[Day09]实习稽核常见情境

我知道你还没准备好，但我们已经在稽核的路上了。

这篇就是我曾经充满血泪的建议改善清单，就请各位前辈多多指教了 Q"Q

起始会议

签到表

送出之前请再度确认日期、受稽方名称、地点，如果有更改请早一点提供受稽方。

投影片品质

框线、格线、格式、字体、颜色标准未统一，会令人觉得眼花撩乱或是不整齐。

证书异动

如果受稽方有提早通知会异动记录，请记得将更新的资料列上去哦！

稽核活动

客观

不要有太多假设看法，会造成受稽方是稽核在挑战专业

公正性：不能有针对性。
客观性：要求证据。
独立性：不能受到其他因素影响。
稽核员不能说：我认为～ 我觉得～ 我想～

直接看证据啦！

范围

明确稽核每个范围的核心重点，如稽核应用程序开发，需求变更、版本控制是稽核重点。
限制范围，不要超出范围，不然会与其他成员重覆造成重工。

轨迹

如果稽核的顺序卡卡，就会要一直麻烦受稽方协助要调资料会很花时间，
所以务必将稽核逻辑想好再开始，请参照稽核查检表。

抽样

抽样时必须再深入确认，不仅是看到抽样样本的纪录存在及停止，
必须要再审视资料的来源、含义，确实完成完整的稽核轨迹。不要只看纸本记录

公正

稽核时不能给客户实际的建议，尤其是下指令、提供工具或是动手操作，都是大忌。

像说，虽然微软官网有密码到期的建议设置：
https://docs.microsoft.com/zh-tw/microsoft-365/admin/manage/set-password-expiration-policy?view=o365-worldwide

稽核不能建议说要设几天，但可以请客户上微软官方网站参考。
顾问之前就是要给客户建议作法，但是在稽核职能时有时候想法会冲突

中场休息

准时回来

请把握时间喝水上厕所及小组讨论。

远端稽核

中场休息或是要交流讨论，请记得关掉麦克风或是切换房间再讨论

机密性

请勿在受稽方未同意去参观其他区域。白目

小组讨论

缺失开不开？

切勿花太多时间钻牛角尖在同一个问题上，如果无法证明风险 或是 未确认不足以满足需求，
请列在工作底稿中待下次再追踪。

主缺或次缺？

开缺失之前要先确认是主要不符合事项 还是 次要不符合事项。

不符合事项：
未满足要求，与标准的要求相反的情形，某一特定的要求并未被履行，未满足管理政策、违反标准、程序、规范或法规
像说在稽核的时候，抽验一笔监控记录的时候，发现厂商进出机房没有机房进出记录，此为不符合事项。

主要不符合

如果对有效的流程控制是否到位，或者对产品或服务是否满足特定的要求存有重大怀疑；
与同一要求或问题相关的大量次要不符合，可能会表现出系统性失效，因此构成重大不符合。

所以，如果确认完程序书中有规范厂商进出机房，应填写机房进出记录表，但发现因为疫情的关系，好几个月的进出记录表都没有更新。

针对以上的情境，由於程序书中有规范而未达成，所以列为不符合事项。
再来因为抽验的项目找到大量不符合事项，就会列为主要不符合事项。

次要不符合

不影响管理系统达成预期结果能力的不符合事项。
所以，如果机房进出记录表只是漏掉这一笔进出记录，而且厂商进出没有任何轨迹可循，则为次要不符合事项。

改善机会

非不符合事项，在稽核中有客观证据证实，指出管理体系中的弱点或潜在缺陷，若不改进就可能导致未来出现不符合。
如果机房进出记录表只是漏掉这一笔进出记录，但厂商全程有同仁陪同，，风险较低，就会列为改善机会。

缺失写法

请参照正式文件写法，属正式报告，请注意用词。

结束会议

说明缺失

如果报告中有发现事项，必须要陈述清楚，注意口条。

资讯更新

如果有更新邮递区号 3+3 或是地址、验证范围，请一定要记得列上去。

长官结论

请记得要留时间给长官总结以鼓舞士气～

报告撰写

英文文法

没有其他要补充的，只能自己再慢慢加强自己的语文能力了！

工作底稿

由於工作底稿是记录此次稽核活动是否确实的凭证，而且主管机关每年都会抽验，请务必客观详实填写。
如：应用系统备份档案的名称、日期、大小是否正常，是否保留的期限符合程序书规定。
如果有查看相关表单，也要留下日期、人员、表单目的、执行项目等等，以去核对整个稽核轨迹。

工作底稿除了要详实填写以外，绑定的标准也需要一并写上。而且要写对！
稽核时所提出的问题，都应该要绑定在标准上，如果没有绑标准，那就不需要问，
因为我们是依标准稽核，除非有看到相应的风险需要进一步确认。

死线日期

切勿压线造成组长及客户专员的困扰。