Что делать, если вы не готовы к аудиту SOC

Question

Что делать, если вы не готовы к аудиту SOC

Дэн Клементин

Задний план

Я недавно нанят (2 месяца назад) ведущий разработчик в небольшой (<50) финтех-компании. Завтра у нас аудит SOC 1. Сотрудник ведет взаимодействие нашей компании с аудиторами; но меня пригласили помочь со многими техническими аспектами аудита SOC 1. Проблема в том, что после изучения повестки дня и запросов стало предельно ясно, что мы совершенно не готовы к аудиту. У нас практически нет документации, политик или процедур. А то немногое, что у нас есть, никогда не соблюдалось.

Я обнаружил, что мои ответы на многие запросы являются одним из следующих:

Я не знаю (я здесь 2 месяца, все SOC было определено год назад).
Свяжитесь с [человеком] (который был здесь до меня).
Свяжитесь с [организацией], которой мы передали управление [вещью] на аутсорсинг.

Мои вопросы

Мне мои ответы кажутся отклонением, и мне кажется, что руководство готовит меня к провалу; но я знаю, что мои социальные чтения могут быть отключены (я немного аутист). Кроме того, мне посоветовали дать положительный ответ в своих ответах завтра; но я не знаю, как это сделать, учитывая ситуацию. Как мне лучше всего сформулировать предыдущие 3 пункта с «позитивной» точки зрения?

Завтра, когда придут аудиторы, я знаю, что меня попросят предоставить техническую документацию, политики, процедуры или выполнить процедуры, описанные в SOC1. Как мне лучше всего сформулировать, что соответствие SOC1 должно было быть обеспечено моим предшественником и/или коллегами, которые работали здесь в течение последнего года, не бросая их под автобус?

Дополнительные примечания

Я исхожу из того, что мой коллега добросовестно просит меня помочь с более техническими аспектами аудита SOC. Мой коллега тоже не готов, но, похоже, не так взволнован масштабами нашей неподготовленности, как я. Этот коллега попросил меня оказать техническую помощь другим проектам.
Меня никогда не обучали, не знакомили и не вводили в курс нашего соответствия SOC. Мне пришлось несколько раз спрашивать, где наше соответствие SOC, чтобы я мог просмотреть его, как только узнал, что наш аудит SOC приближается. (Это было ~ 1 неделю назад).
Полное раскрытие информации: я немного аутист. Мне трудно реагировать на новые социальные/профессиональные ситуации. Я замираю, пока соображаю, что делать/говорить/ответить. В отличие от этого, когда у меня есть опыт, я реагирую на ситуации быстро и стратегически. На предыдущих руководящих должностях это позволяло мне быстро брать на себя ответственность во время чрезвычайных ситуаций в области ИТ/программного обеспечения и эффективно управлять подчиненными.

Обновлять:

Аудит прошел намного лучше, чем ожидалось. Документация, которую мы не смогли подготовить, будет выпущена в следующем квартале. В противном случае мой коллега занимался более сложными частями. Казалось, все сводилось к нашему небольшому размеру и недавнему принятию SOC 1.

Ответы (2)

Что делать, если вы не готовы к аудиту SOC

Энтони · Answer 1

Как ИТ-аудитор, хорошо знакомый с аудитами SOC 1/SOC 2, я отвечу исходя из своего опыта.

Поскольку вы проходите аудит SOC 1, ваша компания как сервисная организация должна предоставлять услуги, на которые ваши клиенты полагаются в своей точной финансовой отчетности . Ваше высшее руководство должно было подготовить заявление о том, какие услуги предоставляет ваша организация и как такие услуги предоставляются. В конечном счете, высшее руководство подписывает утверждения для внешних аудиторов, а не для вас , так что один этот факт может несколько успокоить вашу нервозность. Если есть какие-либо недостатки, отмеченные аудиторами, опять же, высшее руководство должно будет предоставить ответ руководства.

Прежде чем я объясню, как лучше всего работать с одитором, я скажу вам, чего не следует делать.

Не пытайтесь обмануть или сделать вид, что вам есть что скрывать

Если вы не знаете, как ответить на вопрос, совершенно нормально обратиться к аудитору за разъяснениями или примерами доказательств, представленных в прошлом, если таковые имеются, например, из прошлых проведенных аудитов SOC 1. Чего вы не хотите делать, так это преднамеренно предоставлять вводящую в заблуждение или откровенно ложную информацию в надежде перехитрить аудитора. По всей вероятности, аудитор будет настроен более скептически и будет глубже исследовать запрашиваемую информацию. Я знаю, что сделал бы это, если бы руководство сделало это со мной.

Не ожидайте, что аудиторы примут доказательства только из устных интервью.

Доказательства, полученные в результате расследования, менее убедительны , чем те же доказательства в письменной форме — раздел 2.3.2 по ссылке. Хороший аудитор будет и должен подтверждать любые доказательства, собранные в ходе расследования, другими доказательствами, полученными с помощью более убедительного метода, такого как проверка документации.

