Qué hacer cuando no está preparado para una auditoría SOC

Question

Qué hacer cuando no está preparado para una auditoría SOC

Trabajo
comunicación
política de la compañía
ambiente de trabajo

dan clementina

Antecedentes

Soy un desarrollador líder recientemente contratado (hace 2 meses) en una pequeña empresa de tecnología financiera (<50). Mañana es nuestra auditoría SOC 1. Un compañero de trabajo está liderando la interacción de nuestra empresa con los auditores; pero me contrataron para ayudar con los muchos aspectos técnicos de la auditoría SOC 1. El problema es que, después de revisar la agenda y las solicitudes, ha quedado muy claro que no estamos preparados para la auditoría. Tenemos poca o ninguna documentación, políticas o procedimientos. Y lo poco que tenemos nunca se cumplió en absoluto.

Descubrí que mis respuestas a muchas de las solicitudes son una de las siguientes:

No sé (llevo aquí 2 meses; todo el SOC se definió hace un año).
Consulte con [persona] (que estuvo aquí antes que yo).
Verifique con [entidad] a quien subcontratamos la administración de [cosa].

Mis preguntas

Para mí, mis respuestas se sienten como una desviación y se siente como si la gerencia pudiera estar preparándome para el fracaso; pero sé que mis lecturas sociales pueden estar apagadas (soy un poco autista). Además, me han aconsejado que proporcione un giro positivo en mis respuestas mañana; pero, no sé cómo hacerlo dada la situación. ¿Cómo articulo mejor los 3 puntos anteriores con un giro 'positivo'?

Mañana, cuando lleguen los auditores, sé que se me pedirá que produzca la documentación técnica, las políticas, los procedimientos o que realice los procedimientos que describimos en el SOC1. ¿Cómo articulo mejor que el cumplimiento del SOC1 debería haber sido manejado por mi predecesor y/o compañeros de trabajo que han estado aquí durante el último año sin tirarlos debajo del autobús?

Notas adicionales

Estoy suponiendo que mi compañero de trabajo me pide, de buena fe , que lo ayude con los aspectos más técnicos de la auditoría del SOC. Mi compañero de trabajo tampoco está preparado, pero no parece estar tan agitado como yo por la magnitud de nuestra falta de preparación. Este compañero de trabajo me ha pedido que brinde asistencia técnica a otros proyectos.
Nunca me capacitaron, me presentaron ni me incorporaron a nuestro cumplimiento de SOC. Tuve que preguntar varias veces dónde estaba nuestro cumplimiento de SOC para poder revisarlo una vez que supe que se acercaba nuestra auditoría de SOC. (Eso fue hace ~1 semana).
Divulgación completa: soy un poco autista. Responder a nuevas situaciones sociales/profesionales me resulta difícil. Me congelo mientras averiguo qué hacer/decir/responder. En contraste con esto, cuando tengo experiencia, respondo a las situaciones de manera rápida y estratégica. En roles de liderazgo anteriores, eso me ha permitido tomar posesión rápidamente durante emergencias de TI/software y, de lo contrario, administrar a los subordinados de manera efectiva.

Actualizar:

La auditoría salió mucho mejor de lo esperado. La documentación que no pudimos producir se producirá en su seguimiento el próximo trimestre. De lo contrario, mi compañero de trabajo se encargó de las partes más difíciles. Todo parecía reducirse a nuestro pequeño tamaño y la reciente adopción de SOC 1.

Respuestas (2)

Qué hacer cuando no está preparado para una auditoría SOC

Antonio · Answer 1

Como auditor de TI que está muy familiarizado con las auditorías SOC 1 / SOC 2, responderé desde la experiencia.

Mientras se somete a una auditoría SOC 1, su empresa, como organización de servicios, debe brindar servicios en los que sus clientes confían para obtener informes financieros precisos . Su alta gerencia debería haber preparado una declaración de afirmaciones sobre qué servicios está brindando su organización y cómo se brindan dichos servicios. En última instancia, la alta gerencia aprueba las afirmaciones para los auditores externos, no para usted , por lo que este hecho por sí solo puede calmar un poco su nerviosismo. Si los auditores notan alguna deficiencia, nuevamente es la alta gerencia quien tendrá que dar una respuesta de la gerencia.

Antes de explicar cómo trabajar mejor con un auditor, le diré lo que NO debe hacer.

No intentes engañar o parecer que tienes algo que ocultar.

Si no sabe cómo responder una pregunta, está perfectamente bien pedirle al auditor una aclaración o ejemplos de evidencia presentada en el pasado si están disponibles, como las de auditorías SOC 1 anteriores realizadas. Lo que no desea hacer es presentar deliberadamente información engañosa o completamente falsa con la esperanza de engañar al auditor. Con toda probabilidad, el auditor será más escéptico y buscará más a fondo la información solicitada. Sé que lo haría si la gerencia me hiciera esto.

