前面已經提到對管理系統制度有效性確認所需要執行的監督、量測、分析及評估的活動,不過即便有進行了這些活動,仍然有可能會使制度的有效性存疑,而存疑的來源是信任風險,亦即「如何相信組織所做的有效性評估」。
畢竟管理制度主要執行的對象是「人」,人會因為許多不同的因素而影響其行為,管理制度本身為了要控制風險,會對人施加某些限制,而限制的方式通常會伴隨著「懲處」(A.6.4獎懲過程),由於「懲處」可能會損害到相關人員的權益,為了不要被「懲處」,可能執行制度的人會採取一些不正常的措施來規避可能的「懲處」,例如數據造假、未依照指定的分析流程而產生錯誤的結果、錯誤的解讀數據、或是在執行過程中採用一些不正常的方法使結果看起來是正確等等之類的,這些都會使得組織的管理系統有效性產生疑慮。
為了要確認「組織所做的有效性評估符合要求以及符合組織所定義的各項條件」,必須要由制度負責人以外的人來檢視,檢視的結果若真的符合組織所規定,那麼組織的有效性評估基本上就能獲得信任,而這就是稽核所要做到的目標。而由組織內部所執行的稽核活動,即為內部稽核 (Internal Audit)。
主條文9.2規定,組織必須定期執行內部稽核,其目的有三個:
稽核是「有系統、獨立及文件化獲取客觀證據並客觀的評估,以決定稽核準則滿足程度的過程」,因此稽核活動必須要是有一套系統化過程的活動,ISO針對管理系統提供了ISO 19011:2018作為稽核活動的指引 (台灣翻譯的中文版則是CNS 14809:2020)。
稽核活動在執行前,必須要先擬具內部稽核計畫 (Internal Audit Plan),主條文9.2.2規定了內部稽核計畫所需要訂定的內容,包含稽核準則、稽核範圍、稽核員及能力要求、稽核方法、稽核活動以及稽核報告等,這些內容都可參考ISO 19011:2018來制訂。
內部稽核因為是於組織內部所進行,因此在規劃時要注意兩件事情,第一項就是稽核人員的選定,為了要能夠客觀的檢視管理系統運作,稽核人員原則上必須要是未實際執行稽核範圍內的各項業務的人員,以避免在稽核過程中對檢視的過程及證據進行錯誤的解讀;第二項則是稽核人員的能力,由於稽核是一項專業工作,稽核本身帶有許多專業性的要求 (例如公正客觀、與受稽團隊的溝通、觀察力、對受稽制度的理解等),不能隨意由任何人員執行,因此稽核人員的能力應有所要求,例如必須要符合稽核之管理系統的稽核員資格 (如主導稽核員證照) 或是有受過足夠之稽核員訓練,並對稽核範疇的專業有一定程度的理解等,以避免稽核員本身能力不足而發生的稽核偏差 (如符合卻判定為不符合,或是無法與受稽團隊溝通等)。
若組織本身無適當的人員或部門能執行內部稽核時,由組織外部找尋專業團隊來執行內部稽核亦可。
內部稽核計畫一般會包含一份內部稽核表,在內部稽核執行時會依照該表進行逐項確認,由於整個ISMS要檢視的範圍很大,為了要在有限時間內確認完畢,稽核員一般都會採用抽樣的方式,抽樣的範圍則來自於執行記錄 (確認該做的事有做)、現場環境狀態 (如檢視電腦中有沒有裝防毒、或有沒有做作業系統更新等)、人員訪談 (確認人員認知) 等,抽樣檢視的結果作為是否符合稽核準則的依據。
在稽核過程中,有時為了要確認某個項目的稽核準則的符合性,會要求制度負責人或是執行人員說明或解釋其制度內容或數據的意義,或是對所得到的內容進一步追問,若人員對ISMS或所負責制度本身不熟悉時,容易給予錯誤或令人誤解的回應,這可能會使稽核員認為人員的認知不足,而認知不足會是管理系統有效性的潛在風險 (主條文7.3以及控制措施A.6.3),然而若稽核員的溝通能力不足或是無法展現良好的溝通技能,則可能會導致受稽團隊的負面情緒而激發衝突 (受稽團隊可能會認為稽核員在刻意找麻煩),這些都是在稽核過程中可能會出現的情況,但稽核的目標是在於確認管理系統確實是有效,而且發掘 (discover) 潛在的風險因子,所以除了稽核員本身的溝通能力外,受稽團隊也應正面看待稽核員的問題及追問,以交流討論的心態面對,或許能在這個過程中學習到更多東西,並持續改善管理系統。
稽核員在稽核過程中會逐項記錄其觀察與證據檢視的結果,以產出稽核發現 (Audit findings),稽核發現大多數是稽核員經過觀察與證據檢視,比對稽核準則後所得到的結論,通常會分不符合事項 (Nonconformity)、觀察事項以及建議事項三種,但一般會分為下面四種類型:
稽核發現的程度以不符合事項為最嚴重,無論是主要還是次要都必須矯正,差別只是在主要不符合與次要不符合所需矯正的時間長度,原則上主要不符合事項的矯正必須在兩週到一個月內完成,次要不符合則是三個月內完成;觀察事項則是到下一次稽核的循環前矯正完畢即可,建議事項則可由組織考量是否要進行矯正 (可能會受限組織資源限制無法執行),矯正的活動則是依組織定義的過程進行。
稽核完成後,稽核員需要產出稽核報告 (Audit Report),稽核報告內會載明稽核日期時間、稽核範圍、稽核發現事項等,報告會提供適當的管理階層 (可能是ISMS的負責人) 確認,作為執行內部稽核活動結果的證據之一。