7 типовых ошибок при работе с замечаниями аудита и как их избежать

Цель проведения аудитов в организациях – определить степень соответствия актива, выбранного в качестве области оценки, определенным нормативным требованиям – внешним или внутренним. Почти всегда результатом проверки является не только заполненный аудитором опросный лист, но и список замечаний, выявленных в ходе её проведения.

Замечания указывают на слабости в системе защиты информации, а в случае внешних проверок их наличие может привести к серьёзным штрафам со стороны регуляторов. Поэтому фиксация и обработка выявленных нарушений – один из ключевых этапов проведения аудита информационной безопасности.

Однако часто на практике работа с замечаниями не организована, каждый проверяющий фиксирует нарушения согласно собственным представлениям, что приводит к неэффективному использованию человеческих, временных и финансовых ресурсов. В этой статье мы кратко рассмотрим типовые ошибки в организации работы с замечаниями аудита, на что обратить внимание и как их избежать.

1) Нет единого перечня выявленных замечаний

Периодически мы наблюдаем такую практику, когда замечания фиксируются в качестве примечаний к проверяемым вопросам и обрабатываются в рамках опросного листа.

При таком подходе организация сталкивается с неудобствами при попытке построить статистику и сформировать сводку по замечаниям в различных разрезах. Кроме того, с увеличением числа проверок отслеживать историю заведенных замечаний будет всё сложнее.

Решение: замечания следует вести в отдельном реестре, наделить их определенными свойствами и связями. Это поможет вам разгрузить карточку пункта опросного листа и добавить дополнительные атрибуты к самому замечанию, которые позволят осуществлять более гибкий поиск и фильтрацию.

2) Подробное описание проблемы в названии замечания

При заведении замечания важно подробно описывать суть выявленной проблемы, чтобы как можно точнее сформулировать задачи по её устранению.

Однако, если описание является единственным атрибутом, по которому замечание можно найти в общем списке, навигация по нему может превратиться в сложную задачу. Сотрудникам придётся вчитываться в абзацы текста, чтобы найти нужную строку, или тратить время на составление более точных поисковых запросов.

Решение: выделите в карточке замечания два поля: «Наименование» и «Описание». В «Наименовании» можно фиксировать краткое описание нарушения, которое позволит быстро найти его в общем перечне. Все детали следует перенести в поле «Описание». Это упростит дальнейшую обработку и анализ замечаний.

3) В описании замечаний отсутствуют ссылки на пункты опросных листов и нормативных документов, в отношении которых они были выявлены

Вынесение замечаний в отдельный список упрощает их обработку, но только в том случае, если в них проставлены все необходимые связи и ссылки. Фиксация связи с пунктами нормативных документов важна для ведения истории замечаний, а также выявления типовых ошибок, которые встречаются при проверке различных активов.

Решение: связь с пунктами нормативных документов следует выделить в качестве отдельного атрибута замечания. Кроме того, некоторые организации используют собственные методики проверок, составленные на основе внешних приказов и федеральных законов. В этом случае следует отдельно фиксировать ссылку на пункт методики и на пункт внешнего нормативного документа.

4) В описании замечаний не указаны активы, в отношении которых они были выявлены

Подобная проблема нередко возникает, когда замечания ведутся только в рамках опросного листа, поскольку он уже связан с активом. Замечания смешиваются и, спустя время, сотрудники не могут вспомнить, к чему они относились. Другая форма этой проблемы – фиксация связи с активом только на нижнем уровне. Например, в поле «актив» указывается оборудование, но не система, в которую оно входит. Как следствие, при поиске замечания нужно будет дополнительно уточнять расположение узла в ИТ-структуре организации.

Решение: фиксация связи с активом непосредственно в карточке замечаний упростит формирование плана по их устранению, составление графиков и отчетов. Если при проведении проверок организация уделяет особое внимание иерархии активов, родительские элементы следует вынести в отдельный атрибут (пример: система, в которую входит проверяемое оборудование; подразделение, к которому относится проверяемая система).

