ISO 27001 стандартын хэрэгжүүлэлтийн нэг чухал нийцлийн шаардлага бол дотоод аудитын үйл ажиллагаа байдаг. Байгууллага мэдээллийн аюулгүй байдлын удирдлагын тогтолцоогоо тогтмол шалгаж үнэлэлт дүгнэлт өгөх боломжийг тогтолцооны дотоод аудит бий болгодог гэсэн үг.
Тэгвэл мэдээллийн аюулгүй байдлын удирдлагын тогтолцооны дотоод аудит гэж юу вэ?
Стандартын баримт бичгийг харвал 9.2 заалтанд энэ талаар тодорхой зааж өгсөн байдаг. МАБУТ-ны дотоод аудит нь стандартын үндсэн шаардлага бөгөөд байгууллага өөрөө өөрийгөө үнэлэх, шалгах, дүгнэх цаашид хэрхэн сайжруулах боломжийг бүрдүүлэхэд энэхүү заалт чиглүүлдэг. Удирдлагын тогтолцоотой холбоотой хоёр төрлийн аудитын үйл ажиллагаа байдаг бөгөөд нэг нь гэрчилгээжүүлэлтийн аудит нөгөө нь дотоод аудит юм. Эдгээр аудитын үндсэн зарчмууд зарим талаараа адилхан боловч зорилго нь арай өөр байдаг. Стандартын шаардлагаас харвал байгууллага дотоод аудитыг төлөвлөн зохион байгуулах үүрэг хүлээх бөгөөд ихэнхдээ дотоод аудитын багийг байгуулан ажиллах нь түгээмэл.
Харин гэрчилгээжүүлэлтийн аудитыг удирдлагын тогтолцооны гэрчилгээ олгох байгууллага зохион байгуулах бөгөөд стандартын шаардлагыг хангасан байгууллагад гурван жилийн хугацаанд хүчин төгөлдөр байх боломжтой нийцлийн гэрчилгээг олгодог. Гэрчилгээний хүчин төгөлдөр байх хугацаанд байгууллага удирдлагын тогтолцоогоо тогтмол ажиллуулах, шалгах, сайжруулах үйл ажиллагааг тасралтгүй хэрэгжүүлэх үүрэгтэй хүлээх бөгөөд гэрчилгүүжүүлэлтийн байгууллагаас жил бүр явцын аудитыг зохион байгуулдаг. Гэрчилгээний хүчинтэй хугацаа дууссан тохиолдолд байгууллага дахин гэрчилгээжүүлэлтийн аудит хийлгэнэ.
Байгууллагад дотоод аудитын үйл ажиллагаагаа амжилттай гүйцэтгэхийн тулд сургагдсан, мэдлэг ойлголттой, байгууллагаа сайтар мэддэг дотоод аудиторуудыг бэлтгэх шаардлага тулгардаг. Гэхдээ үүнийг шийдвэрлэх боломжууд мөн нээлттэй байдаг. Өөрөөр хэлбэл шаардлага хангах хэн нэгнийг хөлслөн дотоод аудитын үйл ажиллагааг хэрэгжүүлэх боломжтой гэсэн үг.
Удирдлагын тогтолцооны хөндлөнгийн явцын аудит нь гэрчилгээ хүлээн авсаны дараагийн хоёр жил дараалан хийгдэх бөгөөд стандартын шаардлага, Хавсралт А-аас сонгон авсан хяналтууд, үндсэн аудитаар илэрсэн үл тохирлыг хэрхэн залруулсан зэргийг нягтлан шалгадаг.
| Дотоод аудит | Гэрчилгээжүүлэлтийн аудит | Дахин гэрчилгээ олгох аудит | Явцын аудит | |
| Гүйцэтгэл | Дотоод болон гадаад нөөцийг ашиглан хэрэгжүүлэх | Гэрчилгээжүүлэлтийн байгууллага | Гэрчилгээжүүлэлтийн байгууллага | Гэрчилгээжүүлэлтийн байгууллага |
| Давтамж | Жилдээ нэг удаа | Гэрчилгээ авах хүсэлт хийгдсэн үед | Гурван жилд нэг удаа | Гэрчилгээ авсаны дараах хоёр жил дараалан |
Гэрчилгээжүүлэлтийн аудит болон дотоод аудитын ялгаатай талыг дээр дурдсан. Нэмж хэлэхэд, удирдлагын тогтолцооны дотоод аудитын зорилго нь байгууллага өөрийн мэдээллийн аюулгүй байдлын удирдлагын тогтолцооны шаардлагуудаа баталгаажуулах, стандартын шаардлагыг үр дүнтэй хэрэгжүүлж буй эсэхийг шалгахад оршино. Харин гэрчилгээжүүлэлтийн аудит нь байгууллага өөрийн боловсруулсан бодлого, зорилт, журмын хэрэгжилт болон стандартын шаардлагын нийцлийг хэрхэн хангасан эсэхийг шалган баталгаажуулдаг. Товчхондоо бол дотоод аудит нь МАБУТ-ны үр дүнтэй байдалд үнэлэлт өгдөг бол гэрчилгээжүүлэлтийн аудит нь стандартын шаардлагын нийцлийг хэрхэн хангаж буйд чиглэгддэг гэж ойлгож болно.
