但是我們從職能的角度看,職能目的是為了協助公司達到營運目標,因此,我們可以發現凡是與公司有關的,包括風險管理、內部控制,內部相關的營運作業,與最後的檢查制度項目,是否有達到預定的效果與品質,這些效果是指要協助公司達到預定設定的目標是否有達成。
但是,從現今實際操作層面來看,稽核職能通常被限縮,有些時候是來自於本身認知上的問題,有時候是在董事會上未考量到。 因此莊盛祺表示,公司在治理架構上面,稽核的職能一定要發揮到一定的功效,我們的營運才能夠達到一定的水準,例如企業的競爭力提升,這是稽核組織章程要看到的地方,當稽核組織章程建立後,且會帶出無論是執行面或是標準面的基本的要求,使得日常該如實進行的工作則將會清晰的產生。
組織獨立性
ITAF的通用標準中的獨立性,表示當你身為稽核的時候,你就不可以實際去從事行政管理方面的工作,因為一旦從事行政管理的工作就會與稽核的角色有所衝突,會讓獨立性受到損傷。
莊盛祺表示,例如,企業內要做資訊安全的系統或是制度的規畫,內部人員不熟悉,剛好稽核人員又具有IT背景,就找稽核人員來協助制定資訊作業規範與實施,當一旦遇到進行資訊安全檢查時,這又該如何處理呢? 這就是獨立性喪失。除了資安部分,還有風險管理部分,也有些實際案例。稽核經常談風險,管理單位尤其是老闆,知道其他人不擅長風險處理,老闆就會指派稽核來執行,相對就產生了兩者角色相互的衝突。
稽核的客觀性
稽核單位檢查的時候,通常會跟人的喜好而有所不同,例如抽樣,經常會從稽核範圍思考我應該要擴展到什麼程度,才能覆蓋到稽核的品質,但是稽核單位必須要遵守,不能因為熟識朋友而跳過去,尤其是抽樣稽核這一環。
合理預期
我們會對查核項目的查核,經常會有最終結果的預期,如果我們對於查核項目結果沒有產出一定效果時,就無法規劃作業的程序,例如資安檢查中,是否有啟動log紀錄,如果沒有啟動log紀錄,那麼事後遇到的危險,則將無法追蹤,也無法勾稽出哪一個環節違反規定。
ITAF的通用標準,還有應盡專業上的注意,莊盛祺說在驗證資料的時候,是否有符合資料的一致性,如果稽核人員手上的資料是片段的,稽核人員沒有進行確認的動作,有可能會造成誤判或是做出錯誤的意見,因為在最後呈報稽核結果的時候,讓受查單位打臉或是錯誤解讀查核報告內容,這種狀況會經常發生,也同時告訴了我們不得忽視。
另外一項,業務熟練的標準,也是值得我們稽核人員留意的,查核事項多元化,例如資訊稽核項目中,查核防火牆,如果你不清楚防火牆的架構,功能與目的的時候,稽核人員去查核會產生許多風險,尤其是調查查核人員對於查核的背景,要有一定領域的知識認識與建立,而不能只聽過名詞,而是要了解其查核標的物的層次問題。
相關文章:
* 資訊稽核框架(下篇): ISACA ITAF國際資訊稽核實務準則-執行與報告標準
* 洞見未來– ISACA提出「數位信任生態系」框架
* 當個資外洩事件「變成」一種企業災難
* ISACA資訊技術風險框架,提高風險的認知
聯絡資訊 : Email: isaca@caa.org.tw Web: www.iscac.org.tw
謝謝您的閱讀,歡迎來信交流 irispan@cybersecurenews.com.tw
首圖來源: Image by Tumisu from Pixabay