Soy un desarrollador líder recientemente contratado (hace 2 meses) en una pequeña empresa de tecnología financiera (<50). Mañana es nuestra auditoría SOC 1. Un compañero de trabajo está liderando la interacción de nuestra empresa con los auditores; pero me contrataron para ayudar con los muchos aspectos técnicos de la auditoría SOC 1. El problema es que, después de revisar la agenda y las solicitudes, ha quedado muy claro que no estamos preparados para la auditoría. Tenemos poca o ninguna documentación, políticas o procedimientos. Y lo poco que tenemos nunca se cumplió en absoluto.
Descubrí que mis respuestas a muchas de las solicitudes son una de las siguientes:
Para mí, mis respuestas se sienten como una desviación y se siente como si la gerencia pudiera estar preparándome para el fracaso; pero sé que mis lecturas sociales pueden estar apagadas (soy un poco autista). Además, me han aconsejado que proporcione un giro positivo en mis respuestas mañana; pero, no sé cómo hacerlo dada la situación. ¿Cómo articulo mejor los 3 puntos anteriores con un giro 'positivo'?
Mañana, cuando lleguen los auditores, sé que se me pedirá que produzca la documentación técnica, las políticas, los procedimientos o que realice los procedimientos que describimos en el SOC1. ¿Cómo articulo mejor que el cumplimiento del SOC1 debería haber sido manejado por mi predecesor y/o compañeros de trabajo que han estado aquí durante el último año sin tirarlos debajo del autobús?
La auditoría salió mucho mejor de lo esperado. La documentación que no pudimos producir se producirá en su seguimiento el próximo trimestre. De lo contrario, mi compañero de trabajo se encargó de las partes más difíciles. Todo parecía reducirse a nuestro pequeño tamaño y la reciente adopción de SOC 1.
Como auditor de TI que está muy familiarizado con las auditorías SOC 1 / SOC 2, responderé desde la experiencia.
Mientras se somete a una auditoría SOC 1, su empresa, como organización de servicios, debe brindar servicios en los que sus clientes confían para obtener informes financieros precisos . Su alta gerencia debería haber preparado una declaración de afirmaciones sobre qué servicios está brindando su organización y cómo se brindan dichos servicios. En última instancia, la alta gerencia aprueba las afirmaciones para los auditores externos, no para usted , por lo que este hecho por sí solo puede calmar un poco su nerviosismo. Si los auditores notan alguna deficiencia, nuevamente es la alta gerencia quien tendrá que dar una respuesta de la gerencia.
Antes de explicar cómo trabajar mejor con un auditor, le diré lo que NO debe hacer.
No intentes engañar o parecer que tienes algo que ocultar.
Si no sabe cómo responder una pregunta, está perfectamente bien pedirle al auditor una aclaración o ejemplos de evidencia presentada en el pasado si están disponibles, como las de auditorías SOC 1 anteriores realizadas. Lo que no desea hacer es presentar deliberadamente información engañosa o completamente falsa con la esperanza de engañar al auditor. Con toda probabilidad, el auditor será más escéptico y buscará más a fondo la información solicitada. Sé que lo haría si la gerencia me hiciera esto.
No espere que los auditores acepten evidencia de entrevistas orales solamente
La evidencia recopilada de la investigación es menos persuasiva que la misma evidencia en forma escrita: sección 2.3.2 del enlace. Un buen auditor corroborará y debe corroborar cualquier evidencia recopilada a través de la investigación con otra evidencia recopilada mediante un método más persuasivo, como la inspección de la documentación.
No intente retrasar al auditor de seguridad o esperar que olvide la solicitud realizada.
Cuando realizo una auditoría de seguridad, siempre guardo papeles de trabajo meticulosos que indican los elementos cerrados y abiertos. Si cree que retrasar intencionalmente la entrega de lo que solicité resultará en que "olvidaré" la solicitud, la táctica no funcionará.
¿Cómo articulo mejor los 3 puntos anteriores con un giro 'positivo'?
Recomiendo tu segundo método. Acepte que no sabe la respuesta, pero remita al auditor a quien crea que podría ayudarlo mejor, como un líder de equipo sénior o su gerente.
Le advierto encarecidamente contra su tercer método. Puede delegar las responsabilidades a un proveedor, pero no puede delegar la responsabilidad por el desempeño. Es su gerencia quien es responsable en última instancia de la gestión de riesgos/proveedores de terceros. Si escuchara tal declaración, sería una fuerte señal de alerta para mí, ya que indica una responsabilidad deficiente de la alta gerencia a nivel de entidad (tono en la parte superior).
En cuanto a cómo responder a las preguntas de un auditor, las siguientes sugerencias deberían ser útiles:
No ofrezca información adicional
Responda directamente, y solo dé lo que se le pide . Si el auditor no siente que su respuesta es suficiente para la seguridad, él / ella hará un seguimiento, que en ese momento, puede elaborar sobre su respuesta anterior.
Si hay información atenuante que ayudaría a evitar o reducir la gravedad de los hallazgos, infórmele al auditor.
Por ejemplo, si el auditor descubre una deficiencia en el acceso al sistema, si dicho acceso requería otra condición previa para ser cierto, infórmeselo al auditor.
Informe a la gerencia con anticipación si anticipa que un área en particular tendrá hallazgos importantes
La gerencia debe apreciar el tiempo adicional para preparar la mejor defensa posible, o si el hallazgo es legítimo, remediar el problema encontrado antes de que el auditor emita el informe de auditoría.
Trate de trabajar con el auditor de seguridad en la medida de lo posible para reducir los hallazgos de auditoría/ opinión adversa a observaciones o una opinión calificada
Mientras que los hallazgos de auditoría generalmente indican que uno de los principios de SOC 1 no se cumple en su totalidad o que los controles diseñados no funcionan de manera efectiva, las observaciones de auditoría generalmente indican problemas de documentación con el desempeño de un control. El control puede estar en su lugar y funcionando correctamente, solo que la documentación de control para respaldar su desempeño no es óptima.
De manera similar, las opiniones calificadas indican que los controles no están adecuadamente diseñados o no funcionan de manera efectiva para un objetivo particular del SOC 1 o un elemento específico de la descripción de la gestión de los servicios prestados.
No sé la respuesta a eso. Permítame localizarlo y volver a contactarlo.
Esa es una buena respuesta para usar. Si no lo sabe, debe averiguarlo y hacérselo saber, ¿verdad? Y eso no arroja a nadie debajo del autobús. Tome notas de todas las preguntas que no pueda responder y luego busque las respuestas.
Eso también le permite preguntarle a alguien con más experiencia cómo responder cuando la respuesta parece que no cumple.
En algún momento, es posible que se cansen de escuchar la misma respuesta "No sé", pero señale que usted es nuevo y que simplemente tomará un poco más de tiempo hasta que conozca mejor los sistemas. Si puede obtener algunas respuestas con bastante rapidez, se darán cuenta de que este proceso está funcionando, a pesar de su inexperiencia.
gordito
Mindwin