從事稽核實務與相關訓練課程多年,一直在思考如何將稽核技巧與步驟,以簡單扼要的方式表達給相關人員。以下就是筆者多年的武功秘笈,希望以「正面的稽核態度」提供給從事稽核工作的相關人員分享,同時也建議你在稽核的過程中,什麼是「不可以做的」與「應做的」事。
以下逐一介紹與說明稽核的執行步驟,實務上如何結合與應用各種稽核技巧。
步驟一 看四周
|
運用的技巧與目的
|
以「觀察技巧」了解受稽方的整體環境、部門環境與受稽人員是否有任何異狀?
|
|
運用地點
|
進入受稽方大門、起始會議、參觀受稽方環境、進入受稽部門、受稽人員面談
|
|
相關技巧
|
問話、做筆記
|
「觀察」是你最常用的技巧,而你的「觀察方式」也是受稽方最難理解與應付的技巧,因為它是屬於由你的自由心證所反應出稽核態度的執行。
以下是你不可以做的身體語言,會讓受稽人員對你產生防衛與不信任的姿態。
一、雙手交叉於胸前。
二、身體全部靠在椅背上。
三、眼睛以斜視(上斜或側斜)看對方。
四、表情顯現嚴肅狀態。
以下是你應做的身體語言:
一、要有同理心。
二、要有禮貌。
三、要控制自己的情緒。
四、要保持微笑。
步驟二 簡單問
|
運用的技巧與目的
|
以「問話技巧」了解受稽方的整體環境、部門環境與受稽人員的相關管理要求是否有任何不合理之處?
|
|
運用地點
|
進入受稽方大門、參觀環境、進入受稽部門、受稽人員面談
|
|
相關技巧
|
問話、觀察、做筆記
|
從進入受稽方大門、參觀環境、受稽部門到與受稽人員面談,你所運用的「問話技巧」將會從「封閉式問話」到「開放式問話」逐漸的加強。
以下是你與受稽人員面談時,不可以做的事:
一、問話時語調變高與拉長。
二、打斷對方的回答(除非是拖延戰術)。
三、暢談「該組織行業」與「稽核」的經驗。
四、提問不相關、誇張及愚蠢的問題。
五、使用太多封閉式問題。
以下是你應做的事:
一、解釋您想看的東西。
二、要常說「謝謝和請」。
三、要從受稽人員的工作內容開始。
四、要有實質的稱讚。
五、常使用開放式提問。
步驟三 注意聽
|
運用的技巧與目的
|
以「聽的技巧」了解受稽方的整體環境、部門環境與受稽人員的相關管理要求是否有任何不合理之處?
|
|
運用地點
|
進入受稽部門、受稽人員面談
|
|
相關技巧
|
問話、觀察、做筆記
|
「聽」的能力對你來說是非常重要的表現。當受稽人員在與你解釋相關的管理過程時,請你一定要注意聽,以了解該管理過程是否合理與順暢?協助受稽人員如何執行「矯正措施」或「預防措施」的要求?
以下是你不可以做的事:
一、只想如何開立NCR。
二、在一個區域繼續評審,直至發現問題
以下是你應做的事:
一、要有「聽」的耐性。
二、要表現出「聽」的興趣。
步驟四 用力寫
|
運用的技巧與目的
|
以「筆記技巧」記錄受稽方的整體環境、部門環境與受稽人員的相關管理要求,以確保稽核員符合ISO要求的規範?
|
|
運用地點
|
進入受稽方大門、參觀環境、進入受稽部門、受稽人員面談
|
|
相關技巧
|
問話、觀察、聽
|
通常在稽核的過程中,你會常常忘記先前曾稽核過的管理要求或曾看過的記錄。最後,當在結束會議報告你的發現時,內容想必不甚齊全,容易引起爭議,因而讓人質疑你的專業與稽核的有效性。
稽核記錄除了是你的觀察證據外,它必須可供日後調查、供其他同事使用或供日後的評審使用。
以下是你不可以做的事:
一、字跡潦草。
二、資料不全。
以下是你應做的事:
一、事先解釋筆記的用途與重要性
二、內容清晰易讀。
三、隨時能被索閱。
步驟五 查文件
|
運用的技巧與目的
|
以「閱讀技巧」確認受稽方的整體環境、部門環境與受稽人員的相關管理要求,以確保符合ISO的規範?
|
|
運用地點
|
受稽人員面談
|
|
相關技巧
|
問話、觀察、聽、記錄
|
確認「說」、「寫」、「做」的一致性是稽核員的基本原則,但是實務上卻是知易行難的過程。從你的「簡單問」讓受稽人員「說」出該管理要求開始,一方面你可以了解大部分的內容,之後在翻閱文件時,可以快速的確認它的正確性與遺漏之處。另一方面你可以觀察受稽人員的身體語言,除確認他了解該管理要求的程度外,亦可以判斷他做的正確性有多高,並協助你決定「抽樣」的數量。
步驟六 抽記錄
|
運用的技巧與目的
|
以「抽樣技巧」確認受稽方的整體環境、部門環境與受稽人員的相關管理要求的執行,是否符合ISO的規範?
|
|
運用地點
|
受稽人員面談
|
|
相關技巧
|
問話、觀察、聽、記錄
|
當你可以取得充足的證據時,就會讓你對該系統的有效性建立信心,而「抽樣」就是非常重要的執行技巧。
若是你所抽樣的記錄可以在ISO不同章節或部門間被引用的次數愈多,表示你的稽核功力是有相當的深度與廣度,而你對受稽人員所能做的協助也愈多。
步驟七 認結果
|
運用的技巧與目的
|
以「抽樣技巧」確認受稽方的整體環境、部門環境與受稽人員的相關管理要求的執行,判斷問題的嚴重程度與改善空間?
|
|
運用地點
|
受稽人員面談
|
|
相關技巧
|
觀察、聽、溝通
|
此時你的稽核工作應已告一個段落,接下來,你需要分析所收集的資料與證據,以判斷受稽部門所發生的問題的嚴重程度與改善空間在哪裡?
