-
個人資料保護專欄(二十九)-個人資料保護管理系統稽核(二)
1.擬定稽核計劃或方案:
稽核工作需要事先的規劃與準備,並將下列事項列入考慮:
1.1排定稽核計劃
組織可依其內部已制定之稽核程序,每年排出其年度系統稽核計劃,或者亦可依其組織新執行某一項管理系統的計劃或方案後,編排稽核計劃。
組織初開始執行個人資料保護管理系統後,得選擇執行稽核作業,以確認特定規定的事項或程序均已納入此管理系統計劃或方案。例如,組織推動個人資料保護管理系統因應或驗證,待管理系統程序建置完成後即實施稽核作業,用以確定個人資料保護管理系統之國際標準或因應作業之要求均已納入組織的管理體系中。
若組織個人資料保護管理系統或個資保護因應作業已經由管理系統稽核作業認可,並且經歷一段時間運作,則可安排符合性(一致性)內部稽核。
內部稽核計劃應包含項目:
(1)稽核目標:例如,確認個人資料保護管理系統或個資作業是否符合稽核準則、確認個人資料保護管理系統或個資作業是否適當地執行與維持。
(2)選定稽核之範圍:例如,預定稽核之部門或區域、有哪些危害/風險(適用含有風險管理之管理系統)應注意…。
(3)預定執行稽核之頻率:例如,每季一次、每半年一次、每年一次…等。
(4)不定期稽核:例如,當有不可接受風險改變、法規改變、個資作業改變、管理系統要求(高階主管或個資異常狀況太多時,可以安排臨時的突然稽核)。
1.2編排細部稽核排程及確定稽核時程。
根據年度稽核計劃於執行稽核前二週(至少一週前)需要排定細部稽核排程,並事先聯絡安排合格之稽核員,並應包含下列項目:
(1)稽核日期與時間;
(2)稽核員之成員指派/安排;
(3)稽核小組長指(推)派;
(4)稽核之區域及負責人;
(5)稽核之範圍與項目。
排定細部稽核排程後,必須事先諮詢受稽核單位之業務狀況,並確定該區域得指派負責人員給予稽核作業支援。
1.3通知接受稽核單位及負責人員:
稽核計劃必須經組織管理階層簽署後發給相關單位,予以事先知會,細部之書面稽核排程一經確定,也應於稽核活動前一星期送達受稽核單位。
1.4取得與稽核相關之文件:
細部的稽核排程經確定,指定之稽核員可就受稽核單位之業務予以事先了解,並可要求受稽核單位提供與稽核相關之文件,以便事先瀏覽及製作稽核查檢表。
與稽核相關之文件包含:
(1)手冊(如有制定);
(2)程序書;
(3)作業規範;
(4)與個資保護管理系統有關管理規定;
(5)未結案之改正措施。
1.5準備稽核查檢表
「稽核查檢表」可依據有關之管理文件、稽核準則、管理系統之條文項目要求及受稽核單位提供上次稽核活動之紀錄來製作準備。
編訂稽核查檢表之前,稽核員必須藉著詳細閱讀有關文件,以促使稽核員熟悉被稽核單位各項業務及作業流程。
「稽核查檢表」可以當作一項輔助記憶的工具,來提醒稽核員必須取得那些情報資訊,來確認那些觀察到的事實。
表九、稽核查檢表
受稽核部門 |
稽核日期 |
年 月 日 |
||||
稽 核 員 |
文件編號名稱 |
|||||
項次 |
稽核項目內容 | 判定 | 狀況說明 |
不符合報告編號 |
||
OK | NG | NA | ||||
2.執行內部稽核作業
內部稽核排程確定,且稽核人員完成稽核查檢表,稽核小組則可依照排程日程,抵達受稽核單位執行稽核,稽核作業也許是一天,或超過一天以上。
每次稽核第一天時間都需安排「起始會議」,時間安排不宜太長,目的是讓受稽核單位人員於執行稽核之前,有時間能做好其本職之業務安排,以避免佔用稽核時間。
同樣地,稽核作業結束後,稽核小組須召開「總結會議」,全盤討論內稽核過程中的優點、注意及改善事項。
2.1召開起始會議:
起始會議之目的應包含下列各項:
(1)說明稽核之目的與範圍;
(2)說明排程表;
(3)確定受稽核單位陪同人員;
(4)暫定總結會議時間。
2.2展開稽核作業:
使用事先準備妥善的稽核查檢表,作為稽核作業之輔助工具,方便於稽核過程中查核到受稽單位執行之狀況,避免遺漏。
執行稽核作業時,在受稽核單位觀察到之現象,應詳細登錄於稽核查檢表上,其內容應包含:
(1)相關文件(表單)的文號、日期;
(2)所查閱現況之詳細敘述(包括符合與不符合事項等)。