内部稽核

前言

去看中医的时侯，中医师会先望闻问切评估病徵。
身体没病的时侯，去医院也会做点常规或自费项目，做为评估是否建康依据。
企业或机构也需要在日常生活中订定资讯安全管理制度(ISMS)有效性检视/审查程序。

资讯安全管理制度程序简易图解

依据ISO/CNS 27001说明顺序绘制简易图表，可获得持续精进(改善)结论。
内部稽核为9.稽效评估程序(如下图)

内部稽核要点

1. 控制环境：执行本制度之基础，包括组织文化、诚信与道德价值、组织结构、权责分派、人力资源政策、绩效衡量及奖惩等。
2. 风险评估：主管阶层应先确立各项目标，并与不同层级单位相连结，同时需考虑目标之适合性，并考量内外环境改变之影响及可能发生之舞弊情事，透过适当风险管理政策及程序，进行风险办识、分析及评估。其评估结果可协助及时设计、修正及执行必要之控制作业。
3. 控制作业：依风险评估结果，采用适当政策及程序之行动，将风险控制在可承受范围内。控制作业之执行，包括所有层级、业务流程内各个阶段、所有科技环境等范围之监督及管理。
4. 资讯及沟通：蒐集、产生及使用与校务规划、执行及监督有关之内外部资讯，以支持内部控制其他组成要素之持续运作，确保资讯之有效沟通，并提供资讯需求者适时取得资讯之机制。
5. 监督作业：进行下列监督作业，以确定本制度之有效性、及时性及确实性：
   （1）例行监督：主管阶层本於职责，就分层负责授权业务执行持续性常态督导。
   （2）自行评估：由相关单位依职责分工，评估各组成要素运作之有效程度。
   （3）稽核评估：由内部稽核人员以客观公正之立场，协助检核内部控制实施状况，并适时提供改善建议；发现内部控制制度缺失时，应向适当层级之主管阶层、董事会及监察人报告。於设计、执行或自行评估本制度时，应综合考量前项各款组成要素，并得依实际需要自行调整必要之项目。

资料来源:
公开发行公司建立内部控制制度处理准则
政府内部稽核实务
学校财团法人及所设私立学校内部控制制度实施办法
内部稽核与内部控制管理实务
内部控制与内部稽核
国际内部稽核师 ( Certified Internal Auditors(CIA) )
Certified Information Systems Auditor(CISA)国际电脑稽核师认证
内部稽核之目的
内部稽核3.0内部稽核未来的关键即是现在(上)、(下)

废宅感想

1. 企业或机构经营在不同的时空背景下，找顾问谘询所得到的建议会随着现况调整而有所不同，找顾问首重专业服务能力用以辅导企业或机构解决问题。
2. 顾问的用途是提供专业服务，改善资讯安全环境是企业或机构一级主管所有做为的总和与成果。
3. 经评选程序聘用资安顾问，却又以质疑资安顾问来刷专业度的人，跟下列苍蓝鸽的蓍2段影片演病人的表现有87%相似度。