الأخطاء التي يرتكبها مدققو ISO 27001

عندما تسعى المؤسسات للحصول على التوافق مع ISO 27001 ، فإنها تعتمد على المراجعين لمنحهم نصائح جيدة. في معظم الأوقات يفعلون ذلك بالضبط , هذا ما يدفع لهم للقيام به. ولكن كما هو الحال مع أي مهنة ، فإن بعض المراجعين أفضل من غيرهم.

كيف يمكنك معرفة ما إذا كان مدققك غير موثوق به؟ احترس من هذه الأخطاء:

1. يفرضون آرائهم دون حقائق

لماذا هذا سيء؟ ISO 27001 لديها قواعد واضحة حول كيفية تنفيذ متطلباتها. على الرغم من وجود مجال لتفسير مسار العمل الأفضل بالنسبة لك ، يجب دعم أي قرار بتعليمات في المعيار.
لسوء الحظ ، لدى بعض المدققين أفكار مسبقة عن أفضل الإستراتيجيات وسوف يوصون بممارسات معينة بغض النظر عن موقف مؤسستك. يجب عليك فقط اتباع النصائح إذا كان المدقق يستطيع شرح كيف يساعد في تلبية متطلبات الامتثال المحددة.

2. يبلغون عن النتائج ولكن لا يقدمون أدلة

لماذا هذا سيء؟ يجب على المدققين دائمًا تقديم دليل عند تسليط الضوء على مجالات عدم الامتثال. لا يلزم أن يكون دليلًا ماديًا ؛ حساب شاهد عيان سيفي بالغرض.
النقطة المهمة هي أن المدقق يحتاج إلى شيء ملموس يمكن أن يشير إليه ، بدلاً من الاستشهاد بانتهاك غامض أو "شعور" عام بعدم الامتثال.
يساعد هذا المنظمة على فهم ماهية الفشل بالضبط وما يجب عليها فعله لإصلاح المشكلة.

3. يضعون علامة على قوائم المراجعة دون النظر إلى الصورة الأكبر

لماذا هذا سيء؟ تعد قوائم المراجعة طريقة رائعة للتقييم السريع لما إذا كانت قائمة المتطلبات مستوفاة أم لا ، ولكن ما تقدمه بشكل ملائم يفتقر إلى التحليل المتعمق.
المنظمات مسؤولة عن معرفة أنه تم وضع علامة على أحد المتطلبات وتفترض أنه "تم إنجاز المهمة". ومع ذلك ، قد لا يزال هناك مجال لتحسين ممارساتك ، وقد يكون الأمر كذلك أن أنشطتك ليست ضرورية.
سيستخدم المدقق الجيد قائمة المراجعة كملخص في بداية أو نهاية تدقيقه ، مع تقييم أكثر تفصيلاً في تقريره ، أو سيستخدم نظامًا غير ثنائي لا يقيدهم على ذكر أن أحد المتطلبات أيضًا تم أو لم تتحقق.

4. يؤمنون بالأوراق ويتجاهلون الحقائق

لماذا هذا سيء؟ يمكن لأي مؤسسة إنشاء سياسات توضح التزامها بتلبية متطلبات ISO 27001 ، ولكن هذا لا يعني أن الموظفين يتبعون هذه التعليمات بالفعل.
قد يكون المدقق السيئ راضيًا عن طريق التوثيق وإلقاء نظرة خاطفة على ما إذا كان قد تم تنفيذه. يجب أن يكونوا أكثر صرامة من ذلك.
لا ينبغي أن يكون المدققون راضين عما تريد المنظمة أن يروه فقط ؛ يجب أن يحفروا بشكل أعمق للتحقق مما إذا كانت القواعد يتم اتباعها باستمرار.

5. يشعرون بأنهم مضطرون للبحث عن الأخطاء

لماذا هذا سيء؟ يحاول المدققون أحيانًا ختم سلطتهم من خلال الإشارة إلى مجالات عدم الامتثال في أسرع وقت ممكن. هذا ليس بالضرورة أمرًا سيئًا ، لكنه إذا كانوا يبالغون في حجم النقص لإثبات نقطة ما.
لا ينبغي أن يستغرق المدقق الجيد وقتًا طويلاً ليجد أخطاء حقيقية ، حتى أن أفضل مؤسسة استعدادًا سيكون لديها مجال للتحسينات.
يجب على المدققين وضع ذلك في الاعتبار في بداية تقييمهم ، وإلا سينتهي بهم الأمر بقائمة طويلة غير عادلة من الأخطاء أو تفسير غير متسق للمتطلبات.

6. أنها تسمح بخفض التكاليف لتجويع التدقيق

لماذا هذا سيء؟ يحدث هذا الخطأ في كثير من الأحيان في عمليات التدقيق الداخلي ، حيث تقر المنظمات بالحاجة إلى تقييم ممارساتها ولكنها غير قادرة أو غير راغبة في توفير الموارد اللازمة.
ستؤدي عملية التدقيق التي تعاني من نقص التمويل إلى نتائج مستعجلة وغير مكتملة ذات قيمة قليلة ، وسيتمكن المدقق الجيد من معرفة ما إذا كان حجم المشروع كبيرًا جدًا بالنسبة لما تم تحديده في الميزانية.

7. يستخدمون التدقيق لإنشاء عمل استشاري

لماذا هذا سيء؟ بعد الانتهاء من تقييمهم ، يعرف المدقق بالضبط كيف تعمل مؤسستك وأين توجد حالات عدم امتثالها ، لذلك قد تتساءل عن سبب عدم ملاءمتها للتشاور معك حول كيفية تصحيح هذه الأخطاء.
من الناحية النظرية ، فهي مناسبة تمامًا. لديك بالفعل علاقة عمل وستوفر الوقت في البحث عن مستشار وإطلاعه على احتياجات مؤسستك بسرعة.
لسوء الحظ ، من الواضح أن هناك تضاربًا في المصالح في هذه العلاقة ، حيث أنك تخاطر بالسماح للمدقق بالتلاعب في النتائج التي توصل إليها لإقناعك باستخدامها كمستشار.
لذلك من الأفضل عمومًا أن يكون لديك عينان آخرتان كمستشار خاص بك. قد يكون اختيار زميل في نفس المنظمة بمثابة حل وسط جيد ، لأنه يسمح لك بالبناء على علاقتك بهذا العمل.

ممارسات التدقيق الجيدة

يصف إطار ISO 19011 المبادئ التي يجب على جميع مدققي أنظمة الإدارة العمل وفقًا لها: النزاهة ، والعرض العادل ، والعناية المهنية الواجبة ، والسرية ، والاستقلالية ، والنهج القائم على الأدلة.
إذا تم استخدامها بجد ، يمكن لهذه المبادئ القضاء على الممارسات السيئة.