سازمان بینالمللی استاندارد (ایزو) یک رهبر جهانی در توسعه استانداردها در صنایع مختلف برای نگهداری محصولات و فرایندها به صورت ایمن، مؤثر و پایدار است. بسیاری از استانداردهای ایزو مانند ایزو 27001 و ایزو 9001 قابلیت ارائه گواهینامه دارند. خواه شما به دنبال دریافت گواهینامه باشید یا صرفا حس اطمینانی که با دریافت استاندارد ایزو همراه است، یک حسابرسی ایزو میتواند به روشهای متعددی به سازمان شما سود برساند.
این مقاله همه مواردی که در مورد حسابرسیهای ایزو نیاز دارید را توضیح میدهد. انواع مختلف حسابرسیهایی را که ممکن است استفاده کنید، تجزیه و تحلیل میکند. و نهایتاً به شما یک راهنما جهت آماده شدن برای حسابرسیهای داخلی و خارجی ایزو ارائه میدهد.
حسابرسی ایزو چیست؟
حسابرسی ایزو، حسابرسی سازمان شما با یکی از استانداردهای تعیین شده توسط سازمان بینالمللی استاندارد (ایزو) است. ایزو یک سازمان غیردولتی مستقر در ژنو سوئیس است که استانداردهای بینالمللی و چارچوبهای کنترلی را که بهترین شیوههای صنعتی را هدایت میکند، توسعه میدهد.
ایزو به ارتقاء مستمر تاکید دارد و هر استاندارد را هر پنج سال یک بار بازبینی میکند. حسابرسی ایزو، سیستمهای شرکت شما را در برابر هر یک از استانداردهای ایزو ارزیابی و اندازهگیری میکند. چند استاندارد که میتوان آنها را از طریق حسابرسی شخص ثالث دریافت کرد عبارتند از:
- ایزو 9001: استانداردها برای سیستمهای مدیریت کیفیت
- ایزو/آیایسی 27001: استانداردها برای سیستمهای مدیریت امنیت اطلاعات
- ایزو 14001: استانداردها برای سیستمهای مدیریت زیستمحیطی
- ایزو 50001: استانداردها برای سیستمهای مدیریت انرژی
- ایزو 45001: استانداردها برای سیستمهای مدیریت بهداشت و ایمنی شغلی
- ایزو 13485: استانداردها برای وسایل پزشکی
- ایزو 22000: استانداردها برای سیستمهای مدیریت ایمنی غذا
تمایز بین “رعایت ایزو” و “گواهینامه ایزو” این است که رعایت ایزو شامل اجرای شیوهها، فرایندهای کسب و کار و سیاستهایی است که با یک یا چند استاندارد هدف ایزو همسو هستند، اما نیازی به حسابرسی رسمی شخص ثالث ندارد. گواهینامه ایزو شامل همه موارد بالا به علاوه حسابرسی رسمی شخص ثالث توسط حسابرسان مورد تایید ایزو است. با این حال، رعایت ایزو نیز همچنان میتواند شامل حسابرسیها باشد. اگر چه این حسابرسیها ممکن است توسط حسابرسان داخلی به جای حسابرسان خارجی انجام شوند.
چرا حسابرسی ایزو مهم است؟
حسابرسیهای ایزو به چند دلیل مهم هستند: یک حسابرس میتواند به شما بگوید که آیا الزامات رعایت ایزو را برآورده میکنید یا خیر و این میتواند نقاط ضعف عملیات سازمان شما را آشکار کند، به طوری که شما بتوانید قویترین استراتژی مدیریت ریسک ممکن را توسعه دهید. این حسابرسیها میتوانند حوزههایی که استاندارد در آنها رعایت نشده را شناسایی کنند و برای اقدامات اصلاحی به منظور بهتر برآورده کردن الزامات ایزو توصیه کنند. حسابرسی ایزو میتواند بخشی از مراحل اولیه یک طرح ارزیابی ریسک باشد، اما همچنین میتواند شما را در توسعه سیستمهای جدید یا نزدیک شدن به مشتریان جدید یاری رساند. برنامه حسابرسی درست همچنین میتواند شما را به سمت دریافت گواهینامه ایزو پیش ببرد.
انواع حسابرسی ایزو کدام است؟
سه نوع حسابرسی ایزو وجود دارد:
- حسابرسی داخلی (حسابرسی شخص اول)
- حسابرسی تأمینکننده (حسابرسی شخص دوم)
- حسابرسی خارجی (حسابرسی شخص سوم).