Хэдийгээр дотоод аудитыг хэрэгжүүлэх нь стандартын шаардлага боловч түүнийг хэрэгжүүлснээр дараах давуу талуудыг бий болгодог.
- Стандартын шаардлагын нийцлийн хангаж буй эсэхээ баталгаажуулах;
- Мэдээллийн аюулгүй байдлын эрсдэлийг бууруулах;
- Шаардлага хангахгүй үл тохирлуудыг илрүүлэх;
- Мэдээллийн аюулгүй байдлын эмзэг байдлыг илрүүлэх;
- Мэдээллийн аюулгүй байдлын зөрчлийг илрүүлэх, хариу үзүүлэх замаар МАБУТ-г сайжруулах;
- Гэрчилгээжүүлэлт болон явцын аудитын өмнө үл тохирлыг илрүүлэх, залруулах;
- Тасралтгүй сайжруулах үйл ажиллагааг төлөвлөх;
Удирдлагын тогтолцооны дотоод аудитыг дараах байдлаар хэрэгжүүлж болно.
Дотоод аудит нь байгууллагын зорилго, зорилт, шаардлагад нийцсэн байдлаар стандартын шаардлагуудын нийцлийг хангахад чиглэгдэх бөгөөд дараах алхамуудын дагуу хэрэгжүүлнэ.
- Баримт бичгийн шалгалт
- Газар дээрх аудитын төлөвлөлт
- Газар дээрх аудит
- Дүн шинжилгээ
- Аудитын тайлан
Баримт бичгийн шалгалт нь МАБУТ-ны хамрах хүрээнд бий болсон хийгээд хамаарах баримт бичгүүдийг нягтлан шалгахад чиглэгдэнэ. Ингэснээр газар дээрх аудитын үед хийгдэх ажлын шалгах жагсаалт хийгээд тогтолцооны хамрах хүрээг ойлгож авна. Баримт бичиг буюу баримтжуулсан мэдээллээс МАБУТ-ны үйл явц болон хяналтуудыг хэрхэн хэрэгжүүлэх үүрэг хариуцлага, бүртгэл зэргийн мэдээллийг авч болно. Аудитор эдгээр мэдээллийг олж авсанаар МАБУТ-ны талаар илүү мэдээлллийг олж авах боломжтой.
Төлөвлөлт үед аудитор нь дотоод аудитын шалгах жагсаалтыг үүсгэх бөгөөд аудитыг хэрхэн гүйцэтгэх, ямар нөөц шаардлагатай зэргийг тодорхойлдог.
Газар дээрх аудитаар МАБУТ-г шалгах, ажиглах, бүртгэх үйл ажиллагааг аудитын баг хэрэгжүүлэх бөгөөд ажилтнуудтай МАБУТ-ны хэрэгжүүлэлтийн талаар ярилцлага хийнэ.
Аудитын үйл ажиллагаа нь үл тохирлыг нотлох баримтаар баталгаажуулах бөгөөд нотлох баримтуудыг эрэмбэлэх, нягтлан шалгаж мэдээллийн аюулгүй байдлын хяналт зорилго болон эрсдэлүүдтэй холбон дүгнэнэ. Баримт нотолгоог бүрэн цуглуулж стандартын шаардлагын нийцлийг шалгана.
Газар дээрх аудитын үйл ажиллагааны дараа аудитын баг тайлан мэдээллийг удирдлагын багт танилцуулна. Тайлан нь стандартын шаардлагыг байгууллага хэрхэн хангаж байгаа болон хангахгүй байгааг баримт нотолгоотой агуулах бөгөөд дараах агуулгыг багтаасан байж болно.
- Аудитын хамрах хүрээ, зорилго, хугацаа, ажлын товч тайлбар;
- Гол үр дүнгүүдийг товч байдлаар дүгнэсэн дүгнэлт;
- Аудитын үр дүн болон дүн шинжилгээний дэлгэрэнгүй;
- Аудиторуудын зүгээс өгч буй санал зөвлөмж;
Байгууллагын удирдлага аудитын тайланг хүлээн авч аудитын шалгалтаар илэрсэн үл тохирлуудыг залруулах үйл ажиллагааг авч хэрэгжүүлнэ.