Ich bin ein kürzlich eingestellter (vor 2 Monaten) leitender Entwickler bei einem kleinen (<50) Fintech-Unternehmen. Morgen ist unser SOC 1 Audit. Ein Mitarbeiter leitet die Interaktion unseres Unternehmens mit den Wirtschaftsprüfern; aber ich wurde hinzugezogen, um bei den vielen technischen Aspekten des SOC 1-Audits zu helfen. Das Problem ist, dass nach Durchsicht der Tagesordnung und Anfragen überaus deutlich geworden ist, dass wir auf die Prüfung grob unvorbereitet sind. Wir haben wenig bis gar keine Dokumentation, Richtlinien oder Verfahren. Und das Wenige, was wir haben, wurde überhaupt nicht eingehalten.
Ich habe festgestellt, dass meine Antworten auf viele der Anfragen eine der folgenden sind:
Für mich fühlen sich meine Reaktionen wie eine Ablenkung an und es fühlt sich an, als würde mich das Management auf einen Misserfolg vorbereiten; aber ich weiß, dass meine Social Reads möglicherweise falsch sind (ich bin leicht autistisch). Außerdem wurde mir geraten, morgen in meinen Antworten eine positive Wendung zu geben; aber ich weiß nicht, wie ich das in Anbetracht der Situation machen soll. Wie artikuliere ich die vorherigen 3 Punkte am besten mit einem "positiven" Spin?
Ich weiß, dass morgen, wenn die Auditoren kommen, ich gebeten werde, die technische Dokumentation, die Richtlinien und Verfahren vorzulegen oder die Verfahren durchzuführen, die wir in SOC1 skizziert haben. Wie artikuliere ich am besten, dass die Einhaltung der SOC1 von meinem Vorgänger und/oder Kollegen, die das letzte Jahr hier waren, hätte gehandhabt werden sollen, ohne sie unter den Bus zu werfen?
Das Audit verlief viel besser als erwartet. Die Dokumentation, die wir nicht produzieren konnten, wird in ihrem Follow-up im nächsten Quartal erstellt. Ansonsten hat mein Kollege die schwierigeren Teile gehandhabt. Alles schien auf unsere geringe Größe und die kürzliche Einführung von SOC 1 hinauszulaufen.
Als IT-Auditor, der sich mit SOC 1 / SOC 2-Audits bestens auskennt, antworte ich aus Erfahrung.
Da Sie sich einem SOC 1-Audit unterziehen, muss Ihr Unternehmen als Dienstleistungsorganisation Dienstleistungen erbringen, auf die sich Ihre Kunden für ihre genaue Finanzberichterstattung verlassen können . Ihre Geschäftsleitung sollte eine Erklärung mit Behauptungen darüber erstellt haben, welche Dienstleistungen Ihre Organisation erbringt und wie diese Dienstleistungen erbracht werden. Letztendlich unterschreibt die Geschäftsleitung die Aussagen für die externen Prüfer, nicht Sie selbst , sodass diese Tatsache allein Ihre Nervosität etwas beruhigen kann. Wenn von den Prüfern Mängel festgestellt werden, ist es wiederum die Geschäftsleitung, die eine Stellungnahme des Managements abgeben muss.
Bevor ich erkläre, wie man am besten mit einem Auditor arbeitet, werde ich Ihnen sagen, was Sie nicht tun sollten.
Versuchen Sie nicht zu täuschen oder so zu tun, als hätten Sie etwas zu verbergen
Wenn Sie nicht wissen, wie Sie eine Frage beantworten sollen, ist es vollkommen in Ordnung , den Auditor um Klärung oder um Beispiele für Nachweise aus der Vergangenheit zu bitten, sofern verfügbar, z. B. aus früheren durchgeführten SOC-1-Audits. Was Sie nicht tun möchten, ist, absichtlich irreführende oder völlig falsche Informationen zu präsentieren, in der Hoffnung, den Prüfer zu überlisten. Aller Wahrscheinlichkeit nach wird der Prüfer skeptischer sein und die angeforderten Informationen eingehender untersuchen. Ich weiß, ich würde es tun, wenn das Management mir das antun würde.
Erwarten Sie nicht, dass Prüfer nur Beweise aus mündlichen Interviews akzeptieren
Beweise aus der Untersuchung sind weniger überzeugend als die gleichen Beweise in schriftlicher Form – Abschnitt 2.3.2 von Link. Ein guter Prüfer wird und sollte alle Beweise, die durch eine Untersuchung gesammelt wurden, mit anderen Beweisen untermauern, die durch eine überzeugendere Methode, wie z. B. die Einsicht in die Dokumentation, gesammelt wurden.
