Algo engraçado sobre auditores: eles não são máquinas. Eles são pessoas – pessoas que são capazes de irritar cujas emoções podem colorir a forma de abordagem de seu trabalho. Portanto, faria sentido para uma organização fazer tudo ao seu alcance para manter auditores felizes desde que eles segurem o sucesso de compliance da sua organização em suas mãos?
Não estamos falando de subornos. Queremos dizer se engajar em comum cortesia profissional e num estado de prontidão que irá facilitar as coisas. A seguir, três caminhos que as organizações não conseguem seguir em uma base regular.
1. Deixar no ar
Ninguém consegue irritar um auditor como um profissional de TI que tenta usar o jargão como uma arma, diz Glenn Phillips, presidente do Forte Inc., empresa de auditoria que faz segurança de TI e avaliações de HIPAA.
Ninguém consegue irritar um auditor como um profissional de TI que tenta usar o jargão como uma arma, diz Glenn Phillips, presidente do Forte Inc., empresa de auditoria que faz segurança de TI e avaliações de HIPAA.
“Muitos funcionários de TI aprenderam que se eles usarem linguagens complicadas e técnicas a gerência pode deixá-los sozinhos. É também uma forma de mostrar como eles são espertos e sabem explicar os casos”, diz Phillips. “Uma boa equipe de auditoria vai entender a linguagem, mas a administração pode se confundir e não saber em quem acreditar”.
Não só as terminologias bobas e técnicas mostram que o auditor poderia perceber algo que a equipe está escondendo, mas também é simplesmente um insulto. Assumindo que os auditores não têm o encanto técnico para acompanhar o caso é uma maneira infalível para excluí-los.
“Minha maior neura com um auditor de TI é quando os administradores de rede, desenvolvedores ou qualquer outra posição são mais técnicos na tentativa de minar a natureza do meu conhecimento técnico. Porque o desenvolvedor assume que eu sou tecnicamente inepto, eles pensam que podem me dar uma resposta de baixo nível para confundir-me a acreditar que eles sabem o que estão falando”, diz Andrew Weidenhamer, auditor da SecureState. “Infelizmente para o desenvolvedor, eu costumava ser um testador de penetras e usava esses tipos de vulnerabilidades para entrar em organizações que, no final, simplesmente faz o desenvolvedor parecer ridículo”.
2. Fornecendo documentação pobre
Os trabalhos de auditoria são alimentados por informações escritas. Quando uma organização deixa de documentar suas atividades ou prestar qualquer tipo de prova escrita de suas reivindicações, é uma irritação garantida.
Os trabalhos de auditoria são alimentados por informações escritas. Quando uma organização deixa de documentar suas atividades ou prestar qualquer tipo de prova escrita de suas reivindicações, é uma irritação garantida.
“A falta de documentação é o maior problema. Quando se trata de auditores e quando vejo os seus relatórios, a maior neura que eles vão ter é que a empresa tinha todas as suas políticas, mas estão presas em algum lugar no departamento financeiro”, diz Bob Gaines, gerente de conformidade e segurança para All Covered. “A política não está escrita em lugar nenhum”.
Da mesma forma, os auditores não querem brigar com você a cada passo do caminho para obter as informações que necessitam. De acordo com Jim Hurley, diretor-gerente da Symantec, argumentar com os auditores sobre se realmente eles precisam da informação solicitada certamente irá irritá-los. “Esta bandeira vermelha diz que auditores podem ter algo escondido sob as pedras”, diz Hurley.
3. Mentir ou redirecionar
Se ele está mentindo, a falta de atitude realmente fica no papo de qualquer auditor. Como Weidenhamer observa, ele só atrasa a auditoria quando começa a cavar para obter informações corretas.
Se ele está mentindo, a falta de atitude realmente fica no papo de qualquer auditor. Como Weidenhamer observa, ele só atrasa a auditoria quando começa a cavar para obter informações corretas.
“O que a organização não entende é que qualquer bom auditor vai fazer o “impossível” para descobrir o que é necessário para a auditoria. Isto é verdade mesmo que signifique ter que falar com mais seis indivíduos ou recolher mais 35 peças de evidência”, diz ele.por Ericka Chickowski | InformationWeek EUA
Fonte: InformationWeek
Nenhum comentário:
Postar um comentário