在稽核某一條款,第一次抽樣5筆記錄,發現有3筆記錄未符合執行要求。此時,你該如何進行下去?
當然你可以直接開重大的NCR給受稽部門與人員,但是肯定會引起不服與反彈,而你以後就會成為在前述負面稽核態度中,所描述到處被抱怨的稽核員。
另一方面,以稽核專業來說,你應考量抽樣的風險,且讓受稽單位有「疏通感覺」的管道。你決定讓受稽人員依照你的指示再抽樣5筆記錄。可能有下列結果:
一、有3筆記錄未符合要求,總共10筆有6筆未符合執行要求。此時的嚴重情況已是趨於明顯,你可以直接下判斷或再讓受稽人員依照指示再抽樣5筆記錄。而最後的結果大概介於嚴重NCR(超過50%)與偏向嚴重NCR(接近50%)。
二、有1筆記錄未符合要求,總共10筆有4筆未符合執行要求。此時的情況是趨向於輕微,你可以直接下判斷。
以上的作法,除了讓受稽單位心服口服外,你也有更足夠的資訊與受稽單位討論改善空間在哪裡?
回到前述稽核態度的討論,你的工作是為受稽方提供改善其管理系統的機會,而不是拿著「稽核」掐死不放。
步驟八、量實況
|
運用的技巧與目的
|
以「問話技巧」確認受稽方的整體環境、部門環境與受稽人員的相關管理要求的執行,判斷問題的情況與改善空間?
|
|
運用地點
|
受稽人員面談
|
|
相關技巧
|
觀察、聽、溝通
|
在稽核某一條款,第一次抽樣5筆記錄,發現有1筆記錄未符合要求。此時,你如何進行下去?
當然你可以直接開立輕微NCR給受稽部門與人員,但是肯定也會引起不服與反彈,原因如前所述。所以,你決定讓受稽人員有說明原因的機會。
一、 那一天因為開會、半途老闆找…等等理由,所以該執行記錄未能全部完成。
難道你真的去調閱會議資料、去詢問他的老闆…等等,去一一證實那些理由嗎?那麼你不就是直接表達不相信的負面稽核態度嗎?但是你心中又有「那是真的嗎?」的疑慮。其實,你不需要理會那些理由,那只是讓受稽單位有「疏通感覺」的管道。任何須填寫記錄的執行點,表示它是管理制度重要的管控點,受稽人員是否了解它的管理意義?那才是你與受稽人員確認的地方。
二、「該筆記錄」沒找到。
除了上述的詢問與確認的工作外,你需要確認是否是「記錄管理」出了問題?
你的NCR開在受稽部門與人員沒有執行該條款,或有做但記錄管理出了問題,除了對受稽部門與人員有不同實質的影響外,「矯正措施」的方向與內容也不同。
步驟九、徵同意
|
運用的技巧與目的
|
以「溝通技巧」確認受稽方的整體環境、部門環境與受稽人員的相關管理要求的執行,說明改善的空間?
|
|
運用地點
|
受稽人員面談
|
|
相關技巧
|
觀察、聽、記錄
|
「徵同意」並非要你去諮詢受稽部門與人員是否同意你的NCR?而是藉由溝通技巧說明改善的空間與理由,可以心服口服的接受NCR。否則,結束會議的氣氛一定不佳。
因此,你與受稽人員討論具體問題的改善順序是:所改善的問題先對個人有利益,當此問題解決的同時也對部門及公司有利益。所以你本身也需要有相當的管理實務與經驗,才能在溝通的過程與結果,讓受稽人員覺得你真的是在協助他具體改善問題。
步驟十、下筆寫
|
運用的技巧與目的
|
以「書寫技巧」確認受稽方的整體環境、部門環境與受稽人員的相關管理要求的執行,是否符合ISO的規範與未來的矯正措施?
|
|
運用地點
|
受稽人員面談
|
|
相關技巧
|
觀察、聽、記錄
|
你的書面內容與方式是否精確具體敘述,將影響受稽部門與人員矯正措施的方向。
你的書面敘述內容應包含由D、E、F的3個元素:
一、D(Document):你所知道的法令、合約、組織政策、公司/部門及管理系統標準的規定或要求之內容。
二、E(Evidence):你所發現的證據。
三、F(Fact):你所收集的事實。
結語
現在你已有知識,但需要不斷的練習,讓它成為技能。正是所謂:看戲不如演戲,演戲也需有好教師的指點。
現在出一個狀況題:你正在執行內部稽核,而相關的管理要求明定女員工的服裝與儀容穿著原則應端莊且不曝露。此時,你走到公司大廳的接待櫃台,發現接待女員工的穿著極度清涼,讓人血脈賁張。省略步驟一、看四周到步驟六、抽記錄的執行動作,不妨試試驟七到步驟十你可能執行的方式?歡迎討論與展現你的思考方式。
本文作者為資安稽核講師