суббота, 10 декабря 2011 г.

Мнение о аудите до и после участия

    До участия в аудите мнение о аудитах у меня формировалось главным образом из СМИ, и понятно, какое оно было:
1. Аудиты не отражают действительность (громкие дела Enron, ЮКОСа и пр)
2. Аудиты не отражают специфику работы организации (классический анекдот с вертолетом)
3. Аудиты ограничены чек-листами и поэтому неэффективны


    Оказалось, все это не просто так и вместе с тем, возможны и "хорошие" аудиты:
1. Главный враг - время. Именно оно нужно, чтобы разобраться в бизнес-процессах, обработать документацию тщательнее и составить хорошие чек-листы или списки требований
2. Аудиторы могут делать наблюдения только на основе фактов, и не всегда им предоставляют достаточно информации что бы сделать наблюдения о реальном положении вещей в организации (см. риски аудита - audit risk, detection risk, control risk etc)
3. Аудиторская команда вынуждена проводить аудит в том составе который "продали" заказчику, и иногда в том составе не хватает экспертизы по тем или иным компонентам аудита (для аудита ИБ обычно нужно много разных компетенций - от сети до СУБД, при этом корпоративные СУБД - Oracle\MSSQL тоже весьма разные по архитектуре и настройкам безопасности..)
4. Чек-листы однозначно зло с точки зрения ограниченности аудита, но они дают возможность полагаться на результаты аудита через формализацию его проведения (сбора доказательств, т.н. audit evidences) и принципиальную повторимость аудита по этим же чек-листам для проверки результатов

    Т.е. "хороший" аудит получается если мы можем "бороться" с этим всем (ну или "грамотно управлять рисками аудита"). Так что не стоит думать, что все аудиторы лентяи\халтурщики, иногда им просто не хватает ресурсов...

Хорошего дня!

Комментариев нет:

Отправить комментарий