其許可，最好先做好準備。

此前曾在加拿大的全國零售商哈德遜灣公司(Hudson Bay Company)擔任首席信息官，現(xiàn)任加拿大首席信息官協(xié)會的首席信息官導(dǎo)師兼董事會成員Gary Davenport說：“根據(jù)我的經(jīng)驗，軟件審計通常是最痛苦的做法。我看到軟件廠商改變了規(guī)則。這使了解變化并跟上這些變化變得很困難。”

在很多情況下，軟件供應(yīng)商的審計直接轉(zhuǎn)化為更高的費用。以IBM對Passport Advantage的更改為例。正如The Register報告的那樣：“信息很明確：如果你在審計過程中無法正確地證明過度使用時，你需要支付整整兩年的維護費用——即許可成本的40%。”

軟件審計是高科技采取強硬態(tài)度的方式，在追求追加付款方面遠不止IBM。有專門的顧問和律師致力于幫助客戶面對來自甲骨文、微軟和其它大型軟件公司的供應(yīng)商審計。

你沒有對審計發(fā)現(xiàn)采取迅速行動

如果發(fā)生最壞的情況，你會發(fā)現(xiàn)自己面臨嚴重的審計失敗。在這些情況下，快速反應(yīng)是最好的過程。

希爾頓的首席技術(shù)官Michael Leidinger說：“您可以期待審計師對你進行跟進，并詢問你可能做出的回應(yīng)。”

如果管理者忽視了自己的責任，審計師就不會對他們發(fā)現(xiàn)的問題保持沉默。由于審計結(jié)果往往都會抄送給高管，所以緩慢的回應(yīng)將被整個指揮系統(tǒng)注意到。

不要讓IT審計的失敗成為邁向漫長而艱辛的衰落的第一步。

您沒有事先與你的審計師建立關(guān)系

將作為項目利益相關(guān)者的審計師納入其中是在以后的過程中避免痛苦問題的最佳方式之一。

Davenport說：“將IT審計師納入你的技術(shù)項目將使每個人的生活變得更輕松。如果審計師在你實現(xiàn)了一個主要系統(tǒng)之后到來，實施其建議將會更加困難。將審計納入重大項目節(jié)省了時間和金錢。這也是與審計組織建立積極工作關(guān)系的最佳方式之一。”

如果你的組織過去曾經(jīng)與審計有事務(wù)聯(lián)系或臨時聯(lián)系，那并不是唯一的操作方式。與審計發(fā)展持續(xù)的關(guān)系將有助于你建立信任并盡量減少溝通困難。

你尚未為你的員工準備好審計上的成功

沒有任何準備和指導(dǎo); 審核對你的員工來說是一個令人不安的體驗。

Davenport說：“內(nèi)部審計在幫助公司取得成功方面發(fā)揮了作用。我向員工解釋說他們有工作要做，我們需要支持他們進行這項工作。”

這種方法可以輔之以通過詢問有經(jīng)驗的工作人員來指導(dǎo)較新的員工進行審計要求。這種非正式的支持方法并不總是足夠的。考慮與貴公司的審計職能建立持續(xù)的關(guān)系。

你沒有適當?shù)膶徲媴⑴c流程

如果你的員工對于如何與審計師進行溝通感到不確定或恐懼，則審計不可能順利展開。向少數(shù)一些員工分配審計管理是改進的一種方式。

Leidinger說：“當我們準備好把希爾頓上市時，審計活動大幅增加。我們的很多技術(shù)人員不確定如何處理審計問題。”Leidinger補充說：“最終，我讓兩個有審計和技術(shù)經(jīng)驗的人負責管理IT。他們?yōu)榇龠M審計流程做出了巨大貢獻。”

你像對待敵人一樣對待審核員

很少有人在聽說他們的部門即將被審計時還高興得起來。誰想要外部專家檢查你的運營，歸檔和人員面試?將審計師視為對手只會導(dǎo)致進一步的問題。

Leidinger說：“我認為審計是另一個業(yè)務(wù)利益相關(guān)者。與審計師定期會晤是流程的關(guān)鍵部分，在很多情況下，審計師根據(jù)眾所周知的標準和最佳實踐對我們的流程進行評估。這種評估有助于驗證我們的流程。當我們將組織轉(zhuǎn)變?yōu)槊艚輹r，審計審查了我們的流程和方法。IT幫助我們?nèi)〉昧顺晒Φ霓D(zhuǎn)型。“

讓你的員工達到這些期望將大大有助于實現(xiàn)成功的審計結(jié)果，只有當你把審計員視為合作伙伴，而不是對手時才能實現(xiàn)。畢竟，如果你的機構(gòu)正在進行業(yè)務(wù)轉(zhuǎn)型，審計可以作為衡量績效以支持目標的客觀方式，如果審計師認為需要額外的資源來實現(xiàn)這些目標，它可能會產(chǎn)生更多的資源。

你使你的員工陷入復(fù)雜的政策和程序

一旦公司達到一定規(guī)模，政策和程序就成為管理增長所必不可少的要素。但是，你的員工可能要努力遵守政策。

Leidinger說：“幾年前，我們公司大力推動策略的簡化。我們力求使我們的策略更容易理解并在數(shù)量上簡化，通過減少策略合規(guī)性的負擔，審計上取得成功變得更加容易。”

簡化機構(gòu)的策略和程序并不是件容易的事情。這可能需要來自多個單位的專題專家，包括合規(guī)、會計、審計和人力資源?；蛘?，你可以贊助技術(shù)領(lǐng)域特有的簡化策略。可參考Sam Carpenter的書《用系統(tǒng)來工作：更少工作、更多獲得的簡單機制(Work the System: The Simple Mechanics of Making More and Working Less)》，以獲得更多如何開發(fā)和定期調(diào)整業(yè)務(wù)流程和政策的額外的洞察。

你因為一千個例外而使自己處于死亡的危險

大多數(shù)公司策略都有一個允許例外的流程。這些公司策略的偏離對審計師構(gòu)成了挑戰(zhàn)。以軟件補丁為例。

Ray說：“最近一個客戶面臨一個關(guān)乎其軟件修補方法的審計問題。有歸檔流程，但卻沒有指定一些細節(jié)。這就成問題了，因為立即應(yīng)用安全修補程序會破壞應(yīng)用程序。審計師希望更深入地了解處理例外情況的流程。”

安全補丁的延遲實施增加了安全風險，因此把你延遲的理由都記錄下來是有價值的。

結(jié)語

作為技術(shù)領(lǐng)導(dǎo)者，改善審計結(jié)果依賴于一些原則。首先，認識到審計師對整個組織帶來的價值。接下來，制定一個管理審計活動的內(nèi)部流程，包括彌補差距和回答問題。最后，與審計組織建立持續(xù)的業(yè)務(wù)關(guān)系。正如希爾頓的Leidinger所說，“我將審計看作是另一個利益相關(guān)者，我們需要在我們的工作中解決。