沒有人喜歡審計。即使在最好的結果中，審計也占用了本可于改善服務并增加收益的寶貴時間。但是，一個失敗的IT審計可能會比拒絕服務攻擊(denial of service attack)更快地毀掉你整整一周的時間。更糟糕的是，負面的IT審計就像你的管理能力的成績報告單——以及未來。

 

但事實可以不必如此。下一次內部或外部審計組織自己及仔細檢查你的IT基礎架構、策略和運營時，只要你做好準備，即可證明你的績效。

 

第一步是避免以下常見的IT審計錯誤。請注意這些警告，您應該能夠避免IT審計災難。

 

 

對IT審計結果的最佳防守是徹底了解你的技術環境。很少有人希望IT領導者親自了解每項資產，因此你必須依靠流程、技術和人才。

 

咨詢公司畢馬威(KPMG)的首席信息官咨詢經理Felix Acosta說：“我在加拿大看到的很多機構仍在奮力確認它們所有的技術資產。”他補充說：“在擁有老舊設備的機構中，比如室內仍有一個未標記的服務器，這尤其是一個挑戰。”

 

在很多公司，IT庫存信息的質量是更大的挑戰。

 

Acosta說：“我已經見過有機構將其關于技術資產的電子表格和筆記散落在不同地方的情況。然而，這些跟蹤過程通常是手動更新的。在審計是一種慣常做法之前，倉促更新這些跟蹤文件。”

 

Acosta解釋說：“如果你不知道你的技術資產是什么，你可能會遇到審計問題，畢竟如果你不了解你的資產，你如何執行控制并記錄該運營?市場上有各種軟件產品能就硬件和軟件的資產管理提供幫助。但是，這些系統可能不全面。例如，告訴審計師你不追蹤云資產并不能讓你處于有利的位置。

 

 

配置服務器、工具和其它技術資產以趕期限并滿足合規性要求是很困難的。如果你沒有自動化工具的幫助，那么你注定失敗。

 

在這點上，開源集成商Shadow-Soft的高級顧問John Ray推薦用審計和測試框架。

 

Ray說：“我用Chef Inspec為審計師創建了易于閱讀的報告。這需要一些定制才能取得成果，但已經有效果了。與其用電子表格和手動跟蹤來滿足合規性需求，不如使用Inspec等自動化工具更好。”

 

當罰款和增加的支出正在發生時，輕松跟蹤資產和環境的能力顯得尤為重要。對來自軟件供應商的審核，這是首席信息官的一個關鍵挑戰。

 

 

一些技術領導者在軟件供應商審計方面面臨更大的風險。當供應商進行審計時，無論你是否符合其許可，最好先做好準備。

 

此前曾在加拿大的全國零售商哈德遜灣公司(Hudson Bay Company)擔任首席信息官，現任加拿大首席信息官協會的首席信息官導師兼董事會成員Gary Davenport說：“根據我的經驗，軟件審計通常是最痛苦的做法。我看到軟件廠商改變了規則。這使了解變化并跟上這些變化變得很困難。”

 

在很多情況下，軟件供應商的審計直接轉化為更高的費用。以IBM對Passport Advantage的更改為例。正如The Register報告的那樣：“信息很明確：如果你在審計過程中無法正確地證明過度使用時，你需要支付整整兩年的維護費用——即許可成本的40%。”

 

軟件審計是高科技采取強硬態度的方式，在追求追加付款方面遠不止IBM。有專門的顧問和律師致力于幫助客戶面對來自甲骨文、微軟和其它大型軟件公司的供應商審計。

 

 

如果發生最壞的情況，你會發現自己面臨嚴重的審計失敗。在這些情況下，快速反應是最好的過程。

 

希爾頓的首席技術官Michael Leidinger說：“您可以期待審計師對你進行跟進，并詢問你可能做出的回應。”

 

如果管理者忽視了自己的責任，審計師就不會對他們發現的問題保持沉默。由于審計結果往往都會抄送給高管，所以緩慢的回應將被整個指揮系統注意到。

 

不要讓IT審計的失敗成為邁向漫長而艱辛的衰落的第一步。

 

 

