[Day06]没有稽核经验咋怎

在实习稽核阶段，如果没有导入经验或是稽核经验的时候，往往会非常吃亏。

(1) 无法从受稽方导入资讯管理系统的角度出发去进行稽核时，验证的项目只能验证到文件流程。
(2) 收到受稽方的控制措施时，无法从根因去分析资安风险
(3) 受稽方需要提供更多说明以让稽核人员了解根因
(4) 稽核的标准可能因为稽核人员的品质而无法确实验证
(5) 计画永远赶不上变化，在稽核时没有足够的经验，可能无法及时做出良好的应对。

所以会建议如果真的要走上稽核大师这条路，真的要有稽核经验会比较得心应手。
毕竟不是所有人只要受训完就成成为稽核员，参加完教育训练、通过考试、取得认证只是验证你对稽核及标准的熟悉度，但真的实地稽核还是会因为受稽方会有百百种的突发状况，所以基本的专业知识、稽核水平、标准解读一定要有才能满足稽核工作的要求，所以如果有相关稽核经验来挑战稽核职能是真的会比较轻松。

但是，如果，真的没有呢？
因为没有的话，正式稽核会被客户惨电欸？！
或是一旦客户知道稽核老师很资浅之後，对於稽核活动的节奏可能就会被客户带偏大大影响稽核行程，
或是因为认为就会以敷衍了事或是虎虎过去，但受限於经验不足可能无法说服客户…
所以这里提供几个方式就参考看看罗～

行前准备

!

(1) 精确提问

菜鸡稽核师可能就需要在有限的时间内把握每次实习稽核的机会提问。
当然不能盲目发问，建议是将当下的稽核的情境自行做模拟问答。
可以观察前辈怎麽提问？ 为什麽他要怎麽问？ 这麽问可以了解什麽？ 对应到哪个标准？ 还有跟哪些项目有连动？

(2) 系统化笔记

由於未来稽核场次很多，突发状况或是情境也会很多，但未来就可能没有观察员或前辈时时陪着稽核，所以将笔记系统化是一件很重要的事情；除了可以提升稽核提问的品质，也可以避免相同的错误不要再犯第二次。

(3) 角色扮演

请你有稽核经验的前辈或是朋友扮演客户，准备好你的检查表及稽核轨迹，在正式上场之後做过模拟演练。
稽核活动是不允许录音的，但是我们可以在模拟演练的时候录音，把自己在稽核演练的提问、稽核用语及应对记录下来，重覆去纠正；而且如果有做模拟演练的时候，正式上场也不会那麽紧张。

(4) 逐字稿

如果真的没有把握，就先准备明天稽核活动攻防演练的准备逐字稿也是一种稳健的方式。

(5) 善用时间发问

如果有无法控制或是无法回答的状况，请即时记录下来，待稍候休息时间时快询问观察员或是稽核前辈。

(6) 坚守稽核原则

以稳定的表现来进行，後续的稽核活动，就以客观开放虚心情教来慢慢成长吧！

实地稽核

(1) 经验熟练

在实地稽核只能靠自己的经验及熟练，毕竟实际执行稽核还是以独立自主完成工作为主。
或许有幸有观察员可以协助，但别忘记之前提到观察员是不能提出建议或是意见的，所以只能靠自己完成稽核工作。
但是由於每个稽核都会有自己的节奏，所以如果发现非预期的状况，可以马上中断稽核，乘机询问观察员或是资深前辈。
有些好心前辈会愿意提供即时的线上服务，像说偷偷用通讯软件提醒重点，或是休息时间讨论，记得笔记要做好，然後再稍候的场次再进一步去做确认。

(2) 常见突发状况

这个最常遇到需要临时中止的状况就是受稽方当天改稽核范围通常会在稽核计画前跟客户确认啦，要知道稽核范围可大可小，如果超出太多可能会需要重新评估范围及人天，像说临时加入新增业务、新盖厂房，再来就是重大政策变更或是新增验证标准，受稽方想一并验证个资等等，这个都是需要临时中止去确认是否需要择期再进行的状况。

(3) 不要怕请教

在前期对於架构或系统不熟悉的时候，虽然可能会被受稽方觉得：「啊你怎麽连这个都不懂还出来稽核？」
不过我们的任务是依据标准去验证受稽方是否实作已满足标准要求，所以对应的标准该确认的都要确认到才行。
至於专业或是经验，只能後续再来请教资深的前辈慢慢补上罗～

(4) 求好求稳

放轻松！其实菜鸡不菜稽，常常被稽核的受稽方其实观察的出来啦！
只要对应的标准该确认的都要确认到，加上节奏够稳，都还是可以顺利完成的。

产出报告

(1) 工作底稿

稽核证据也就是俗称的工作底稿。
请将实地稽核的证据记录下来，需要记录绑定的标准、对应的文件、对应的稽核内容
及对应的人、事、时、地、物等等，这些记录将会作为产出报告的依据，
或是在稽核结果有争议，或是下一次稽核需要去核对前次不符合事项的追踪，就会进一步查看先前的稽核记录，
或是主管机关会不定期来抽验稽核员在稽核执行的记录与报告是否符合标准，
所以请仔细记录，後续会将证据归档上锁保管，仅供後续主管机关查核之用。

(2) 稽核报告

当天完成证据後，将再由稽核组长统一复核，
如果有误就会再次跟稽核组员再三确认细项及证据 ( 最常见的情境是要结案掉上次的不符合事项 )
如果无误，组长会依证据档案完成稽核报告，
後续会再寄给受稽方确认後签名回传，後续将报告归档。

稽核考核

再一定的实习稽核场次後，就会有实习稽核考核，但我相信以持续改善、乐观开放的心态去完成实习稽核阶段之後，
後续通过实习稽核考核就不难了！加油加油！