Не пытайтесь задержать аудитора безопасности или ожидать, что он забудет сделанный запрос

Когда я завершаю аудит безопасности, я всегда веду дотошные рабочие документы с указанием закрытых и открытых пунктов. Если вы думаете, что намеренная задержка предоставления мне того, что я запросил, приведет к тому, что я «забуду» просьбу, эта тактика не сработает.

Как мне лучше всего сформулировать предыдущие 3 пункта с «позитивной» точки зрения?

Я рекомендую ваш второй метод. Примите, что вы не знаете ответа, но направьте аудитора к тому, кто, по вашему мнению, лучше всего сможет помочь, например, старшему руководителю группы или вашему менеджеру.

Я бы настоятельно предостерег от вашего третьего метода. Вы можете делегировать обязанности поставщику, но не можете делегировать ответственность за производительность. Именно ваше руководство несет полную ответственность за сторонние поставщики/управление рисками. Если бы я услышал такое заявление, это было бы для меня серьезным сигналом тревоги, поскольку оно указывает на плохую подотчетность высшего руководства на уровне организации (тон наверху).

Что касается того, как отвечать на вопросы аудитора, следующие рекомендации должны быть полезными:

Не сообщайте дополнительную информацию добровольно

Отвечайте прямо и давайте только то, что просят . Если аудитор не считает, что ваш ответ достаточен для уверенности, он/она дополнит его, и в этот момент вы сможете уточнить свой предыдущий ответ.

Если есть смягчающая информация, которая поможет избежать или уменьшить серьезность выводов, сообщите об этом аудитору.

Например, если аудитор обнаружит недостаточность доступа к системе, если для такого доступа требуется другое предварительное условие, сообщите об этом аудитору.

Сообщите руководству заблаговременно, если вы ожидаете, что в той или иной области будут серьезные выводы.

Руководство должно ценить дополнительное время для подготовки наилучшей возможной защиты или, если вывод является законным, для устранения обнаруженной проблемы до того, как аудитор выпустит аудиторское заключение.

Старайтесь работать с аудитором по безопасности, насколько это возможно, чтобы свести результаты аудита / отрицательное мнение к наблюдениям или мнению с оговорками.

В то время как результаты аудита обычно указывают на то, что один из принципов SOC 1 не соблюдается полностью или средства контроля в том виде, в каком они были разработаны, не работают эффективно, наблюдения аудита обычно указывают на проблемы с документацией при выполнении контроля. Контроль может быть на месте и работать должным образом, но документация по контролю, подтверждающая его эффективность, не является оптимальной.

Аналогичным образом мнения с оговорками указывают на то, что средства контроля не разработаны надлежащим образом или не работают эффективно для достижения одной конкретной цели SOC 1 или определенного элемента управленческого описания предоставляемых услуг.

Это должен быть лучший и самый точный ответ на всем сайте!
Не менее 80% из вышеперечисленного работает для любого вида аудита, не только SOC. +1

по четвергам · Answer 2

Я не знаю ответа на этот вопрос. Позвольте мне отследить его и вернуться к вам.

Это хороший ответ для использования. Если вы не знаете, вам нужно узнать и сообщить им, верно? И это никого не бросает под автобус. Запишите все вопросы, на которые вы не можете ответить, а затем найдите ответы.

Это также позволяет вам спросить кого-то с большим опытом, как ответить, когда появится ответ о том, что вы не соответствуете требованиям.

В какой-то момент им может надоесть слышать один и тот же ответ «Я не знаю», но укажите, что вы новичок, и просто это займет немного больше времени, пока вы не узнаете системы лучше. Если вы сможете довольно быстро дать им некоторые ответы, они поймут, что этот процесс работает, несмотря на вашу неопытность.

Что делать, если вы не готовы к аудиту SOC

Дэн Клементин

Задний план

Мои вопросы

Дополнительные примечания

Обновлять:

Ответы (2)

Энтони

Толстяк

Миндвин

по четвергам

Запрос изменения дресс-кода на усмотрение моего менеджера

Должен ли я поговорить напрямую с коллегой или обратиться непосредственно в отдел кадров в связи с неподобающим поведением?

Как взаимодействовать с командой, которая работает сверхурочно

Обмен мгновенными сообщениями: как вежливо переспросить проигнорированный вопрос

Я делаю большую часть работы моей команды. Как добиться более равномерного распределения работы? [закрыто]

Как мне справиться с иногда взрывоопасным коллегой и размытым распределением обязанностей?

Является ли документирование общения с моим начальником ожиданиями, целями и обещаниями неправильным?

Как справиться с закадычным помощником нового босса [закрыто]

Как наладить взаимодействие с потенциальным работодателем

Работа с недооценкой и отсутствием уважения