انتخاب نوع حسابرسی شما بسته به اهداف رعایت و گواهینامهی شما، دامنه، مقیاس و بودجه شما تغییر خواهد کرد. به خاطر داشته باشید که گواهینامه ایزو فقط میتواند با مشارکت با یک حسابرس خارجی و شخص ثالث که دارای اعتبارنامههای مناسب برای انجام حسابرسی است، به دست آید.
در حالی که تعدادی از استانداردهای ایزو وجود دارد که میتوان آنها را حسابرسی کرد، مشخص کردن دامنه و هدف یک پروژه حسابرسی همیشه مهم است. حسابرسی طراحی شده برای ارزیابی سیستم مدیریت کیفیت (QMS) و سیاستهای کیفیت یک سازمان، ممکن است بهترین مکان برای حسابرسی الزامات قانونی دیگر نباشد. با این حال، یک حسابرسی ایده آل میتواند با یک تیر چند نشان بزند، مخصوصاً اگر بین استانداردها همپوشانی وجود داشته باشد. ارزیابی همزمان یک استاندارد با دیگری را نادیده نگیرید.
1. حسابرسیهای داخلی (حسابرسیهای شخص اول)
یک حسابرسی داخلی ایزو میتواند توسط یک حسابرس تعیین شده در داخل شرکت شما انجام شود.اگر رعایت ایزو هدف شما باشد، یک حسابرسی داخلی ممکن است برای اطمینان از اینکه شرکت شما استانداردهای ایزو را به عنوان الگویی برای فرایندها پذیرفته است، کافی باشد. از یک چک لیست حسابرسی داخلی برای بررسی اینکه سیستمهای سازمان شما تا چه حد با دستورالعملهای ایزو مطابقت دارند، استفاده کنید.
حسابرسیهای داخلی پیش نیاز مهمی برای دریافت گواهینامه ایزو، نظارت یا تمدید گواهینامه است. مانند تمام پروژههای حسابرسی داخلی، یک سازمان باید پیگیر نتیجه حسابرسی و به دنبال اقدام اصلاحی در هر جای ممکن و مورد نیاز مجموعه باشد و مدیران را در جریان رعایت یا عدم رعایت استانداردها قرار دهد. به طور کلی، نتایج حسابرسی میتواند و باید با ذینفعان مناسب به اشتراک گذاشته شود تا فرهنگ بهبود مستمر تشویق شود. این موضوع در مورد تمام حسابرسیها صدق میکند، نه فقط حسابرسیهای داخلی.
2. حسابرسی تأمینکننده (حسابرسی شخص دوم)
حسابرسی تأمینکننده، حسابرسیهایی هستند که توسط یک شرکت خریدار بر روی تأمینکنندگان یا ارائهدهندگان زنجیره تأمین خود انجام میشود. این حسابرسیها در یک دنیای متصل به هم که بسیاری از کسب و کارها به کسب و کارهای دیگر برای ارائه خدمات، مواد و محصولات کلیدی وابسته هستند، بسیار حیاتی است. ریسکهای یک تأمینکننده به راحتی میتواند به ریسکهایی برای شرکت خریدار تبدیل شود، به ویژه اگر آنها رابطه بلندمدتی با تأمینکننده مختل یا غیرمطابق با استانداردها داشته باشند.
در واقع، بسیاری از نقضهای امنیت سایبری اخیر، نه از سازمان هدف، بلکه از تأمینکنندگان آنها ناشی شده است. انجام حسابرسیهای تأمینکننده ممکن است یک گام ضروری برای کسب و حفظ رعایت ایزو باشد و یک بهترین شیوه برای سازمانهایی است که به شدت برای عملیات روزانه خود به تأمینکنندگان وابسته هستند.
3. حسابرسی خارجی
حسابرسیهای خارجی توسط حسابرسان شخص ثالث برای ارزیابی رعایت ایزو یک سازمان انجام میشود. چند نوع حسابرسی خارجی در ارتباط با استانداردهای ایزو وجود دارد که اغلب نیاز به رعایت تمام اعضای زنجیره تأمین دارند. حسابرسیهای گواهینامه ایزو و نظارت بر آنها نیز تحت چتر “حسابرسی خارجی” قرار میگیرند.
