去年甫卸任公司總稽核一職，轉戰ESG及資安領域，恰逢公司於2022年通過ISO27001認證，此次受派訓主導稽核員訓練課程，原以為15年的內部稽核經驗應可駕輕就熟，但經過5天的課程，讓我對稽核有另一層面的認識，對於內部稽核與外部第三方稽核的不同有深刻的體認。

此項課程之主軸：計畫、執行、檢核、行動(PDCA)的管理循環在內部稽核領域雖已有所認知，但經過老師更深一層的說明及條款的熟練應用，讓我對PDCA有更深更廣的了解，而另一個課程核心：風險基礎思維(Risk Base Thinking)，亦是近幾年大家都很熟悉的風險管理概念，惟過去僅有一些概念，此次課程讓我學習到如何將二者融合在一起，讓整個ISMS管理架構更為完善。

另外在課程中演練訓練的比重相當高，當下的壓力很大，還好分組的組員們都很認真，大家分工合作，變成好戰友，每天為作業奮鬥。

老師以其豐富的驗證稽核經驗，透過分享很多例子，讓我對查核的認知，從內部稽核轉為外部稽核，在立場上有所差異，概念上亦有所不同。

印象最深刻的是，過去擔任內部稽核，重心一直放在寫受查單位的查核缺失，比較負面，但老師卻強調，驗證稽核的目標是要發證，所以要多寫些受查單位符合的項目，而不符合項目的重點則是在改善，改善後的終極目標還是要發證給受查單位，這樣的態度是較正面的。

老師在課程中反覆讓我們練習PDCA及Risk Base Thinking，直至每個學員都十分熟練，並一再強調這種管理模式適用於公司各種管理系統，無論是ISMS或是洗錢防制系統等，均可運用，在公司管理面的應用非常廣，讓我覺得學好這項課程後，在未來的工作上將受益無窮。

課堂上透過與老師及學員的互動、交流，讓這項課程更加豐富。 課後測驗是本課程的另一個大考驗，雖然課堂上有演練過類題，但畢竟在短短4天半的課程後就上場，又全部以問答題的方式考試，在有限時間的壓力下，加以熟練度仍顯不足，在答題的技巧也較為生疏，是相當大的挑戰。考完其實沒有太大把握，但收到通過測驗得通知時，讓我喜出望外。

這個課程讓我收穫頗為豐富，不但學到很多管理面的概念及知識，也結交到一些朋友，更讓我再增添一張專業證照，今年CIA(內部稽核師)及CISA(電腦稽核師)的持續進修時數也一併達標，可說是一舉數得。