最佳稽核創新獎

海外總公司被購併的傳言總算塵埃落定，台灣分公司當然也受到影響。總經理及財務主管立刻中箭落馬，新的經營管理團隊不斷透過各種管道釋出善意，另外各項改革的專案也因應而生。對於資安作業影響最大的，就是找了一個外部的稽核團隊，開始針對現有的資安環境進行查核。換另外一個角度想，最少新的管理階層有重視到資安的議題。負責這次查核的領隊，據說也是在某大顧問公司待了很長一段時間，熟悉各種產業的資安運作。也許是受查單位和稽核本來就有對立的關係存在，對於這些號稱經驗豐富的顧問，總是抱持著保留的態度，畢竟會動口的顧問還是為數不少。
開始查核的第一天，之前那種不確定感覺又更加強烈，在問到我們主要核心系統時，就在這邊轉不出來。對於一個電子商務公司，線上交易系統和ERP系統當然是我們最重要的應用軟體，但稽核卻對這個答案不滿意，覺得這些系統不重要，即便我們拿出風險評鑑和業務衝擊分析的資料來佐證，但稽核仍然覺得彼此間是沒有關連性的，甚至說這和業界公認的標準都不同。禮貌性的問他業界認為的核心系統是什麼，又在那邊高來高去，說每個公司都不一樣，這要看組織自己的定義。心中一把無名火頓時又開始燒了起來，只是礙於海外總公司的考量，不得已還是只能應付一下。

另外這次稽核的查核方式也讓我覺得和其他人不一樣，一般稽核查核，都會問我們目前做的現況，然後翻翻我們的作業規章，抽取一些樣本或是現場實地觀察。但這些方法好像對我們的稽核團隊完全不適用。在第一天和我們稍微談了一下之後，就沒有要其他訪談的安排，也沒有要看我們管理辦法，也不要我們準備日常執行的紀錄，反而都只要過去的專案計畫書，然後就關在會議室裏面不出來。這樣經過了兩、三天，還是按捺不住，總算找到一個機會去詢問稽核:「還有沒有什麼資料需要我們提供的？或是有沒有一些文件需要我們幫忙影印的，這樣你們在撰寫工作底稿時比較方便？」

「工作底稿？我們查核是不用寫底稿的，我們已經做了好幾個圖，有圓餅圖、長條圖，這樣就可以準備我們的報告了。」

真的不曉得是我才疏學淺，還是我們的稽核使用的技術太先進，居然可以不寫底稿就可以完成查核，連一般常用的查檢表也都不用，就可以準備出報告了。那這份報告真的可以展現出稽核的獨立性及完整性嗎？還是只是用稽核的名義，來為下一個案子打基礎呢？又或許是那位神人知道，有沒有海內外那個單位會頒發最佳稽核創新獎？像這樣創造了新的稽核理論架構，這位領隊得獎一定是當之無愧。