گواهینامه حسابرسی و تمدید آن
استانداردهای ایزو که گواهینامه ارائه میکنند، نیاز به یک حسابرسی ویژه دارند — هنگامی که شما به دنبال دریافت گواهینامه برای یک استاندارد مانند ایزو 27001 هستید، یک نهاد گواهیدهنده حسابرسی انجام خواهد داد و گواهینامه رعایت استاندارد را صادر خواهد کرد که به مدت سه سال معتبر است.
در مقابل، سازمان شما متعهد میشود که فرایندها، کنترلهای محصول و سیستمهایی را که توسط آن گواهینامه پوشش داده میشوند، حفظ کند. برای ایزو 27001، شما ملزم به حفظ سیستم مدیریت امنیت اطلاعات خود به مدت سه سال خواهید بود، که حسابرسی گواهینامه اولیه کل سیستم مدیریت امنیت اطلاعات را با تمرکز بر سیاستها و روالها بررسی میکند، و دو سال بعدی حسابرسیهای نظارت را شامل میشود که کمی کمتر دشوار از حسابرسیهای گواهینامه و تمدید گواهینامه هستند. در حسابرسیهای گواهینامه ایزو، و در واقع حسابرسیها به طور کلی، کنترل مدارک باید به عنوان یک نقطه تمرکز باقی بماند.
حسابرسیهای نظارتی
بعد از اینکه سازمان شما گواهینامه ایزو را کسب کرد، باید حداقل یک بار در سال تا قبل از حسابرسی تمدید گواهینامه خود، حسابرسیهای نظارتی را با نهاد گواهیدهنده برنامهریزی کنید. یک حسابرسی نظارتی شامل بررسی و مدیریت هر گونه اقدامی است که سازمان برای کاهش یا اصلاح عدم انطباقهای قبلی و بررسی پاسخ سازمان به توصیههای حسابرسیهای داخلی انجام داده است. پس از دو سال حسابرسی نظارتی، یک سازمان باید حسابرسی تمدید گواهینامه دیگری را با دقیقا یا تقریباً همان دشواری مانند حسابرسی گواهینامه اولیه تجربه کند. پس از آن این فرایند در یک چرخه 3 مرحلهای تکرار میشود.
حسابرسی ایزو چگونه میتواند انجام شود؟
بسته به نوع حسابرسی، یک حسابرسی ایزو میتواند به صورت حضوری یا از راه دور انجام شود. یک حسابرسی داخلی میتواند به عنوان یک خود-حسابرسی توسط سازمان انجام شود و میتواند به صورت حضوری یا از راه دور انجام شود. برخی از حسابرسیهای خارجی نیز میتوانند به صورت دورکاری انجام شوند. با این حال، هر حسابرسی گواهینامه یا نظارت باید توسط یک ثبتکننده به صورت حضوری انجام شود. در برخی موارد، کسب و کارها (مانند شرکتهای نوپا) ممکن است حضور فیزیکی نداشته باشند و کاملاً مجازی یا از راه دور عمل کنند. با حسابرسان خارجی خود برای تعیین اینکه آیا یک حسابرسی از راه دور کافی است یا اینکه برنامهای برای آوردن حسابرسان به محل نیاز است، تماس بگیرید.
در طول یک حسابرسی ایزو چه اتفاقی میافتد؟
حسابرسیهای ایزو بر سیستمها، محصولات یا فرایندها تمرکز دارند؛ مراحل دقیق بسته به اینکه آیا یک حسابرس در حال ارزیابی یک سیستم مدیریت امنیت اطلاعات (ISMS)، سیستم مدیریت کیفیت (QMS) یا سایر انواع سیستمهای مدیریتی مطابق با استاندارد هدف ایزو است، متفاوت خواهد بود. صرفنظر از اینکه شما یک حسابرسی داخلی یا خارجی ایزو را انجام میدهید، حسابرسان سیستمهای شما را در برابر یک چک لیست حسابرسی آزمایش میکنند، تعیین میکنند که آیا عملیات روزانه با استانداردها همخوانی دارد و پیشرفت در کاهش شکافها یا عدم انطباقهای قبلی را ارزیابی میکنند.