5) Аудиторы самостоятельно формулируют замечания

Такая проблема распространена в организациях, у которых небольшой  опыт самостоятельного проведения проверок. При выявлении нарушения аудитор заполняет всю карточку вручную, используя наиболее подходящие, по его мнению, формулировки. Чем шире состав рабочей группы, участвующей в проверке, тем больше формулировок появляется. Это приводит к:

  • Усложнению анализа замечаний
  • Невозможности автоматизации ряда операций
  • Появлению дубликатов

Решение: по мере накопления опыта сформируйте список шаблонов – типовых замечаний. В шаблоне будет закреплена формулировка наименования и при необходимости ряд других атрибутов (например: критичность, тип и др.), а детальное описание аудитор будет заполнять вручную. В случае, если анализ результатов исторических проверок затруднён, можно составить примерный перечень, исходя из формулировки самого вопроса. Обязательно фиксируйте, к какому пункту относится шаблон. Также рекомендуется разделять типовые замечания и замечания, заведенные вручную, поскольку они требуют дополнительного анализа.

Использование типовых замечаний позволит собрать статистику по наиболее часто выявляемым нарушениям. Кроме того, они облегчают анализ, позволяя сотрудникам сосредоточиться на изучении причин и тенденций возникновения проблем, а не целесообразности созданной записи.

6) Список замечаний не анализируется после проведения проверки

Практика показывает, что перечень замечаний, полученный в ходе проверки, всегда требует дополнительной обработки. Не стоит забывать про человеческий фактор, ведь аудитор – это человек, который может устать, проявить невнимательность или поторопиться.

Важно, чтобы итоговый список был оценен с точки зрения:

  • Наличия дубликатов (если в проверке участвовало несколько человек)
  • Адекватности формулировок (если замечания заводились вручную)
  • Целесообразности устранения
  • Сортировки по критичности

В случаях, когда аудит не является внутренней самооценкой, обработанный перечень следует согласовать с проверяемой стороной.

Решение: как уже говорилось, ведите замечания в отдельном реестре. Продумайте карточку замечания: какие атрибуты лучше отразят результаты анализа, требуется ли их фиксировать? Найдите баланс между полнотой данных и удобством работы: не заставляйте сотрудников заполнять слишком много полей.

Для согласования перечня разработайте форму протокола аудита. При необходимости, включите в него не только замечания, но и запланированные мероприятия по обработке.

7) Процесс фиксации и обработки замечаний не автоматизирован

Обрабатывать замечания с помощью электронных таблиц легко и удобно, пока таблицы необъемны и в организации не накопилось достаточного количества исторических данных. Но по мере выстраивания процесса проведения аудита и перехода к более глубокому анализу замечаний, работа с реестром вручную будет отнимать больше времени у сотрудников, поскольку потребуется заполнять больше полей, проставлять взаимосвязи, использовать типовые формулировки.

Решение: автоматизируйте операции по обработке замечаний, тем самым высвобождая ресурсы сотрудников для проведения аналитики. Автоматическое проставление связей, выпадающий список типовых замечаний, настройка карточки замечания и контроль ее заполнения – все это позволяет работать с замечаниями быстрее. Если замечание правильно оформлено, содержит необходимые атрибуты и связи с нормативными документами, на его анализ потребуется меньше времени. Не случайно организации, которым требуется проводить аудиты на регулярной основе, используют специализированные решения класса SGRC.

Такие решения и платформа R-Vision SGRC, в частности, позволяют вести общий реестр замечаний и просматривать его в различных разрезах, просматривать историю замечаний как на уровне всей проверки, так и на уровне отдельных пунктов опросных листов, генерировать протоколы с информацией по выявленным замечаниям и рассылать их участникам проверки, отображать статистику замечаний с помощью конструктора графиков на дашбордах.

Поделиться записью: