年關將近,最近在課堂上,和幾位在資訊部門任職的學生,討論起今年IT系統的醜聞,最知名的一件就是今年9月時,臺北富邦銀行爆發了彩券發行史上的第一宗內部弊案,犯案襄理在得知運動比賽結果後重新開啟系統下注,果然注注中獎。

姑且先不論系統稽核或種種示警功能的設計是否有問題,最根本的問題其實是權責分工。運彩系統只憑1個人的決定,就可以讓系統隨時開啟和關閉,才造成了犯案者有可趁之機。

但這還不是最嚴重的權責問題,以前我就提過,IT系統另一個常被忽略,卻又容易發生重大影響的權責問題,就是系統發布與程式開發的分權。

很多企業都沒有考慮到IT系統的權責分工,許多公司資訊部門中負責維運和發布系統的人,往往就是開發程式的人,這些公司的理由是,因為開發的人最熟悉系統,所以,由他們負責維運和發布最能夠上手,程式有錯誤也能快速解決。這樣做,其實暗藏了很高的營運風險。

例如薪資系統都由同一個人負責開發和發布,他若暗中修改系統程式,將每個人薪水扣除5元累計到他個人薪水中,等到轉帳完成,再將薪資系統的程式碼回復,帳面進出的款項吻合,財務人員其實不容易第一時間發現問題。

權責分工不一定需要增加額外的人力,只要修改系統,多1個人參與執行,例如要求主管需同時輸入確認密碼後才執行,就能分散風險。

另一個容易發生權責不分的情況,就是紙本核可資料的輸入問題。不少網站標價錯誤,大多都是因為這個原因造成的。

傳統作法上,定價經過精算,再交給業務會議討論核可,這是定價階段。然後再通知業務員,讓他們依核定價格來銷售,這是發布階段。現在透過網站銷售時,很多公司大多依循著原來的流程,經過定價和發布的程序,只在發布時,改由人工將核可售價輸入到網站系統中,往往問題就發生在輸入後就執行,價格不小心少打了1個零,就會造成公司虧損。

不少公司主管告訴我,資料輸入電腦後,若要多加一道檢查程序來核對輸入的資料,會增加人力和時間的成本。我完全不同意這樣的說法。

從定價到發布的作業,若被分成前段人工作業與後段電腦作業,後段的輸入人員同時擁有修改和發布的權限,這就會出現權責不分的漏洞。但我並不是贊同採取輸入後重複檢查的作法,而是有更適合的作法。更好的作法是在過程中輸入資料,而不是核可以後才輸入資料。

定價過程同樣都要精算,可以改由精算部門負責輸入,待高層主管開會核可後,負責的主管進入系統,按下確認執行的按鈕,就可以透過系統自動發布執行,一個階段就能完成所有動作。

甚至,精算完成後,系統自動產出比較報表,先列出價格異動的商品清單、價格變動差異大於25%的商品、刪除的商品項目,最後再列出沒有異動的商品。審查的主管只要專注核對這些有改變的少數商品,大多數沒有變動的商品可以快速檢查就好。

現在的IT系統一定可以做到我提出的作法,需要的人力也比原來的作法更少,也不會因為資料沒有輸入系統而無法產生報表。IT能夠改變流程,權責分工未必要增加人力,關鍵是能不能跳脫原有的作業框架,重新找出更完善的新流程。口述⊙范錚強,整理⊙王宏仁

專欄作者

熱門新聞

Advertisement