Прибежали тут недавно высокие начальники и потребовали срочно собрать материал для аудита. Мол нужны доказательства, что заявленные лимиты платформы (типа не больше тысячи продуктов на проект) внатуре энфорсятся, а не просто хуем на стене написаны.
Я, не будь дурак, препоручил задачу старшему инженеру и пошел на больничный пинать балду. Инженер поводил жалом, помозговал и довольно скоро приперся ко мне в личку.
Говорит, извиняй, шеф, но что именно делать — неясно. Лимиты-то, они положим, и энфорсятся, но что именно считать доказательством? Выписку из кода им сделать или мамой поклясться?
Эх, молодо-зелено.
Первое правило аудита — нет никакого “идеального” формата доказательства. Главный критерий правильности — попадание в ебанутость конкретного аудитора.
Вот помню, был случай. Работал я в шарашке, что пилила медицинский софт. Прохождение аудитов было краеугольным камнем всего бизнеса.
Процессы были заботливо задрочены под все многочисленные стандарты. На довольствии держали специальных людей, что фултайм ломали голову над тем, как подготовиться к очередному аудиту. Да и вообще половина рабочих разговоров там была про то, как бы не дать аудитору нас выебать.
И вот надвигается очередной судный день — к нам едет ревизор.
За несколько дней до аудита по конторе прошла легкая волна паники. Выяснилось, что привычный инквизитор, который лениво поебывал нас последние пару лет, ушел на пенсию. А к нам, стало быть, отправили нового, неизвестного. И чего ждать от этого фрукта никто не знает.
В день Х из офиса под предлогом мер против коронавируса выгнали практически всех. А то не дай бог какой-нибудь неосторожный инженер пизданет лишнего!
Оставили только директора по продукту и директора по регуляторике (начальника того самого отдела по борьбе с аудиторами). Ну, надели они свои самые парадные костюмы и стали ждать экзекуции.
Прибыл аудитор — молодой хлыщ в очках. На вид, вроде, ничего особенного. “Авось пронесет”, подумали директора. И поначалу все и правда шло неплохо. Аудитор предсказуемо поговнил про процесс разработки, доебался до правильности проведения клинических исследований, поковырял кривыми пальцами документацию…
Вроде надой говна был в пределах нормы.
Директора уже почти выдохнули, но тут случилось непредвиденное. Аудитор пошел в туалет.
Неизвестно, что он там увидел, но выскочил оттуда в смеси паники и бешенства.
— У вас негигенично!
Директора в ужасе рванулись в туалет. Однако ничего сверхестественного не нашли.
Паническая атака аудитора тем временем набирала обороты. Возможно дело было в том, что стоял разгар короны и все ебанулись. А может в том, что нормальный человек в аудиторы не пойдет.
Так или иначе, аудитор заголосил, что его здоровье подвергается опасности и рванулся к ближайшему кабинету. Проникнув в него, он закрылся изнутри. Вернувшиеся из туалета начальники уткнулись в запертую дверь.
Из своего укрытия аудитор стал плаксиво угрожать, что прямо сейчас провалит аудит, если биологическая угроза не будет ликвидирована.
Директора увещевали его, что все безопасно, напомнили что он вообще-то проводит аудит по бизнес-процессам, а не по пригодности помещений. До кучи сообщили, что предбанник с туалетом даже не относится к нашей фирме.
Но аудитор решил крепко держаться за жизнь и непреклонно отбивал все аргументы.
Делать было нечего, и пошли директора в своих парадных костюмах драить сортир. Отпидорасили его на всю свою начальственную зарплату. Заодно и офис помыли. И даже продезинфицировали на всякий случай.
Какими именно аргументами они в итоге выманили аудитора из убежища, история умалчивает. Однако, аудит провален не был и мы отделались списком замечаний разной степени серьезности. Не зря все-таки Chief Regulatory Officer такая высокооплачиваемая профессия.
Я же после этого уяснил себе две вещи:
Аудит это не про то, чтоб идеально подготовится к каким-то правилам (там один хрен огромная свобода интерпретации), а про отношения с аудитором.
Если судьбе будет угодно, чтоб ты драил сориры, то, поверь — как бы далеко в начальники ты не залез, она способ найдет.
P.S. всякое в таком духе пишу у себя на канале, если кому интересно
Так инфорсинг лимитов-то как в итоге доказали?! Или это уже совсем другая история?