將作為項目利益相關者的審計師納入其中是在以后的過程中避免痛苦問題的最佳方式之一。

 

Davenport說：“將IT審計師納入你的技術項目將使每個人的生活變得更輕松。如果審計師在你實現了一個主要系統之后到來，實施其建議將會更加困難。將審計納入重大項目節省了時間和金錢。這也是與審計組織建立積極工作關系的最佳方式之一。”

 

如果你的組織過去曾經與審計有事務聯系或臨時聯系，那并不是唯一的操作方式。與審計發展持續的關系將有助于你建立信任并盡量減少溝通困難。

 

 

沒有任何準備和指導; 審核對你的員工來說是一個令人不安的體驗。

 

Davenport說：“內部審計在幫助公司取得成功方面發揮了作用。我向員工解釋說他們有工作要做，我們需要支持他們進行這項工作。”

 

這種方法可以輔之以通過詢問有經驗的工作人員來指導較新的員工進行審計要求。這種非正式的支持方法并不總是足夠的。考慮與貴公司的審計職能建立持續的關系。

 

 

如果你的員工對于如何與審計師進行溝通感到不確定或恐懼，則審計不可能順利展開。向少數一些員工分配審計管理是改進的一種方式。

 

Leidinger說：“當我們準備好把希爾頓上市時，審計活動大幅增加。我們的很多技術人員不確定如何處理審計問題。”Leidinger補充說：“最終，我讓兩個有審計和技術經驗的人負責管理IT。他們為促進審計流程做出了巨大貢獻。”

 

 

很少有人在聽說他們的部門即將被審計時還高興得起來。誰想要外部專家檢查你的運營，歸檔和人員面試?將審計師視為對手只會導致進一步的問題。

 

Leidinger說：“我認為審計是另一個業務利益相關者。與審計師定期會晤是流程的關鍵部分，在很多情況下，審計師根據眾所周知的標準和最佳實踐對我們的流程進行評估。這種評估有助于驗證我們的流程。當我們將組織轉變為敏捷時，審計審查了我們的流程和方法。IT幫助我們取得了成功的轉型。“

 

讓你的員工達到這些期望將大大有助于實現成功的審計結果，只有當你把審計員視為合作伙伴，而不是對手時才能實現。畢竟，如果你的機構正在進行業務轉型，審計可以作為衡量績效以支持目標的客觀方式，如果審計師認為需要額外的資源來實現這些目標，它可能會產生更多的資源。

 

 

一旦公司達到一定規模，政策和程序就成為管理增長所必不可少的要素。但是，你的員工可能要努力遵守政策。

 

Leidinger說：“幾年前，我們公司大力推動策略的簡化。我們力求使我們的策略更容易理解并在數量上簡化，通過減少策略合規性的負擔，審計上取得成功變得更加容易。”

 

簡化機構的策略和程序并不是件容易的事情。這可能需要來自多個單位的專題專家，包括合規、會計、審計和人力資源。或者，你可以贊助技術領域特有的簡化策略。可參考Sam Carpenter的書《用系統來工作：更少工作、更多獲得的簡單機制(Work the System: The Simple Mechanics of Making More and Working Less)》，以獲得更多如何開發和定期調整業務流程和政策的額外的洞察。

 

 

大多數公司策略都有一個允許例外的流程。這些公司策略的偏離對審計師構成了挑戰。以軟件補丁為例。

 

Ray說：“最近一個客戶面臨一個關乎其軟件修補方法的審計問題。有歸檔流程，但卻沒有指定一些細節。這就成問題了，因為立即應用安全修補程序會破壞應用程序。審計師希望更深入地了解處理例外情況的流程。”

 

安全補丁的延遲實施增加了安全風險，因此把你延遲的理由都記錄下來是有價值的。

 

 

作為技術領導者，改善審計結果依賴于一些原則。首先，認識到審計師對整個組織帶來的價值。接下來，制定一個管理審計活動的內部流程，包括彌補差距和回答問題。最后，與審計組織建立持續的業務關系。正如希爾頓的Leidinger所說，“我將審計看作是另一個利益相關者，我們需要在我們的工作中解決。