چگونه برای حسابرسی ایزو آماده شوم؟
هنگام انجام حسابرسی ایزو، آمادگی اولیه یک مرحله کلیدی است — هر حسابرسی که انجام میدهید به شما کمک میکند تا برای بعدی آماده شوید. حسابرسیهای داخلی به شما کمک میکند تا برای حسابرسیهای گواهینامه، تمدید گواهینامه و نظارت آماده شوید، و حسابرسیهای نظارتی به شما کمک میکند تا برای حسابرسیهای تمدید گواهینامه آماده شوید. ما در زیر برخی نکات را برای اولین حسابرسی ایزو شما خلاصه کردهایم.
5 نکته برای آماده شدن برای حسابرسی ایزو
آماده شدن برای هر نوع حسابرسی ظرایف و ریسک خاص خود را دارد و حرفهایهای حسابرسی، ریسک و رعایت نیز ترجیحات خاص خود را دارند. از نظر شروع آمادهسازی برای یک حسابرسی ایزو، مهم است که 1) اهداف خود را تعیین کنید، 2) یک برنامه حسابرسی ایجاد کنید، 3) چک لیستهای حسابرسی خود را جمعآوری کنید، 4) منظم باشید و 5) ابتدا حسابرسیهای داخلی را انجام دهید!
1. اهداف خود را تعیین کنید
قبل از شروع هر پروژه مهمی، تعیین اهداف و نتایج مورد نظر یک ایده خوب است. بدون داشتن یک جهت مشخص برای حرکت، درک و ارتباط اینکه چرا سازمان شما این کار را انجام میدهد، میتواند دشوار باشد. اگر هدف شما کسب گواهینامه است، بهتر است این هدف را هنگام ایجاد برنامه حسابرسی خود در نظر داشته باشید. کسب گواهینامه ممکن است زمانبر باشد، بیشتر از صرف رعایت، به ویژه هنگامی که تجزیه و تحلیل شکاف و کاهش عدم انطباق را انجام میدهید. آگاهی از هدف شما برای کسب گواهی، به شما کمک میکند تا انرژی خود را متمرکز کنید و در طول حسابرسی ایزو زمان و هزینه صرفهجویی کنید.
2. یک برنامه حسابرسی ایجاد کنید
برنامهای برای حسابرسیهای خود از جمله برنامه زمانبندی برای گواهینامه، اگر آن هدف شماست، ایجاد کنید — و به آن متعهد بمانید. اهداف پروژه بزرگتر را به معیارهای کوچکتر تقسیم کنید و فعالیتها را به پرسنل مناسب با صلاحیتهای درست تفویض کنید. ابتدا با برنامه زمانبندی حسابرسی داخلی خود شروع کنید، انعطافپذیری برای انجام پروژهها یا رفع مشکلات ایجاد کنید و به سمت یک برنامه زمانبندی تخمینی برای ارتباط با نهاد گواهیدهنده حرکت کنید.
3. چک لیستهای حسابرسی را جمعآوری کنید
چک لیستهای حسابرسی شما را گام به گام از طریق فرایند حسابرسی قابل اجرا به دستورالعملهای ایزو مورد استفاده شما هدایت میکنند. به طور کلی، چک لیست حسابرسی اطمینان حاصل میکند که شما درک کنید حسابرسی چگونه به اهداف و زمینه کلی کسب و کار شما مربوط میشود. به طور جزئی، آن هر بخشی از استاندارد اختصاصی ایزو را که به دنبال رعایت آن هستید، پوشش میدهد و ارزیابی میکند که آیا شما این الزامات را برآورده میکنید یا نیاز به اصلاح سیستمها، فرایندها یا محصولات خود دارید. بهروز رسانی منظم چک لیستهای حسابرسی برای پیگیری استانداردهای بهروز شده و تغییرات در بهترین شیوهها مهم است.
4. منظم باشید
اگر قصد دارید یک حسابرس شخص ثالث را به محیط کاری خود دعوت کنید، اگر آن فضا خوب سازماندهی و تمیز باشد، کمککننده است. حفظ کنترل مدرک خوب و آماده کردن اسناد برای بررسی، زمان لازم برای انجام حسابرسی را کوتاه میکند و به حسابرس شما کمک میکند تا کار را بهینه کند تا بهترین بازخورد ممکن برای بهبود را ارائه دهد. در نهایت، فقدان شواهد میتواند باعث عقبافتادگی حسابرسی شما شود، بنابراین توانایی یافتن آنچه هنگام نیاز به آن نیاز دارید، میتواند فرایند حسابرسی را روانتر کند.
