15 listopada 2016

5 typowych błędów w raportach z audytu


Bardzo często w ramach prac mam okazję oglądać różne raporty z przeprowadzonych audytów. Często zdarza się więc, że niekoniecznie jestem zachwycony tym co widzę. Nie chodzi tu w tym wypadku o merytorykę - tutaj niekiedy pokutuje kryterium najniższej ceny. W tym momencie mam na myśli samą czytelność dokumentu.
Przygotowanie raportu z audytu często jest traktowane jako najbardziej żmudna, wnosząca dyskusyjną wartość część audytu. W końcu wszystkie luki i tak zostały wykryte, w trakcie audytu powiedziano o tym co trzeba naprawić. Po co więc męczyć się z raportem - słyszałem (naprawdę) kilka razy. Na temat raportowania mam zupełnie inne zdanie. Otóż produktem pracy audytora, czyli czymś materialnym za co nam się płaci jest dokument - raport. Już z tego powodu warto się przyłożyć do prac, by klient mógł zobaczyć wysoką jakość usługi. I by z przyjemnością zaczął korzystać z wyników naszej pracy


Zawiła struktura raportu
Raport powinien być prosty w odbiorze. Wystarczy, że dotyka skomplikowanych zagadnień. Typowa struktura raportu zawiera podsumowanie dla kierownictwa podkreślające najważniejsze obszary ryzyka, zestawienie odbytych czynności audytowych oraz szczegółowe obserwacje wraz z rekomendacjami.
Widywałem jednak raporty, w których nie można doszukać się informacji, które z obserwacji niosą za sobą najpoważniejsze ryzyko. Widywałem raporty, które składały się z niejasnego dokumentu głównego, a obserwacje były rozsiane po kilku załącznikach bez jasnego połączenia z jedną całość. Widywałem rekomendacje, których nijak nie można było przypisać do obserwacji, bądź takie, gdzie rekomendacje wykorzystywały w znaki, które w jakiś zagmatwany sposób podobno łączyły się w obserwacjami….
Nie tędy droga. Klient powinien od razu otwierając raport dowiedzieć się gdzie nie jest dobrze. A gdy zainteresuje się szczegółami - będzie chciał wiedzieć na jakiej podstawie wyciągnięto wnioski, powinien być to w stanie zrobić samodzielnie i sprawnie.

Zbyt ogólne obserwacje
Obserwacja powinna być napisana w taki sposób by klient był w stanie dowiedzieć się w jakim obszarze wykryto luki. Powinien mieć możliwość samodzielnego zweryfikowania naszych słów. No i oczywiście powinna bazować na faktach, unikając naszych opinii oraz uogólnień. Z dobrze napisaną obserwacją nie powinno się dyskutować
Obserwacje typu "Organizacja nie zarządza zmianami w oprogramowaniu" można łatwo podważyć, a klient nie koniecznie będzie wiedział do czego "przyczepił" się audytor.

Ogólne bądź banalne rekomendacje
Rekomendacje są podstawową wartością płynącą z raportu audytowego. Klient płaci za to by się dowiedzieć jak można doskonalić organizację, nie tylko za samą identyfikację luk. Rekomendacje nie powinny wskazywać na konkretne mechanizmy np."Należy wdrożyć JIRA do wsparcia procesu zarządzania zmianami", nie powinny być ogólnymi banałami typu "Należy wdrożyć proces zarządzania zmianą", nie powinny również być przygotowywane w sposób wprost sugerujący sugerujące wdrożenie zaobserwowanego brakującego mechanizmu kontrolnego (Obserwacja "Nie ma kamer CCTV"; Rekomendacja: "Zakupić kamery CCTV"). Rekomendacje nie powinny być też zachowawcze "Sugerujemy ewentualne rozważenie potrzeby przemyślenia zasadności zlecenia analizy pozwalającej zidentyfikować …"
W rekomendacji należy skoncentrować się na wskazaniu czego brakuje w organizacji, ale tak by móc zachować niezależność podczas kolejnych audytów

Styl pisania
Raporty z audytów bezpieczeństwa, czy systemów zarządzania bezpieczeństwem informacji często dotykają technicznych kwestii. Ale de facto wskazują na ryzyka biznesowe. Czytane są więc przez osoby niekoniecznie bardzo biegłe w kwestiach technologicznych. Wskazywanie na "podatność w komponencie serwera JBoss" nie pozwoli zazwyczaj najwyższemu kierownictwu zorientować się czy problem jest poważny. Podobnie zresztą informacja, że aplikacja jest podatna na atak "Man-In-The-Middle" czy wręcz informacja, że można "zaatakować system wykorzystując SQL Injection". "Stety czy niestety" ale warto napisać raport tak by osoby techniczne wiedziały konkretnie gdzie jest problem, a kierownictwo biznesowe by było w stanie zorientować się z jakim wiąże się to ryzykiem i jaki powinien być priorytet prac.
Równocześnie warto pamiętać o tym, że raport powinien nadawać się do przeczytania. Zdania na 13 linijek, pełne literówek, błędów ortograficznych i interpunkcyjnych są na porządku dziennym. A zamawiający wcale nie interesuje się tym, że ekspert w zakresie bezpieczeństwa ma dysgrafię, dysortografię czy inną dysleksję.

"Brzydki" wygląd raportu
To jest oczywiście kwestia bardzo indywidualna, ale gdy w raporcie korzysta się z kilku egzotycznych czcionek, czasami pogrubionych, czasami zawierających całe długie akapity w kursywie, gdy ewentualne wykresy są krzywe i niejasne a tabele nie mają opisu co zawierają. To na ile profesjonalnie wygląda raport przekłada się (może niekiedy zbyt często) na to jaki jest jego odbiór.

Podstawą udanego raportu z audytu zdecydowanie powinna być zawarta w nim wartość merytoryczna. Ale potem trzeba jeszcze "umieć sprzedać" zawartą tam wiedzę by klient był zadowolony… I by ponownie do nas wrócił