ปัญหาที่พบบ่อยและวิธีป้องกันในการตรวจประเมินภายใน Internal Audit ISO 27001:2013

Posted by pryn on วันเสาร์ที่ 24 ตุลาคม พ.ศ. 2558 0


  •     เอกสารยังไม่เสร็จสมบูรณ์ทั้งระบบ มีเอกสารบางส่วนเสร็จก่อน ได้แจกจ่ายไปยังหน่วยงาน (บางทีแจกเช้าวัน Audit ก็เคยเจอ) ขณะเดียวกันเอกสารบางส่วนยังทำไม่เสร็จ
    วิธีป้องกัน :  เร่งทำเอกสารให้เสร็จ และแจกจ่ายให้หน่วยงานเอาไปศึกษาและปฏิบัติ (อย่างน้อย 2 อาทิตย์ก่อน Audit)
   
  •     หน่วยงานที่ถูกตรวจไม่ได้ปฏิบัติตามเอกสาร  ซึ่งมีหลายสาเหตุ ไม่ว่าจะเป็นกรณีเพิ่งได้รับเอกสาร หรือได้รับนานแล้วแต่ไม่สนใจ เพราะมีงานอื่นด่วนกว่า
    วิธีป้องกัน : CEO หรือผู้บริหารเบอร์ 1 ของหน่วยงาน  ประกาศRoadmap ว่าจะขอ Certificate อย่างเป็นทางการภายในสิ้นปี (กำหนดช่วงเวลาให้ชัดเจนไปเลย) แต่ละหน่วยงานก็จะรับรู้และให้ความสำคัญเพราะไม่อยากเป็นตัวถ่วง
   
  •     ผู้ตรวจประเมินภายใน ขาดทักษะในการตรวจเป็นปัญหาคลาสสิกเลยทีเดียว ส่วนใหญ่พอลงตรวจครั้งแรกก็มักเจอปัญหาไม่รู้จะถามอะไร จะดูอะไร เพราะยังใหม่กับระบบนี้
    วิธีป้องกัน : ควรเลือกผู้ตรวจฯที่มีประสบการณ์ตรวจประเมินระบบ ISO มาก่อนจะดีมาก เพราะหลักการเหมือนกันต่างกันแค่เนื้อหา  แต่ถ้าไม่มีก็เลือกคนที่มีประสบการณ์ทำงานอย่างน้อย 2ปี ซึ่งพอจะทำความเข้าใจหน่วยงานที่ไปตรวจได้ไม่ยาก   เคล็ดลับสำคัญของการจัดทีมตรวจประเมิน คือ แจกงานให้ผู้ตรวจทุกคนมีหัวข้อตรวจสอบเป็นของตัวเองอย่างชัดเจน และโฟกัสที่หัวข้อของตัวเองเป็นหลัก  วิธีนี้จะทำให้ผู้ตรวจมีสมาธิกับงานของตัวเอง  
   
  •     หน่วยงานที่ถูกตรวจ ไม่มีบันทึกหรือไม่มีเนื้องานให้ตรวจ ปัญหานี้เกิดจากเพิ่งเริ่มทำระบบได้ไม่นาน กิจกรรมบางอย่างยังไม่เกิดก็เลยไม่มีบันทึกหรือเนื้องานให้ตรวจ เช่น การตรวจสอบการถอนสิทธิ์ Access เข้าระบบงาน ภายหลังพนักงานลาออก กรณีนี้ถ้ายังไม่มีพนักงานลาออกก็ยังไม่มีบันทึกหรือเนื้องานให้ตรวจ
    วิธีป้องกัน :  ผู้ตรวจฯ สามารถสอบถามเชิงสมมติ เช่น สมมติว่ามีคนลาออกเมื่อวาน จะต้องทำอะไรบ้าง ให้เค้าอธิบายและแสดงวิธีการทำงานให้ดู เป็นต้น
   
  •     ผู้ตรวจประเมินภายใน บันทึกสิ่งที่พบ (Audit Finding) ไม่ชัดเจน สรุปไม่ได้ว่าเป็นข้อบกพร่องหรือปล่าว เกิดปัญหาตอนสรุปผลการตรวจ กรณีนี้ผู้ตรวจก็มักยกประโยชน์ให้จำเลย ไม่เขียนไว้ในรายงาน
    วิธีป้องกัน : ฝึกฝนผู้ตรวจประเมินให้มีทักษะการบันทึก  หลายๆองค์กรมีการซักซ้อมกันลงตรวจจริง ถ้าเจอปัญหาก็จะได้แก้ไขเสียก่อน
   
  •     เรื่องการจัดสรรเวลาสำหรับตรวจประเมินก็สำคัญ  หลายที่มักให้เวลาตรวจเท่าๆกัน เช่น 1.5 ชม. เท่ากันหมดทุกหน่วยงาน  แล้วก็มักเจอปัญหาบางหน่วยงานมีเนื้องานน้อย ตรวจจริงๆแค่ 45 นาที  ในขณะที่ บางหน่วยงานมีเนื้องานเยอะ เวลา 1.5 ชม.ตรวจได้แค่ครึ่งเดียวก็มี
    วิธีป้องกัน : ตอนกำหนดช่วงเวลาสำหรับตรวจประเมิน ให้ดูเนื้องานของหน่วยงานประกอบด้วย เช่น หากเป็นงานออฟฟิศหรืองานเชิงเอกสาร ไม่ได้ใช้ระบบงานที่ซับซ้อน แบบนี้ใช้เวลาไม่มาก 1 ชม. น่าจะพอ  แต่หากเป็นการตรวจหน่วยงานที่มีเนื้องานเยอะ เช่นหน่วยงานไอที   มีการเรียกดูข้อมูลหลายประเด็น ทั้งด้าน Hardware , Software และเรื่องเชิงเทคนิคในการจัดการความมั่งคงปลอดภัยของสารสนเทศ  เนื้องานเยอะแบบนี้ แน่นอนว่าต้องใช้เวลาเยอะกว่าการตรวจงานออฟฟิศทั่วไปแน่

Tagged as:
About the Author

Write admin description here..

Get Updates

Subscribe to our e-mail newsletter to receive updates.

Enter your email address:

Delivered by FeedBurner

Share This Post

Related posts

0 ความคิดเห็น :

back to top