Versuchen Sie nicht, den Sicherheitsprüfer zu verzögern oder zu erwarten, dass er die gestellte Anfrage vergessen wird
Wenn ich ein Sicherheitsaudit abschließe, führe ich immer akribische Arbeitspapiere, in denen geschlossene und offene Punkte aufgeführt sind. Wenn Sie glauben, dass die absichtliche Verzögerung der Bereitstellung meiner Anfrage dazu führen wird, dass ich die Anfrage „vergesse“, wird die Taktik nicht funktionieren.
Wie artikuliere ich die vorherigen 3 Punkte am besten mit einem "positiven" Spin?
Ich empfehle Ihre zweite Methode. Akzeptieren Sie, dass Sie die Antwort nicht kennen, aber verweisen Sie den Auditor an die Person, die Ihrer Meinung nach am besten helfen kann, z. B. einen leitenden Teamleiter oder Ihren Vorgesetzten.
Ich würde dringend vor Ihrer dritten Methode warnen. Sie können die Verantwortlichkeiten an einen Anbieter delegieren, aber Sie können keine Rechenschaftspflicht für die Leistung delegieren. Es ist Ihr Management, das letztendlich für das Drittanbieter-/Risikomanagement verantwortlich ist. Wenn ich eine solche Aussage hören würde, wäre dies für mich ein starkes Warnsignal, da sie auf eine schlechte Rechenschaftspflicht der Geschäftsleitung auf Unternehmensebene hinweist (Ton an der Spitze).
Zur Beantwortung von Fragen eines Auditors sollten die folgenden Vorschläge hilfreich sein:
Geben Sie keine zusätzlichen Informationen freiwillig
Antworten Sie direkt und geben Sie nur das, was gefragt wird . Wenn der Auditor der Meinung ist, dass Ihre Antwort nicht ausreicht, um sich zu vergewissern, wird er / sie nachhaken, was Sie an diesem Punkt auf Ihre vorherige Antwort eingehen können.
Wenn es mildernde Informationen gibt, die dazu beitragen würden, den Schweregrad von Feststellungen zu vermeiden oder zu verringern, teilen Sie dies dem Prüfer mit.
Wenn der Prüfer zum Beispiel einen Mangel beim Systemzugriff entdeckt, wenn für diesen Zugriff eine andere Voraussetzung erforderlich ist, um wahr zu sein, teilen Sie dem Prüfer dies mit.
Informieren Sie das Management frühzeitig, wenn Sie davon ausgehen, dass in einem bestimmten Bereich schwere Befunde vorliegen werden
Das Management sollte die zusätzliche Zeit für die Vorbereitung der bestmöglichen Verteidigung zu schätzen wissen oder, falls die Feststellung legitim ist, das festgestellte Problem beheben, bevor der Prüfbericht vom Prüfer ausgestellt wird.
Versuchen Sie, so weit wie möglich mit dem Sicherheitsprüfer zusammenzuarbeiten, um Prüfungsfeststellungen / negative Stellungnahmen auf Beobachtungen oder eine eingeschränkte Stellungnahme zu reduzieren
Während Prüfungsfeststellungen in der Regel darauf hindeuten, dass einer der SOC 1-Grundsätze nicht vollständig erfüllt wird oder die Kontrollen wie geplant nicht effektiv funktionieren, deuten Prüfungsfeststellungen in der Regel auf Dokumentationsprobleme bei der Durchführung einer Kontrolle hin. Die Kontrolle ist möglicherweise vorhanden und funktioniert ordnungsgemäß, nur dass die Kontrolldokumentation zur Unterstützung ihrer Leistung nicht optimal ist.
In ähnlicher Weise deuten eingeschränkte Meinungen darauf hin, dass Kontrollen für ein bestimmtes SOC 1-Ziel oder ein bestimmtes Element der Managementbeschreibung der erbrachten Dienstleistungen nicht angemessen konzipiert sind oder nicht wirksam funktionieren.
Ich weiß die Antwort darauf nicht. Lassen Sie mich es aufspüren und mich bei Ihnen melden.
Das ist eine gute Antwort. Wenn Sie es nicht wissen, müssen Sie es herausfinden und es ihnen mitteilen, oder? Und das wirft niemanden unter den Bus. Machen Sie sich Notizen zu allen Fragen, die Sie nicht beantworten können, und finden Sie dann die Antworten.
Auf diese Weise können Sie auch jemanden mit mehr Erfahrung fragen, wie Sie antworten sollen, wenn die Antwort erscheint, dass Sie nicht konform sind.
Irgendwann sind sie es vielleicht leid, immer wieder die gleiche „Ich weiß nicht“-Antwort zu hören, weisen aber darauf hin, dass Sie neu sind und es einfach etwas länger dauern wird, bis Sie die Systeme besser kennen. Wenn Sie in der Lage sind, ihnen ziemlich schnell einige Antworten zu geben, werden sie erkennen, dass dieser Prozess trotz Ihrer Unerfahrenheit funktioniert.
Fett
Mindwin