[Day04]稽核员守则与伦理

耶！上完课、通过考试之後，是不是就可以出去稽核客户了咧？
是不是可以执行稽核活动，然後就可以稽他！稽爆他！然後就拥有能不能发证的权利了吗？
是不是能无所畏惧？为所欲为？无法无天？
不是！并．不．是！

在成为稽核员之前都会有相关培训课程都会提到相关稽核员的职业守则，
最重要的就是相关道德的操守、舞弊、贪污、收贿、诈欺都是不可取的行为。
还有很多细则的情境跟案例都是需要遵守的规范，这个在教育训练中会提到，或是针对有部份有疑虑的情境，可以再反应给公司的前辈做讨论。

稽核员\主导稽核员还是有主管机关的，稽核员如果在执行稽核时，如果有贿赂、贪腐或是不符合稽核员规范的行为，那麽轻则警告，重则开除，甚至有被起诉的案例，相关的规范或守则，通常在到职後就会需要签署，相关的范例可以参考 SGS《诚信规范》

ISO 的精神是「自发性」

所以呢～以下的认证单位都是非官方性。

验证证书

验证证书最重要的就是验证单位(CB) 左上，认证单位(AB) 左下。

国际认可论坛（International Accreditation Forum）：

• ISO 17020：AB 认证单位 / 发证单位：法国(COFRAC) / 美国(ANAB) / 英国(OKAS) / 德国(Dudc) / 中国(CNAS)
  但台湾的财团法人全国认证基金会(TAF)，前身是标检局；中国的稽核员是需要国家考试才有资格。

• ISO 17021：CB 验证单位：艾法诺(AFNOR)/ BSI/ SGS / RUV / TCIC

• ISO 27001：企业组织或单位

举例：如果我今天要成立一家验证单位，我要取得 ISO 17021，并且定期受认证单位查核。

TAF 要不要？

政府单位 A、B 级为必要；其他就可以参考其精神。

PS.27001 资讯安全管理、27701:2019 隐私资讯管理、22301 BCM (ESG 企业经营管理)、29100 隐私框架

稽核员验证单位

• 国际稽核员登录协会(CQI|IRCA)：https://www.quality.org/
• 中国认证认可协会(CCAA)：http://www.ccaa.org.cn/

相关新闻：
他的稽核员资格被撤销了- 质量与认证：https://www.gushiciku.cn/dc_tw/109585959

道德原则(Code of Ethics)

内部稽核人员应遵守下列原则：

1. 诚正：稽核人员应诚实正直以提供对其判断寄予信赖之基础。

2. 客观－稽核人员进行蒐集、评估及沟通之稽核活动时时，应表现最高度专业客观性。

3. 保密－稽核人员应尊重其所获得资讯之所有权，，
   但有法律或道德义务应予揭露者不在此限。

4. 适任－稽核人员於提供稽核服务时，应能运用所需之知识、技能及经验。

或可以参考中华民国内部稽核协会-职业道德规范：https://www.iia.org.tw/standarditl.aspx?id=88

国际级认证组织

美国国家标准协会 - 美国品质学会委员会 (ANAB)：https://anab.ansi.org/
中国合格评定国家认可委员会(CNAS)：http://www.cnas.org.cn/
Raad voor Accreditatie (RvA)：http://www.rva.nl/home/
英国验证服务局 (UKAS)：http://www.ukas.com/
台湾财团法人全国认证基金会(TAF)：http://www.taftw.org.tw/wSite/mp?mp=1
以上的认证机构都是经过国际认可协会(TAF) 认可的机构，所以都有资格做发证，
最多可能在验证项目或是标准项目、人天计算会有不同验证要求，或是币别订价上有些微的差别，基本上差异不大。

第三方验证的组织

• 香港商英国标准协会太平洋有限公司台湾分公司(BSI)
• 台湾检验科技股份有限公司(SGS)
• 艾法诺国际股份有限公司
• 香港商汉德技术监督服务亚太有限公司台湾分公司(TUV)
• 环奥国际验证有限公司(TCIC)

TAF 认可验证机构名录：https://www.bsmi.gov.tw/wSite/public/Data/f1437634507694.pdf

延伸讨论：认证的有效性

为什麽会特别提到主管机关呢？
因为第三方验证组织或单位发证有效都是受国际级认证组织的管辖。

相关新闻：如果BSI和SGS核发的ISO 27001证书，没有全国认证基金会TAF标志，还有效吗？
大纲：
验证公司 BSI 和 SGS 遭到全国认证基金会(TAF)於资通安全管理系统核可名单中减列。
** >> 代表证书无法使用TAF标志，无法再提供TAF发证 **
企业客户若有 ANAB 或 UKAS 核发 ISO 27001 证书，仍为有效；
资安法规定取得TAF证书，有三年缓冲期；BSI 和 SGS将於 3 个月後申请增列
** >>後续已申请增列，故目前均为有效 **

此次BSI和SGS遭到减列的原因之一，也在稽核人员有能力，但没有保持验证的公正性，导致适任性遭到质疑；因为资安的重要性越来越高，国际潮流也都会开始从严审查，因此，未来TAF对於资讯安全管理系统验证单位的审查，都会根据此次的评监标准，作为未来所有资安管理系统验证机构一致性的评监指标。

所以在验证的时候，也会考虑验证的发证单位，就给大家参考。