No espere que los auditores acepten evidencia de entrevistas orales solamente

La evidencia recopilada de la investigación es menos persuasiva que la misma evidencia en forma escrita: sección 2.3.2 del enlace. Un buen auditor corroborará y debe corroborar cualquier evidencia recopilada a través de la investigación con otra evidencia recopilada mediante un método más persuasivo, como la inspección de la documentación.

No intente retrasar al auditor de seguridad o esperar que olvide la solicitud realizada.

Cuando realizo una auditoría de seguridad, siempre guardo papeles de trabajo meticulosos que indican los elementos cerrados y abiertos. Si cree que retrasar intencionalmente la entrega de lo que solicité resultará en que "olvidaré" la solicitud, la táctica no funcionará.

¿Cómo articulo mejor los 3 puntos anteriores con un giro 'positivo'?

Recomiendo tu segundo método. Acepte que no sabe la respuesta, pero remita al auditor a quien crea que podría ayudarlo mejor, como un líder de equipo sénior o su gerente.

Le advierto encarecidamente contra su tercer método. Puede delegar las responsabilidades a un proveedor, pero no puede delegar la responsabilidad por el desempeño. Es su gerencia quien es responsable en última instancia de la gestión de riesgos/proveedores de terceros. Si escuchara tal declaración, sería una fuerte señal de alerta para mí, ya que indica una responsabilidad deficiente de la alta gerencia a nivel de entidad (tono en la parte superior).

En cuanto a cómo responder a las preguntas de un auditor, las siguientes sugerencias deberían ser útiles:

No ofrezca información adicional

Responda directamente, y solo dé lo que se le pide . Si el auditor no siente que su respuesta es suficiente para la seguridad, él / ella hará un seguimiento, que en ese momento, puede elaborar sobre su respuesta anterior.

Si hay información atenuante que ayudaría a evitar o reducir la gravedad de los hallazgos, infórmele al auditor.

Por ejemplo, si el auditor descubre una deficiencia en el acceso al sistema, si dicho acceso requería otra condición previa para ser cierto, infórmeselo al auditor.

Informe a la gerencia con anticipación si anticipa que un área en particular tendrá hallazgos importantes

La gerencia debe apreciar el tiempo adicional para preparar la mejor defensa posible, o si el hallazgo es legítimo, remediar el problema encontrado antes de que el auditor emita el informe de auditoría.

Trate de trabajar con el auditor de seguridad en la medida de lo posible para reducir los hallazgos de auditoría/ opinión adversa a observaciones o una opinión calificada

Mientras que los hallazgos de auditoría generalmente indican que uno de los principios de SOC 1 no se cumple en su totalidad o que los controles diseñados no funcionan de manera efectiva, las observaciones de auditoría generalmente indican problemas de documentación con el desempeño de un control. El control puede estar en su lugar y funcionando correctamente, solo que la documentación de control para respaldar su desempeño no es óptima.

De manera similar, las opiniones calificadas indican que los controles no están adecuadamente diseñados o no funcionan de manera efectiva para un objetivo particular del SOC 1 o un elemento específico de la descripción de la gestión de los servicios prestados.

¡Esa tendría que ser la mejor y más precisa respuesta en todo el sitio!
Al menos el 80% de los trabajos anteriores para cualquier tipo de auditoría, no solo SOC. +1

jueves · Answer 2

No sé la respuesta a eso. Permítame localizarlo y volver a contactarlo.

Esa es una buena respuesta para usar. Si no lo sabe, debe averiguarlo y hacérselo saber, ¿verdad? Y eso no arroja a nadie debajo del autobús. Tome notas de todas las preguntas que no pueda responder y luego busque las respuestas.

Eso también le permite preguntarle a alguien con más experiencia cómo responder cuando la respuesta parece que no cumple.

En algún momento, es posible que se cansen de escuchar la misma respuesta "No sé", pero señale que usted es nuevo y que simplemente tomará un poco más de tiempo hasta que conozca mejor los sistemas. Si puede obtener algunas respuestas con bastante rapidez, se darán cuenta de que este proceso está funcionando, a pesar de su inexperiencia.

Qué hacer cuando no está preparado para una auditoría SOC

dan clementina

Antecedentes

Mis preguntas

Notas adicionales

Actualizar:

Respuestas (2)

Antonio

gordito

Mindwin

jueves

Solicitar un cambio de código de vestimenta que queda a discreción de mi gerente

¿Debo hablar directamente con un colega o ir directamente a Recursos Humanos por comportamiento inapropiado?

Cómo interactuar con un equipo que está trabajando horas extras

Mensajería instantánea: cómo volver a hacer educadamente una pregunta ignorada

Hago la mayor parte del trabajo de mi equipo. ¿Cómo distribuir el trabajo de manera más uniforme? [cerrado]

¿Cómo me dirijo al compañero de trabajo a veces explosivo y las líneas borrosas de responsabilidades?

¿Está mal documentar la comunicación con mi jefe sobre expectativas, objetivos y promesas?

Cómo lidiar con el poderoso compañero del nuevo jefe [cerrado]

Cómo navegar las interacciones con un posible empleador

Lidiar con el aprecio y la falta de respeto