雷神大您好，您說的我都能理解，但因為導入時我也還不在這家公司，主管又是行政會計出身，所以他說感覺對方不專業，我也只好狗腿的這樣說：＂難怪我們現在ISO作的這麼好！據我的經驗，顧問公司強，我們就會依赖就會弱；顧問公司弱，我們就得自立自強～～＂

前面第一句雖然是狗腿，不過後面的經驗我是說認真的，也有可能到時候雖然我找到真正專業的顧問，最後又被主管一句感覺打了回票，但凡走過必留下痕跡，未來還是有機會合作的

行政會計出身說ISO 27001的顧問不專業?那你主管有CISSP還是ISO 27001主導稽核員證照嗎?自己聽不懂就說別人不專業?

其實我接到這項任務的第一時間就是想到問雷神大有沒有接輔導顧問，有去再去查了您的主頁及FB雷神講堂社團，沒有查到才在這裡PO文詢問的~~

Titan Cheng 我的主管的職掌是文件小組組長，負責稽核小組的另外一位主管聽說是有考過稽核員證照的，他們之間互動還滿好的，應該有交流過意見吧？

我其實是跟輔導顧問合作的執行顧問:
ISO輔導顧問會教業主: 準備哪些:制度/文件/規範/流程, 才能通過 ISO 審查; 但是對於第一次接觸的業主, 或者本身 IT 能力不強的業主, 它們可能對於: 如何使用技術手段達到 ISO 內控目的, 無從下手.

而我們執行顧問此時就會進場, 教業主如何透過 IT 技術達到合規的內控? 或者判斷採用 IT 內控的成本是否過高? 可以改用行政手段來進行?

我們比較偏向: 幫客戶快速選擇和導入正確合規的 IT 技術, 同時又兼顧成本預算的經濟性. 由於 ISO 顧問只負責導入制度, 通常不負責導入科技, 所以我們會跟 ISO 顧問合作, 補上後面這段需要實作技術的部分.

但並不是每位業主都需要這樣的執行顧問, 像你們自己 IT 夠強的話, 說不定自己就知道該如何選擇控制技術? 又如你們先前已經導入過前一版的話, 其實有很多內控已經成形, 就比較不需要我們再重複進場協作執行的導入.

不過 2022 版跟前幾版有很大的差別, 在內控技術上也可能會花比較大的成本, 這點是你們在導入前要預先找好預算的.

會計主管覺得對方不專業, 可能他以前有稽核或審計的經驗, 從這個角度看導入顧問, 一定會覺得它們不是這行的人, 因為導入顧問只是負責告訴你: 需要那些管理制度? 但實際上的內稽內控, 還是要你們自己去設計.

主管的誤會可能在於: 他以為導入顧問會幫妳們設計好內稽內控制度, 但其實業界的導入顧問都不會管這塊, 如果要做, 需要另外談費用, 而且一般小家顧問公司也不願意接, 通常需要四大會計師, 或是跟妳們有合作的會計事務所的風控部門出來接. 因為這必須對你們的內部作業流程有深入的了解才能做.

我的感覺是, 你們自己的能力應該足夠實作執行面, 找導入顧問也沒問題; 真的沒把握想要有第三方介入幫你們管理取證之前的執行, 再來找我聊聊, 這裡不方便工商, 不過我相信你應該有辦法聯繫到我.

因為這個費用也不低, 能擠得出預算的公司也不多(通常都自家人做掉了), 覺得有疑問可以先在這裡發問看看.

你們先前是哪一家輔導導入的?

先訪談 再選商
有四大顧問 有個體戶顧問
了解公司需求才是輔導重點（有多少預算要做？
導入會增加那些費用預估？