Sebagian besar bisnis menutup pembukuan keuangan mereka pada bulan Desember namun tidak pernah menutup pembukuan teknologi mereka. Audit teknologi akhir tahun memberikan manfaat bagi sistem Anda seperti yang dilakukan akuntan terhadap uang tunai Anda: audit ini memaksa kita untuk melihat secara jujur ​​apa yang terjadi, apa yang masih terbuka, dan apa yang perlu diperbaiki sebelum hal ini terjadi di tahun depan. Dibutuhkan satu sore dan itu akan menyelamatkan Anda lebih dari satu sore dari rasa sakit di kuartal pertama.

Saya menjalankan latihan ini dengan klien setiap bulan Desember, dan polanya konsisten: tidak ada yang mencabut akses mantan karyawan yang keluar pada bulan Maret, tidak ada yang ingat apa yang sebenarnya dilakukan oleh separuh langganan berulang, dan setiap orang memiliki daftar sistem yang mereka keluhkan tetapi tidak pernah menjadwalkan waktu untuk memperbaikinya. Audit teknologi akhir tahun menunjukkan ketiganya, di atas kertas, di mana ketiganya bisa diprioritaskan, bukan hanya dikeluhkan.

Mulailah dengan akses, karena itulah risiko keamanan yang tersembunyi di depan mata

Penyebaran akses adalah temuan paling umum di setiap audit yang saya jalankan. Orang-orang pergi, peran berganti, kontraktor menyelesaikan proyek, dan hampir tidak ada orang yang kembali untuk mencabut apa yang tidak lagi diperlukan.

  • Tarik daftar lengkap pengguna aktif di setiap sistem: email, penyimpanan cloud, panel admin, perangkat lunak keuangan, repositori kode.
  • Referensi silang terhadap staf saat ini dan kontraktor aktif.
  • Cabut segala sesuatu yang terikat pada seseorang yang tidak lagi memiliki bisnis, tanpa pengecualian, tidak ada kalimat "kita akan menyelesaikannya".
  • Periksa login bersama, akun tunggal yang digunakan tiga orang karena tidak ada yang membuat akun individual. Ini adalah lubang hitam jejak audit dan tanggung jawab ketika terjadi kesalahan.

Ini saja layak dilakukan meskipun Anda melewatkan semua hal lain dalam daftar ini. Mantan karyawan yang masih memiliki akses terhadap sistem keuangan atau data pelanggan bukanlah risiko hipotetis, melainkan risiko nyata yang ada dalam daftar akun Anda saat ini.

Batalkan langganan yang tidak dapat dijelaskan oleh siapa pun

Penyebaran langganan perangkat lunak bertambah secara diam-diam. Sebuah alat dibeli untuk menyelesaikan masalah delapan belas bulan yang lalu, masalahnya diselesaikan dengan cara yang berbeda, dan langganan terus diperbarui karena pembatalan memerlukan seseorang untuk memperhatikan dan bertindak.

Tarik laporan kartu dan bank Anda untuk mengetahui biaya perangkat lunak berulang dan tanyakan, untuk masing-masingnya: siapa yang menggunakannya, dan apa ruginya jika kami membatalkannya? Jika tidak ada seorang pun di ruangan itu yang memiliki jawaban percaya diri, itulah jawaban Anda. Saya menemukan bisnis membayar tiga alat manajemen proyek yang tumpang tindih, dua di antaranya memiliki total satu pengguna aktif di antara keduanya.

Ini bukan tentang menghabiskan banyak uang, ini tentang mengetahui apa yang sebenarnya Anda jalankan. Sebuah bisnis yang tidak dapat membuat daftar tumpukan perangkat lunak aktifnya dari memori telah kehilangan jejak teknologinya sendiri.

Verifikasi bahwa cadangan benar-benar dipulihkan, bukan hanya dijalankan

Pekerjaan pencadangan terjadwal yang selesai tanpa kesalahan memberi tahu Anda bahwa pekerjaan telah dijalankan. Itu tidak memberi tahu Anda bahwa cadangan dapat digunakan. Akhir tahun adalah saat yang tepat untuk menjalankan tes pemulihan sebenarnya, bukan hanya memeriksa log pekerjaan.

Pilih cadangan dari beberapa bulan yang lalu, pulihkan ke lingkungan yang terisolasi, dan konfirmasikan data sudah lengkap dan aplikasi berjalan terhadapnya. Saya menulis panduan lengkapnya di [Backup dan Pemulihan Bencana: Penyelamat yang Tidak Seksi] (/blog/backups-disaster-recovery-guide), dan versi singkatnya adalah: cadangan yang tidak dipulihkan oleh siapa pun adalah sebuah harapan, bukan cadangan. Jangan biarkan hal ini ditemukan rusak pada kejadian sebenarnya.

Buat daftar sistem yang dikeluhkan semua orangSetiap bisnis memiliki setidaknya satu sistem yang diam-diam dibenci oleh staf, alat inventaris yang memerlukan tiga klik ekstra, spreadsheet pelaporan yang rusak setiap kali seseorang menambahkan baris, database pelanggan yang tiga salinannya disimpan oleh tiga departemen berbeda. Keluhan-keluhan ini jarang sampai ke meja pemilik sebagai permintaan resmi, keluhan-keluhan ini hanya dianggap sebagai "bagaimana keadaannya".

Tanyakan langsung kepada tim Anda secara tertulis: sistem apa yang membuang waktu Anda setiap minggunya? Kompilasi jawaban tanpa mengeditnya. Daftar ini biasanya lebih terbuka dibandingkan tinjauan sistem formal mana pun, karena daftar ini berasal dari orang-orang yang benar-benar melakukan klik.

Daftar periksa audit akhir tahun

Daerah Aksi Pemilik
Akses Cabut akses mantan karyawan dan kontraktor Pimpinan TI/admin
Akses Hilangkan login bersama Pimpinan TI/admin
Langganan Batalkan perangkat lunak yang tidak digunakan atau tumpang tindih Keuangan + operasi
Cadangan Jalankan tes pemulihan penuh Pimpinan teknis
Poin nyeri Kumpulkan keluhan staf secara tertulis Pemilik/manajer
Prioritas Pilih satu perbaikan terbesar untuk Q1 Pemilik

Pilih satu perbaikan untuk Q1, bukan lima

Godaan setelah audit seperti ini adalah mencoba memperbaiki semuanya sekaligus. Tolak itu. Beri peringkat temuan berdasarkan dampak bisnis dan pilih satu yang akan diselesaikan pada kuartal pertama, disiplin yang sama yang saya rekomendasikan di Tetapkan 3 Sasaran Teknologi untuk Tahun Baru (Bukan 10). Satu perbaikan yang dilaksanakan dengan baik akan mengalahkan lima inisiatif yang setengah selesai setiap saat, dan ini memberi Anda cerita sebelum dan sesudah yang jelas untuk ditunjukkan dalam upaya tersebut.

Kesimpulan praktis

Menutup pembukuan teknologi harus sama rutinnya dengan menutup pembukuan keuangan. Cabut akses yang tidak lagi Anda perlukan, batalkan langganan yang tidak dapat dibenarkan oleh siapa pun, verifikasi bahwa cadangan Anda benar-benar dipulihkan, dan catat sistem yang diam-diam membuat tim Anda frustrasi. Kemudian pilih satu perbaikan, yang memiliki dampak paling besar, dan masukkan ke dalam kalender untuk bulan Januari sebelum audit itu sendiri hanya menjadi dokumen lain yang tidak akan ditinjau lagi oleh siapa pun.