Для многих аудит, как и любая проверка, ассоциируется с жесткими аудиторами и горами дополнительной работы перед их приходом. А так же еще несколькими бессонными ночами непосредственно в процессе. Я не знаю, как проходят экономические аудиты, но думаю, что особых отличий нет. В данной статье за основу взят процесс проведения аудита на соответствие PCI DSS в России и странах СНГ. Хотя страна, впрочем, для международного стандарта, тоже не важна.
Каков же данный процесс изнутри и как его облегчить?
Все начинается даже не с подписания договора на аудит или пред аудит. Все начинается с решения компании (читай директора) о необходимости прохождения аудита. И тут есть два варианта развития событий: аудит необходимо пройти по требованию клиентов или платежных систем, что бывает – чаще, либо аудит инициируется и отстаивается перед директором компании начальником отдела информационной безопасности(ИБ) - реже. В первом случае аудит спускается как «Божья кара» на сотрудников ИТ и ИБ подразделений, так как дополнительной работы добавится, в должностных инструкциях ее может и не быть, а зарплата остается на прежнем уровне. Тут все зависит от коллектива, руководителя ИБ и конкретной компании. Если коллектив удастся мотивировать, чем – это уже вопрос менеджмента и к данной статье не относится, то результат, безусловно, будет. Результат будет, даже в том случае если персонал будет не мотивирован, но применяться будет уже иной метод – метод кнута.