https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1

觀點

最佳稽核創新獎

2014 / 07 / 30
魯智深
最佳稽核創新獎
海外總公司被購併的傳言總算塵埃落定,台灣分公司當然也受到影響。總經理及財務主管立刻中箭落馬,新的經營管理團隊不斷透過各種管道釋出善意,另外各項改革的專案也因應而生。對於資安作業影響最大的,就是找了一個外部的稽核團隊,開始針對現有的資安環境進行查核。換另外一個角度想,最少新的管理階層有重視到資安的議題。負責這次查核的領隊,據說也是在某大顧問公司待了很長一段時間,熟悉各種產業的資安運作。也許是受查單位和稽核本來就有對立的關係存在,對於這些號稱經驗豐富的顧問,總是抱持著保留的態度,畢竟會動口的顧問還是為數不少。
開始查核的第一天,之前那種不確定感覺又更加強烈,在問到我們主要核心系統時,就在這邊轉不出來。對於一個電子商務公司,線上交易系統和ERP系統當然是我們最重要的應用軟體,但稽核卻對這個答案不滿意,覺得這些系統不重要,即便我們拿出風險評鑑和業務衝擊分析的資料來佐證,但稽核仍然覺得彼此間是沒有關連性的,甚至說這和業界公認的標準都不同。禮貌性的問他業界認為的核心系統是什麼,又在那邊高來高去,說每個公司都不一樣,這要看組織自己的定義。心中一把無名火頓時又開始燒了起來,只是礙於海外總公司的考量,不得已還是只能應付一下。

另外這次稽核的查核方式也讓我覺得和其他人不一樣,一般稽核查核,都會問我們目前做的現況,然後翻翻我們的作業規章,抽取一些樣本或是現場實地觀察。但這些方法好像對我們的稽核團隊完全不適用。在第一天和我們稍微談了一下之後,就沒有要其他訪談的安排,也沒有要看我們管理辦法,也不要我們準備日常執行的紀錄,反而都只要過去的專案計畫書,然後就關在會議室裏面不出來。這樣經過了兩、三天,還是按捺不住,總算找到一個機會去詢問稽核:「還有沒有什麼資料需要我們提供的?或是有沒有一些文件需要我們幫忙影印的,這樣你們在撰寫工作底稿時比較方便?」

「工作底稿?我們查核是不用寫底稿的,我們已經做了好幾個圖,有圓餅圖、長條圖,這樣就可以準備我們的報告了。」

真的不曉得是我才疏學淺,還是我們的稽核使用的技術太先進,居然可以不寫底稿就可以完成查核,連一般常用的查檢表也都不用,就可以準備出報告了。那這份報告真的可以展現出稽核的獨立性及完整性嗎?還是只是用稽核的名義,來為下一個案子打基礎呢?又或許是那位神人知道,有沒有海內外那個單位會頒發最佳稽核創新獎?像這樣創造了新的稽核理論架構,這位領隊得獎一定是當之無愧。