責任分工是IT系統的必需品

前一陣子，雄獅旅遊發生了網站標價錯誤的事件。這件事，當然比戴爾電腦的事件輕微很多。但是，其他經營網路商店的企業，過去也發生很多次類似的網站出錯事件。這類事件，基本上是企業不該發生的問題，但是，為什麼還是不斷地發生？

我的看法是，其中一項重要原因是資訊人員不了解一些基本的管理原則，導致問題難以杜絕。

舉例來說，會計準則中有一個基本的前提，就是責任分工 （Segregation of duties）。為了要防止錯誤、防止弊病，最基本的管理作法正是落實責任分工。每個人都會犯錯，但兩個人犯下同樣錯誤的機會就大幅降低。同樣道理，一個人容易作弊，但是，兩個人共謀作弊，被掀出來的風險就大得多了。

責任分工的基本理念就是，做任何一件可能作弊或出錯的事，必須要有兩個人經手，這樣才能將錯誤和弊病減少。 一家有制度的公司裡，管錢的人不管帳、管帳的人不管錢；開支票的人不拿公司大小章等，都是這樣的理念。

或者是，當我們到銀行要求臨櫃服務，如果經手的金額很大，或者是一些特殊交易，除了櫃臺人員之外，交易憑證還必須有主管簽章，才能進行。我在大陸的銀行存提款，很多時候，櫃臺人員後面就是牆壁了，沒有主管坐在後面，怎麼辦呢？他們必須將交易憑證遞給隔壁櫃臺人員副署後，才能進行後續作業。

但是，很多線上購物的網站系統，缺乏完整的標準作業流程，往往只要一個人輸入就能「搞定」所有工作。看起來很有效率，但是，也會很容易出錯或者出現弊病。而且發生問題時，IT部門也得承擔部分責任。

很多IT 部門的同仁會抱怨說，不是我們輸入的資料，為何出錯要我們負責。因為，IT部門設計系統時，必須考慮到防錯機制，例如張貼公告時，是否強制要求第二人副署？副署方法是否安全可靠、而且不能規避等。

就像是，當我們到大賣場買東西時，收銀員輸入條碼之後，如果我們反悔、不想要買這樣產品了，你們有觀察過，收銀員需要經過哪些程序來修改發票嗎？收銀員會透過廣播呼叫一位值班經理過來。值班經理手中拿了一把專用的鑰匙，插在鑰匙孔上轉一下，再輸入密碼，然後才能允許刪除的動作。這樣的流程，就是一個不可規避的責任分工解決方案。

在日常生活中經常可以看到這類防弊防錯的稽核機制，但是，很多IT系統經常會忽略了這類機制的建置。系統開發人員可能會辯解說，使用者自己都沒有提出這樣的需求，所以系統開發時就不會建置稽核機制。

但是，就像我們條列生活必需品時，清單上往往不會出現空氣和水等存活必須要有的條件。對管理而言，責任分工就像是空氣和水一樣，不管使用者是否有列出需求，不說也要提供。

即使無法建置完整的稽核機制，至少，同一件事情，要讓兩個以上的人經手，只有一個人知道就容易發生弊端。就像是很多IT部門，沒有將系統上線人力和開發人力切割，惡質員工就有機會暗中修改對自己有利的資訊。
責任分工的設計看起來成本很高，其實不會。戴爾電腦兩次出錯所造成的損失就遠遠大於分工作業的成本。雖然，防弊的目的比防錯更重要，但光是為了防錯，企業就應該做好責任分工的機制。口述⊙范錚強，整理⊙王宏仁