進行審計終極目標是可以向利益
相關方(股東)保證組織在財務、法規及營運都運作正常,而非找麻煩、只關注文字格式等,與破切需要改善的問題無關。例如急診分類先集中資源把最需要的地方,達到最高效益
圖片來源: 急診五級檢傷分類標準 請把急診資源留給最需要的人
根據 ISACA, Information Systems Auditing: Tools and Techniques: Creating Audit Programs
https://www.isaca.org/Knowledge-Center/Research/Documents/IS-auditing-creating-audit-programs_whp_eng_0316.PDF
Step-by-step guide to the Audit Process
圖片參考
https://www.cmpe.boun.edu.tr/~ozturan/etm555/dataaudit/html/steps/index.htm
審計的內容 總結一句話: 確保公司能賺錢、不會違反法規被罰
1.合法合規、符合行業標準
2.符合公司的治理標準及相關政策程序
3.符合A(可用性).I(完整性).C(機密性)
4.是否有達到公司目標
審計過程要求Auditor收集證據,評估內部的優勢和劣勢,適當提出做得好的部分(Good point)
有助於激勵受稽核的對象,在審計報告(audit report)中提出有缺陷的地方(weaknesses)和客觀的補救建議(recommendations)。
適當提出被稽核方有得好的部分是非常重要的,再重複一次終極目標是確保組織有效營運,稽核與執行單位如果一直保持對立狀況,只會讓執行單位拼命做假資料。
稽核方提供建議規劃讓執行方能達到目標,這是一個很好訂定雙邊KPI的方向
抓大放小 讓其依成熟度慢慢改善有 (些稽核員會視情況逐漸提高要求,所以會有以前過關的項目之後被列為缺失或建議改善)
獎懲 讓實行者有動力繼續執行,以達到持續正向成長。
常常有情況是明天要稽核了,發現簿冊一堆沒簽名,大家開始輪流簽名,缺的資料隨便填資料。
類似造假的情況層出不窮。有時是步驟太多容易跳過,可以設置簡單的Control,例如需要按確認、鑰匙放櫃子打開會留紀錄,就算當下沒有完整填寫,事後也會因容易查出而補填。
利用Jenkins,再寫個Script,讓User登入去點執行,既可以做稽核紀錄、還可以做簡易防呆(只能選擇規定的清單),曾利用這方式讓helpdesk人員也能依Ticket單協助開關VPN帳號。
《關鍵技術-使用 Jenkins》
http://book.tpml.edu.tw/webpac/bookDetail.do?id=591064