4 เคล็ดลับการเตรียมตัวสำหรับผู้ตรวจประเมินภายใน ISO 27001 Internal Auditor
Posted by
pryn
on
วันอังคารที่ 16 ธันวาคม พ.ศ. 2557
0
ผู้เขียน ปริญญ์ เสรีพงศ์ CISA CEH ISMS(IRCA)
Email : mr.pryn@gmail.com
1. ทำความเข้าใจข้อกำหนด (ISO 27001 Requirements):
ข้อนี้เป็นหัวใจสำคัญเลยทีเดียวของการเป็นผู้ตรวจประเมินภายใน ISO 27001 (Internal auditor ISO 27001) ย้ำว่าเข้าใจข้อกำหนด(ISMS Requirements) ไม่ถึงขนาดท่องจำได้ทุกข้อเพราะเรามีChecklist เป็นตัวช่วยสำคัญ
การที่ผู้ตรวจประเมิน(Auditor)มีความเข้าใจสามารถจับประเด็นสำคัญที่เป็นkeywordของข้อกำหนด จะช่วยให้้ประเมินสิ่งที่ตรวจพบ (Evidence)ได้อย่างมีประสิทธิภาพ และที่สำคัญเมื่อผู้ตรวจประเมินมีความเข้าใจ จะสามารถอธิบายสิ่งที่ไม่สอดคล้อง(หรือข้อบกพร่อง)ที่พบให้ผู้ถูกตรวจยอมรับได้
2. ทำความเข้าใจหน่วยงานที่จะต้องไปตรวจ (Auditee) : อย่างน้อยควรเข้าใจและเห็นภาพรวมพอสมควร เช่น หน่วยงานมีหน้าที่อะไร มีระบบงานอะไรบ้าง น่าจะมีภัยคุกคามและความเสี่ยงอะไรบ้าง(คร่าวๆ) ตรงนี้ผู้ตรวจประเมินฯอาจพอเดาได้ว่าน่าจะใช้เวลามากกับจุดไหนมากน้อยเท่าไร เช่นสัมภาษณ์และตรวจสอบเอกสาร 1 ชม. สำรวจสถานที่ปฏิบัติงาน 45 นาที เป็นต้น (จะใช้เวลามากหรือน้อยขึ้นอยู่กับภัยคุกคาม ความเสี่ยงและความซับซ้อน)
3. เตรียมคำถามหรือเช็คลิส (ISO 27001:2013 Checklist) : หลังจากที่ทำความเข้าใจหน่วยงานที่ได้รับมอบหมายให้ตรวจแล้ว auditor ก็มีภาระกิจสำคัญคือการเตรียมคำถาม ที่เรียกกันติดปากว่า Checklist นั่นเอง ... นี่ถือเป็นยาขมอย่างหนึ่งของการเป็นผู้ตรวจประเมิน เพราะหากไม่เข้าใจข้อกำหนดเพียงพอ ก็จะไม่รู้ว่าอะไรคือ Keyword สำคัญที่จะใช้เป็นคำถาม วิธีแก้ง่ายๆคือ ย้อนกลับไปดูข้อ 1 ครับ :)
หรือจะใช้ checklist จากคนอื่น(หาในเน็ท หรือจากที่ปรึกษา) ก็เป็นอีกทางเลือกนึงที่นิยมเพราะประหยัดเวลา จากประสบการณ์ในฐานะที่ปรึกษา ISO 27001 พบว่าหลายคนได้ checklist มาก็ลุยเลย คือไม่ได้ทำความเข้าใจข้อกำหนด พอถึงวันตรวจก็ถือ checklist ไปหน้างานแล้วอ่านคำถามจากChecklistทั้งดุ้น ปรากฏว่าคนถูกถามไม่เข้าใจ ไม่เข้าใจคำถามว่าอยากรู้อะไร จึงย้อนถามกลับมา คราวนี้งงกันทั้งคู่ !!
ทางแก้คือ ผู้ตรวจประเมิน (Internal Auditor) จะต้องทำความเข้าใจคำถาม และควรปรับภาษาจากภาษาเขียนให้เป็นภาษาพูด จะขอดูเอกสารอะไรหรือสัมภาษณ์ใครก็จดไว้ใน checklist ให้ชัดเจน
4. เรียบเรียงคำถาม : ควรเรียบเรียงคำถามให้เป็นไปตามลำดับงาน หรือกระบวนการทำงาน เช่น ถาม Audit ระบบงานจัดซื้อ ก็ควรวางคำถามตามลำดับขั้นตอนการจัดซื้อ เ่ช่น เริ่มจาก Purchase request แล้วไปต่อที่ Reveiw , approve เป็นต้น อย่าวางคำถามโดดไปโดดมา เพราะจะทำให้จับประเด็นได้ยาก และจะงงทั้งคนตรวจและคนถูกตรวจ .......
การเป็นผู้ตรวจประเมินภายใน ISO 27001 นั้นจำเป็นต้องมีีความรู้และทักษะเพียงพอ ซึ่งต้องเตรียมความพร้อมกันล่วงหน้าพอสมควร ในหลายองค์กรนิยมให้ผู้ตรวจประเมินระบบอื่นเช่น ระบบคุณภาพ ISO 9001 (ผ่านการอบรมข้อกำหนดหรือ หลักสูตรการตรวจประเมินภายใน ISO 27001)มาร่วมทีมตรวจ ซึ่งมีข้อดีคือ มีประสบการณ์และทักษะในการถาม การเรียกดูเอกสาร แต่อาจไม่มีความรู้เชิงลึกในด้านไอที ปัญหานี้แก้ได้ด้วยการจัดทีมให้มีผู้รู้ด้านไอทีร่วมทีมไปด้วยเป็นการเรียนรู้ไปด้วยกัน
ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
ISO 27001 Consultant สถาบันเพิ่มผลผลิตแห่งชาติ
pryn@ftpi.or.th
www.facebook.com/club27001
Tagged as:
About the Author
Write admin description here..
Get Updates
Subscribe to our e-mail newsletter to receive updates.
Share This Post
Related posts
0 ความคิดเห็น :