我知道你還沒準備好，但我們已經在稽核的路上了。

這篇就是我曾經充滿血淚的建議改善清單，就請各位前輩多多指教了 Q"Q

起始會議

簽到表

送出之前請再度確認日期、受稽方名稱、地點，如果有更改請早一點提供受稽方。

投影片品質

框線、格線、格式、字體、顏色標準未統一，會令人覺得眼花撩亂或是不整齊。

證書異動

如果受稽方有提早通知會異動記錄，請記得將更新的資料列上去哦！

稽核活動

客觀

不要有太多假設看法，會造成受稽方是稽核在挑戰專業

公正性：不能有針對性。
客觀性：要求證據。
獨立性：不能受到其他因素影響。
稽核員不能說：我認為～ 我覺得～ 我想～

直接看證據啦！

範圍

明確稽核每個範圍的核心重點，如稽核應用程式開發，需求變更、版本控制是稽核重點。
限制範圍，不要超出範圍，不然會與其他成員重覆造成重工。

軌跡

如果稽核的順序卡卡，就會要一直麻煩受稽方協助要調資料會很花時間，
所以務必將稽核邏輯想好再開始，請參照稽核查檢表。

抽樣

抽樣時必須再深入確認，不僅是看到抽樣樣本的紀錄存在及停止，
必須要再審視資料的來源、含義，確實完成完整的稽核軌跡。不要只看紙本記錄

公正

稽核時不能給客戶實際的建議，尤其是下指令、提供工具或是動手操作，都是大忌。

像說，雖然微軟官網有密碼到期的建議設置：
https://docs.microsoft.com/zh-tw/microsoft-365/admin/manage/set-password-expiration-policy?view=o365-worldwide

稽核不能建議說要設幾天，但可以請客戶上微軟官方網站參考。
顧問之前就是要給客戶建議作法，但是在稽核職能時有時候想法會衝突

中場休息

準時回來

請把握時間喝水上廁所及小組討論。

遠端稽核

中場休息或是要交流討論，請記得關掉麥克風或是切換房間再討論

機密性

請勿在受稽方未同意去參觀其他區域。白目

小組討論

缺失開不開？

切勿花太多時間鑽牛角尖在同一個問題上，如果無法證明風險 或是 未確認不足以滿足需求，
請列在工作底稿中待下次再追蹤。

主缺或次缺？

開缺失之前要先確認是主要不符合事項 還是 次要不符合事項。

不符合事項：
未滿足要求，與標準的要求相反的情形，某一特定的要求並未被履行，未滿足管理政策、違反標準、程序、規範或法規
像說在稽核的時候，抽驗一筆監控記錄的時候，發現廠商進出機房沒有機房進出記錄，此為不符合事項。

主要不符合

如果對有效的流程控制是否到位，或者對產品或服務是否滿足特定的要求存有重大懷疑；
與同一要求或問題相關的大量次要不符合，可能會表現出系統性失效，因此構成重大不符合。

所以，如果確認完程序書中有規範廠商進出機房，應填寫機房進出記錄表，但發現因為疫情的關係，好幾個月的進出記錄表都沒有更新。

針對以上的情境，由於程序書中有規範而未達成，所以列為不符合事項。
再來因為抽驗的項目找到大量不符合事項，就會列為主要不符合事項。

次要不符合

不影響管理系統達成預期結果能力的不符合事項。
所以，如果機房進出記錄表只是漏掉這一筆進出記錄，而且廠商進出沒有任何軌跡可循，則為次要不符合事項。

改善機會

非不符合事項，在稽核中有客觀證據證實，指出管理體系中的弱點或潛在缺陷，若不改進就可能導致未來出現不符合。
如果機房進出記錄表只是漏掉這一筆進出記錄，但廠商全程有同仁陪同，，風險較低，就會列為改善機會。

缺失寫法

請參照正式文件寫法，屬正式報告，請注意用詞。

結束會議

說明缺失

如果報告中有發現事項，必須要陳述清楚，注意口條。

資訊更新

如果有更新郵遞區號 3+3 或是地址、驗證範圍，請一定要記得列上去。

長官結論

請記得要留時間給長官總結以鼓舞士氣～

報告撰寫

英文文法

沒有其他要補充的，只能自己再慢慢加強自己的語文能力了！

工作底稿

由於工作底稿是記錄此次稽核活動是否確實的憑證，而且主管機關每年都會抽驗，請務必客觀詳實填寫。
如：應用系統備份檔案的名稱、日期、大小是否正常，是否保留的期限符合程序書規定。
如果有查看相關表單，也要留下日期、人員、表單目的、執行項目等等，以去核對整個稽核軌跡。

工作底稿除了要詳實填寫以外，綁定的標準也需要一併寫上。而且要寫對！
稽核時所提出的問題，都應該要綁定在標準上，如果沒有綁標準，那就不需要問，
因為我們是依標準稽核，除非有看到相應的風險需要進一步確認。

死線日期

切勿壓線造成組長及客戶專員的困擾。