前一陣子,雄獅旅遊發生了網站標價錯誤的事件。這件事,當然比戴爾電腦的事件輕微很多。但是,其他經營網路商店的企業,過去也發生很多次類似的網站出錯事件。這類事件,基本上是企業不該發生的問題,但是,為什麼還是不斷地發生?

我的看法是,其中一項重要原因是資訊人員不了解一些基本的管理原則,導致問題難以杜絕。

舉例來說,會計準則中有一個基本的前提,就是責任分工 (Segregation of duties)。為了要防止錯誤、防止弊病,最基本的管理作法正是落實責任分工。每個人都會犯錯,但兩個人犯下同樣錯誤的機會就大幅降低。同樣道理,一個人容易作弊,但是,兩個人共謀作弊,被掀出來的風險就大得多了。

責任分工的基本理念就是,做任何一件可能作弊或出錯的事,必須要有兩個人經手,這樣才能將錯誤和弊病減少。 一家有制度的公司裡,管錢的人不管帳、管帳的人不管錢;開支票的人不拿公司大小章等,都是這樣的理念。

或者是,當我們到銀行要求臨櫃服務,如果經手的金額很大,或者是一些特殊交易,除了櫃臺人員之外,交易憑證還必須有主管簽章,才能進行。我在大陸的銀行存提款,很多時候,櫃臺人員後面就是牆壁了,沒有主管坐在後面,怎麼辦呢?他們必須將交易憑證遞給隔壁櫃臺人員副署後,才能進行後續作業。

但是,很多線上購物的網站系統,缺乏完整的標準作業流程,往往只要一個人輸入就能「搞定」所有工作。看起來很有效率,但是,也會很容易出錯或者出現弊病。而且發生問題時,IT部門也得承擔部分責任。

很多IT 部門的同仁會抱怨說,不是我們輸入的資料,為何出錯要我們負責。因為,IT部門設計系統時,必須考慮到防錯機制,例如張貼公告時,是否強制要求第二人副署?副署方法是否安全可靠、而且不能規避等。

就像是,當我們到大賣場買東西時,收銀員輸入條碼之後,如果我們反悔、不想要買這樣產品了,你們有觀察過,收銀員需要經過哪些程序來修改發票嗎?收銀員會透過廣播呼叫一位值班經理過來。值班經理手中拿了一把專用的鑰匙,插在鑰匙孔上轉一下,再輸入密碼,然後才能允許刪除的動作。這樣的流程,就是一個不可規避的責任分工解決方案。

在日常生活中經常可以看到這類防弊防錯的稽核機制,但是,很多IT系統經常會忽略了這類機制的建置。系統開發人員可能會辯解說,使用者自己都沒有提出這樣的需求,所以系統開發時就不會建置稽核機制。

但是,就像我們條列生活必需品時,清單上往往不會出現空氣和水等存活必須要有的條件。對管理而言,責任分工就像是空氣和水一樣,不管使用者是否有列出需求,不說也要提供。

即使無法建置完整的稽核機制,至少,同一件事情,要讓兩個以上的人經手,只有一個人知道就容易發生弊端。就像是很多IT部門,沒有將系統上線人力和開發人力切割,惡質員工就有機會暗中修改對自己有利的資訊。
責任分工的設計看起來成本很高,其實不會。戴爾電腦兩次出錯所造成的損失就遠遠大於分工作業的成本。雖然,防弊的目的比防錯更重要,但光是為了防錯,企業就應該做好責任分工的機制。口述⊙范錚強,整理⊙王宏仁

專欄作者

熱門新聞

Advertisement