5. ابتدا حسابرسیهای داخلی را انجام دهید
دوباره، یک حسابرسی داخلی بهترین آمادگی شما برای حسابرسی خارجی، گواهینامه یا نظارت است. حسابرسان میخواهند در مورد پیشرفت شما به سمت اهدافتان و بهبود سیستمهای شما برای همسو شدن با استانداردهای ایزو بدانند. یک حسابرسی داخلی آن فرایند را شروع میکند و به حسابرسان شما نشان میدهد که سازمان شما در مورد رعایت ایزو جدی است، و آن کسب و کار را برای سؤالات و درخواستهایی که ممکن است در یک حسابرسی خارجی مطرح شوند، آماده میکند.
کدام استانداردهای ایزو به امنیت اطلاعات مربوط میشوند؟
خانواده استانداردهای ایزو 27000، به ویژه ایزو 27001، مربوط به سیستمهای مدیریت امنیت اطلاعات (ISMS) است. این خانواده از استانداردها یک مرور کامل روی چگونگی توسعه، ارزیابی و حفظ یک ISMS ایمن برای سازمان شما، جلوگیری از نقض و نشت دادهها، بهینهسازی اجرای اقدامات امنیت سایبری و اطمینان از رعایت قوانین سخت حریم خصوصی داده مانند GDPR را ارائه میدهد.
گواهینامه ایزو
ایزو برای تعدادی از استانداردها از جمله ایزو 27001 و ایزو 9001 گواهینامه ارائه میدهد. کسب گواهینامه نیاز به حسابرسی خارجی توسط یک حسابرس شخص ثالث صلاحیتدار به نام ثبتکننده دارد. کسب گواهینامه ممکن است زمانبر باشد و قیمت آن در ابتدا گران باشد، اما گواهینامه شما به مدت سه سال اعتبار دارد و میتواند به میزان زیادی به شهرت شما کمک کند. برخی از مشتریان نیز گواهینامه ایزو را الزام یا درخواست میکنند. هنگام جستجو برای یک حسابرس ایزو، به یاد داشته باشید که خود ایزو حسابرسیهای گواهینامه را انجام نمیدهد، بنابراین باید یک شخص ثالث صلاحیتدار را برای انجام حسابرسیهای گواهینامه ایزو خود پیدا کنید.
مدت زمان لازم برای کسب گواهینامه ایزو چقدر است؟
یک چارچوب زمانی ثابت برای کسب گواهینامه ایزو وجود ندارد زیرا به آمادگی قبلی سازمان، نیازهای اختصاصی، اندازه تیم و مقیاس بستگی خواهد داشت. اگر از ابتدا در حال توسعه ISMS خود هستید یا نیاز به بازسازی سیستمهای خود دارید، زمان بیشتری نسبت به یک سازمانی که دارای یک ISMS سالم است، با ایزو 27001 مطابقت دارد یا با استانداردهای مجاور مانند NIST CSF مطابقت دارد، طول خواهد کشید. با این حال، بهتر است حداقل برای 3 تا 6 ماه برای آمادهسازی حسابرسی گواهینامه اولیه برنامهریزی کنید. این ماههای آمادهسازی شامل چندین حسابرسی داخلی و احتمالاً حسابرسیهای مشتریان و تأمینکنندگان خواهد بود.
اتوماسیون چگونه میتواند به شما در گواهینامه ایزو و رعایت آن کمک کند؟
دریافت گواهینامه و رعایت ایزو مراحل متعددی دارد و بنابراین نباید عجله کرد، اما لزوماً دشوار نیست. اتوماسیون میتواند کار شما را خیلی آسانتر کند و به شما کمک کند جزئیات مسیر رعایت ایزو را ردیابی کنید. استفاده از نرمافزار مدیریت رعایت مناسب میتواند به شما در مدیریت اسپردشیتها، چک لیستهای حسابرسی، ارزیابی کنترلها، برنامههای حسابرسی و سایر اجزای متحرک برای سادهتر و کارآمدتر کردن حسابرسی ایزو کمک کند. حتی اگر در حال دنبال کردن رعایت با چندین استاندارد ایزو و چارچوبهای خارج از ایزو هستید، آکادمی علم و صنعت میتواند به شما در بهینهسازی جریانهای کاری رعایت، متمرکز کردن ارتباطات ذینفعان و تسهیل موفقیت کمک کند، صرف نظر از اینکه سابقه رعایت استاندارد سازمان شما چگونه به نظر میرسد.