作者：Jonathan DeVore 2021年10月13日

如何准备ISO审计程序（1个错误+5步解决方案）分享：编写ISO审计程序时的一个常见错误正如我之前所说，我曾在一家四大会计师事务所担任CPA。我的工作是审核IT安全政策和程序，确保它们符合NIST。

我经常看到的一个错误是，当经理们试图平衡为合规而写作和为绩效而写作时，他们几乎总是为审计员而不是最终用户编写程序。

这很有意义。当我进行审计时，步是将经理的政策和程序文件与NIST的要求进行比较。我注意到经理们经常复制NIST提供的模板。它们包括修订表、相关控件和从未有人使用过的花哨语言。

我不得不说，作为一名审计员，这些程序看起来令人印象深刻。这让我的评估过程变得非常简单！他们勾选了所有的方框，我会在报告中写下这样的话：“没有发现。”

2审核记录的ISO程序的方式，但问题是——您的程序不仅仅是根据它们是否包含某些信息进行评估。

还将根据员工遵守程序的程度对您的程序进行评估。作为一名审计员，这是我测试的第二部分。管理层是否在执行这些程序？

审核书面过程的主要方式有两种：

1。你的书面程序是否包含某些信息？此审核旨在确保您已将所有必需的合规性要素纳入记录的程序中。它会比较你的书面程序，以确保符合标准。这些标准可以包括范围、角色、责任等等。

通常情况下，公司专注于合规审计的这一部分。发生这种情况的一个原因是，编写符合标准的过程更容易。

管理机构为如何编写符合其标准的程序提供了大量ISO示例和模板。所以管理者们把这些模板取下来，填好，称之为好模板。

，但这些模板并不是为了帮助员工真正正确执行程序而设计的。从这个意义上说，模板是无用的。

在某种程度上，这些模板帮助公司在未来真正的测试即将到来时在预测试中作弊。说到真正的测试，这让我想到了第二种合规审计。

2。您的员工能否按照书面程序完成ISO合规任务？审核的第二部分是查看员工如何使用这些程序。最终，目标是员工可以按照指南完成程序中概述的各种任务。不幸的是，这是你年度审计的一部分，公司总是失败。根据我的经验，我花了很多时间写报告，因为员工没有遵循书面程序。这是因为管理者没有以帮助员工完成工作的方式编写程序。

事实上，当我们采访员工时，我们几乎总能了解到，他们创建了自己的程序，更容易遵循。问题是这些流氓程序没有得到批准，也没有包括满足法规遵从性的必要任务。

与

相关：6条改进和缩短标准操作程序的小贴士

5个通过年度审计的书面程序步骤

不是使用政府提供的模板，你可以通过创建自己的风格指南和模板来实现两个目的——通过书面SOP合规性和这些程序的应用。

这里有五个步骤，它们将指导您在满足文档要求的同时编写性能测试报告。

1.确定贵公司需要满足的ISO标准”首先，您需要了解ISO标准是什么。确定必须满足哪些标准才能符合，以及哪些行业标准适用于贵公司

KDSP”除了列出您的文档必须包含的内容外，还列出了员工需要做什么才能达到绩效标准

2.写一份初稿，重点是帮助员工实现合规性”KDSP“一旦你知道你需要在你的程序中包含的所有标准，在写你的政策和程序时做初稿。在这个初稿中，你将重点帮助员工执行，使他们合规。

这意味着您希望他们能够按照指南完成任务。为了帮助您清楚地传达过程中的操作，您可以包括屏幕截图、创建检查表或使用特殊格式。

相关：我的书面公司程序应该多长时间？

3。添加必要的组件，以满足ISO合规性要求。在准备最能支持员工的草案后，请查看指南。将你的草案与ISO标准的书面程序进行比较。勾选已经包含的组件。

然后填写缺少的合规性信息。在文档中包含必要的组件。这样，您的政策和程序就符合标准。

例如，您可能需要包括特定的程序信息、修订日期、审核人姓名、相关控制和程序等。

4。调整格式以提供清晰的，因为您已经添加了所有必要的组件，这可能会使您的员工更难遵循您的程序。再次检查你的程序。调整格式，使必要的组件不会妨碍员工的工作。

例如，我经常看到一个过程的前两页包含很多表和信息，而大多数员工在工作时并不关心这些表和信息。不要让员工四处寻找你的程序。把这种东西放在文件的底部。

提示：如果您使用在线知识库来记录您的程序，您可以利用文档审批系统等功能，或创建可显示或隐藏该信息的可折叠部分。

5。创建一个模板，供将来使用。一旦有了适合自己的格式，就可以创建一个模板，以便在每次需要创建新程序时使用。这将为您的员工提供一致的体验，并帮助您满足文档标准。

将复杂的合规程序转化为员工的简单指南（通过审核）。当您使用知识库创建、存储和共享ISO程序时，您可以更容易地编写更清晰的程序，以实现书面合规性和性能合规性。

如果错误不是一个选项——这是法规遵从性的真正目标——那么你需要的是员工在工作中实际使用的政策和程序。ScreenSteps可以轻松快速地记录复杂的过程。

具有交互式工作流文章、可折叠部分等功能，您可以包含所有必要的审核信息，而不会让员工感到不知所措。

认为知识库是帮助您记录ISO审核合规程序的正确解决方案？还是你在考虑换一个新的知识库？使用以下五个技巧，帮助您为公司选择正确的知识库软件。关于Jonathan DeVore

客户成功