Mọi người thường nghĩ phần khó nhất của audit là ngồi với auditor. Trên thực tế, auditor thường chỉ làm việc trực tiếp với team trong 2-3 ngày. Phần tốn thời gian thực sự là những tuần trước đó, và phần lớn công việc trong những tuần đó không cải thiện bảo mật thêm một chút nào.

Những gì thực sự xảy ra trước audit

Lấy một ví dụ cụ thể: đội HR vừa nhận được yêu cầu cung cấp onboarding checklist cho 12 nhân viên mới gia nhập trong năm ngoái. Không ai nhớ rõ ai xử lý hồ sơ nào, folder nào trên Google Drive chứa tài liệu cũ và định dạng checklist có thay đổi giữa chừng không. Mất một buổi sáng để tìm ra đủ 12 hồ sơ.

Đội IT nhận yêu cầu export patch management report theo định dạng auditor yêu cầu. Họ đã chạy báo cáo hàng tháng suốt cả năm, nhưng file CSV thô không khớp với cột mà auditor muốn thấy. Cần thêm một ngày để chuyển đổi và kiểm tra lại dữ liệu.

Legal có hợp đồng với tất cả vendor quan trọng, nhưng một số bản gốc nằm trong email, một số ở SharePoint, một số ở Google Drive của người phụ trách trước đã nghỉ việc. Tìm và tập hợp đủ bộ hợp đồng mất vài ngày.

Sau khi thu thập xong, ai đó phải sắp xếp tất cả vào một cấu trúc folder mà auditor có thể hiểu được. Đặt tên file thống nhất, nhóm theo control, kiểm tra xem có thiếu gì không.

Công việc logistics không phải công việc bảo mật

Không có bước nào trong số đó tạo ra thêm giá trị bảo mật. Control đã tồn tại. Evidence đã được tạo ra trong suốt năm. Công việc duy nhất là chuyển thông tin từ nơi nó đang nằm sang nơi auditor có thể nhìn thấy.

Khi phần lớn thời gian chuẩn bị audit là logistics như vậy, đó là dấu hiệu rõ ràng rằng evidence management chưa bao giờ thực sự vận hành giữa các kỳ audit. Team đã làm đúng việc trong suốt năm, nhưng vì không ai ghi lại và tổ chức theo cách có thể truy xuất, kết quả là bắt đầu lại từ đầu mỗi lần audit đến.

Nghịch lý của các tổ chức có chính sách tốt nhất

Những công ty dành nhiều thời gian nhất để thu thập trước audit thường không phải là những công ty thiếu kiểm soát. Họ thường là những nơi có chính sách được viết cẩn thận, quy trình được mô tả chi tiết trong văn bản và control thực sự được thực hiện. Vấn đề là không ai theo dõi liên tục, vì vậy ba tuần trước audit trở thành toàn bộ chương trình compliance.

Kiểm soát tồn tại. Evidence ở đâu đó trong hệ thống. Nhưng vì không được thu thập theo thời gian thực, team phải làm lại toàn bộ công việc tổng hợp mỗi năm một lần, trong khi áp lực deadline đang tăng dần.

Chi phí ẩn nằm ở chỗ khác

Khi team chuẩn bị audit theo cách này, họ thường hoàn thành audit thành công. Mọi người làm thêm giờ, chạy đua với deadline và cuối cùng vẫn có đủ bộ evidence trước khi auditor ngồi xuống. Điều đó tạo ra ảo giác rằng hệ thống đang hoạt động.

Nhưng chi phí thực nằm ở những thứ không được làm trong thời gian đó: review control effectiveness, cải thiện process, đào tạo team hiểu tại sao compliance tồn tại chứ không chỉ biết nộp tài liệu theo yêu cầu.


Khi chuẩn bị audit chủ yếu là logistics, đó là dấu hiệu evidence management chưa bao giờ vận hành liên tục giữa các kỳ.

Thẻ:
audit preparationevidence collectioncompliance operationsgrc team