前言

進行審計終極目標是可以向利益相關方(股東)保證組織在財務、法規及營運都運作正常，而非找麻煩、只關注文字格式等，與破切需要改善的問題無關。例如急診分類先集中資源把最需要的地方，達到最高效益

圖片來源: 急診五級檢傷分類標準 請把急診資源留給最需要的人

典型的審計流程(Typical Audit Process Phases)

根據 ISACA, Information Systems Auditing: Tools and Techniques: Creating Audit Programs
https://www.isaca.org/Knowledge-Center/Research/Documents/IS-auditing-creating-audit-programs_whp_eng_0316.PDF

Step-by-step guide to the Audit Process

圖片參考
https://www.cmpe.boun.edu.tr/~ozturan/etm555/dataaudit/html/steps/index.htm

審計的內容 總結一句話: 確保公司能賺錢、不會違反法規被罰
1.合法合規、符合行業標準
2.符合公司的治理標準及相關政策程序
3.符合A(可用性).I(完整性).C(機密性)
4.是否有達到公司目標

審計過程要求Auditor收集證據，評估內部的優勢和劣勢，適當提出做得好的部分(Good point)有助於激勵受稽核的對象，在審計報告(audit report)中提出有缺陷的地方(weaknesses)和客觀的補救建議(recommendations)。

適當提出被稽核方有得好的部分是非常重要的，再重複一次終極目標是確保組織有效營運，稽核與執行單位如果一直保持對立狀況，只會讓執行單位拼命做假資料。

稽核方提供建議規劃讓執行方能達到目標，這是一個很好訂定雙邊KPI的方向

• 抓大放小 讓其依成熟度慢慢改善有 (些稽核員會視情況逐漸提高要求，所以會有以前過關的項目之後被列為缺失或建議改善)

• 獎懲 讓實行者有動力繼續執行，以達到持續正向成長。

常常有情況是明天要稽核了，發現簿冊一堆沒簽名，大家開始輪流簽名，缺的資料隨便填資料。
類似造假的情況層出不窮。有時是步驟太多容易跳過，可以設置簡單的Control，例如需要按確認、鑰匙放櫃子打開會留紀錄，就算當下沒有完整填寫，事後也會因容易查出而補填。

利用Jenkins，再寫個Script，讓User登入去點執行，既可以做稽核紀錄、還可以做簡易防呆(只能選擇規定的清單)，曾利用這方式讓helpdesk人員也能依Ticket單協助開關VPN帳號。

《關鍵技術-使用 Jenkins》
http://book.tpml.edu.tw/webpac/bookDetail.do?id=591064