分類
Cissp-WentzWu D1-安全与風险管理

稽核(Audit)基本概念

稽核與保證 (Audit and Assurance)

稽核(audit)又稱為審計,是一個能提供保證(assurance)的組織功能(function)或職能(WUSON的翻譯)。保證是透過有力的證據(grounds)讓我們對某個東西(產品、服務或流程等)能消除疑慮、提升信心的過程。以財務稽核為例,會計師受託查核簽證財務報表,投資人對於組織財報編列是否允當才會有一定的信心。另外,ISO 9001的品質管理系統(QMS)或ISO 27001的資安管理系統(ISMS)等管理系統的驗證稽核(certification audit)也是保證制度的一環。

稽核單位

為什麼稽核可以帶來消除疑慮、提升信心的保證效果?除了稽核單位的獨立性(independence)外,稽核的過程講求客觀的(objective)證據(evidence)、明確的稽核準則(audit criteria)、協議的程序(agreed upon procedures)及文件化(documented)的過程也是主要的信心來源。稽核單位可分為第一方(first-party)、第二方(second-party)與第三方(third-party)。第一方是組織內部的稽核單位,而第二方(如客戶)與第三方(如ISO的驗證單位)則是組織外部的稽核單位。由於第二方稽核也是外部稽核(外稽),實務上常把外稽等同於第三方稽核是不正確的說法。值得一提的是,依據法令授權而進行稽核的主管機關或稽核單位可視為第三方。

內部稽核與治理 (Governance)

內部稽核通常是組織內部的稽核單位所進行。但為什麼組織內部的稽核單位能具備獨立性呢?這主要來自於治理(governance)與管理(management)分離的概念。管理是指達成目標(objectives)的系統化方法(如PDCA),組織內的每一個人都需要重視管理。然而,從狹義的觀點來看,組織最高階層的管理作為才能稱為治理。

以公司為例,公司的最高階層是董事會(board of directors),董事會的管理才稱為治理。董事會以外的東西則屬於管理的範疇,通常會交給董事會聘請來的CEO、總經理及其它高階主管所組成的高階管理團隊(senior/executive management)來進行。然而在WUSON的課程,我們的治理採廣義的說法,把董事會及高階管理團隊都視為治理階層,並統稱為”經營高層”。

稽核單位或部門的報告路線(reporting line)通常是對董事會下的稽核委員會(audit committee)報告;因此,稽核主管的選任通常也都是由稽核委員會所決定。換句話說,稽核可以視為代表董事會來確保組織能依法規及制度運作的單位,所以稽核主管對於CEO或總經理不是稽核業務的隸屬關係,其報告路線也只是行政上的報告(例如預算或場地需求等),而不是稽核業務的實質報告。

稽核專案集與專案 (Audit Program and Projects)

稽核單位每年會進行一次或多次的稽核。每一次的稽核都是一個專案(project),一個以上的稽核專案(audit project)就可進一步規劃成稽核專案集(audit program)。因此,如何作好稽核專案集管理(audit program management)是稽核單位的重頭戲。當然,小的組織一年可能只有進行一項、一次的稽核專案,它的audit program就等於audit project。每一次的稽核專案都必須作好應該有的稽核計畫(audit plan),詳列該次稽核的目標、範圍、準則、地點、方法、角色與職掌、所需的資源,以及是否需要先了解受稽方場地、設施與流程等議題。另外,在稽核計畫中亦可載明稽核報告除了符合及不符合事項外,亦需提供建議。

稽核委員會與稽核指導委員會

此外,重大的專案亦可以成立專案指導委員會(project steering committee)來指導專案的進行,以提供方向、決策及監督。稽核專案的指導委員會則稱為稽核指導委員會(audit steering committee)。有別於董事會常設之稽核委員會,稽核指導委員會是專案層級、視需要成立的非常設性委員會。以下為二個稽核指導委員會的例子:

  • “The Audit Committee has on numerous occasions highlighted these matters in our meetings as well as in internal audit steering committee meetings.” (George Municipality)
  • “The Audit Steering Committee continued to meet on a needs basis during the period in an endeavour to facilitate the audit process effectively. These meetings have addressed such matters as audit planning, coordination and related processes.” (WHO)

稽核的實施

實際稽核的進行通常是稽核團隊(audit team)從眾多的資訊來源(sources of information)進行抽樣(sampling)以取得稽核所需的證據(audit evidence),將其與稽核準則(audit criteria)進行比對後產出符合(conformity)或不符合(nonconformity)的稽核發現(audit finding),最後再根據稽核發現與考量稽核目標(audit objectives)後作出稽核結論(audit conclusion)與產出稽核報告。

WUSON的安全評鑑與稽核

WUSON課程談的稽核主要是安全控制措施的稽核,簡稱安全稽核;我們把安全稽核視為一種安全評鑑(security assessment),並把安全評鑑定義如下:

安全評鑑是一個透過查驗(examination)、訪談(interviewing)、測試(testing)等方法,來確保安全控制措施(security control)之符合性(compliance)與有效性(effectiveness),並且產出報告以作為改善(kaizen)依據的過程。

ISO 29011

最後,附上ISO 29011:2018, Guidelines for auditing management systems, 的定義供大家參考:

  • Audit
    systematic, independent and documented process for obtaining objective evidence and evaluating it objectively to determine the extent to which the audit criteria are fulfilled
  • Audit criteria
    set of requirements used as a reference against which objective evidence is compared
  • Objective evidence
    data supporting the existence or verity of something
  • Audit evidence
    records, statements of fact or other information, which are relevant to the audit criteria and verifiable
  • Audit findings
    results of the evaluation of the collected audit evidence (3.9) against audit criteria
  • Audit conclusion
    outcome of an audit, after consideration of the audit objectives and all audit findings

References

資料來源:https://medium.com/the-effective-cissp/%E7%A8%BD%E6%A0%B8-audit-%E5%9F%BA%E6%9C%AC%E6%A6%82%E5%BF%B5-315c937c0824

PS:此文章經由作者同意轉載。