權責分工未必要增加人力

年關將近，最近在課堂上，和幾位在資訊部門任職的學生，討論起今年IT系統的醜聞，最知名的一件就是今年9月時，臺北富邦銀行爆發了彩券發行史上的第一宗內部弊案，犯案襄理在得知運動比賽結果後重新開啟系統下注，果然注注中獎。

姑且先不論系統稽核或種種示警功能的設計是否有問題，最根本的問題其實是權責分工。運彩系統只憑1個人的決定，就可以讓系統隨時開啟和關閉，才造成了犯案者有可趁之機。

但這還不是最嚴重的權責問題，以前我就提過，IT系統另一個常被忽略，卻又容易發生重大影響的權責問題，就是系統發布與程式開發的分權。

很多企業都沒有考慮到IT系統的權責分工，許多公司資訊部門中負責維運和發布系統的人，往往就是開發程式的人，這些公司的理由是，因為開發的人最熟悉系統，所以，由他們負責維運和發布最能夠上手，程式有錯誤也能快速解決。這樣做，其實暗藏了很高的營運風險。

例如薪資系統都由同一個人負責開發和發布，他若暗中修改系統程式，將每個人薪水扣除5元累計到他個人薪水中，等到轉帳完成，再將薪資系統的程式碼回復，帳面進出的款項吻合，財務人員其實不容易第一時間發現問題。

權責分工不一定需要增加額外的人力，只要修改系統，多1個人參與執行，例如要求主管需同時輸入確認密碼後才執行，就能分散風險。

另一個容易發生權責不分的情況，就是紙本核可資料的輸入問題。不少網站標價錯誤，大多都是因為這個原因造成的。

傳統作法上，定價經過精算，再交給業務會議討論核可，這是定價階段。然後再通知業務員，讓他們依核定價格來銷售，這是發布階段。現在透過網站銷售時，很多公司大多依循著原來的流程，經過定價和發布的程序，只在發布時，改由人工將核可售價輸入到網站系統中，往往問題就發生在輸入後就執行，價格不小心少打了1個零，就會造成公司虧損。

不少公司主管告訴我，資料輸入電腦後，若要多加一道檢查程序來核對輸入的資料，會增加人力和時間的成本。我完全不同意這樣的說法。

從定價到發布的作業，若被分成前段人工作業與後段電腦作業，後段的輸入人員同時擁有修改和發布的權限，這就會出現權責不分的漏洞。但我並不是贊同採取輸入後重複檢查的作法，而是有更適合的作法。更好的作法是在過程中輸入資料，而不是核可以後才輸入資料。

定價過程同樣都要精算，可以改由精算部門負責輸入，待高層主管開會核可後，負責的主管進入系統，按下確認執行的按鈕，就可以透過系統自動發布執行，一個階段就能完成所有動作。

甚至，精算完成後，系統自動產出比較報表，先列出價格異動的商品清單、價格變動差異大於25％的商品、刪除的商品項目，最後再列出沒有異動的商品。審查的主管只要專注核對這些有改變的少數商品，大多數沒有變動的商品可以快速檢查就好。

現在的IT系統一定可以做到我提出的作法，需要的人力也比原來的作法更少，也不會因為資料沒有輸入系統而無法產生報表。IT能夠改變流程，權責分工未必要增加人力，關鍵是能不能跳脫原有的作業框架，重新找出更完善的新流程。口述⊙范錚強，整理⊙王宏仁