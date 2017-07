NIemand vindt een audit leuk. Zelfs als je er met vlag en wimpel voor slaagt, neemt een audit waardevolle tijd in beslag die je beter had kunnen besteden aan het verbeteren van je dienstverlening en het verbeteren van de resultaten. Maar een IT-audit die slechte resultaten laat zien kan je week meer verpesten dan een DoS-aanval. Erger nog, een negatieve IT-audit kan voelen als een smet op je managementcapaciteiten - en op je carrièreperspectieven.

Maar dat hoeft niet altijd zo te zijn. De volgende keer dat een interne of externe auditgroep jouw IT-infrastructuur komt besnuffelen, en je policies en werkwijze onder de loep legt, kan dat prima uitpakken en zelfs bewijs leveren over jouw capaciteiten als manager - zolang je maar voorbereid bent.

En de eerste stap is het voorkomen van de volgende - te vaak voorkomende - fouten in IT-audits. Onthoud deze waarschuwingen en je bent in staat om een rampzalige audit te voorkomen.

Je weet minder van je tech-omgeving dan je auditor.

De beste verdediging tegen een negatieve IT-audit is het volkomen doorgronden van je technologie-omgeving. Maar weinig mensen verwachten dat een IT-leider persoonlijk elk onderdeel kent, dus je zal moeten vertrouwen op het proces, de technologie en de mensen.

"Veel organisaties die ik tegenkom hebben moeite om al hun technologie-assets te identificeren", zegt Felix Acosta, CIO-adviseur bij KPMG. "Binnen organisaties zie je vooral dat ze moeite hebben met hun oudere apparatuur, zoals een ongelabelde server die in een ruimte staat."

In veel bedrijven is de kwaliteit van de informatie over je IT-omgeving de grootste uitdaging.

"Ik heb gevallen gezien waarbij de organisatie verschillende spreadsheets en notities over hun tech-assets had op verschillende plekken. Maar dergelijke documentatie wordt in de regel handmatig bijgewerkt. Het komt vaak voor dat die documenten op het laatste moment vlak voor een audit nog haastig worden bijgewerkt", zegt Acosta.

"Als je niet weet wat jouw tech-assets zijn, zal je waarschijnlijk problemen krijgen met audits", voegt Acosta eraan toe. Immers, als je niet weet wat je assets zijn, hoe kan je dan zorgen voor goed beheer en dat documenteren? Er zijn diverse softwareproducten op de markt die helpen in de assetmanagement voor zowel software als hardware. Maar die zijn vaak niet volledig en alomvattend. En als je je auditor bijvoorbeeld moet vertellen dat je je cloudassets niet hebt bedocumenteerd, dan is dat geen pré.

Je vertrouwt op handmatige processen in het afhandelen van verzoeken van de auditor.

Het configureren van servers, tools en andere tech-assets onder tijdsdruk om te voldoen aan compliance-vereisten is moeilijk. En als je daarin geen automatiseringstools gebruikt, kan het nauwelijks goed gaan.

Hierin doet John Ray, een consultant bij Shadow-Soft, een open source integrator, de aanbeveling een auditing en testingframework te gebruiken.

"Ik heb altijd Chef Inspec gebruikt om auditors te voorzien van makkelijk te lezen rapporten. Het vergt wat customization om de gewenste resultaten eruit te krijgen, maar het werkt prima", zegt Ray. "Het is beter automatiseringstools als Inspec te gebruiken dan dat je spreadsheets gebruikt die je handmatig moet invullen."

De mogelijkheid om makkelijk assets te volgen en je omgeving in de gaten te houden is vooral belangrijk als er boetes of andere strafmaatregelen kunnen volgen. Dat is de belangrijkste uitdaging voor CIO's die te maken krijgen met audits van softwareleveranciers.

Je hebt geen capaciteit om audits aan te vechten van softwareleveranciers.

Sommige tech-leiders worstelen zwaar met audits van softwareleveranciers, waarin de belangen groter zijn. Als een leverancier binnenkomt om te controleren of je nog wel in compliance bent met hun licensering, dan kan je je maar beter opmaken voor een flinke strijd.

"Mijn ervaring leert dat software-audits vaak pijnlijke zaken zijn. Ik heb softwareleveranciers regels zien veranderen waarbij het moeilijk werd erachter te komen wat die veranderingen waren en je daaraan aan te passen", zegt Gary Davenport CIO-mentor en voormalig CIO in de retail-industrie.

Op de volgende pagina: Softwareleveranciers draaien je een poot uir.