iT邦幫忙

2021 iThome 鐵人賽

DAY 6
3
IT管理

稽核師的挑戰系列 第 6

[Day06]沒有稽核經驗咋怎

在實習稽核階段,如果沒有導入經驗或是稽核經驗的時候,往往會非常吃虧。

(1) 無法從受稽方導入資訊管理系統的角度出發去進行稽核時,驗證的項目只能驗證到文件流程。
(2) 收到受稽方的控制措施時,無法從根因去分析資安風險
(3) 受稽方需要提供更多說明以讓稽核人員了解根因
(4) 稽核的標準可能因為稽核人員的品質而無法確實驗證
(5) 計畫永遠趕不上變化,在稽核時沒有足夠的經驗,可能無法及時做出良好的應對。

所以會建議如果真的要走上稽核大師這條路,真的要有稽核經驗會比較得心應手。
畢竟不是所有人只要受訓完就成成為稽核員,參加完教育訓練、通過考試、取得認證只是驗證你對稽核及標準的熟悉度,但真的實地稽核還是會因為受稽方會有百百種的突發狀況,所以基本的專業知識、稽核水平、標準解讀一定要有才能滿足稽核工作的要求,所以如果有相關稽核經驗來挑戰稽核職能是真的會比較輕鬆。

但是,如果,真的沒有呢?
因為沒有的話,正式稽核會被客戶慘電欸?!
或是一旦客戶知道稽核老師很資淺之後,對於稽核活動的節奏可能就會被客戶帶偏大大影響稽核行程,
或是因為認為就會以敷衍了事或是虎虎過去,但受限於經驗不足可能無法說服客戶…
所以這裡提供幾個方式就參考看看囉~

行前準備

https://ithelp.ithome.com.tw/upload/images/20210921/20103647tS9lkKbHxO.png!

(1) 精確提問

菜雞稽核師可能就需要在有限的時間內把握每次實習稽核的機會提問。
當然不能盲目發問,建議是將當下的稽核的情境自行做模擬問答。
可以觀察前輩怎麼提問? 為什麼他要怎麼問? 這麼問可以了解什麼? 對應到哪個標準? 還有跟哪些項目有連動?

(2) 系統化筆記

由於未來稽核場次很多,突發狀況或是情境也會很多,但未來就可能沒有觀察員或前輩時時陪著稽核,所以將筆記系統化是一件很重要的事情;除了可以提升稽核提問的品質,也可以避免相同的錯誤不要再犯第二次。

(3) 角色扮演

請你有稽核經驗的前輩或是朋友扮演客戶,準備好你的檢查表及稽核軌跡,在正式上場之後做過模擬演練。
稽核活動是不允許錄音的,但是我們可以在模擬演練的時候錄音,把自己在稽核演練的提問、稽核用語及應對記錄下來,重覆去糾正;而且如果有做模擬演練的時候,正式上場也不會那麼緊張。

(4) 逐字稿

如果真的沒有把握,就先準備明天稽核活動攻防演練的準備逐字稿也是一種穩健的方式。

(5) 善用時間發問

如果有無法控制或是無法回答的狀況,請即時記錄下來,待稍候休息時間時快詢問觀察員或是稽核前輩。

(6) 堅守稽核原則

以穩定的表現來進行,後續的稽核活動,就以客觀開放虛心情教來慢慢成長吧!

實地稽核

https://ithelp.ithome.com.tw/upload/images/20210921/20103647KNNJooPmN6.png

(1) 經驗熟練

在實地稽核只能靠自己的經驗及熟練,畢竟實際執行稽核還是以獨立自主完成工作為主。
或許有幸有觀察員可以協助,但別忘記之前提到觀察員是不能提出建議或是意見的,所以只能靠自己完成稽核工作。
但是由於每個稽核都會有自己的節奏,所以如果發現非預期的狀況,可以馬上中斷稽核,乘機詢問觀察員或是資深前輩
有些好心前輩會願意提供即時的線上服務,像說偷偷用通訊軟體提醒重點,或是休息時間討論,記得筆記要做好,然後再稍候的場次再進一步去做確認。

(2) 常見突發狀況

這個最常遇到需要臨時中止的狀況就是受稽方當天改稽核範圍通常會在稽核計畫前跟客戶確認啦,要知道稽核範圍可大可小,如果超出太多可能會需要重新評估範圍及人天,像說臨時加入新增業務新蓋廠房,再來就是重大政策變更或是新增驗證標準,受稽方想一併驗證個資等等,這個都是需要臨時中止去確認是否需要擇期再進行的狀況。

(3) 不要怕請教

在前期對於架構或系統不熟悉的時候,雖然可能會被受稽方覺得:「啊你怎麼連這個都不懂還出來稽核?」
不過我們的任務是依據標準去驗證受稽方是否實作已滿足標準要求,所以對應的標準該確認的都要確認到才行。
至於專業或是經驗,只能後續再來請教資深的前輩慢慢補上囉~

(4) 求好求穩

放輕鬆!其實菜雞不菜稽,常常被稽核的受稽方其實觀察的出來啦!
只要對應的標準該確認的都要確認到,加上節奏夠穩,都還是可以順利完成的。

產出報告

(1) 工作底稿

稽核證據也就是俗稱的工作底稿。
請將實地稽核的證據記錄下來,需要記錄綁定的標準對應的文件對應的稽核內容
及對應的人、事、時、地、物等等,這些記錄將會作為產出報告的依據,
或是在稽核結果有爭議,或是下一次稽核需要去核對前次不符合事項的追蹤,就會進一步查看先前的稽核記錄
或是主管機關會不定期來抽驗稽核員在稽核執行的記錄與報告是否符合標準
所以請仔細記錄,後續會將證據歸檔上鎖保管,僅供後續主管機關查核之用。

(2) 稽核報告

當天完成證據後,將再由稽核組長統一複核
如果有誤就會再次跟稽核組員再三確認細項及證據 ( 最常見的情境是要結案掉上次的不符合事項 )
如果無誤,組長會依證據檔案完成稽核報告,
後續會再寄給受稽方確認後簽名回傳,後續將報告歸檔。

稽核考核

再一定的實習稽核場次後,就會有實習稽核考核,但我相信以持續改善、樂觀開放的心態去完成實習稽核階段之後,
後續通過實習稽核考核就不難了!加油加油!


上一篇
[Day05]我就靜靜的看著你
下一篇
[Day07]打造專業稽核形象
系列文
稽核師的挑戰30

1 則留言

0
CyberSerge
iT邦好手 1 級 ‧ 2021-09-25 22:11:14

盲目發問真的很扯,傻眼;不要怕請教也很重要,絕對不能預設對方系統結構怎樣,就算有網路圖表也要再三確認。

我遇過很好笑的情況是:發問的人越來越火大,因為他預設了情況所以給的回應和提問,我們受稽核方很難理解,覺得沒道理;他最後還說「因為我有CISSP! (所以你們要聽我的)」。主管當場要求中止會議,隔幾天後由更資深的稽核師來釐清問題,重新繼續會議。但是在客戶面前發火的那位仁兄就沒再出現了~

我要留言

立即登入留言