До участия в аудите мнение о аудитах у меня формировалось главным образом из СМИ, и понятно, какое оно было:
1. Аудиты не отражают действительность (громкие дела Enron, ЮКОСа и пр)
2. Аудиты не отражают специфику работы организации (классический анекдот с вертолетом)
3. Аудиты ограничены чек-листами и поэтому неэффективны
Оказалось, все это не просто так и вместе с тем, возможны и "хорошие" аудиты:
1. Главный враг - время. Именно оно нужно, чтобы разобраться в бизнес-процессах, обработать документацию тщательнее и составить хорошие чек-листы или списки требований
2. Аудиторы могут делать наблюдения только на основе фактов, и не всегда им предоставляют достаточно информации что бы сделать наблюдения о реальном положении вещей в организации (см. риски аудита - audit risk, detection risk, control risk etc)
3. Аудиторская команда вынуждена проводить аудит в том составе который "продали" заказчику, и иногда в том составе не хватает экспертизы по тем или иным компонентам аудита (для аудита ИБ обычно нужно много разных компетенций - от сети до СУБД, при этом корпоративные СУБД - Oracle\MSSQL тоже весьма разные по архитектуре и настройкам безопасности..)
4. Чек-листы однозначно зло с точки зрения ограниченности аудита, но они дают возможность полагаться на результаты аудита через формализацию его проведения (сбора доказательств, т.н. audit evidences) и принципиальную повторимость аудита по этим же чек-листам для проверки результатов
Т.е. "хороший" аудит получается если мы можем "бороться" с этим всем (ну или "грамотно управлять рисками аудита"). Так что не стоит думать, что все аудиторы лентяи\халтурщики, иногда им просто не хватает ресурсов...
Хорошего дня!
1. Аудиты не отражают действительность (громкие дела Enron, ЮКОСа и пр)
2. Аудиты не отражают специфику работы организации (классический анекдот с вертолетом)
3. Аудиты ограничены чек-листами и поэтому неэффективны
Оказалось, все это не просто так и вместе с тем, возможны и "хорошие" аудиты:
1. Главный враг - время. Именно оно нужно, чтобы разобраться в бизнес-процессах, обработать документацию тщательнее и составить хорошие чек-листы или списки требований
2. Аудиторы могут делать наблюдения только на основе фактов, и не всегда им предоставляют достаточно информации что бы сделать наблюдения о реальном положении вещей в организации (см. риски аудита - audit risk, detection risk, control risk etc)
3. Аудиторская команда вынуждена проводить аудит в том составе который "продали" заказчику, и иногда в том составе не хватает экспертизы по тем или иным компонентам аудита (для аудита ИБ обычно нужно много разных компетенций - от сети до СУБД, при этом корпоративные СУБД - Oracle\MSSQL тоже весьма разные по архитектуре и настройкам безопасности..)
4. Чек-листы однозначно зло с точки зрения ограниченности аудита, но они дают возможность полагаться на результаты аудита через формализацию его проведения (сбора доказательств, т.н. audit evidences) и принципиальную повторимость аудита по этим же чек-листам для проверки результатов
Т.е. "хороший" аудит получается если мы можем "бороться" с этим всем (ну или "грамотно управлять рисками аудита"). Так что не стоит думать, что все аудиторы лентяи\халтурщики, иногда им просто не хватает ресурсов...
Хорошего дня!
Комментариев нет:
Отправить комментарий