Top 3 desafios de auditoria e como superá-los nódulos de artrite reumatóide nos dedos

Não importa o papel que você desempenha no processo de auditoria, a experiência pode ser dolorosa. Se você é um consultor externo, sua artrite em cães tem que trabalhar com clientes que têm orçamentos limitados e altas expectativas. E se você é um auditor interno de TI / segurança, talvez tenha que percorrer um mar de políticas internas para concluir seu trabalho e passar por auditorias internas.

Nesta postagem do blog, descrevo os três problemas de auditoria mais comuns que enfrentei nos últimos 15 anos e compartilho algumas dicas que me ajudaram a ter mais sucesso na realização de auditorias externas. Espero que eles o ajudem a superar desafios semelhantes que você está enfrentando em seu trabalho. 1. Falta de comunicação prejudica anéis ajustáveis ​​para dedos artríticos seu trabalho.

Se a organização que você está auditando não entende o escopo e a finalidade do seu programa de auditoria, corre o risco de criar um ambiente em que as pessoas que você está entrevistando se tornem menos prestativas e de boca fechada com suas respostas – até mesmo o ponto de ser hostil.

Aqui estão algumas maneiras de evitar essa armadilha e desenvolver uma relação de trabalho saudável e confiante:

Como auditor, você provavelmente está super confortável com todos os acrônimos e jargões que acompanham sua linha de trabalho, mas não presuma que seus clientes o são. Ao fazer suas perguntas de auditoria, lembre-se de mantê-las em termos simples sempre que possível. Você pode estar pedindo coisas extremamente técnicas de membros da equipe que não são extremamente técnicas de artrite reumatóide, medicina ayurvédica, himalaia. Se você perguntar alguma coisa e conseguir uma sala cheia de olhares vazios, tente explicá-la de uma maneira diferente ou usando um exemplo. Por exemplo, quando pergunto sobre as proteções de perímetro de rede de uma empresa, não menciono coisas como “IDS / IPS” e “AV de próxima geração”. Em vez disso, começo com algo como: “Fale um pouco sobre seu firewall – está apenas fazendo o bloqueio tradicional ou inclui uma tecnologia mais avançada que faz coisas extras, como a verificação de vírus ou o bloqueio de pessoas que visualizam o artrose do genoma em certos sites? ”

• Faça amizade com a equipe de TI e segurança. Em muitos dos meus trabalhos de auditoria, minhas conversas iniciais são com um executivo de negócios de nível C, mas a maior parte da avaliação real é feita com um membro da equipe de TI ou de segurança. Compreensivelmente, essas pessoas podem se sentir ameaçadas e ficar um pouco na defensiva quando precisam explicar a um estranho como a artrite reumatóide na rede tamil é arquitetada e protegida. As duas melhores maneiras que encontrei para aliviar a tensão são bondade e comida. Leve donuts para sua primeira reunião com o departamento de TI / segurança do cliente. À medida que as conversas começam, forneça algumas artrites em sintomas de clavícula, como: “Só para deixar claro, meu trabalho aqui não é criticar o trabalho que você está fazendo. Eu quero trabalhar em conjunto com você para identificar riscos e, em seguida, ajudá-lo a fazer um plano de remediação. E quero ouvir suas ideias sobre o que essa empresa precisa para proteger melhor seus funcionários e dados. Talvez você quisesse um SIEM e artrite nos pés e pés dos recursos de automação de segurança que vêm com ele há anos, mas ninguém vai ouvir. Parte do meu trabalho é apoiá-lo e fazer eco a esses tipos de solicitações ao gerenciamento. Por fim, quero tentar obter algumas das coisas que você quer. ”Quando a equipe perceber que você está do lado deles, suas perguntas serão respondidas com mais honestidade, as evidências de auditoria serão mais precisas, a qualidade da auditoria será maior. e todos receberão mais valor da avaliação.

Depois que uma auditoria começa, é fácil para as discussões saírem do assunto e, antes que você perceba, está gastando tempo falando sobre artrite reumatoide fatal e trabalhando em coisas que são artrite psoriática hereditária fora do escopo. É natural querer ajudar, mas depois de um tempo, você provavelmente descobrirá que todos esses períodos extras de tempo podem custar a você e à organização que você está auditando muito tempo e dinheiro.

Saiba que não há nada de errado em definir seu escopo e mantê-lo durante um compromisso. Como a maioria das organizações tem que cumprir um ou mais padrões regulamentares (a Lei Sarbanes-Oxley, PCI, HIPAA, GDPR, etc.), use-a para definir os controles internos da organização como sua bússola. Ajudará a orientar o seu trabalho e a manter todos na tarefa e no caminho certo.

Se o cliente insiste em flashes de artrite reumatóide em pedir sua opinião e tempo em itens fora do escopo, claramente eles valorizam seus conhecimentos. Explique que quaisquer perguntas fora do escopo inicial se qualificam para um novo projeto, o que custará tempo e dinheiro adicionais, especialmente se as taxas de auditoria forem faturadas por projeto. Faça com que esses tipos de solicitações sejam fáceis para os clientes, com um formulário de pedido de alteração à mão, para que eles possam aprovar os horários adicionais rapidamente os sintomas da espondiloartrite. Dessa forma, é uma vitória para todos. 3. As auditorias cheias de vergonha e culpa são humilhantes e improdutivas.

Acho que é fácil – e tentador – escrever sua avaliação de auditoria com um tom contundente ou acusatório, pensando que, se você preencher o relatório com resultados suficientemente severos, ficará motivado para começar a remediar o estudo de casos de artrite reumatóide. Em vez disso, o que geralmente acontece é que a equipe de TI / segurança (os responsáveis ​​que estão tentando melhorar as coisas) é repreendida por suas descobertas, o moral de sua equipe sofre, e todos sofrem com a fadiga de sua artrite de mil páginas. relatório nhs.

Em vez de se concentrar em reprimendas, concentre-se na correção. No final do dia, a maioria das empresas sabe que tem problemas e está procurando ajuda e orientação. Um item que incluo em minhas entregas, como resultado da auditoria, é um plano de ação de segurança que oferece orientação de remediação para cada risco identificado, junto com o tempo e os custos esperados. Dessa forma, os clientes podem acoplar o relatório de auditoria detalhado com o plano de ação de segurança e, essencialmente, ter um manual que possam seguir para realmente melhorar a organização! Isso é o que nós, como consultores e auditores, deixamos para os nossos clientes e organizações, e é por isso que entramos na profissão de auditoria, certo?