ปัญหาที่พบบ่อยและวิธีป้องกันในการตรวจประเมินภายใน Internal Audit ISO 27001:2013
Posted by
pryn
on
วันเสาร์ที่ 24 ตุลาคม พ.ศ. 2558
0
ผู้เขียน ปริญญ์ เสรีพงศ์ CISA CEH ISMS(IRCA)
Email : mr.pryn@gmail.com
- เอกสารยังไม่เสร็จสมบูรณ์ทั้งระบบ มีเอกสารบางส่วนเสร็จก่อน ได้แจกจ่ายไปยังหน่วยงาน (บางทีแจกเช้าวัน Audit ก็เคยเจอ) ขณะเดียวกันเอกสารบางส่วนยังทำไม่เสร็จ
วิธีป้องกัน : เร่งทำเอกสารให้เสร็จ และแจกจ่ายให้หน่วยงานเอาไปศึกษาและปฏิบัติ (อย่างน้อย 2 อาทิตย์ก่อน Audit)
- หน่วยงานที่ถูกตรวจไม่ได้ปฏิบัติตามเอกสาร ซึ่งมีหลายสาเหตุ ไม่ว่าจะเป็นกรณีเพิ่งได้รับเอกสาร หรือได้รับนานแล้วแต่ไม่สนใจ เพราะมีงานอื่นด่วนกว่า
วิธีป้องกัน : CEO หรือผู้บริหารเบอร์ 1 ของหน่วยงาน ประกาศRoadmap ว่าจะขอ Certificate อย่างเป็นทางการภายในสิ้นปี (กำหนดช่วงเวลาให้ชัดเจนไปเลย) แต่ละหน่วยงานก็จะรับรู้และให้ความสำคัญเพราะไม่อยากเป็นตัวถ่วง
- ผู้ตรวจประเมินภายใน ขาดทักษะในการตรวจเป็นปัญหาคลาสสิกเลยทีเดียว ส่วนใหญ่พอลงตรวจครั้งแรกก็มักเจอปัญหาไม่รู้จะถามอะไร จะดูอะไร เพราะยังใหม่กับระบบนี้
วิธีป้องกัน : ควรเลือกผู้ตรวจฯที่มีประสบการณ์ตรวจประเมินระบบ ISO มาก่อนจะดีมาก เพราะหลักการเหมือนกันต่างกันแค่เนื้อหา แต่ถ้าไม่มีก็เลือกคนที่มีประสบการณ์ทำงานอย่างน้อย 2ปี ซึ่งพอจะทำความเข้าใจหน่วยงานที่ไปตรวจได้ไม่ยาก เคล็ดลับสำคัญของการจัดทีมตรวจประเมิน คือ แจกงานให้ผู้ตรวจทุกคนมีหัวข้อตรวจสอบเป็นของตัวเองอย่างชัดเจน และโฟกัสที่หัวข้อของตัวเองเป็นหลัก วิธีนี้จะทำให้ผู้ตรวจมีสมาธิกับงานของตัวเอง
- หน่วยงานที่ถูกตรวจ ไม่มีบันทึกหรือไม่มีเนื้องานให้ตรวจ ปัญหานี้เกิดจากเพิ่งเริ่มทำระบบได้ไม่นาน กิจกรรมบางอย่างยังไม่เกิดก็เลยไม่มีบันทึกหรือเนื้องานให้ตรวจ เช่น การตรวจสอบการถอนสิทธิ์ Access เข้าระบบงาน ภายหลังพนักงานลาออก กรณีนี้ถ้ายังไม่มีพนักงานลาออกก็ยังไม่มีบันทึกหรือเนื้องานให้ตรวจ
วิธีป้องกัน : ผู้ตรวจฯ สามารถสอบถามเชิงสมมติ เช่น สมมติว่ามีคนลาออกเมื่อวาน จะต้องทำอะไรบ้าง ให้เค้าอธิบายและแสดงวิธีการทำงานให้ดู เป็นต้น
- ผู้ตรวจประเมินภายใน บันทึกสิ่งที่พบ (Audit Finding) ไม่ชัดเจน สรุปไม่ได้ว่าเป็นข้อบกพร่องหรือปล่าว เกิดปัญหาตอนสรุปผลการตรวจ กรณีนี้ผู้ตรวจก็มักยกประโยชน์ให้จำเลย ไม่เขียนไว้ในรายงาน
วิธีป้องกัน : ฝึกฝนผู้ตรวจประเมินให้มีทักษะการบันทึก หลายๆองค์กรมีการซักซ้อมกันลงตรวจจริง ถ้าเจอปัญหาก็จะได้แก้ไขเสียก่อน
- เรื่องการจัดสรรเวลาสำหรับตรวจประเมินก็สำคัญ หลายที่มักให้เวลาตรวจเท่าๆกัน เช่น 1.5 ชม. เท่ากันหมดทุกหน่วยงาน แล้วก็มักเจอปัญหาบางหน่วยงานมีเนื้องานน้อย ตรวจจริงๆแค่ 45 นาที ในขณะที่ บางหน่วยงานมีเนื้องานเยอะ เวลา 1.5 ชม.ตรวจได้แค่ครึ่งเดียวก็มี
วิธีป้องกัน : ตอนกำหนดช่วงเวลาสำหรับตรวจประเมิน ให้ดูเนื้องานของหน่วยงานประกอบด้วย เช่น หากเป็นงานออฟฟิศหรืองานเชิงเอกสาร ไม่ได้ใช้ระบบงานที่ซับซ้อน แบบนี้ใช้เวลาไม่มาก 1 ชม. น่าจะพอ แต่หากเป็นการตรวจหน่วยงานที่มีเนื้องานเยอะ เช่นหน่วยงานไอที มีการเรียกดูข้อมูลหลายประเด็น ทั้งด้าน Hardware , Software และเรื่องเชิงเทคนิคในการจัดการความมั่งคงปลอดภัยของสารสนเทศ เนื้องานเยอะแบบนี้ แน่นอนว่าต้องใช้เวลาเยอะกว่าการตรวจงานออฟฟิศทั่วไปแน่
Tagged as:
About the Author
Write admin description here..
Get Updates
Subscribe to our e-mail newsletter to receive updates.
Share This Post
Related posts
0 ความคิดเห็น :