Ở hầu hết công ty, quy trình chuẩn bị audit trông như thế này: 30 ngày trước ngày auditor đến, ai đó tạo một spreadsheet mới, liệt kê tất cả evidence cần có, gán tên vào từng hàng và lên lịch cuộc họp kick-off. Với nhiều người được gán tên trong spreadsheet đó, đây là lần đầu tiên trong năm họ nghĩ đến compliance.

Bốn tuần chạy đua

Những gì diễn ra sau đó là quen thuộc với bất kỳ ai đã từng ở trong một team GRC: bốn tuần thu thập, upload, định dạng lại file và giải thích cho nhiều bộ phận tại sao evidence họ gửi không đúng format yêu cầu. Đến những ngày cuối cùng trước khi auditor ngồi xuống, mọi người làm thêm giờ để đảm bảo không có gì bị sót.

Team làm việc rất chăm chỉ trong 30 ngày đó. Nhưng vấn đề không nằm ở mức độ nỗ lực.

Auditor đọc pattern, không chỉ đọc tài liệu

Auditor đánh giá 12 tháng access log với đầy đủ timestamp. Họ xem training record để biết nhân viên hoàn thành security awareness training vào ngày nào trong năm, không phải ngày file được upload. Họ kiểm tra access review log từ các quarterly review thực sự diễn ra mỗi quý.

Một hệ thống chỉ chạy trong 30 ngày trước audit tạo ra evidence có phân bố timestamp đáng ngờ. Sáu tháng policy được upload trong cùng một tuần kể một câu chuyện, dù mỗi tài liệu riêng lẻ đều chính xác về mặt nội dung. Auditor kinh nghiệm nhận ra pattern này và thường đặt thêm câu hỏi về những gì họ thấy.

ISO 27001 và SOC 2 không được thiết kế để "pass" một lần

ISO 27001 và SOC 2 phản ánh cách một tổ chức thực sự vận hành, không phải cách tổ chức đó mô tả mình vận hành trong tài liệu. Kiểm soát không chỉ cần tồn tại trên giấy, chúng cần được thực hiện nhất quán và có thể chứng minh qua thời gian.

Điều đó có nghĩa là access review phải xảy ra vào đúng quý được ghi trong policy, không phải được tái tạo lại trước audit. Training phải được hoàn thành khi nhân viên mới onboard, không phải khi danh sách thiếu được phát hiện ba tuần trước deadline. Vulnerability scan phải chạy theo lịch thực tế, không phải được giải thích lại từ log cũ.

Tại sao pattern này vẫn tiếp tục

Compliance theo kiểu sprint 30 ngày thường thành công trong ngắn hạn. Audit được pass, chứng chỉ được gia hạn, và không ai bị phạt vì cách evidence được thu thập. Điều này củng cố nhận thức rằng quy trình đang hoạt động.

Nhưng mỗi năm, chi phí chuẩn bị không giảm xuống. Spreadsheet được tạo lại từ đầu. Những người mới trong team không biết context từ audit trước. Evidence từ năm ngoái không giúp ích gì cho việc chuẩn bị năm nay vì không được lưu trữ theo cách có thể tái sử dụng.

Quan trọng hơn, hệ thống không cải thiện bảo mật thực tế. Control tồn tại để giảm rủi ro, nhưng nếu chúng chỉ được kiểm tra một lần mỗi năm, những lỗ hổng phát sinh trong 11 tháng còn lại không được phát hiện cho đến khi auditor hỏi.

Thiết kế để vận hành liên tục

Sự khác biệt giữa tổ chức chuẩn bị audit trong bốn tuần và tổ chức chuẩn bị trong bốn ngày không phải là quy mô team hay ngân sách. Đó là liệu evidence management có được xây dựng để chạy liên tục hay không. Khi deadline và ownership được gán từ đầu năm, khi evidence được thu thập theo thời gian thực và khi trạng thái luôn hiển thị, audit trở thành review thay vì sprint.


Quy trình compliance chỉ chạy trước audit không thất bại vì thiếu nỗ lực. Nó thất bại vì chưa bao giờ được thiết kế để vận hành liên tục. Nếu bạn đang tìm cách thay đổi điều đó, pTrackly được xây dựng cho đúng bài toán này.

Thẻ:
compliance operationsaudit readinessevidence timelinecontinuous compliance